Компания Aladdin провела конференцию, посвященную защите информационных ресурсов организаций
В последние два года на российском корпоративном рынке началось массовое внедрение PKI-решений и смарт-карт, что сделало актуальным проведение в Санкт-Петербурге конференции «Обеспечение безопасного доступа к информационным ресурсам организаций».
Конференция получила поддержку со стороны петербургского правительства, министерств и ведомств, промышленных предприятий, коммерческих компаний, банков и удостоверяющих центров. Около 30% участников конференции являются заказчиками, а остальные — партнерами Aladdin.
Сергей Груздев, генеральный директор Aladdin Security Solutions, сосредоточился на основных тенденциях соответствующего сегмента отечественного рынка. Наряду с массовым внедрением PKI-решений (в результате развития в России инфраструктуры открытых ключей) и смарт-карт, он отметил популярность использования подобных технологий в качестве единого средства аутентификации и идентификации. USB-ключи или смарт-карты применяются как для безопасного доступа в сеть, так и для разграничения доступа в помещения и интеграции с системой управления и контроля физического доступа. Также он акцентировал внимание на том, что растет спрос на электронные ключи, сертифицированные в соответствии с российским законодательством.
Ситуация в сфере обеспечения информационной безопасности в России развивается примерно так же, как в экономически развитых странах, но с некоторым запозданием. Поэтому представляют интерес тенденции, проявившиеся в последнее время за рубежом. Шимон Групер, вице-президент по технологиям eSafe израильской компании Aladdin Knowledge Systems, проанализировал основные причины возникновения проблем в области информационной безопасности в США. В прошлом году на первом месте для американских предприятий и организаций была угроза со стороны программ-шпионов (ее назвали 65% всех опрошенных), на втором — использование программ, снижающих полосу пропускания (42%). Использование нелицензионных или несанкционированных программ признало угрозой 39% респондентов, а фишинг-атаки — 32%. При этом прирост распространенности программ-шпионов оценен Aladdin в 213%, «троянцев» — в 142%, вирусов — в 56%.
Информацию Групера о ситуации в Америке дополнил Сергей Белов, руководитель стратегических проектов российской компании. По его словам, три четверти потерь информации в США происходит по вине пользователей, из которых чуть более половины являются вполне лояльными по отношению к своей компании. Кроме того, он представил рейтинг российских ИТ-угроз, который был составлен на основе данных исследования InfoWatch и CNews Analytics.
Решения, представленные на конференции, теоретически позволяют предотвращать все эти угрозы, но на практике не всегда это получается. Так, по словам Андрея Грициенко, начальника службы информационной безопасности банка «Возрождение», при внедрении трех систем защиты появляется необходимость в четвертой: «После открытия USB-порта для использования ключей операционистки начали приносить на работу флэшки с музыкой, и это стало дополнительной угрозой для информационной безопасности нашего банка. Столкнулись также с тем, что сотрудники бухгалтерии идут обедать и все ключи оставляют на своем рабочем столе».
Последняя упомянутая представителем банка проблема оказалась, судя по отзывам участников конференции, достаточно распространенной. В некоторых компаниях ее решили за счет установки дополнительных электронных замков, и забывчивые сотрудники просто не смогут выйти из помещения без своего ключа.
Могут быть приняты и другие меры, помогающие укрепить память работников. Скажем, наказания за нарушения прописанных правил обеспечения защиты информации. Грициенко считает, что информационная безопасность обеспечивается на 60% организационными мероприятиями и только на 40% — техническими средствами. Любое существенное отклонение от этой пропорции, по его мнению, чревато негативными последствиями.
В то же время он полагает, что помощь со стороны пока оказывается не на том уровне, какой требуется финансово-кредитным учреждениям, и его банку еще не попадался системный интегратор, который владел бы банковской терминологией и предложил соответствующее комплексное решение.
Часто руководители компаний недооценивают существующие угрозы, а обеспечение информационной безопасности является для них лишь раздражающей статьей расходов. Они просто не хотят слышать о том, что может произойти что-то страшное. «Поэтому, — полагает генеральный директор компании 4A International Стив Хант, — внимание таких руководителей желательно акцентировать не на катастрофических последствиях, а на выгодах, которые их компании могут получить. Например, некоторые способы обеспечения защиты информации позволяют вводить новые услуги».
Судя по растущему спросу на решения, обеспечивающие безопасный доступ к информационным ресурсам организаций, руководителей, недооценивающих существующие угрозы, становится с каждым годом меньше.
Чего бояться
Наиболее серьезные ИТ-угрозы для отечественных предприятий и организаций в 2004-2005 годах (допускалось более одного ответа), %
Источник: исследование InfoWatch и CNews Analytics, 2005