Угрозы в сфере ИТ-безопасности достаточно сложные

После посещения первого в Казахстане технологического семинара «Современные методики защиты информации» корпорации McAfee, мы отправились на беседу с генеральным директором McAfee Россия Владимиром Лариным.

— На рынке России возникло новое направление ведения бизнеса в сфере ПО — модель SaaS, пришедшая с Запада. Казахстан к ней пока присматривается. Как эта модель взаимодействует с бизнесом?

— Угрозы в сфере информационной безопасности достаточно сложные. Они смешанные и непредсказуемые, поэтому неважно, в каком бизнесе ты работаешь — мелком, среднем или крупном. Ты должен использовать такие же адекватные интегрированные решения по безопасности. Существуют такие программные решения, где функции защиты предприятия, например при отсутствии системного администратора берет на себя компания производитель. Это так называемый SaaS (Software as a Service) — ПО как сервис. Услуга предоставляется через интернет, посредством которого компания разъясняет, что нужно делать по защите информационной системы. Вы не покупаете лицензию на ПО, а используете его на правах регулярной ежемесячной оплаты небольшого размера за право пользования некими продуктами. Но вы можете в любой момент отказаться от этой услуги. Что это дает? В данном случае ПО не значится у вас на балансе, то есть, вы не пользуетесь им как материальной ценностью, а используете как услугу, например, как доступ в интернет. Это новый тип лицензии, где не покупается сам софт, оплата идет только за услугу по его использованию. Вам не нужны большие финансовые затраты, к тому же компания, предоставляющая SaaS, заботится о вас: вовремя обновляет, конфигурирует продукты. При этом нет необходимости держать в штате специалистов по тем или иным решениям, в чем кроется одно из преимуществ. Фактически, вы находитесь на аутсорсинге.

— Насколько выгодно это казахстанским аутсорсинговым компаниям?

— Они могут работать в альянсе с производителем ПО, что имеет определенную выгоду для них. Занимаясь аутсорсингом всей IT-сферы на предприятии, аутсорсинг по информационной безопасности IT-компании могут отдать непосредственно профессионалам, выступая перед лицом заказчика единым целым организмом. Выбор в пользу SaaS определяется финансовыми моделями предприятия. Допустим, все швейцарские банки полностью отдали в аутсорсинг свои IT-департаменты. В них нет ни системного администратора, ни инженера, потому что держать их в штате требует больших финансовых затрат, в частности, заработной платы. В странах же СНГ в банковских IT-департаментах работает тысячи IT-сотрудников, иногда даже больше, чем самих банковских специалистов. Предназначение банка заключается все же в другом: выдаче кредитов, «печатании» денег, а не в изобретении велосипеда в области IT-безопасности, чем они и занимаются сегодня. Однако, это характерно только для стран СНГ. Поэтому, считаю, что за моделью SaaS — будущее, когда предприятие занимается делами непосредственно своего основного направления, а непрофильное отдают на аутсорсинг. Основная идея состоит в том, что вы не покупаете нечто, а берете как бы в аренду, пользуясь столько, сколько нужно. В конце концов, получается и дешевле, так как вы пользуетесь софтом, которое не является вашей собственностью, длительный срок за меньшие деньги. При покупке же лицензированного софта вы становитесь его собственником. Для бизнеса эта модель означает экономию средств на покупке софта, содержании сотрудников, обслуживании, обучении. С другой стороны, это дает надежность обслуживания профессиональной компанией.

— Но в Казахстане нет компаний, которые внедряют эту модель, также невелика доля лояльных пользователей к ней. Менталитет еще не достиг уровня готовности?

— Это и есть основной тормоз. Как только у предприятия есть хороший интернет плюс задача защитить себя и понимание того, что нет ни больших средств, ни штата для выполнения этих задач, а угрозы бизнесу все же существуют, это и есть предпосылки для перехода на SaaS модель. Единственный тормоз — это недоверие, которое осталось к иностранным компаниям еще со времен Советского Союза. Для крупных компаний это решение мало вероятно пока в странах СНГ. Есть даже компании, в которых вообще запрещен интернет в целях безопасности. Госструктуры тоже вряд ли могут участвовать в этой модели. Она нацелена на компании малого и среднего бизнеса, которые не занимаются политикой.

— Станет ли дорогой интернет в Казахстане, по вашему мнению, препятствием для продвижения SaaS на локальном рынке?

— Для администрирования это просто копейки. Увеличение трафика при этом произойдет на 1–2%. Перегрузки не будет никакой, так как процесс осуществляется через единую точку входа, а не через все машины. Зато этот небольшой расход с лихвой окупится для казахстанского бизнеса.

— В странах СНГ, соответственно, и в Казахстане, на IT-рынке нет такого направления, как контроль и закрытие уязвимостей, и соответствие стандартам и политикам, которое распространено на Западе. Насколько важно для данного сегмента рынка это направление?

— Это отдельная прикладная область по инфобезопасности, в которой страны СНГ отстают от Запада, Америки. Процесс заключается в следующем — сравнить текущее состояние инфосистемы. Бизнес двигатель заключается, когда внутри страны появляется понимание, что решения должны быть стандартизированы, то есть, появляются некие стандарты в госструктурах, регуляторных органах, банках. Например, в Америке компании четко по законам SOX делают отчеты о своей хозяйственно-финансовой деятельности. Таких стандартов там много, например, в медицине — стандарт HIPPA по защите персональных данных больных. У Центрального Банка России — свои стандарты, у Национального Банка Казахстана — свои, а уже банки второго уровня подчиняются их стандартам. Безопасность может входить, как часть стандартов. В Казахстане сейчас может распространяться единственный стандарт платежных карт — PCI-DSS. Компании VISA, Master Card и American Express договорились о едином стандарте по информационной безопасности платежных систем. Любая организация, которая осуществляет прием платежей, выпускает или обслуживает пластиковые платежные карты, обязана следовать этим стандартам, иначе она может лишиться лицензии.

— В России закон о защите персональных данных вступит в силу в 2010 году. Что он привнесет в отрасль?

— Пока он дает только головную боль для предприятий, у которых нет средств, чтобы соответствовать ему с 1 января 2010 года. Проблема в том, что никто не понимает, что же нужно все-таки сделать для того, чтобы получить финальный результат, соответствующий этому закону. Практические попытки уже были в России, но ни одна из организаций не имеет статуса, соответствующего этому закону. Закон определяет требования, но не определяет практических шагов, в нем не определена методика сертифицирования. Когда же мы говорим о стандартах SOX и HIPPA, там все понятно, так как это практические стандарты.

— Стать безусловными мировыми лидерами хотят все компании этой сферы, работающие на казахстанском рынке: ESET, Symantec, Лаборатория Касперского, Dr.Web. Также ваши конкуренты завоевывают локальный рынок. Вы же пришли в Казахстан уже мировым лидером, но пятой по счету компанией для локального рынка. Какими ходами собираетесь отвоевывать свою региональную «долю пирога»?

— Пока я не могу сказать, что мы пришли на этот рынок в полном смысле этого слова. Приход компании отождествляется с открытием офиса, чего у нас пока нет. Но в фоновом режиме мы давно присутствуем на казахстанском рынке и достаточно популярны среди экспертов в области инфобезопасности. Сейчас мы начинаем активно продвигать наш брэнд через местных партнеров. Достигнув определенной критической массы с точки зрения потенциальных заказчиков и объема продаж, через год-два мы планируем открыть полномасштабный офис в Казахстане. Сейчас мы из Москвы курируем страны СНГ, за исключением Балтии и Украины. Казахстан нам стал интересен по той причине, что не только бизнес, но уже и госструктуры, и президент активно продвигают внедрение интернета по всей стране. Тем самым, создается великая инфраструктура, в процессе которой мы можем участвовать, предлагая решения, которые обеспечат защиту интернета для пользователей. Сейчас это становится критически важным. Кризис имеет тот самый удачный момент начать что-то новое, глобальное, при котором создается определенный потенциал. Казахстанский рынок созрел. Компании, которые вы перечислили, подогрели для нас этот рынок, который стал горячим. Они провели очень большую подготовительную работу и инвестировали в эту отрасль. Поэтому сейчас пользователь прекрасно понимает, что защита инфобезопасности архиважная, и вопрос уже не стоит «Зачем защищать?». Вопрос кроется теперь в другом — «Как?». Другое дело, что многие компании говорили: «Купите антивирусы — и будьте счастливы», — но это вопрос спорный. Сейчас угрозы разрослись до такого масштаба и такой сложности, что даже для домашнего пользователя ставить только антивирус становится критично.

— Спасибо за беседу. Полагаю, что еще не раз мы обратимся к вам, как к эксперту рынка этой тяжеловесной сферы IT-бизнеса.