USD 65.59 ЕВРО 75.18

Алексей Баранов: «Острота проблемы НСД закономерна»

Мнения

Алексей Баранов: «Острота проблемы НСД закономерна»

О проблеме несанкционированного доступа и вариантах ее решения мы беседуем с директором компании «Индид» Алексеем Барановым.

— Насколько остро стоит проблема с проблемой
несанкционированного доступа в России?

— К сожалению, давать какую–либо оценку сейчас сложно, поскольку в России не
существует статистики инцидентов с реализовавшимися рисками
несанкционированного доступа. То, что попадает в СМИ – это вершина айсберга,
которая не дает представление о размере самого айсберга. Компаниям невыгодно
разглашать эту информацию, иначе они потеряют имидж.

Все, что можно делать, это посмотреть статистику западных компаний и
попробовать ее спроецировать на нашу страну, поскольку мы понимаем разницу в
размере рынков и компаний там и здесь. Кроме того, наши специалисты ходят по
офисам заказчиков и имеют некоторое представление, ведь мы работаем с крупными
компаниями. Мы видим то количество паролей, которое записано на бумажках и
подклеено на монитор. Это не статистика и не аналитика, но экспертная оценка
или мнение.

Есть аналитика компании Verizone, которая регулярно делает обзор рисков ИБ,
печатает развернутые публикации. В ее отчетах за 2010 год в проблемах с
утечками данных в 40% случаях участвует инсайдер – сотрудник организации. Наш
опыт этот подтверждает – даже сдвигает показатель в худшую сторону. Мы видим,
что больше половины людей в компании записывают свои пароли и хранят их
абсолютно в неподходящих местах: в столах, под клавиатурой, записывают в
блокнот в текстовый файл, который лежит на рабочем столе.

Но мы также понимаем, что это естественный ход событий, острота проблемы
здесь закономерна.  Это естественная ситуация: бизнес внедряет все больше
и больше информационных систем, а человек не способен запомнить много паролей.
Чем больше систем и пользователей, тем больше логинов и паролей. В среднем в
большой компании используются 15-20 информационных систем. На долю одного
сотрудника выпадает в среднем 5 систем, и тенденция тут однозначно к росту. Как
правило, те пароли, что выписываются администраторами этих систем, физически
запомнить невозможно, поскольку по требованиям безопасности нужен такой пароль,
который невозможно подобрать – обычно это какой-то набор нечитаемых символов.
Человек даже один такой пароль запомнить не в силах, а уж пять – тем более.

— Какие
меры предпринимает государство для стимулирования компаний на устранение рисков
НСД и чем Россия отличается от западных стран в этом вопросе?

— Самая адекватная мера регулирования на наш взгляд касается раскрытия
компаниями информации о произошедших инцидентах. Не стоит регулировать именно
хранение информации или организации доступа к ней, предприятие, как
экономический агент, должно это решать самостоятельно. Компания должна оценить
риски, которые у нее существуют, и принять адекватные рискам меры. Но это мера
стимулирования процесса.

Когда тебя из-под палки заставляют делать определенные вещи, это снижает
желание компаний делать это правильно и качественно. В основном меры
принимаются «для галочки». А для настоящего эффективного решения проблемы,
важно понимать ее наличие и решать ее.

Самая адекватная мера – раскрывать информацию по произошедшим инцидентам.
 Такой закон существует в некоторых странах. Там компании, которые
проходят ежегодные аудиты или находятся в листингах на бирже, обязаны
раскрывать инциденты в сфере информационной безопасности, которые у них
происходят. Это стимулирует предпринимать меры против таких инцидентов, а
случившееся – анализировать и искать решения.

— Слышала такое мнение в кулуарах, что наше государство слишком
сильно лезет не в свое дело с точки зрения защиты персональных данных. В том
смысле, что дело банка – защитить данные о клиентах, на западе, если происходит
утечка, это выливается им дороже, чем предпринять меры по защите изначально.
Здесь регулирование чисто экономическое, а у нас пытаются под одну гребенку
всех построить, заставляя предпринимать какие-то чрезмерные меры даже там, где
реально это не требуется.

— Согласен с вами, регулятор должен не говорить, как делать, потому что
нельзя рассказать все детально. Лучше устанавливать правила игры. Нам инспектор
дорожного движения не рассказывает, как баранку крутить – есть правила
дорожного движения, а как мы их выполняем, дело наше – мы одной рукой можем
машину вести – никого это не касается. Надо организовать открытость  и
прозрачность доступа экспертов к этой информации. По аналогии с западным опытом
– заставлять компании раскрывать инциденты, которые с ними случились. И тогда
это повлияет на конкурентоспособность компаний. Они будут стремиться эффективно
решить эти проблемы. Если к концу года я вынужден сказать, что у меня было пять
проблем, а  у моего конкурента в соседнем банке – три, то я буду вынужден
это сказать, иначе буду наказан. Но я потеряю репутацию. Нужно стимулировать
правильное поведение, не надо говорить банку, какие средства защиты применять,
в каком объеме и когда, все это банк решит сам, достаточно его заставить
раскрывать информацию. От них зависит экономическое состояние страны, их
стабильность важна и для всей системы. И нужно его заставить сказать, что у
него происходило. И тогда эксперты проанализируют, поймут, предложат решение,
тогда появится статистика, мы будем жить в гораздо более предсказуемом и
безопасном информационном мире.

— Расскажите о приоритетных способах решения проблемы
несанкционированного доступа в организациях.

— Главное – уход аутентификации пользователя по паролю для каждого
пользователя и для каждой системы. Это основное направление. Необходимо
заменить ее на аутентификацию по токену или карте. Варианты нужно подбирать на
основе практики и согласно бизнес требованиям. Например, если пользователь
ездит в командировку, то можно использовать одноразовые пароли, переданные по
SMS.

Для начала нужно провести аудит учета пользователей, сколько пользователей,
когда они последний раз логинились, какова их активность и проанализировать всю
эту информацию.

Второй этап — сокращение источников учетных записей. Нужен единый строгий
перечень источников учетных записей для информационных систем. Например, если
пришли студенты-практиканты, им сделали записи, которые остались после их
ухода, нужно это взять на контроль.

Третий шаг – уход от аутентификации пользователя по паролю.

Если у компании есть региональная сеть, то нужно действовать централизовано,
использовать  сторгую аутентификацию, потому что иначе контролировать из
центра это невозможно. Например, если у какого-то банка есть разветвленная сеть
в регионах. Какие бы мы не выпускали приказы, люди все равно будут записывать
свои пароли на бумажке и хранить у монитора. А вот управлять доступом
пользователей к информационным системам из одного места можно. Кроме того, если
система не объединена, информацию об инцидентах трудно собрать. Единая система
это позволяет – она хранит все логи: кто, когда, куда зашел, и что там
сделал.

— Расскажите пожалуйста о рынке IAM в России и почему Вы выбрали
его в качестве приоритетного направления своего бизнеса? Какие перспективы есть
у рынка в России?

— Это естественный выбор направления работы нашей команды, согласно
накопленной к этому моменту компетенции. Плюс, конечно же, мы видели масштабы
использования информационных систем бизнесом и перспективы этого использования.
Мы видели динамику развития, и знаем, что автоматизация бизнес-процессов будет
происходить дальше, и ее объемы использования будут только увеличиваться.
Множество систем автоматизации бизнеса несет в себе издержки в части
безопасности. Мы решили воплотить нашу компетенцию в систему централизованного
управления доступом. Наша система будет востребована компаниями – она уже
сейчас востребована — она снижает риск несанкционированного доступа. Кроме
того, мы не только повышаем степень защиты, но и снижаем издержки, примерно от
2 до 9 тысяч рублей в год на сотрудника в зависимости от сценариев
использования. При использовании системы человек не вводит пароли, они вводятся
автоматически, поэтому он не знает своих паролей, поэтому не может их забыть
или передать другому лицу. Он только прикладывает идентификационную карточку
или палец, а все остальное делается автоматически.

Востребованность таких решений будет только расти. Несмотря на то, что такие
решения не являются системами первой необходимости. До некоторого уровня
автоматизации в них компании не заинтересованы. Такие системы полезны для
компаний с сильно развитыми  информационными технологиями и активным их
использованием. Среди таких компаний выделяются предприятия финансовой сферы,
банковской отрасли, лизинговые и кредитные компании. У них практически каждый
бизнес-процесс автоматизирован. Также эта система используется в
государственных органах и телекоммуникационной сфере. Автоматизация бизнеса
будет расти и, соответственно, будет расти заинтересованность в подобных
решениях проекте.

— Расскажите о своем проекте подробнее?

— Мы – обычный программный вендор. Наша специфика заключается в том, что мы
разрабатываем ПО, от которого зависит функционирование компании. К такому ПО
предъявляются особые требования в плане надежности и отказоустойчивости. Мы
тратим много ресурсов для того, чтобы протестировать наше ПО на
 безотказность. У нас есть документация по инцидентам. Мы также и
оказываем  круглосуточную поддержку клиентам. Отказоустойчивость –здесь
важная  составляющая.  Наша система – не отдельный модуль, мы делаем
единое решение.