Информбезопасность в пору экономической нестабильности

Радикальные изменения в экономике, как в международной, так и во внутренней, не могут не отражаться на состоянии российского рынка информационной безопасности (ИБ). Опросив профильных экспертов из отечественных и зарубежных компаний, а также читателей нашего издания, мы постарались выявить основные тенденции в этой области.

ИБ-вендоры

По мнению опрошенных нами экспертов, в полосу экономической нестабильности российский рынок ИБ вступил в состоянии организационной незрелости, характеризующейся разобщенностью его участников, отсутствием профессиональных ассоциаций, способных выступать от имени большинства игроков рынка. Те цеховые структуры, которые к настоящему времени сформированы, по наблюдениям Владимира Гайковича, вовсе не нацелены на решение задач консолидации отрасли, на достижение ею уровня, характерного для развитых экономик.

Тем не менее, действуя разобщенно, ИБ-вендоры, по отзывам экспертов, обеспечивают для потребителей адекватное современным ИБ-угрозам продуктовое наполнение рынка. Сегодня оно, как выразился Вячеслав Медведев, “позволяет взять под контроль любой аспект корпоративной ИБ”.

В условиях сужающегося рынка ИБ-вендоры стремятся сократить расходы на маркетинг и одновременно активно перестраивают поведение на рынке, реагируя на изменение платежеспособного спроса. Они снижают цены, пересматривают партнерские программы, стараясь сохранить свои сети сбыта, предлагают партнерам и клиентам гибкие системы скидок, кредитование или возможность приобретения продукта в рассрочку. На рынке ИБ получают распространение индивидуальные формы работы с клиентами, проекты по развертыванию комплексных, кастомизированных решений. Чтобы удовлетворить изменившийся спрос, наиболее активные поставщики расширяют продуктовые линейки.

Вместе с тем Вячеслав Медведев предупреждает, что низкая ИБ-грамотность корпоративных потребителей создаёт условия для существования таких ИБ-подрядчиков, которые строят ИБ-защиту у клиентов только “для галочки”, скажем, для отчетности перед бизнес-руководителями или регуляторами. “Они стремятся убедить клиентов в том, что готовы выполнить практически ту же работу за меньшие, чем конкуренты, деньги, злоупотребляя неосведомленностью заказчиков в области ИБ, отсутствием у них правила разделять и поручать разным исполнителям аудит состояния ИБ и внедрение средств защиты”, — предостерегает он.

Сравнивая положение отечественных и зарубежных ИБ-вендоров, Денис Батранков утверждает, что у глобальных вендоров, таких как IBM, есть по сравнению с российскими преимущество в виде возможности привлекать дополнительные ресурсы из других стран в случае нехватки средств на региональном рынке. Другие эксперты усматривают в позиции иностранных ИБ-вендоров слабость, связанную с негибкой ценовой политикой, с сильным влиянием на стоимость их продукции (в отличие от продукции российских производителей) колебания курсов валют. Это дает определенные преимущества отечественным производителям. Но, как отмечает Алексей Королёв, “далеко не все импортные средства защиты можно заменить российскими — к полному импортозамещению мы придем еще не скоро”.

ИБ-потребители

Уровень ИБ в российских корпоративных структурах большинство экспертов признает низким, и недавний “успех” вируса Conficker в корпоративных сетях, по их мнению, — наглядное тому подтверждение. Слабую организацию корпоративной системы ИБ наши эксперты связывают прежде всего с неспособностью потребителей применять то, что представлено на рынке.

Вячеслав Медведев полагает даже, что уровень ИБ многих компаний сегодня опасно низкий, поскольку об установке серверных ИБ-решений, о внедрении ИБ-политик, процедур и стандартов, учитывающих требования по безопасности, об обучении сотрудников навыкам безопасной работы с информацией, о проведении ИБ-аудита, найме ИБ-специалистов и комплексности защиты во многих компаниях даже не помышляют. Алексей Королёв отмечает, что многие российские компании обращаются к поставщикам средств обеспечения ИБ только после того, как произошел ИБ-инцидент и компания понесла от него прямые или косвенные убытки. “К сожалению, далеко не все топ-менеджеры и собственники бизнеса сознают, что защита должна быть превентивной, а стратегическое планирование должно включать в себя и планирование в области безопасности. Не понимают они и того, что безопасность — это не разовая установка ПО либо аппаратного устройства, а комплекс мероприятий, в котором должны быть задействованы все сотрудники, и прежде всего сотрудники департаментов HR, ведь какая бы серьезная защита ни была, самое слабое место — человек. В общем, российскому рынку есть куда расти”, — констатирует он.

Между тем Владимир Гайкович в оценке ИБ-зрелости российских корпоративных потребителей менее категоричен. Уровень их зрелости он считает средним, характеризующимся осознанием главных ИБ-проблем, но при этом неполным пониманием того, как и какими средствами их можно решить. Однако, по его наблюдениям, есть среди них и предприятия, активно развивающие свои компетенции в области ИБ, находящиеся на уровне, сопоставимом (если не более высоком) с уровнем специализированных ИБ-компаний.

Судя по результатам опроса наших читателей, они солидарны скорее с мнением г-на Гайковича (см. диаграмму 1). Подавляющее большинство их (80,3%) признали уровень ИТ в своих компаниях достаточным или минимально необходимым и только 18,3% респондентов — низким.

ИБ-бюджеты и кадровые ресурсы

С наступлением кризиса большинство компаний стало сокращать расходную часть своих бюджетов. Однако, как констатирует Вячеслав Медведев, “требования со стороны ИБ никуда не делись, закупка и внедрение решений для обеспечения безопасности остается насущной необходимостью для компаний, поскольку без таких решений работа будет парализована в считанные дни”. По этой причине ИБ-бюджеты компании секвестируют с осторожностью, инвестируют область ИБ более продуманно и экономически обоснованно.

Владимир Гайкович считает, что отношение каждой отдельной компании к ИБ-бюджету зависит от ее принадлежности к определенной отрасли, от развитости и масштабов бизнеса. Согласно его наблюдениям какие-то предприятия сокращают ИБ-расходы, какие-то оставляют их неизменными (при расчёте в рублях), а какие-то и увеличивают их.

Судя по данным опроса наших читателей (см. диаграмму 2), последних не так уж много — 4,9%. Сохранили же свои ИБ-бюджеты более 40% компаний. Но обращает на себя внимание еще одно обстоятельство: 28,3% компаний, принявших участие в опросе, не могут точно сказать, как изменились расходы на ИБ, и тут есть о чем задуматься.

Кадровая ситуация рынке ИБ, как считают эксперты, в целом не изменилась. Это подтверждают и ответы наших читателей (см. диаграмму 3). На фоне прекратившихся перемещений ИБ-персонала из компании в компанию в поисках увеличения зарплаты эксперты отмечают рост числа предложений от соискателей с минимальным опытом работы. Найти же квалифицированного специалиста сегодня так же трудно, как и до кризиса. Алексей Королёв говорит о недостатках в подготовке ИБ-специалистов высшей школой: “Госстандарты образования не отражают современных требований бизнеса. Например, попробуйте спросить выпускника технического вуза, что такое ROSI или TCO. Вряд ли получите ответ. А такой специалист приходит в компанию выстраивать её защиту. С технической точки зрения она скорее всего будет удовлетворительной, а вот с бизнес-позиций могут возникнуть вопросы о том, насколько она эффективна с учетом специфики бизнеса и расходов на ее создание. У молодых специалистов нет четкого понимания того, что системы управления ИБ должны строиться именно исходя из требований бизнеса”.

Продукты и технологии: спрос и предложение

Оценка экспертами и корпоративными потребителями наиболее востребованных технологий ИБ во многом совпадает. К таковым отнесены антивирусы, межсетевые экраны и VPN.

Вместе с тем под воздействием экономической нестабильности растет популярность решений, которые позволяют сократить совокупную стоимость владения средствами ИБ без потери качества защиты — централизовать и упростить управляемость защитных средств, снизить требования к квалификации ИБ-персонала и уменьшить нагрузку на него. В частности, Вячеслав Медведев отмечает актуализацию направления SaaS, рост спроса на программно-аппаратные комплексы, работающие по принципу “черного ящика” и не требующие от администраторов специальных знаний в области ИБ.

Эксперты констатировали и повышение внимания потребителей к ИБ-услугам, таким как консалтинг, аудит, обучение персонала, а также рост его осведомленности в области ИБ и передачу управления ИБ-устройствами внешним провайдерам услуг. Владимир Гайкович кроме этого к наиболее востребованным сегодня услугам отнес защиту информации ограниченного доступа, управление соответствиями информационных систем отраслевым стандартам безопасности и мировым практикам, мониторинг информационной безопасности и управление инцидентами.

Экономический кризис, по общему мнению, обострил проблему внутренних угроз, актуализировавшуюся вследствие массовых увольнений и понижения заработка сотрудников. В связи с этим растет спрос на продукты класса DLP, на комплексные системы защиты корпоративной информации, на системы разграничения и контроля доступа к информационно-вычислительным ресурсам, криптографической защиты данных. Эксперты отмечают, что ИБ-продукты становятся более интеллектуальными, обязательным свойством для них сегодня является сочетание реактивной и проактивной защиты. По мнению Алексея Королёва, продуктов класса “всё в одном” на рынке будет появляться все больше, что обусловлено, в частности, сохраняющейся тенденцией к консолидации рынка путем приобретения более мелких игроков более крупными.

В целом, как отмечает Владимир Гайкович, подход потребителей к построению систем ИБ стал более прагматичным: “Если можешь доказать, что система ИБ принесет реальную пользу (к примеру, позволяет удовлетворить требования регулятора), вероятность того, что ее будут внедрять, велика. Иначе предложение просто не будут рассматривать. Таков основной “антикризисный” подход к обеспечению ИБ в настоящее время”.

Движущие силы и факторы торможения

Хотя развитие отечественного рынка ИБ, как отмечает Алексей Королёв, во многом обусловлено глубоким проникновением информационных технологий в нашу жизнь, что неминуемо влечет за собой риски и угрозы, многие эксперты согласны с тем, что сегодня основным катализатором этого развития в России на фоне общей незрелости местного ИБ-рынка является госрегулирование. Из государственных инициатив прежде всего отмечаются усилия, направленные на защиту прав граждан (закон “О персональных данных”), а также на совершенствование автоматизированных систем государственных организаций. Среди факторов влияния на ИБ в бизнес-структурах обращают на себя внимание изменения законодательства о коммерческой тайне и работа над законом о служебной тайне. Разработчики программных ИБ-средств высоко оценивают усилия государства в области легализации использования ПО.

Вместе с тем действия госорганов в области ИБ зачастую оказываются непоследовательными и несогласованными. “Сначала принимается Закон о персональных данных, — отмечает Владимир Гайкович, — потом выходят постановления Правительства РФ, которые можно трактовать противоположным образом, а затем начинается активность некоторых законодателей в защиту прав “обездоленных” операторов персональных данных. Понимаю: плюрализм, но надо решить, чьи интересы защищает регулятор — граждан или структур, обрабатывающих сведения о них. Иначе участникам рынка посылаются противоречивые сигналы”.

По мнению Михаила Калиниченко, тормозит развитие рынка и большое количество требуемых сертификаций, которые необходимо пройти производителю, чтобы его продукт можно было использовать в России: “В результате многие современные разработки в области ИБ, в том числе и от ведущих зарубежных вендоров, попадают к российскому потребителю с большим опозданием (а новинки небольших компаний не попадают вообще). Получается парадоксальная ситуация: наличие сертификата оказывается важнее возможностей продуктов”.

Наряду с зарегулированностью эксперты не в последнюю очередь отмечают и другие причины, тормозящие развитие российского ИБ-рынка. По мнению Вячеслава Медведева, к ним в большой мере относится недостаточная информированность пользователей об угрозах и надежда на “авось”: “Если о вирусных угрозах знают практически все и большинство компаний предпринимает меры по защите от них, то об остальных угрозах этого сказать нельзя. Зачастую игнорируются угрозы от инсайдеров, хакеров, неавторизованного проникновения в охраняемую систему, не уделяется достаточного внимания разделению прав доступа, защите информации и т. п.”

Алексей Королёв считает, что одной из главных проблем развития рынка ИБ является то, что руководители и собственники российских компаний недопонимают проблематику защиты информации, необходимость долгосрочного превентивного планирования и проектирования процессов управления информационной безопасности. В этом с ним согласны и наши читатели. Результаты опроса (см. диаграмму 4) свидетельствуют о том, что главные проблемы в обеспечении должного уровня ИБ в своих компаниях они усматривают внутри самих компаний, а не во внешних факторах. Среди основных сдерживающих факторов респонденты называют организационные и финансовые, и только менее 16% опрошенных видят проблему в обеспечении соответствия требованиям регулирующих органов.

Сила угроз ИБ: отраслевой срез

Исследование, проведенное в 2008 г. аналитическим центром группы компаний “Информзащита”, позволяет составить представление о значимости угроз ИБ для различных секторов рынка и уровне опасности различных видов угроз. В основу исследования были положены результаты опроса ведущих компаний из различных отраслей (телекоммуникации, финансы, страхование, транспорт, промышленность). Всего в нем приняли участие более 150 сотрудников ИБ-служб, из которых 76% — руководители подразделений, 24% — сотрудники.

Табл. 1. Значимость угроз ИБ для различных секторов рынка ^*

Угрозы	Телекоммуникации	Транспорт и промышленность	Финансы и страхование
Мошенничество, затрагивающее информационные системы	3	1	2
Вирусы/черви	2	2	3
Спам	1	2	2
DOS-атаки	1	2	2
Утрата информации	2	3	1
Нарушение конфиденциальности информации	2	3	2
Шпионские программы	2	2	1
Перебои в работе	1	3	0
Несанкционированное обращение и скачивание данных из СУБД	2	2	1

^*Сила угрозы оценена по трехбалльной шкале, большему значению соответствует большая угроза

Источник: ГК “Информзащита”

Табл. 2. Уровни опасности угроз информационной безопасности

Угрозы	Уровень опасности
DOS-атаки	Средний
Вирусы/черви	Высокий
Мошенничество, затрагивающее информационные системы	Средний
Нарушение конфиденциальности информации	Средний
Несанкционированное обращение и скачивание данных из СУБД	Низкий
Перебои в работе	Высокий
Спам	Высокий
Утрата информации	Низкий
Шпионские программы	Низкий

Источник: ГК “Информзащита”