Информационная безопасность - тема, сегодня актуальная, как никогда. О ней мы решили поговорить с Александром Суязовым, консультантом по информационной безопасности компании Symantec.
- На Ваш взгляд, оправдана ли нагнетаемая в последнее время вендорами паника по поводу утечек данных? Реально ли они так сильно вредят, как об этом говорят?
- Она может быть оправдана в определенных случаях. Стоимость утечек может оценить только сама компания, так же, как стоят ли потенциальные утечки столько, сколько стоит защита. Есть компании, для которых утечка равносильна уходу с рынка и прекращению бизнеса. Это может касаться, например, фармацевтических компаний, имеющих свои разработки и ноу-хау. Для них утечка - это потеря всего бизнеса. В общем, как и для любой высокотехнологичной компании, имеющей уникальные разработки, которые напрямую касаются бизнеса. В том числе и ИТ-компании, например, разрабатывающие ПО. Малый бизнес, разумеется, значительно более чувствителен к утечкам, так как зачастую ресурсы небольших компаний ограничены, а направлений деятельности мало или оно вообще одно.
- А с чем чаще сталкиваются компании - с утечками из-за каких-то действий сотрудников, или с тем, что данные крадет, например, какой-то троян?
- Для малого бизнеса, разумеется, это действия сотрудников. Маловероятно, что кто-то будет заниматься целенаправленной атакой через трояны, хотя это и возможно. Часто крупные утечки происходят из-за банальностей: потеряли съемный носитель с конфиденциальными данными, распечатали документ и не уничтожили, бывает, даже выбросили старый компьютер, забыв почистить диски. Как ни странно, но сам с таким сталкивался. Если же говорить о людях - многие сотрудники, увольняясь, пытаются прихватить с собой данные, которые, в том числе, помогут им устроиться на новой работе. Про крупный бизнес сказать что-то сложнее. Там, в любом случае, принимаются комплексные меры. Вопрос только в стоимости добываемой информации.
- Достаточно ли сегодня приобрести специальное ПО, чтобы защититься от подобных угроз, или нужны какие-то более глубокие и вдумчивые меры?
- Тут опять стоит отталкиваться от стоимости ваших данных. Если цена стремится к нулю, то достаточно купить антивирус, чтобы обеспечить необходимый уровень безопасности и непрерывность бизнеса. Если вам есть, что терять - необходимы значительно более комплексные меры, и одного ПО будет мало. Вам необходимы люди, понимающие, как его настраивать, понимающие, как интерпретировать события, которые это ПО создает. Вам нужны организационные меры, направленные на повышение защищенности компании, начиная с базового обучения сотрудников (например, не отключать антивирус, смотреть на адрес сайта, куда они зашли, и многое другое).
- ПО для защиты от утечек обычно достаточно дорого стоит. Означает ли это, что оно адресовано лишь крупному бизнесу, а сектору SMB оно и не должно быть интересно?
- Дорого - понятие относительное. Если цена утечки - ваш бизнес, то стоимость покажется не очень высокой. Если говорить о DLP системах - они модульные, и даже SMB может выбрать себе модули, которые обеспечат значительное снижение рисков утечек, при этом, не потратив значительную сумму. У меня были проекты по DLP-решениям даже для компаний в 10 пользователей.
- Скажите, а есть ли какие-то региональные особенности защиты? В частности, для белорусских компаний?
- Наверное, могут быть определенные тонкости, связанные с законодательством конкретных стран, но в целом защита от угроз во всем мире примерно одинакова.
- А количество утечек тоже примерно одинаково? Просто, к примеру, об утечках в США сообщают регулярно, а о России и всем постсоветском пространстве новостей на эту тему заметно меньше.
- Дело в законодательстве. В США компании обязаны уведомлять о произошедших утечках лиц, которых эта утечка могла затронуть. К сожалению, у нас такого закона нет.
- А почему "к сожалению"?
- Если компания знает, что каждая утечка обойдется ей в значительную сумму, она старается более правильно строить системы защиты. И мне, как обычному человеку, будет житься спокойнее, если я буду знать, что моя личная информация, например, медицинского характера, будет под надежной защитой.
- Можете рассказать, что такое контроль уязвимостей?
- Уязвимость - это слабость целевых систем, которая приводят к тому, что с ними можно выполнить определенные действия. Уязвимости могут быть в ПО изначально или потому, что ПО было неправильно настроено. Есть специальные системы, выявляющие уязвимости (сканеры уязвимостей, vulnerability scanner), которые позволяют выявлять подобные уязвимости. Далее осуществляется процесс управления обнаруженными уязвимостями. Это больше организационный момент, когда компания принимает решение, какие уязвимости могут повлиять на ее бизнес и какие надо закрыть, а какими уязвимостями можно пренебречь. Ну, и сам процесс закрытия уязвимостей патчами, сторонним ПО или другими способами.
- Но ведь всё равно остаются какие-то уязвимости, для которых еще нет патчей?
- И для таких случаев есть специально ПО, которое не позволяет эту самую уязвимость использовать. Но, разумеется, тут много тонкостей, и каждый случай надо рассматривать отдельно. Довольно неплохой вариант - уходить с определенными сервисами в облака. Компании, для которых это прямой бизнес, уделяют очень много внимания защите своих облачных услуг. И далеко не каждая компания может позволить себе такие траты на безопасность.
- Ведь облачные услуги и задумывались как средство экономии на ИТ?
- Так оно и есть. И это очень актуально для малого бизнеса. Посмотрите стоимость, например, услуг почты Google и сколько будет стоить установить локально сервер, купить ПО, поддерживать это, платить администраторам... А в современном мире необходимо много средств защиты, которые в облачном исполнении обходятся значительно дешевле.
- И насколько велика может быть такая экономия для средств безопасности? На 10%, в разы?..
- Я могу говорить о ценах на наши продукты, которые входят в службу Symantec.Cloud. Например, защита почты от спама, вирусов, фильтрация доступа по типам сайтов обойдется в 70-80 долларов в год на человека. При этом надо учесть, что у нас есть очень жесткие соглашения об обслуживании (если мы пропускаем вирус - вы не оплачиваете услуги в этом месяце). Ну, и, разумеется, надежность. Мы гарантируем доступность этих сервисов 24х7. Теперь можно посчитать, сколько это будет стоить компании. Для высокой доступности сервисов вам необходимы: 2 канала в интернет, 2 сервера, ПО для кластеризации. По моим прикидкам, только 2 сервера обойдутся вам в сумму от 2 тысяч долларов. Тогда получается, что за стоимость 2-х серверов мы можем защищать 30 сотрудников в год, при этом не тратя денег на персонал для поддержки всех этих систем. Поэтому, если мы говорим о небольшом бизнесе - то альтернативы облачным средствам защиты у них практически нет.
- Есть ли у ваших облачных сервисов клиенты из Беларуси?
- Мы только недавно начали предлагать эти услуги в Беларуси. Так что пока нет, но это лишь вопрос времени.
- А есть ли облачные сервисы защиты от утечек?
Мне кажется, компании не готовы отдавать в облака подобные услуги. Есть DLP решения, которые работают с облачными сервисами, но база, в которой хранятся инциденты, содержащие конфиденциальную информацию, стоит в компании. Просто ценность такой базы может быть очень высока.
- Скажите, на Ваш взгляд, что в ближайшее время будет основным трендом в защите для корпоративных пользователей?
- Скорее всего, мобильные устройства. Мы все стремимся к этому. Мобильность, легкость доступа...
Беседовал Вадим СТАНКЕВИЧ
Горячие темы