Нынешнее состояние рынка информационной безопасности (ИБ) в Украине можно охарактеризовать как состояние качественного развития. На этой оценке сходятся как ведущие эксперты в области ИБ, так и большинство специалистов по информационным технологиям (ИТ). Если еще год назад информационная безопасность на украинских предприятиях ассоциировалась лишь с развертыванием антивирусных средств, то в настоящее время акценты постепенно стали смещаться в сторону комплексных проектов, учитывающих различные угрозы безопасности и решающих задачи защиты бизнеса в целом. Но все ли компании готовы к таким проектам на самом деле? И какие технологии безопасности они могут эффективно использовать уже сейчас? В данной статье мы попытаемся ответить на эти вопросы.
Изменения «co знаком качества»
Наиболее важной современной тенденцией является возникновение у заказчиков новых, более зрелых требований к продуктам и услугам в области информационной безопасности и защиты данных. Так, обеспечение ИБ в Украине стало переходить из требований чисто технических в ранг экономических, что естественным образом отразилось на цепочке принятия решений. Теперь заинтересованность в решении задач обеспечения безопасности все чаще стали проявлять бизнес-подразделения компаний, поскольку от их эффективного решения зависит надёжность корпоративных информационных систем, например, планирования ресурсов предприятия (ERP - Enterprise Resource Planning) или управления взаимоотношениями с клиентами (CRM - Customer Relationship Management), а также бесперебойность бизнес-процессов в целом. Более того, еще до запуска проектов по ИБ стали активно оцениваться экономические показатели такие, как совокупная стоимость владения (TCO - Total cost of ownership) и возврат на инвестиции (ROI - Return On Investment) в ИБ, без чего сегодня не обходится ни одна крупная компания.
Второй важной тенденцией рынка информационной безопасности в Украине стало то, что ИБ перестала быть некой экзотикой и прерогативой крупных ведомств и силовых структур, как это было всего несколько лет назад. Сегодня это осознанная необходимость, в том числе подкрепленная реальными экономическими расчетами. Благодаря этому на предприятиях стали увеличиваться бюджеты по внедрению высокотехнологичных продуктов и решений в области ИБ. Кроме этого сам рынок информационной безопасности становится более совершенным и развитым: совершенствуются цепочки поставок, автоматизируется система заказов, растет уровень бизнес-культуры, качественно меняется взаимодействие партнёров по ИБ.
Третья тенденция — повышение внимания к информационной безопасности на государственном уровне. Теперь ИБ рассматривается как основа экономической безопасности. Как известно, с этим связано законодательное регулирование вопросов ИБ, а именно: лицензирование деятельности, экспортно-импортные ограничения, обязательная сертификация продуктов и услуг. Опыт развития рынка ИБ в других странах Европы показывает, что внимание со стороны государства способствует формированию более чётких «правил игры», является показателем стабилизации отрасли и закреплением за ней своего места в системе экономики страны.
Появление на украинском рынке потребности в решениях и услугах ИБ, как со стороны коммерческих организаций, так и со стороны предприятий государственного сектора, является своеобразным «показателем зрелости» отрасли и всего рынка ИТ. Уже сейчас наиболее продвинутые корпоративные заказчики рассматривают проверенные временем и востребованные технологии информационной безопасности. Но какие решения и технологии ИБ им следует использовать прежде всего? Какую преследовать цель и на что обратить свое внимание?
Как оценить готовность к внедрению ИБ?
Выбор любых средств безопасности корпоративной инфраструктуры и информационных ресурсов по большому счёту зависит от двух факторов: зрелости рынка и зрелости конкретной компании, её способности к внедрению тех или иных систем ИБ. Рассмотрим наиболее популярные варианты оценивания готовности компаний к таким проектам, а руководство любой компании сможет самостоятельно и, самое главное, корректно отнести свой бизнес к той или иной категории.
Простейшей классификацией компаний является разделение на основе числа рабочих мест. Так, к рынку мелких компаний относятся организации, насчитывающие менее 100 рабочих мест (ПК - персональных компьютеров). Существует и более «низкая планка», но на наш взгляд, отсечение в 100 ПК — наиболее адекватный порог для внедрения систем информационной безопасности. К числу средних относятся компании до 500 рабочих мест, к крупным следует причислить организации, имеющие до 2 000 ПК, а к сверхкрупным — от 2 000 ПК и выше. Компаний из последней категории в Украине не много (около полутора десятков), но эти гиганты обладают наибольшим уровнем зрелости: имеют свои чётко выраженные стандарты и «правила игры» при работе с ними.
Дополнительной классификацией может служить доход компании в год, например: малый бизнес (до 5 млн. евро в год), средний бизнес (от 5 до 50 млн. евро в год), крупный бизнес (более 50 млн. евро в год).
Малое предприятие с относительно невысоким уровнем дохода в большей степени озабочено тем, чтобы удержаться на рынке (рынок мелких организаций обладает наибольшей подвижностью). Основной риск для такой компании – уход в конкурирующую фирму ведущих менеджеров по продажам, имеющих собственную базу лояльных клиентов. С полным правом это можно назвать утечкой, но вряд ли руководство компании превентивно примет какие-либо меры по её предотвращению.
С другой стороны, существуют компании, занимающиеся производством собственной продукции (работающие, допустим, на базе какого-либо НИИ) на экспорт. Такие организации обычно насчитывают не больше 20-40 человек, однако имеют развитую локальную сеть, многоуровневую систему защиты от внутренних злоупотреблений и внешних угроз. При этом доход компании вполне может выходить за пределы 5 млн. евро. Иными словами, в том, что касается информационной безопасности, общие критерии могут быть не столь полезны. Поскольку по численности компания может быть отнесена к крупной, а по зрелости ИТ-инфраструктуры – только к SMB. Таким образом, единственно верным решением для отнесения организации к тому или иному сектору рынка, является оценка развития ее корпоративной инфраструктуры и уровня информационной (а в ряде случаев – лишь компьютерной) безопасности.
Оценка уровня информационной инфраструктуры
Условно, уровни, по которым менеджер по ИТ и руководитель компании в целом смогут оценить степень развития корпоративной информационной инфраструктуры предприятия и готовность к внедрению систем ИБ, можно классифицировать следующим образом:
Первый уровень. Корпоративная информационная инфраструктура характеризуется «разбродом и шатаниями»: используются различные операционные системы (ОС), часто несовместимые между собой приложения, «самописный» софт. Корпоративная сеть не подразумевает механизмов единого централизованного управления и поддержки. Автоматизирована, как правило, лишь часть бизнес-процессов (например, бухгалтерия и складской учёт). Стандартов управления, внутренних документов по ИТ-безопасности, не говоря о политиках ИБ, нет. Соответственно все проблемы, связанные с сетевыми сбоями или остановкой работы отдельных приложений решаются по мере их поступления.
Аналогичная ситуация и с уязвимостями с точки зрения Интернет-угроз. Чаще всего в таких компаниях установлен антивирусный пакет (в основном, это «коробки», предлагаемые антивирусными вендорами для мелкого и среднего бизнеса), но требования производителя по обновлениям выполняются далеко не регулярно. Кроме того, «стандартный набор» не защищает от постоянно прогрессирующих угроз, таких как программы-шпионы, фишинг, спуфинг, фарминг и др.
Организации первого уровня довольно примитивно относятся к вопросу аутентификации пользователей, к управлению идентификационными данными и устройствами. В большинстве случаев речь можно вести лишь о парольных политиках доступа к сети и приложениям. Администратор обладает неограниченной властью над всеми информационными ресурсами и процессами такой компании. Понятно, что риски, связанные с превышением администраторских полномочий, а, следовательно, утечки конфиденциальных данных по этому каналу, очень высоки.
Второй уровень. Подход к организации системы ИБ на этом уровне качественно отличается от первого. К этой категории относятся компании уже находящиеся на некой фазе стабильности бизнеса, в определенной рыночной ячейке с цивилизованной конкуренцией. Именно такая в целом устойчивая ситуация позволяет обращать внимание не только на внешние, публичные преимущества, но и на внутреннюю организацию бизнес-процессов и способы их оптимизации.
В таких компаниях разработаны политики и стандарты, автоматизирована подавляющая часть процессов и операций. Более серьёзный подход наблюдается и с точки зрения антивирусной защиты. Как правило, внедрена эшелонированная (многоуровневая) антивирусная система, состоящая, как минимум, из основного межсетевого экрана, антивируса на стороне сервера и защиты, установленной на ПК пользователей. Однако фактически политика информационной безопасности этим и ограничивается. Она строится исходя из внешних угроз, а внутренним пока внимание не уделяется.
Управление информационными ресурсами и процессами на втором уровне - централизованное, из единой точки. Для управления идентификационными данными в качестве службы каталога используется Microsoft Active Directory.
С точки зрения кадров на поддержку внутренней ИТ-инфраструктуры, находящиеся на втором уровне предприятия выделяют отдельный ресурс, соответственно работа ИТ стабильна и, более того, на средства безопасности уже отводится минимальный бюджет, в какой-то мере (но чаще всего не полностью) удовлетворяющий нуждам компании в ИБ. Подход к решению проблем в области ИТ-безопасности в большинстве своём ещё реактивный – проблемы решаются по мере поступления.
Третий уровень. Компании этого уровня самые зрелые с точки зрения характеристик информационной инфраструктуры и места в ней ИБ. Они имеют разработанные и внедрённые стандарты и политики упреждающего реагирования. Сформирована единая и четкая ИТ-стратегия, а также регламенты в области ИТ и ИБ, созданные с учётом бизнес-интересов компании. Управление инфраструктурой централизованное, используется автоматическая система распределения ПО, установка новых программ и обновление существующих версий автоматизированы и централизованы. Активно применяется оптимизация совместимости используемых приложений. Управление идентификационными данными реализуется через Active Directory, но при этом могут использоваться дополнительные системы (в том числе, аппаратные) для усиления функций аутентификации и идентификации пользователей при доступе к сетевым ресурсам. На внешнем периметре применяется эшелонированная защита, предполагающая шлюзовые комплексные решения контентной фильтрации входящего и исходящего трафика, а также межсетевые экраны на серверах и рабочих станциях под управлением групповых политик и антивирусы на конечных устройствах – компьютерах пользователей.
В организациях третьего уровня широко распространен удаленный доступ к информационным ресурсам, при этом он защищен программно-аппаратными средствами (смарт-картами или токенами). Проактивная модель реагирования на ИТ-угрозы выстроена в соответствии с результатами аудита информационной безопасности. Бесперебойная работа ИТ и перманентное снижение рисков, благодаря профилактическим мерам, являются основными требованиями к сетевой инфраструктуре компаний третьего уровня. Соответственно применяются средства обеспечения отказоустойчивости, защита от вторжений, сбоев, аварий и т.п.
С кадровой точки зрения в компаниях выделен отдельные ресурс (отдел, направление), в сферу ответственности которого входит обеспечение информационной безопасности, а на неё, в свою очередь, выделяется отдельный бюджет.
ИБ на предприятии — от «охоты» до «индустриального производства»
Еще в 2004 году эксперты известной аналитической компании Gartner Group, анализируя опыт развития индустрии ИБ в ведущих европейских странах, сделали попытку формализовать степень развития бизнеса и готовность предприятий к проектам в области ИБ. По отношению руководства компаний к вопросам ИБ были выделены 4 фазы такой готовности, которые носят следующие условные наименования: «охота и собирательство», «феодальная», «возрождение» и «индустриальная».
Симптомы первой фазы - «охота и собирательство» - понятны: у руководства нет понимания важности проблем ИБ, соответственно, нет выделенного бюджета, а для защиты информации используются только встроенные в операционные системы и в приложения средства безопасности (парольная защита, список контроля доступа (ACL - Access Control List) на уровне ОС и СУБД). На данный момент, по нашим оценкам, которые в целом совпадают с данными аналитиков Gartner Group, на этом уровне находятся 30% организаций.
«Феодальная» фаза характеризуется тем, что ИБ рассматривается руководством как чисто техническая проблема. Целевого финансирования нет, но в рамках ИТ-бюджета присутствует статья расходов на информационную безопасность. В техническом плане применяются всё те же встроенные средства ОC, но уже добавлены антивирусные комплексы, межсетевые экраны, возможно, используются виртуальные частные сети (VPN - Virtual Private Network), криптографические протоколы безопасного соединения между клиентом и сервером (SSL — Secure Sockets Layer), средства резервного копирования и шифрования данных. Это довольно опасная стадия, так как организация системы ИБ здесь построена по «лоскутному» принципу. Отдельные сегменты сети защищены, но эти «островки» никак не связаны между собой. На этой фазе и пользователи, и руководители подразделений обнаруживают проблемы с безопасностью и пытаются их решать самостоятельно. На таком уровне находятся 55% организаций, информационную структуру которых в целом, строго говоря, нельзя считать защищенной.
Фаза «возрождения» характеризуется тем, что у руководства уже есть понимание важности обеспечения информационной безопасности для бизнеса организации, под систему ИБ выделяется отдельный бюджет, разрабатывается политика ИБ, регламенты и инструкции по работе с теми или иными ресурсами. Именно на этом этапе начинают активно использоваться технологии аутентификации с помощью открытых ключей (PKI - Public Key Infrastructure), смарт-карты и USB-ключи для двухфакторной аутентификации и хранения ключевой информации, а также системы обнаружения (IDS - Intrusion Detection System) и предотвращения вторжений (IPS – Intrusion Prevention System), технология единого входа (SSO - Single Sign-On). На фазе «возрождения» находится лишь 10% компаний, уже сместивших акцент на защиту с непосредственно платформы на транзакции. Управление безопасностью они реализуют превентивно, не дожидаясь инцидентов, а предупреждая их появление, что напрямую связано с управлением рисками. Более того, на данном этапе компании уже проводят как внешний, так и внутренний аудит информационной безопасности.
Самая развитая фаза — «индустриальная». Она предполагает трактовку безопасности как части корпоративной культуры, компании выделяют специальные подразделения, ответственные за информационную безопасность во главе с руководителем службы безопасности. На выделенный бюджет регулярно проводится анализ защищённости сети, введена строгая отчётность. Здесь улучшение системы информационной безопасности является частью бизнес-процесса компании, а мерой её эффективности является не только число предотвращённых инцидентов, но и продуктивность основных бизнес-приложений организации. На этой фазе находится 5% организаций, но именно это меньшинство уже может оценить ROI в ИБ.
Современный уровень развития ИБ в Украине характеризуется активным вхождением компаний, относящихся к малому бизнесу, в фазу «Феодальная», а более крупных компаний — в фазу «возрождения». Именно по этой причине сегмент решений для предоставления и контроля доступа к информационным ресурсам (AAA - Authentication, Authorization, Accounting) является самым быстрорастущим на сегодняшний день и составляет по данным IDC около 83%.
При всём богатстве выбора…
Итак, допустим, руководство ИТ-отдела или подразделения ИБ, а также руководство компании в целом определило, к какому типу относится предприятие. Это было сделано исходя из особенностей бизнеса и его потребностей с точки зрения защиты информационных ресурсов. Теперь задача состоит в том, чтобы понять, какой комплекс средств информационной безопасности необходим.
Критерием принятия решения в таком вопросе является не только и не столько технологическая сторона дела. Важнейшим условием выбора любой технологии является решение экономической задачи. И если продукт не оптимизирует бизнес-процессы, не повышает эффективности работы, а следовательно не увеличивает уровень продаж, то стоит задуматься о чём-то другом. Именно экономическую обоснованность необходимо принимать во внимание и донести до руководства компании. Только в этом случае можно рассчитывать на выделение отдельного бюджета под конкретный продукт, а в дальнейшем и под развитие технологий ИБ в компании.
Вторым фактором является учет перспективы развития компании, а, следовательно, масштабируемость решения и его способность гибко удовлетворять растущим нуждам компании в существующей структуре или при её реорганизации.
Допустим, если компания планирует выходить на региональные рынки или активно развивать филиальную сеть, необходимо, прежде всего, позаботится об обеспечении безопасного мобильного доступа к информационным ресурсам головного офиса и остальных структурных элементов. При современном уровне роста различных угроз безопасности полагаться на парольные политики, особенно в части удаленного доступа, достаточно рискованно. Именно поэтому, учитывая стратегические планы компании, оптимальным способом решения задачи управления доступом и аутентификацией пользователей является развертывание системы IAM (Identity and Access Management) на основе универсальных аппаратных платформ – токенов. Использование двухфакторной аутентификации на основе ОТР и цифровых сертификатов стандарта X.509 позволяет полностью отказаться от парольной аутентификации, что повышает уровень безопасности, в том числе и при использовании технологий VPN и протоколов SSL.
Помимо перечисленных факторов на принятие решения о выборе той или иной системы безопасности оказывают влияние сертификация решения, техническая поддержка, возможности по обучению работе с продуктом, и другие. ИТ-специалист всегда должен иметь ввиду возможность перехода на следующий уровень развития информационной инфраструктуры. Именно этой цели должны быть подчинены процессы по оценке, закупке и внедрению того или иного решения, обеспечивающего информационную безопасность. При этом, достижение нового уровня зрелости инфраструктуры ИБ в компании – это не результат, а перманентный процесс, темпы и эффективность которого напрямую зависят от корректного выбора продуктов, соответствующих бизнес-целям компании и упрощающих их достижение.
