«СёрчИнформ» примет участие в обсуждении вопросов экспорта российского ПО на ЦИПР-2018

С 6 по 8 июня 2018 года в Иннополисе (республика Татарстан) пройдет конференция «Цифровая индустрия промышленной России» (ЦИПР) – одно из крупнейших событий ИТ-отрасли.

В 2016 году утечки конфиденциальной информации случились в каждой второй компании России – исследование «СёрчИнформ»

Специалисты компании проанализировали, как обстоят дела с защитой конфиденциальной информации в отечественных организациях. Данные получены в ходе серии конференций Road Show SearchInform 2016 «Инсайдер: найти и обезвредить», в которой приняли участие 3057 ИБ-специалистов и экспертов из 23 городов России и стран СНГ. Итоги исследования прокомментировал ведущий аналитик «СёрчИнформ».

Какой будет интернет-среда в ближайшем будущем?

Журналисты часто задают мне вопрос, вынесенный в заголовок поста. И мой ответ, как правило, раз за разом меняется очень незначительно. Если говорить с точки зрения специалиста по информационной безопасности, то прогноз, к сожалению, будет не совсем утешительным. Интернет-среда с каждым годом становится всё более небезопасной для пользователя, и сегодня мы постоянно наблюдаем увеличение количества угроз. К примеру, недавно мы еще рассматривали вредоносное ПО для мобильных устройств как гипотетическую угрозу. Сегодня уже тысячи пользователей в Евразийском пространстве сталкиваются с мобильными вредоносами. Увеличивается количество мошеннических сайтов, «троянов», утечек информации… К сожалению, предпосылок к тому, чтобы количество угроз уменьшалось, нет, а вот к тому, чтобы росло – есть. До сих пор вредоносное ПО, спам, утечки конфиденциальных данных являются достаточно серьезными источниками денег для злоумышленников, поэтому вполне естественно, что эти люди постоянно ищут способы увеличить свои заработки. Но проблема кроется также и в самих пользователях, которые становятся легкой добычей из-за того, что уделяют недостаточно внимания вопросам обеспечения своей информационной безопасности.

Но это всем известно,  и неизменно уже на протяжении достаточно многих лет. Что же тогда меняется? Главная сравнительно новая тенденция – это, конечно, рост числа мобильных устройств. Из-за этого растет количество вредоносного ПО для мобильных устройств – особенно этим отличается операционная система Android, отчасти, из-за своей открытой архитектуры и возможности устанавливать приложения «в обход» официального магазина приложений. Мы об этом тут регулярно говорим, но толку не очень много. Кроме того, рост числа мобильных устройств у пользователей – смартфонов, планшетов, ‑ ухудшает защищенность организации, поскольку многие пользователи используют свои мобильные устройства в рабочих целях. Это называется консьюмеризацией ИТ в компаниях, и является очень серьезной проблемой на западе. Сегодня с этой проблемой уже начинают сталкиваться и российские компании.
Вообще же ситуация такова, что профессия ИБ-специалиста вряд ли станет невостребованной в ближайшие годы, скорее наоборот, специалистов не хватает уже сегодня. Впрочем, это совсем другая история...

ВУЗы и ИБ

Хочу поднять одну проблему, связанную с информационной безопасностью. Связанную довольно тесно, но для многих не совсем очевидным образом. Речь идет о преподавании ИБ в ВУЗах. На мой взгляд, об этой проблеме говорят еще меньше, чем о собственно ИБ, что, несмненно, никак не способствует её скорейшему решению.

С ВУЗами, которые готовят безопасников, всё сложно. Как показывает опыт, дисциплины часто читают старые преподаватели матанализа, в то время как должны были бы читать практики, понимающие, что именно необходимо предпринимать для обеспечения ИБ в компании. Но их в отечественных ВУЗах, увы, днем с огнем не сыщешь. Вернее, они, конечно, есть, но в совершенно недостаточных для обеспечения приемлемого уровня образования количествах.

Что с этим делать? Понятно, что насильно практикующих безопасников к студентам не загонишь, да и не у всех есть возможность заниматься преподаванием. Поэтому возможны два варианта. Первый - это как делается сейчас, безопасник, фактически, постигает все трудности профессии в полевых условиях. Но тут есть одно "но". Если неопытного программиста всё-таки можно посадить на не сильно важный проект или просто дать задание готовить какие-то модули для внутреннего пользования, то с неопытным безопасником такой номер, что называется, не проходит. Потому что от его работы зависит, фактически, весь бизнес, и ценой неопытности может стать дорогостоящий ИБ-инцидент, который при неблагоприятном стечении обстоятельств может послужить причиной полного уничтожения бизнеса компании. Кто захочет так рисковать? 

Второй вариант - это авторизованные учебные центры при компаниях,  над одним из которых сейчас работаем и мы. Это будет получаться несколько дороже для самих выпускников ВУЗов, но зато заметно дешевле для их работодателей. Думаю, что в перспективе без "корочек" одного из таких учебных центров найти работу в ИБ без опыта будет нереально.

Но таких центров нужно очень много (как, впрочем, и безопасников), поэтому, возможно, всё-таки ВУЗам стоит задуматься о том, чтобы самим идти к практикам и пытаться вовлекать их в образовательный процесс. Тогда, глядишь, совместными силами и удастся подготовить толкового специалиста.

Р. Идов,

ведущий аналитик компании SearchInform

Безопасность превыше всего

Все-таки, что ни говори, иногда новости читать бывает даже приятно. Не всегда новости со специализированных порталов по ИБ посвящены всякому негативу - утечкам, вирусам, сетевым атакам и тому подобному. Иногда они рассказывают о самой индустрии, которая растет и развивается благодаря, в том числе, и нашим с вами усилиям.

Согласно опросу, проведенному аналитической компанией Gartner в июне текущего года, бизнес считает сферу безопасности приоритетным направлением финансирования. По имеющимся прогнозам, лишь за текущий год объемы инвестирования в сферу безопасности вырастут на 8%, достигнув отметки в 60 миллиардов долларов. А до 2016 года эта цифра может достигнуть 86 миллиардов долларов. По мнению экспертов компании Gartner, не смотря на экономическую нестабильность, в указанный период рынок систем безопасности будет иметь тенденцию к росту. Рост количества киберугроз, безусловно, выведет на первый план компании, предоставляющие услуги в сфере информационной безопасности. Опрос, проведенный компанией Gartner среди ИТ-директоров компаний, показал, что 45% опрошенных планируют увеличить расходы на обеспечение безопасности компании, около половины опрошенных планируют поддерживать расходы на обеспечение безопасности компании на прежнем уровне, и лишь 5% планируют снизить расходы.

Отсюда

В принципе, всё достаточно логично. Растет число информационных угроз, соответственно, и вопросы защиты своей информации для бизнеса становятся также всё более важными. Это всё совсем не ново, но давайте разберемся, в чем же причина увеличения количества информационных угроз. Хочется списать всё на семимильную поступь прогресса, неумолимо вооружающего каждого не только персональным компьютером, но ещё и айфоном-айпадом, но всё, думается мне, выглядит несколько сложнее.

Проблема, мне кажется, прежде всего в том, что даже в традиционных отраслях типа ритейла или строительства информация играет настолько важную роль, что её становится выгодно красть. И невыгодно оставаться без неё, даже если это произошло случайно, и никто другой, как и вы сами, не смог ею толком воспользоваться. Несмотря на всю банальность этой фразы, всё именно так и есть.

На самом деле, индустрия информационной безопасности развивается сейчас как раз благодаря тем компаниям, которые еще не в полной мере вкусили прелести того, что у нас принято называть информатизацией. То есть, тех, кто еще совсем недавно внедрил все эти ERP, CRM и прочее, а теперь увидел, что это всё надо защищать, и вахтер с собакой уже неэффективен.

Отсюда логичный вопрос: как долго на таких "дрожжах" будет идти рост рынка средств обеспечения информационной безопасности? Простого ответа на этот вопрос, к сожалению, нет. Время, впрочем, само расставит все точки над "i". Ждем-с.

Р. Идов,

ведущий аналитик компании SearchInform

Палка о двух концах

Закон "О персональных данных" - палка о двух концах. С одной стороны, все-таки такой закон необходим в современных реалиях, в том числе, и в российских. С другой стороны, всё-таки отечественные законодатели иногда формулируют свои мысли так, что возникают не просто уязвимости, а настоящие дыры, через которые можно протащить не то что телегу с лошадью, а целые вагоны нефти. Но суть не в этом.

Показать ущербность закона "О персональных данных" решили сразу несколько изданий. Мне больше всего понравилась вариация сургутской газеты, всем очень рекомендую ознакомиться. Ещё одна статья от них же на ту же тему. Конечно, как они сами признают, всё несколько утрированно, но зато сделано так, что, что называется, комар носа не подточит.

Несмотря на шутливость статей, проблема поднята серьезная. Говоря об операторах персональных данных, мы обычно как-то упускаем из вида, что это могут быть не только медицинские учреждения, турфирмы и т.п., но и СМИ. А между тем, они имеют совершенно особенный статус в отношении персональных данных. Ведь как можно опубликовать статью о чиновнике-коррупционере, спросив у него предварительно разрешения? Понятно, что в ближайшее время таких чиновников благодаря работе нашей доблестной полиции совсем не останется, но как быть хотя бы в эти пару-тройку лет?

Ну а то, как прекрасно можно штрафовать СМИ, если они всё-таки напечатают "неправильную" статью, вообще показательно. Очень удобный закон получился для тех, кому есть что скрывать от общественности. Да, приватность - это наша работа, но согласитесь, что иногда она идет во вред обществу, в целом.

В общем, есть мнение, что закон "О персональных данных" еще не раз и не два будет активно обсуждаться средствами массовой информации не в самом положительном ключе. Что, в принципе, справедливо и даже правильно.

Р. Идов,

аналитик компании SearchInform

Оправданный скепсис масс

Довелось давеча читать на одном белорусском ресурсе, с которым мы работаем, статью, посвященную тому, насколько индустрия информационной безопасности бессильна перед существующими угрозами. Статья, конечно, так и дышит присущим журналистам стремлением объять необъятное и дилетантизмом, но она весьма показательна как восприятие индустрии ИБ человеком, который в этой индустрии не работает.

Наверное, что-то всё-таки пошло не так, если любое неосторожное действие несет в себе угрозу. Ведь в реальном мире сравнительно немного мест, где нужно вести себя подобным образом - пешеходные переходы, например. Почему же в виртуальном пространстве всё обстоит иначе?

Впрочем, это еще полбеды. Ведь, если провести аналогию с реальным миром, то даже крепкий шлем и бронежилет, в который вы одеваетесь, чтобы перейти улицу, вовсе не гарантируют ничего. Они могут либо сработать, либо не сработать, примерно с одинаковой долей вероятности. Согласитесь, это тоже не совсем нормально.

Полностью

К сожалению, автор не задумывается о том, что в обычной жизни человека, который шагает под поезд, тоже ждет несколько незавидная участь. А большинство тех, кто страдает от вредоносного программного обеспечения и других ИБ-напастей, именно так и поступает с точки зрения человека, занимающегося ИБ профессионально. Зачем же удивляться вполне закономерным результатам?

Опять-таки, если сравнивать с реальной жизнью, то каждый знает, что нужно мыть руки перед едой и закрывать кран, и чинить его, если он течет. В виртуальной же жизни моет руки (пользуется файрволом) хорошо если каждый пятый, а уже об утечках данных, которые могут "затопить" кого хочешь, и говорить нечего - только десятая часть бизнесменов понимает, чем они им вообще угрожают.

Да, беда индустрии ИБ в том, что все правила, в отличие от бытовой безопасности, не слишком очевидны, потому что мы привыкаем к ним не с детства, а намного позже. Фактически, вся Всемирная паутина сегодня - это большой детский сад, где пользователи едят песок, выбегают на проезжую часть и делают прочие небезопасные вещи. Не из-за злого умысла, а просто по незнанию.

Думаю, со временем ситуация изменится, но сегодня критиковать за такое положение дел индустрию ИБ - занятие недальновидное и, честно говоря, неблагодарное. Впрочем, журналистам  же нужно о чем-то писать...

Р. Идов,

аналитик компании SearchInform

Чтобы неповадно было

Думаю, никто не скажет, что защищать персональные данные - дело плохое и неправильное. И против шпионажа за собой со стороны кого бы то ни было, я уверен, выскажутся абсолютно все пользователи. Но иногда, конечно, палку иногда можно и перегнуть. Думаю, вы уже все в курсе того, что компанию Google в очередной раз штрафуют за шпионаж в отношении пользователей. Но насколько это справедливо и правильно?

В общем, это прецедент. Теперь можно штрафовать каждую компанию, которая размещает на сайтах какие-либо скрипты, собирающие информацию о пользователях. А уж сколько заплатят те же "Гугл" и "Яндекс" за свои "Аналитику" и "Метрику", даже страшно представить. Да и Web-сервера, пишущие логи, тоже вызывают подозрение. Было бы очень интересно теперь ввести правило, что если сайт хоть как-то регистрирует посещение пользователя, он должен сначала спрашивать его согласия. Кстати, не удивлюсь, если в обозримом будущем появится и такая маразматическая норма.

Что вызывает наибольшее удивление, если не сказать, возмущение, так это  сумма штрафа. Она составляет $22500000. Да-да, внимательно посчитайте нули. Как говорится, чтобы всем остальным неповадно было. Честно говоря, мне кажется, что эта сумма не совсем адекватна степени вины Google. Но помня о том, как американцы штрафовали домохозяек на сотни тысяч долларов за то, что те заливали песню на файлообменник, такому штрафу уже не удивляешься. У них там свои понятия о добре и зле, которые тем, кто там не живет, увы, понять совершенно невозможно.

Можно долго гадать, что будет дальше, но, по сути, мы наблюдаем увеличивающийся градус маразма в плане сбора разных статистических данных. Конечно, можно было бы этому порадоваться, потому что персональные данные пользователя находятся во всё большей безопасности, но можно огорчиться тому, КАК это всё происходит.

Р. Идов,

аналитик компании SearchInform

Кадровый голод

Намедни наткнулся на одну интересную статью, в которой рассматривается проблема подготовки кадров для ИБ-индустрии. Проблема действительно важная, и отмахнуться от неё невозможно. Вот, собственно ссылка на саму эту статью, она там довольно длинная, и целиком повторять здесь её я не буду.

В статье, конечно, описываются украинские реалии, но проблема достаточно актуальна и для России, и для других стран постсоветского лагеря. Вообще, нужно сказать, что от кадрового голода страдает не только ИБ, но и ИТ-отрасль, которая сталкивается с тем, что грамотных и хорошо подготовленных программистов взять в достаточных количествах просто неоткуда, а готовить их самостоятельно, так сказать, взращивать, - и дорого, и долго.

С безопасниками всё ещё хуже. Если неопытного программиста всё-таки можно посадить на не сильно важный проект или просто дать задание готовить какие-то модули для внутреннего пользования, то с неопытным безопасником такой номер, что называется, не прокатывает. Потому что от его работы зависит, фактически, весь бизнес, и ценой неопытности может стать дорогостоящий ИБ-инцидент, который при неблагоприятном стечении обстоятельств может послужить причиной полного уничтожения бизнеса компании. Кто-то захочет так рисковать? Сомневаюсь.

Ну и с ВУЗами, которые готовят безопасников, тоже всё сложно. Как показывает опыт, дисциплины часто читают старые преподаватели матанализа, в то время как должны были бы читать практики, понимающие, что именно необходимо предпринимать для обеспечения ИБ в компании. Но их в отечественных ВУЗах, увы, днем с огнем не сыщешь.

С одной стороны, конечно, это хорошо, потому что повышает ценность тех, кто уже работает в профессии. С другой, кадровый голод несомненно аукнется множеством неприятностей уже завтра. И поэтому, действительно, лучше не дожидаться их, а постараться решить проблему до того, как она развернется во весь свой немалый рост.

Р. Идов,

аналитик компаниии SearchInform

Мало заплатили?

Корпорацию Symantec продолжают преследовать злоключения. О некоторых я уже не так давно рассказывал. Теперь же злые "анонимусы" выложили на торренты исходники одного из продуктов Symantec, несмотря на все старания последней предотвратить такое развитие событий. Вкратце можно сказать, что Symantec то ли пожадничала, то ли попыталась не поддаться на шантаж.

Как вести себя в подобных ситуациях? В принципе, общеупотребительного рецепта нет, да и быть не может. Всё зависит от ситуации, от шантажиста, от компании, от целей обеих сторон... Наверное, самым правильным будет не подставляться, но это тоже достаточно сложно, а для некоторых компаний и вовсе нереально без глубокой реорганизации их внутренних бизнес-процессов, но, думаю, можно сказать о том, что такая жертва с их стороны вполне оправдана.
В общем-то, думаю, что любой компании стоит задуматься о том, что при утечке конфиденциальных данных кто-то даже через достаточно большое время может вспомнить об их существовании (ну, и попытаться извлечь прибыль для себя из этого). Ведь исходные коды у Symantec украли ещё в 2006 году, а всплыли они только теперь. Поэтому если ничего не происходит в ближайшие после утечки дни и месяцы, рано успокаиваться. Хотя, в общем-то, лишнее беспокойство делу тоже вряд ли поможет.
Какая мораль всей этой истории? В общем-то, она проста. Не нужно допускать утечек информации. Впрочем, это все и так знают.
Р. Идов,
аналитик компании SearchInform

Недоверие и индустрия

В продажах, конечно, все средства хорошо, но иногда они оказываются несколько неудобными для покупателей, страдает сам продавец. Например, в серьезном бизнесе дурным тоном считается рассылка спама. Ну, или мошенничество - когда компания продает не совсем то, что рекламирует.

Недавно произошел один довольно громкий инцидент, непосредственно связанный с рынком средств информационной безопасности, причем фигурирует в нём не кто-нибудь, а компания Symantec, о которой, кстати говоря, не так давно я здесь уже писал. Суть инцидента в следующем:

Судебный иск в Окружной суд Северного округа штата Калифорния был подан жителем Вашингтона Джеймсом Гроссом (James Gross), клиентом Symantec 10 января 2012 г. Его обвинения касаются трех программных продуктов компании: PC Tools Registry Mechanic, PC Tools Performance Toolkit и Norton Utilities. Первые два продукта разработаны не Symantec, а фирмой PC Tools, которая является дочерней компанией Symantec с 2008 г. Все три программных решения предназначены для выявления и устранения недостатков в безопасности и проблем с производительностью операционной системы пользователя, а также идентификации различных угроз. Symantec предлагает пользователям пробные версии данных продуктов, которые позволяют бесплатно провести сканирование своего компьютера. Согласно заявлению истца, специально нанятая Гроссом команда экспертов в области антивирусного ПО подтвердила, что пробные версии этих продуктов, созданные Symantec, всегда обнаруживают в системе какие-либо достаточно серьезные проблемы с безопасностью, независимо от того, присутствуют ли угрозы на самом деле.

Новость целиком

Ничего не хочу комментировать по поводу действий Symantec, потом что, вполне может быть, что и пользователь просто не до конца разобрался. Хочу отметить только вред, который этот инцидент наносит всей индустрии обеспечения информационной безопасности.

Не секрет, что к программным продуктам в сфере ИБ среднестатистический пользователь относится, мягко говоря, скептически, и не упускает ни малейшей возможности "пнуть" любой из них, который допустил какую-то ошибку в работе или не так, по его мнению, его защитил. Антивирус, который пропускает хоть один вирус, тут же становится плохим (а то, что было отключено обновление, пользователя мало волнует), но при этом антивирус, молча и спокойно ловящий их, тоже плох, потому что "деньги выброшены зря, вирусы всё равно не мешают, потому что я не хожу на порносайты".

Также очень широко распространено мнение о том, что вирусы пишут сами создатели антивирусов. И так, по сути, со всеми ИБ-вендорами, которые якобы сами придумывают или создают угрозы, чтобы потом продавать защиту от них. После инцидента с Symantec мы станем свидетелями очередного витка падения доверия к ИБ как к индустрии. Впрочем, как говорится, нам ли привыкать?..

Р. Идов,

аналитик компании SearchInform