Физическая, информационная и связанная с обеспечением непрерывности работы компаний
Джон Ганц: «Информационная безопасность — не страховка, а конкурентное преимущество» |
По данным IDC, рубеж 2002-2003 годов станет переломным для ИТ-индустрии, которую после стагнации прошлого года ожидает рост в 5%. В большей степени он коснется сферы разработки программного обеспечения и предоставления услуг, далеко не последнее место среди которых будет занимать сервис по обеспечению безопасности. Только за последние 18 месяцев компания IDC выпустила более 200 отчетов и бюллетеней, посвященных проблемам информационной безопасности, что свидетельствует о большом спросе со стороны отдельных компаний и ИТ-сообщества в целом на исследования по различным аспектам проблемы обеспечения безопасности. На вопросы главного редактора журнала «Открытые системы» Дмитрия Волкова отвечает Джон Ганц, директор по исследованиям и старший вице-президент IDC, в ведении которого находится организация широкомасштабных исследований, построение моделей глобальных и продуктовых рынков силами 700 аналитиков (50 из них специализируются на проблемах безопасности) из 43 стран. Ганц приехал в Россию для участия в конференции «Информационная безопасность корпорации: практический подход», проведенной IDC совместно с издательством «Открытые системы».
Как можно охарактеризовать состояние современного рынка решений в области информационной безопасности?
Этот рынок сегодня очень мозаичен, он составлен из независимых, порой несовместимых продуктов и решений, предлагаемых различными компаниями. Такое состояние в ряде случаев обусловлено стратегией предприятий по планированию расходов на ИТ-безопасность. Обычно вокруг крупной корпорации вращается ряд ИТ-компаний, предлагающих услуги обеспечения безопасности только в рамках имеющегося у заказчика бюджета.
Несмотря на это, я считаю, что безопасность будет одним из пяти факторов, влияющих на рост ИТ-индустрии в ближайшее время наряду с Internet, интеграцией и консолидацией бизнеса, развитием мобильных и беспроводных технологий и глобализацией). По данным наших аналитиков, рынок решений по ИТ-безопасности к 2006 году достигнет 45 млрд. долл. против 17 млрд. долл. в 2001-м. Ежегодный рост аппаратных решений в этом сегменте составит 25%, услуг — 24%, ПО — 16%. Примечательно, что это произойдет на фоне ухода многих ИТ-производителей с рынка. Определенный импульс будет получен со стороны молодых компаний, в том числе из активно развивающихся на ИТ-поприще стран: России, Индии и Китая.
Каково соотношение аппаратных, программных и сервисных компонентов в общем решении по обеспечению безопасности?
Мы в IDC различаем три стороны безопасности: физическая; информационная, включающая защиту транзакций; а также связанная с обеспечением непрерывности работы компаний (отказоустойчивость, резервирование и сети хранения). В первом случае доля программного обеспечения весьма незначительна, во втором оно занимает 40%, а в третьем — только 15%. Реально бизнес больше всего страдает от убытков, нанесенных сбоями при подаче электроэнергии, разрушениями в результате стихийных бедствий.
Есть ли в IDC исследования по возврату инвестиций в информационную безопасность?
До сих пор мы не делали точных исследований на эту тему, у меня нет конкретной репрезентативной статистики. Обычно мы формировали оценки показателя возврата инвестиций по запросу конкретных клиентов и относительно определенного приложения, а информационная безопасность выступает только как составная часть этих оценок. Однако ситуация меняется: у высшего руководства компаний сегодня появился интерес к работе ИТ-подразделения, возникло желание разобраться в причинах возникновения информационных угроз и способах их избежать. Не все еще готовы вкладывать деньги, а следовательно, и считать ROI, но уже способны хотя бы на своем уровне понять особенности организации ИТ-инфраструктуры, выяснить, например, не используется ли в профессиональных целях система, разработанная для домашнего применения. Однако здесь еще можно встретить много наивных представлений и дилетантства, например услышать такое мнение: «У нас нечего отнять, мы просто ходим в Сеть». Когда же компания заплатит несколько лишних тысяч евро за трафик, сразу возникнут вопросы и по поводу ROI.
Что можно сказать о тенденциях в сфере безопасности мобильных решений?
Сектор мобильной и беспроводной связи в ближайшее десятилетие станет ведущим. Рынок оборудования для беспроводных локальных сетей будет расти на 22% ежегодно до 2006 года, а к 2005 году число пользователей Сети достигнет миллиарда человек, причем 85% из них можно отнести к разряду мобильных. Объем трафика почтовых сообщений будет расти ежегодно на 27-30%, что соответствует 40 млрд. сообщений в день. Спам и разного рода мусор, по нашим наблюдениям, составит до 40% трафика электронной почты. В конце 2003 года только в Европе будет 20 млн. домов, непосредственно подключенных к Internet, а за четыре года количество Web-сайтов, связанных с электронной торговлей, вырастет до 10 млн. Инвестиции в безопасность просто будут обязаны стать масштабными соответственно росту объема транзакций, однако на сегодняшний день безопасность еще не стала направлением стратегических инвестиций, и, несмотря на рост в 1000% расходов на технологии с 1999 года, расходы на безопасность только удвоились, что, безусловно, недостаточно. Компании постепенно начинают понимать, что нарушение конфиденциальности переписки руководителя по простой электронной почте может нанести непоправимый ущерб бизнесу.
Сегодня очень широкое распространение получают программы с открытыми кодами, есть ли оценки их надежности?
Мы не считаем, что системы с открытым кодом имеют хорошие показатели защищенности. Риск использования такого программного обеспечения можно оценить по совокупной стоимости вложений и в ряде случаев окажется, что, например, некоторые решения на базе ОС Linux в конечном счете будут дороже с учетом издержек, которые придется нести по обеспечению безопасности.
В одном из своих прогнозов на 2003 год вы упомянули рост угрозы кибертерроризма. Насколько они реальны для подрыва стабильности жизни общества, нет ли здесь переоценки?
Кибертерроризм — использование ИТ-средств для нарушения работы компонентов коммерческих и государственных инфраструктур с целью принуждения, устрашения или шантажа — теоретически можно сегодня считать вполне реальной угрозой. Однако, когда мы делали прогноз на 2003 год, то не имели в виду, что кибертерроризм способен сегодня нанести физический ущерб. Речь больше шла о ИТ-нападениях на серверы, управляющие сетью банкоматов, или серверы Internet, обрабатывающие коммерческий трафик. Мы больше думали об экономическом, а не о физическом ущербе и надеемся, что этого не произойдет — сегодня намного более актуальны взломы систем изнутри, по вине сотрудников компании, а не атаки извне.
Как между собой уживаются аутсорсинг и безопасность?
Темпы роста мировой программной индустрии будут в ближайшее время относительно умеренными и составят 7,5%. В число самых динамичных секторов войдут средства обеспечения защиты и программы администрирования уже развернутых конфигураций. На этом фоне самыми быстрыми темпами будет развиваться аутсорсинг — передача внешним компаниям части работы ИТ-подразделений заказчика или решение отдельных задач, например по технической поддержке. В этом секторе я прогнозирую рост на десятки процентов, причем продолжится бегство ИТ-заказов за рубеж — западные компании, планирующие заниматься аутсорсингом, рассчитывают выполнять часть этой работы силами иностранцев. Однако, что бы ни говорили о перспективах аутсорсинга, компании всегда с нежеланием относились и будут относиться к передаче на сторону поддержки жизненно важных сторон свой деятельности. Сегодня есть тенденция расширения фронта работ с компаниями из Индии и Китая, однако риск, я думаю, больше связан не столько с утечкой секретов, сколько с риском политической нестабильности территории, на которой работает аутсорсинговая компания.
Какова роль государства в регулировании процессов информационной безопасности?
Для западных стран она незначительна — в Европе и США гораздо больше внимания сегодня уделяется вопросам защиты конфиденциальности частной жизни. В этой связи типична ситуация, когда компании сами больше внимания уделяют безопасности, чем правительство Соединенных Штатах. Конечно, какие-то шаги Госдепартамент предпринимает, например, прошлой осенью был выпущен документ «План обеспечения критически важных структур», но он имеет рекомендательный характер и не обязателен для исполнения компаниями. В принципе определенную роль государство играть должно, но в США правительство не очень-то стремится ее исполнять — это издержки демократии и свободы, способные привести к хаосу. В результате 51% американских компаний не имеют планов восстановления после сбоев, у 59% нет собственной политики безопасности.
Какие рекомендации вы, как аналитик IDC, можете дать российским предприятиям, которых волнует сегодня проблема информационной безопасности?
Рост ИТ-сектора экономики в России за 2001-2002 годы составил 14% — по темпам роста страна вместе с Китаем и Индией входит в тройку наиболее активно развивающихся государств. Вместе с тем надо учитывать опыт западных стран и стараться не повторять чужих ошибок.
Одновременно с развитием бизнеса Россия сегодня переживает период модернизации и масштабирования ИТ-инфраструктур, именно здесь скрыта опасность. Первоначально система собирается из надежного оборудования, но затем она начинает расширяться, что влечет за собой возникновение узких мест, выявление которых требует времени, а без нормального документирования это становится еще более затруднительно. Проблемы могут возникать и в простых ситуациях, например, ИТ-специалисты предприятия уже давно не смотрели на конфигурацию в целом, как это было в период первоначальной закупки. К слову сказать, редко кто проверяет как, в частности, работает система резервного копирования, и может оказаться, что копии сбрасываются на тот же сервер, что и основная база. Требуется комплексный подход, позволяющий избежать ошибок, вносимых в систему на разных этапах ее жизни. Доскональное понимание особенностей взаимодействия приложения с сетью, работы СУБД с конкретным оборудованием и т.п. поможет разобраться во всех этих хитросплетениях. В общем случае здесь потребуется третейский судья — независимая консалтинговая компания, способная выполнить аудит.
Рекомендации можно дать достаточно известные: избегать систем с единой точкой отказа; распределять сети хранения информации; обязательно вести документацию по восстановлению аппаратуры и данных; тестировать резервные конфигурации и постоянно следить за их соответствием основной; иметь четкую схему приоритетов восстановления после сбоев. Следует также оценить достаточно ли, например, ежедневного копирования данных, имеется ли на предприятии штат специалистов, способных осуществлять постоянный мониторинг обнаружения вторжений и все ли сотрудники знают, что делать в кризисной ситуации. Короче, просто требуется больше формализма.
Некоторые прогнозы Джона Ганца
В следующем году расходы потребителей плодов информационных технологий будут медленно, но уверенно расти — несмотря на все еще плохое состояние рынка, худшие времена проходят. В Европе ожидается годовой рост расходов на ИТ, как минимум равный 4%. До сих пор ослабление рынка было частью обычного бизнес-цикла, в котором был переоценен спрос на высокие технологии, однако долгосрочное использование ИТ начнется со множества новых изобретений и передела рынка. При этом производители должны быть как можно ближе к своим клиентам — вот один из основных факторов роста.
Число сотовых телефонов в 2003 году превысит 1,5 млрд. штук; почтовых ящиков — 1 млрд.; количество ПК — 600 млн.; число стационарных пользователей Сети станет более 700 млн. человек, а мобильных — 250 млн.
Суммарные расходы на ИТ в 2003 году превысят 900 млрд. долл., а расходы на телекоммуникации — 975 млрд. Особое внимание будет уделяться беспроводным локальным сетям, ОС Linux и системам передачи сообщений.
Бизнес, связанный с услугами выполнения ИТ-проектов, будет переживать период стагнации: компании сфокусируются на небольших краткосрочных проектах с быстрым сроком окупаемости.