«Затраты на информационную безопасность растут из года в год, но вряд ли какая-либо организация чувствует себя в большей безопасности, чем, например, пять лет назад», — такими словами Артур Ковьелло, вице-президент компании EMC и президент подразделения RSA Security Division, открыл конференцию RSA Conference Europe 2008 в Лондоне. Появление Web 2.0 привело к пересмотру моделей ведения бизнеса, который немыслим теперь без глобальных коммуникаций. Однако, все чаще виртуальные коммуникации оборачиваются реальными потерями. Средства защиты, имеющиеся в изобилии, помогают слабо — у 98% западных компаний имеются межсетевые экраны, а 97% используют антивирусные средства, но тем не менее потери от вредоносных программ в 2007 году составили 13 млрд долл.
Конференции RSA, проходящие трижды в год (в Европе, США и Японии), стали ведущей площадкой для обсуждения различных вопросов информационной безопасности. Начав в 1991 году с мероприятия для криптографов, RSA существенно расширила круг участников и собирает сейчас не только технических специалистов, но и бизнесменов, руководителей компаний, менеджеров проектов, ИТ-директоров и представителей органов государственной власти. На нынешней конференции было 1,5 тыс. участников из 50 стран, а программа включала 100 тематических сессий и выставку, где свои решения представляли 50 экспонентов.
Были там представлены, среди прочего, и всевозможные шифровальные устройства разных лет — от немецкой «Энигмы» до отечественной «Фиалки».
На сегодняшний день задача специалиста по информационной безопасности, по словам Ковьелло, — создание комплексной системы защиты всего бизнеса от самых разнообразных атак. При этом в 2010 году данных в Сети будет на порядок больше, чем в 2006-м, а к 2011-му трафик между машинами превысит трафик между людьми. В этих условиях проблема защиты личных данных становится весьма острой, а сама отрасль, по мнению Ковьелло, должна стать инновационной, особенно при адаптации средств обеспечения информационной безопасности к специфике конкретного предприятия. Для создания эффективных средств противодействия сегодня нужны усилия специалистов из разных областей, а не только системных программистов.
По традиции в работе конференции RSA принял Брюс Шнайер (сегодня он является директором BT Counterpane), обративший внимание на уникальность нынешнего периода развития высоких технологий: «Камеры слежения повсюду, но они не помогают предотвратить преступления, средства идентификации везде, но злоумышленников они не останавливают».
Непригодность традиционных средств безопасности — одна из реалий сегодняшнего дня, считает Шнайер: «Вокруг плещется океан сырых данных, при этом мы пока не умеем оперативно ‘выловить’ из них нужную информацию. Однако при этом данные о частной жизни граждан доступны чуть ли не каждому». Данную ситуацию он охарактеризовал формулой Security vs. Privacy.
Шнайер и ряд других докладчиков призвали слушателей задуматься о своей роли в так называемой «хакерэкономике», учитывая, что злоумышленники стали организованными и нацеленными на получение прибыли, а саму эту теневую экономику можно, в частности, характеризовать следующими свойствами: атаки не случайны, а хорошо спланированы и преследуют конкретные цели; типы данных, которые интересны хакерам, постоянно изменяются.
Директор по технологиям компании VeriSign Кен Сильва отметил, что сегодня, когда через Internet ежедневно осуществляются миллиарды деловых транзакций, впору говорить о необходимости средств идентификации нового поколения — Identity 2.0. VeriSign занимается, в частности, цифровой сертификацией сайтов в зоне .com и .net, ежедневно обрабатывая около 30 млрд DNS-запросов. Компания курирует сертификацию около 750 тыс. Web-серверов, 93% сайтов компаний из Fortune 500.
Почти весь бизнес сегодня идет в режиме онлайн (сегодня имеется примерно 1,5 млрд пользователей Internet, а к 2011 году их будет уже 2 млрд), что резко увеличивает требования к обеспечению информационной безопасности и особенно к идентификации. С вопроса «кто ты» начинается любая бизнес-операция, а аутентификация, по-существу, определяет конкретный уровень доверия партнеров.
Роджер Халбхир, главный советник по безопасности Microsoft EMEA, обратил внимание на то, что сегодня цель атак злоумышленников — не столько операционная система, сколько информация и Web-приложения. Задача хакеров состоит уже не в нарушении работоспособности системы, а в том, чтобы проникнув в нее, затаиться и, ничем не проявляя себя, считывать конфиденциальную информацию. Факт такого проникновения пользователь может обнаружить не сразу, поэтому для защиты ИТ-инфраструктуры нужны инфраструктурные решения. Для устранения всех дыр в безопасности, кроме регулярной загрузки обновлений операционных систем и приложений, требуется целенаправленно заниматься ее управлением.
Тема программного обеспечения, несущего с собой опасность, широко обсуждалась на конференции. В частности, Сильва обратил внимание на то, что сегодня около 300 млн устройств выхода в Сеть заражены вредоносными программами, каждые 4 секунды осуществляется попытка атаки, а 150 млн компьютеров вовлечены в паразитные сети, используемые обычно в противозаконных целях, например, для организации атак на сайты конкурентов.
Спам, вирусы и разного рода черви перестали быть развлечением системных администраторов и студентов, а превратились в инструменты конкурентной борьбы (появился даже термин Crimeware-as-a-Service), используемые хорошо организованными криминальными группами или командами, которых поддерживают национальные секретные службы с целью решения политических задач.
В этом контексте на конференции не раз приводились примеры компьютерных атак на сайты Эстонии и Грузии, а также в качестве иллюстрации действий мошенников приводились прайс-листы на русском языке, содержащие предложения покупки номеров похищенных кредитных карт. В этом отношении конференция выглядела весьма политизированной.
Ричард Томас, глава Комиссии по защите личной информации (Information Commissioners Office, ICO), занимающейся защитой частных данных граждан Великобритании, завершая конференцию, отметил, что обеспечение безопасности частной жизни граждан настоятельно требует сегодня принятия более совершенных законов, позволяющих предостеречь злоумышленников от совершения правонарушения и поставить заслон злоупотреблениям сотрудников министерств внутренних дел и чиновников.
К апрелю 2009 года ICO планирует предложить Евросоюзу новую версию закона о защите информации.