Загогулина на рынке информационной безопасности: ускользание очевидного

Было время, причем совсем недавно, когда информационной безопасностью (ИБ) занимался только узкий круг специалистов, настоящая каста. Теперь всё это в прошлом. Две силы «взломали» эту ситуацию, казавшуюся совершенно незыблемой. Это госрегулирование российского рынка ИБ и киберпреступность, переключившаяся на российские компании. И вдруг оказалось, что качественная защита информации – не опция, а обязанность, причем уже не офицера безопасности, а руководителя предприятия. Выяснилось, что её невыполнение в любой момент может создать очень серьезные проблемы – вплоть до потери VIP-клиентов, остановки бизнеса и даже уголовной ответственности главы организации.

Естественно, многие продолжают надеяться «на авось», ведь живем-то мы в России, где в плоть и кровь людей впиталось правило: строгость законов уравновешивается необязательностью их исполнения. Но правда и то, что все больше руководителей думает иначе. Они понимают, что процессы над киберпреступниками – это даже не верхушка айсберга, а отдельные кристаллики, сверкнувшие на солнце. А гигантская масса преступлений ненаказуема и даже невидима. Шансы пострадать быстро возрастают, ущерб становится все масштабнее, а переложить ответственность на клиента становится все труднее. Риски растут - значит, пора браться за дело. Но с чего начать? За какое звено ухватиться, чтобы «вытянуть всю цепь»?

Разумеется, руководитель сам этого не знает. И он задает вопрос своим доверенным лицам: CIO и директору по безопасности. Что же они отвечают ему?

Пару недель назад мне довелось побывать на одном специализированном мероприятии, где собрались руководители служб ИБ целого ряда компаний – от очень крупных до небольших. И одной из главных тем был как раз обмен мнениями о том, какие же проблемы ИБ сегодня надо считать главными для организации. Первый результат этого обсуждения оказался предсказуем, гуру российского ИБ решили, что главная проблема - это соответствие законодательству (защита персональных данных, Стандарт Банка России и др.). Меня это немного удивило. Слов нет, эта тема важна, но на что сегодня уходит от 50 до 70% времени у отдела ИБ практически в любой организации? На настройку правил доступа к информации!

Появился новый сотрудник – ему надо открыть доступ к нужным информационным ресурсам и ПО. Уволился – доступ надо немедленно заблокировать. Ушел в отпуск – приостановить, вернулся – восстановить, перешел на другую позицию – все надо перенастроить... Задумаемся, сколько таких событий ежедневно происходит в сколько-нибудь крупной организации! А ведь сегодня каждый человек работает с десятками программ и баз данных, и все их надо настроить. И есть ведь еще задачи, связанные с управлением паролями, электронными подписями, использованием аппаратных ключей (токенов и смарт-карт) и т.д.

Можно ли решить эти задачи вручную? Да, в абсолютном большинстве организаций дела обстоят именно так. Но тогда надо смириться с огромными потерями времени, с задержками и ошибками.

А каждая такая задержка и ошибка – это лазейка для злоумышленника и риск для организации. Существует ли иное решение этой проблемы, свободное от указанных недостатков? Да, это специализированные решения для идентификации и аутентификации пользователей, управления доступом, ключами (PKI), журналирования действий пользователей. Но центральное место занимают именно функции IDM (Identity Management).

Разумеется, собравшиеся на мероприятии это прекрасно знали, ведь в большинстве своем это очень добросовестные люди и настоящие мастера своего дела. И именно их сотрудники с головой погрязли в рутине настройки и перенастройки систем. Это тот случай, когда проблема так очевидна, что о ней просто... забыли. Но стоило мне упомянуть об IDM, как выяснилось, что практически все собравшиеся считают внедрение такой системы одной из самых насущных необходимостей для любой организации. Словом, список первоочередных приоритетов был переписан и в нем появился новый лидер.

Более того, выяснилось, что многие не просто знают о системах IDM, но и пытались «примерить» эту технологию к набирающей популярность сервисно-ориентированной и «облачной» моделям построения информационных систем. При этом большинство экспертов сошлись во мнении, что в «облаках» есть множество непроработанных, с точки зрения информационной безопасности, вопросов, и один из главных – именно управление доступом.

Что из всего этого следует? На мой взгляд, в этом эпизоде ясно проявились три момента. С одной стороны, специалисты прекрасно понимают масштабы позитивного влияния системы IDM на общий уровень защищенности организации. В то же время, эти представления не ассоциируются с необходимостью срочных действий. А значит, и руководитель предприятия ничего не услышит от своего советника!

В то же время, это достаточно благоприятная ситуация для поставщика решений IDM. Ясно, что на такие решения уже существует значительный латентный спрос, причем потенциальными проводниками идеи внедрения IDM являются влиятельные должностные лица, к которым все более прислушиваются бизнес-подразделения. Однако, для перехода скрытого спроса в реальный требуется активизация вендоров.

Время покажет, смогут ли они воспользоваться этой благоприятной ситуацией, склонятся ли к кооперации или будут непримиримо конкурировать. Но это, как говорится - совсем другая история. Главное же - несомненно: IDM-у на российском рынке быть!

Александр Санин, коммерческий директор компании Avanpost

i-businnes