На заседании круглого стола выставки-конференции Infosecurity обсуждались актуальные темы и тенденции в области информационной безопасности на отечественном рынке. Прокомментировать некоторые из тенденций мы попросили заместителя коммерческого директора Н
Тема круглого стола была сформулирована так: «Информационная безопасность: для бизнеса или как бизнес?» С чем связана именно такая постановка вопроса?
Она связана с наметившимся разрывом между тем, что предлагают игроки рынка информационной безопасности и тем, что ожидают от них корпоративные потребители. Должны ли поставщики и интеграторы определять рынок (по сути диктовать предложение), или необходимо следовать спросу со стороны заказчиков и реагировать лишь на новые угрозы? Все чаще звучат претензии, что рынок «подогревают» не злоумышленники, а производители и поставщики услуг, которые выпускают новые и дорогие, но не очень нужные продукты и мало занимаются проблемами потребителей, в частности возможностями интеграции различных технологий.
Как, с вашей точки зрения, выглядит отношение ИТ-директоров к вопросам информационной безопасности? Что может повлиять на изменение этого отношения?
Отношение это совершенно разное, и определяется оно степенью зрелости как самих компаний, так и их ИТ-директоров. В тех сегментах рынка, где бизнес очень плотно «завязан» на информационную инфраструктуру (а это большинство работающих в нашей стране крупных российских и международных компаний, финансовые организации, телекоммуникационные компании), понимание проблем, а следом за ним и взаимодействие подразделений ИТ и информационной безопасности, появилось. Там, где работают по старинке (в ряде крупных и большинстве средних промышленных и транспортных предприятий), отношение к информационной безопасности такое, какое было в крупном бизнесе и банках лет 10—12 назад: это пустая трата денег, а реальных угроз в информационной сфере нет. Хаос в пятом терминале лондонского Хитроу, вызванный именно проблемами информационной безопасности (доступности ресурсов и устойчивости функционирования информационной системы), думаю, многих переубедит.
Отношение к проблеме изменится только тогда, когда придет понимание последствий выхода информационной системы из строя или ее взлома. Пониманию значимости этих вопросов будут способствовать и весьма показательные информационные атаки, имевшие место в России в 2007 году, в которых сочетались взлом сети, внедрение в нее вредоносного кода (червей и «троянов», реализующих шпионские и диверсионные функции), распределенные атаки типа «отказ в обслуживании», направленную рассылку спама, дискредитирующего компанию-жертву, ее клиентам, акционерам и инвесторам. Результатом подобных действий становится падение акций, их скупка «заказчиком» атаки, предпринимающим попытку захватить или уничтожить бизнес.
Рынок информационной безопасности ожидает принятия конкретных требований ФСБ и ФСТЭК России относительно защиты персональных данных. На ваш взгляд, чего следует ожидать и чего опасаться?
Ожидать можно довольно жестких требований. Опасаться приходится многого. Например, вот чего.
Первое. В рамках действующего законодательства все, подчеркиваю: все, операторы персональных данных, должны иметь лицензию на техническую защиту конфиденциальной информации. Лицензионные требования предъявляются для многих невыполнимые. Что будут в этих условиях делать госучреждения-операторы персональных данных, а также мелкие и средние предприятия, пока непонятно.
Второе опасение: реализация жестких требований весьма дорога. Где на это возьмут деньги уже упомянутые госучреждения, средний и мелкий бизнес, сказать трудно. В крупном бизнесе деньги найдутся, но только если заработает система госконтроля и надзора. Если «кнута» не будет, крупные предприятия не станут вкладывать деньги в защиту персональных данных — внутренних стимулов для этого нет.
Наконец, третье опасение. Учитывая количество операторов персональных данных в России, контроль за безопасностью их обработки и соблюдением прав субъектов персональных данных будет эффективен только при создании фискальной системы, сравнимой с той, которой располагает ФНС РФ. Пока готовности создать такую систему в государстве не наблюдается. Если же системы контроля и надзора не будет, никто не станет и выполнять закон. И в этом главная проблема.