USD 91.11 ЕВРО 100.5

Максим Степченков: «Курс на информационную безопасность!»

Мнения

Максим Степченков:

Информационной безопасности сегодня уделяется огромное внимание. Особенно — в свете грядущего закона 152-ФЗ. Об этом мы беседуем с Максимом Степченковым, начальником отдела информационной безопасности компании Oberon.

— Какое место в портфеле предложений вашей компании занимает направление по информационной безопасности?

— Структурно информационная безопасность является одним из четырех ключевых направлений деятельности компании Oberon. Появление ИБ-услуг в нашем портфеле напрямую связано с потребностями клиентов. Когда три года назад в ходе реализации проектов по другим направлениям выяснилось, что бизнес готов инвестировать деньги в обеспечение информационной безопасности, мы решили пойти по этому пути. Мы изначально шли к клиенту с нашим видением его проблем — не секрет, что информационная безопасность требует от интегратора более широкой экспертизы, чем, скажем, инфраструктурные проекты. Здесь у клиента нет четко выраженных предпочтений, зачастую нужно не просто понять проблему заказчика, предложить ему решение, но и убедить его в экономической эффективности проекта. В общем, волей неволей ИБ-интегратор выступает экспертом — анализирует имеющуюся систему заказчика, формирует предложения по ее улучшению и претворяет эти предложения в жизнь.

Честно говоря, на этапе создания направления было сложно предположить, что через пару лет услуги в области информационной безопасности окажутся настолько востребованными – все-таки тема персональных данных стала серьезным драйвером отрасли. Но, вне зависимости от конъюнктуры, мы выстраивали бизнес, опираясь на создание реальных преимуществ для клиентов.

— Какие проекты вам ближе – консалтинговые или внедренческие?

— Я эти понятия не разделяю. Как я уже сказал, есть консалтинговые услуги, когда мы, как эксперты в области ИБ, вырабатываем рекомендации для внесения изменений в систему. Но потом эти рекомендации необходимо реализовать. На практике это означает, что консалтинговые проекты перерастают во внедренческие. Заказчик не всегда готов взять на себя ответственность за выбор того или иного решения в силу элементарной неосведомленности – ну не может человек знать обо всем. Одних DLP-систем представлено в России около десятка. При этом уже на этапе анализа текущего уровня защищенности информации в компании важно понять, каким будет итоговое решение.

Вы проповедуете подход к решению задач в области защиты информации от потребности клиента, без привязки к конкретным производителям. Значит ли это, что для Вас все продукты одинаково просто изучить и установить у клиента?

Системный интегратор должен обладать определенной степенью независимости от вендоров. В противном случае говорить о консалтинге «в пользу клиента», когда во главу угла ставятся его интересы, просто не приходится. Но на практическом уровне список альтернатив сводится к трем-четырем предложениям по различным ИБ-направлениям. Естественно, в ходе проектов интегратор наращивает компетенцию в тесном взаимодействии с вендором, создавая на основе типовых продуктов решения под конкретные задачи заказчика.

— Насколько велик объем доработок «под заказчика»?

— По большому счету, каждый проект индивидуален, заказчики, как правило, нуждаются не в типовых решениях, а в «закрытии» конкретных потребностей. Дополнительная разработка и «доведение» продукта требуются примерно в 20% случаев. Это особенно заметно на примере отечественных решений. Так, многие российские банки до недавнего времени использовали системы, никак не учитывающие требования законодательства о персданных. Поэтому сейчас, при приведении ИСПДн банков в соответствие требованиям законодательства, приходится дорабатывать внедряемые ИБ-системы, обеспечивать их совместимость с АБС финансовых учреждений.

— Максим, мы снова пришли к теме 152-ФЗ. С Вашей точки зрения, насколько полезен этот закон и тема защиты персданных? Способствуют ли регулирующие органы улучшению качества защиты информации в нашей стране?

Тема персональных данных де-факто является драйвером для развития всего ИБ-рынка – это реальность. При том, что сам закон далек от совершенства– требования законодателя иногда очень далеки от реалий бизнеса — интерес к проблеме рождает ряд положительных моментов. Компании начали всерьез интересоваться реальной информационной безопасностью, поняли, насколько далеки их системы от идеала. Правда, нужно четко понимать, где заканчиваются интересы субъектов персданных и начинаются интересы госрегуляторов. Не секрет, что даже выполнение всех требований закона не сильно способствует снижению уровня риска утечки конфиденциальной информации. Возникает интересная ситуация, когда бизнес более заинтересован в защите от регуляторов, и менее в обеспечении безопасности информации.

Используя эту ситуацию, многие компании пытаются строить бизнес на удовлетворении ФСТЭК, ФСБ, Роскомнадзора, выступая своеобразным посредником между госрегулятором и оператором или целой отраслью, но это тупиковый путь. Даже в кратковременной перспективе обеспечения «защиты от регуляторов» методом приведения ИСПДн в соответствие лишь на бумаге недостаточно. Субъекты персональных данных, то есть мы с вами, уже готовы бороться за свои права. Если я узнаю, что базы моего сотового оператора можно купить на рынке, я с большой вероятностью откажусь от его услуг. Скорее всего, клиенты банков также не готовы к появлению своих данных в открытом доступе, и, случись такое, переведут свои вклады в другой банк. Получается, что репутационные риски становятся реальностью, и бизнес это понимает. Потому при выполнении проектов мы стремимся не просто выполнить требования законодателя, но проводим работу, направленную на повышение эффективности мер по обеспечению информационной безопасности у заказчика.

— Какие тенденции вы можете выделить на современном российском ИБ-рынке?

Самый главный вопрос следующего года – как будет работать правоприменительная практика относительно 152-ФЗ. Если по итогам проверок нас ожидают серьезные санкции, вплоть до отзыва лицензии, рынок начнет расти лавиноообразно, те 90-95% операторов ПДн, которые еще ничего не сделали для приведения в соответствие своих систем, встанут в очередь к интеграторам, и последние года на два забудут, что такое отпуск.

— А если «посадки» не начнутся?

— В нашей компании ИБ в любом случае выживет, даже сейчас объем проектов Oberon’a, связанных с персданными, составляет менее 50%. Рынок стремится к построению реальной информационной безопасности, помимо выполнения требований законодательства. Образно говоря, персданные – лишь первый шаг, приглашение к разговору. Бизнес понимает, что ИБ – это необходимость, а не «черная дыра» без всякой отдачи. Достаточно задать два вопроса руководителю компании – что будет, если критически важная информация уйдет за пределы организации, или если идентичная информация конкурента попадет к вам, – и бизнес тут же понимает, с рисками какого уровня компания ежедневно имеет дело. Еще проще рассчитываются риски, связанные с утечкой ноу-хау – это конкретные цифры недополученной прибыли. Инвестируя в информационную безопасность, компания может использовать созданную систему как одно из конкурентных преимуществ.

В общем, при ближайшем рассмотрении оказывается, что ИБ – штука не столько затратная, сколько необходимая. Вопрос только в том, смогут ли провайдеры ИБ-услуг вовремя переориентироваться, уйти от «бумажного» соответствия и сосредоточиться на реальной защите информации. Не исключено, что и законодатель в ответ на развитие отрасли, скорректирует вектор регулирования сферы в сторону более реальных требований, не ограничивающих бизнес, а способствующих его безопасности.