Интервью TAdviser c директором Центра защиты информации ГК «Конфидент» Егором Кожемякой
Егор Кожемяка, директор Центра защиты информации ГК «Конфидент», ответил на вопросы TAdviser о рынке информационной безопасности в государственном секторе.
В 2017 году группа компаний «Конфидент» отмечает 25-летний юбилей. Это солидный опыт. Как он помогает в сегодняшней деятельности компании на российском рынке информационной безопасности?
Егор Кожемяка: Группа компаний «Конфидент» и отрасль информационной безопасности в России — практически ровесники. Развитие компании и рынка шло нога в ногу. Сегодня, оглядываясь назад, можно с уверенностью сказать, что группа компаний «Конфидент», в том числе, формировала российский рынок ИБ на этапе его становления. Для самой компании защита информации — важнейшее направление деятельности.
25 лет — это, безусловно, зрелый возраст для компании. Однако, важны не цифры сами по себе. Важно, что компания «Конфидент», накопив опыт, знания, компетенции, не останавливается на достигнутом, находится в тонусе, видит пути для дальнейшего развития. Мы всегда в курсе последних изменений рынка, законодательных инициатив, требований регуляторов, развития технологий.
Накопленный опыт позволяет нам четко и без прикрас представлять, как обстоят дела на рынке ИБ, и иметь собственное мнение по отношению к происходящему.
Давайте обратимся к сегодняшнему состоянию российского рынка информационной безопасности в государственном секторе. Какие тенденции Вы видите как рыночная компания?
Егор Кожемяка: На российском рынке ИБ действуют совершенно разные игроки — регуляторы, вендоры, испытательные лаборатории, органы по сертификации, интеграторы и аттестационные центры, органы по аттестации, аудиторы, образовательные центры, операторы, профессиональные сообщества. Все игроки рынка находятся во множественных связях и взаимодействии друг с другом.
Одними из самых влиятельных игроков рынка, как мы можем видеть, являются регуляторы. На рынке ИБ их присутствует значительное количество, основные из которых, по нашему мнению, — ФСТЭК России, ФСБ России, Роскомнадзор, Минкомсвязи России, Банк России, Министерство обороны России. Непосредственное влияние на направления развития рынка ИБ в широком смысле с помощью различных нормативно-правовых документов, обязательных для исполнения, оказывают в большей степени ФСТЭК России и ФСБ России.Чекап для искусственного интеллекта: зачем и как тестировать ИИ-решения?
Отмечу, что существуют требования ФСТЭК России к отдельным классам решений по защите информации. На текущий момент утверждены требования к системам обнаружения и предотвращения вторжений, системам антивирусной защиты, средствам доверенной загрузки, средствам контроля схемных машинных носителей информации, межсетевым экранам, операционным системам. Работа регулятора является системной и планомерной. При разработке требований учитываются многие аспекты, связанные как с актуальными угрозами безопасности информации, так и с развитием ИТ. Мы полагаем, что в ближайшие год-два ФСТЭК России будет проведена редакция Приказа № 17, который устанавливает Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, а также выпущены требования к СУБД, BIOS, DLP системам, средствам управления потоками информации, а также разработаны различные методические документы. Также мы видим, что ФСТЭК России старается повысить качество работы испытательных лабораторий и органов по сертификации с одновременным сокращением их количества. Так, за прошедший год их число уменьшилось примерно на 22% и 4% соответственно, а в целях повышения качества работы появились новые требования и методики сертификационных испытаний. В целом, внимание регулятора уделяется многим аспектам защиты информации, включая безопасную разработку ПО производителями средств защиты информации по новому ГОСТ, обновление сертифицированных СЗИ, а также процесс качественного технического сопровождения и поддержки пользователей.
Сегодняшнее состояние российского рынка ИБ также характеризуют тенденции по изменению доли различных классов средств защиты информации (СЗИ) в общей ИБ-инфраструктуре. Специалисты компании «Конфидент» провели анализ источников информации, включая результаты опроса партнеров компании и данные собственных исследований. Среди СЗИ, наиболее востребованных на рынке ИБ в государственном секторе в прошедшем 2016 году, сегмент средств защиты виртуальных инфраструктур продемонстрировал наиболее существенный рост. Незначительная положительная динамика наблюдалась в сегменте средств защиты от НСД и утечек информации. Немного снизилась в общем объеме СЗИ относительная доля средств криптографической защиты информации, а также антивирусной и сетевой защиты — в этих сегментах рынок уже достаточно насыщен.
Основная наша деятельность как разработчика сосредоточена на создании систем защиты информации конечных точек преимущественно для госсектора. В данном сегменте мы по итогам 2016 года показали значительный рост, который измеряется десятками процентов.
Вы говорите, что ФСТЭК России устанавливает требования по реализации мер по защите информации. Означает ли это, что операторы (заказчики) их немедленно исполняют?
Егор Кожемяка: При выполнении требований регуляторов присутствует некоторая инертность. Время для реакции на новые требования необходимо как разработчикам сертифицированных решений, так и заказчикам. Часть времени уходит на осознание требований и доработку продуктов. Для исполнения требований, кроме того, нужны бюджеты, поэтому процесс растягивается во времени также и по причине нехватки денег.
Ежегодно, начиная с 2015 года, компания «Конфидент» проводит анализ требований к конкурсной документации на основе информации портала Госзакупок. При сравнении неточностей в документации прошедшего 2016 года с предыдущим наметилась некоторая динамика. В целом, мы видим, что ситуация с конкурсной документацией улучшается. Однако, по-прежнему велика доля проектов по защите информации в ГИС, где необходимо использовать такие сертифицированные решения как «Средство доверенной загрузки» и «Средство контроля съёмных машинных носителей информации», однако они не закупаются операторами.
Складывается впечатление, что сертифицированные СЗИ приобретают для формального исполнения требований регулятора. Что важнее для заказчика: обеспечить реальную защиту информации или закупить сертифицированные решения, чтобы не бояться проверок?
Егор Кожемяка: На первый взгляд может сложиться такое впечатление, но оно во многом неверное. Давайте вкратце рассмотрим, каким образом устроена система сертификации в России. Начинается всё с того, что регулятор на основе анализа угроз безопасности информации и с учётом развития информационных технологий выпускает требования к средствам защиты информации — к отдельным их классам, таким как: антивирусы, системы обнаружения и предотвращения вторжений, средства доверенной загрузки, средства контроля съёмных накопителей, межсетевые экраны и операционные системы. До появления на рынке первых сертифицированных на соответствие требованиям решений проходит некоторое время. Раньше операторам приходилось ждать до года и более, сейчас — благодаря совместным усилиям регулятора и производителей, гораздо меньше. В течение этого времени происходит разработка и сертификация решений. Помимо самих разработчиков, независимые многоступенчатые проверки и экспертизу проводят испытательные лаборатории и органы по сертификации. ФСТЭК России делает большой объем работы перед тем, как выдать соответствующий сертификат соответствия. Орган по аттестации проводит аттестацию рабочих мест, а оператор принимает эту работу. Представители ФСТЭК России затем совершают выездные проверки.
Как видим, система сертификации как раз и устроена таким образом, чтобы заказчик получил реальную защиту. К несертифицированным решениям доверия меньше, так как не ясно, кто и каким образом их проверяет, в том числе на отсутствие программных «закладок» и уязвимостей. Фактически, заказчик остается один на один с разработчиком.
Если сертифицированные СЗИ содержат защитные механизмы, созданные по одним и тем же требованиям регулятора, а также проходят по сути одинаковые проверки, то они, фактически, являются одинаковыми у разных производителей? Чем руководствуются заказчики при выборе СЗИ?
Егор Кожемяка: Во-первых, регулятор выпускает требования к СЗИ, но не ограничивает производителей в том, чтобы они добавляли какую-либо специфическую функциональность, помогающую эффективно решать вопросы защиты информации. Мы сосредоточены на решении задач конечных пользователей, поэтому реализация требований регулятора — это только необходимый минимум, без которого не построить полноценную систему защиты.
Во-вторых, мы провели опрос представителей партнерской сети Центра защиты информации ГК «Конфидент», которая на данный момент насчитывает более 500 участников. Именно партнёры, среди которых интеграторы и аттестационные центры, помогают нашим заказчикам выбрать СЗИ среди множества решений, представленных на рынке, а затем они же внедряют эти решения на практике. Партнёры оценили различные СЗИ по таким потребительским характеристикам как функциональность, совокупная стоимость владения, масштабируемость, производительность, удобство использования, интегрированность с другими продуктами и т.п. Результаты показали, что отношение партнеров к продуктовым линейкам различных производителей сильно отличается. Для потребителя важно, чтобы производитель имел хорошую репутацию и предоставлял дополнительные сервисы, такие как обучение, поддержка при внедрении, техническое сопровождение и т.п. Нам приятно, что наши продукты получили самые высокие оценки по сравнению с другими производителями. Понятно, что отношение наших партнёров в определённом смысле предвзятое, но на основе их мнения мы также понимаем значимость указанных характеристик, которая в том числе задаёт векторы развития наших продуктов.
В-третьих, сертифицированные СЗИ имеют также различия в уровнях и классах сертификации. Компания «Конфидент» одной из первых предложила рынку комплексное, единое решение с полным набором сертифицированных и интегрированных между собой модулей для защиты конечных точек. На текущий момент набор сертификатов соответствия ФСТЭК России для защиты «конечных точек» охватывает следующие решения: защита от НСД для ОС Windows и Linux, персональный межсетевой экран, система обнаружения и предотвращения вторжений, средство контроля съёмных машинных носителей информации и средство доверенной загрузки уровня платы расширения. Заказчику удобно приобретать разные сертифицированные продукты одного надёжного производителя, так как они интегрированы между собой и отлично дополняют друг друга. Также при выборе СЗИ для заказчика важно, на соответствие каким требованиям это средство сертифицировано. К примеру, если у платы доверенной загрузки есть сертификат только на отсутствие НДВ и (или) по «абстрактным» техническим условиям, то это не означает, что такое изделие соответствует Требованиям ФСТЭК России к средствам доверенной загрузки и его допустимо легитимно использовать при аттестации рабочих мест.
В-четвёртых, есть оценки экспертных сообществ. К примеру, на протяжении многих лет наши продукты неоднократно становились лауреатами различных отраслевых премий, таких как «За укрепление безопасности России», «Infosecurity Russia AWARD», ТБ Премия «Безопасность информации и связи» и др. И это не случайно, так как мы всегда находимся близко к заказчикам, видим их потребности, реагируем на возникающие запросы. Это позволяет нам создавать лидирующие решения по совокупности технико-экономических характеристик.
Следует еще раз отметить, что существуют разные требования к разным типам продуктов. Выбирая продукт, нужно изучить набор имеющихся сертификатов и обратить внимание, по каким именно требованиям сертифицировано решение. Для заказчика важно выбирать средства, которые покрывают наибольшее количество требований регулятора и интегрированы между собой.
Давайте теперь поговорим об импортозамещении. Есть мнение, что российское ПО на базе свободного ПО является наиболее безопасным? Так ли это?
Егор Кожемяка: Это мнение далеко не всегда находит подтверждение, скорее даже, наоборот. Свободное ПО может служить источником угроз из-за содержащихся в нем уязвимостей, следовательно, ПО, созданное на его основе, небезопасно. Давайте обратимся к фактам.
В конце 2016 года в ОС Red Star на базе ядра Linux, разработанной и используемой в КНДР, эксперты обнаружили ряд уязвимостей, позволяющих получить на системе права суперпользователя. В годовщину утечки Red Star были раскрыты подробности об уязвимости, с помощью которой можно удаленно внедрить произвольные команды. Это довольно показательный случай, который может повториться и в других странах.
Если перейти от отдельного случая к статистике уязвимостей за 2016 год, то мы увидим, что ОС на базе свободного ПО имеют гораздо больше уязвимостей, чем всем известные ОС Windows. По данным CVE Details за 2016 год, тройку лидеров по уязвимостям составляют ОС Android, Debian Linux и Ubuntu Linux. Семейство Microsoft Windows среди ОС показало небольшое количество уязвимостей. Зарубежную статистику подтверждает и статистика, представленная в Банке данных угроз безопасности информации ФСТЭК России. В рейтинге по количеству критических уязвимостей в ПО различных производителей первые строчки занимают Adobe Systems Inc., Red Hat Inc., Software in the Public Interests Inc., The CentOS Project. Суммарное количество критических уязвимостей в свободном ПО примерно в 20 раз превышает количество таких уязвимостей в продуктах Microsoft Corp.
Сейчас уже есть на рынке отечественные ОС, построенные на базе свободного ПО, и мы не ставим под сомнение их безопасность. Однако заказчикам стоит помнить, что уязвимости есть во всех продуктах: как в отечественных, так и в иностранных. Их количество не зависит от страны происхождения продукта. В гораздо большей степени на наличие уязвимостей влияет то, каким образом в компании выстроен процесс безопасной разработки, каким образом проводится тестирование и т.д. При выборе любого программного продукта, в том числе ОС, с точки зрения безопасности информации помимо требований законодательства следует руководствоваться и другими соображениями, которые вытекают из ответов на следующие вопросы: «какова совокупная стоимость владения продуктом?», «обладает ли ПО необходимыми защитными механизмами с требуемой функциональностью?», «если требуются накладные решения для защиты информации, то с какими из них обеспечена совместимость?», «насколько вероятно нахождение уязвимостей в ПО?», «насколько быстро производитель готов устранить уязвимость, принимая во внимание сложность его продукта?».
Что можно порекомендовать заказчикам в сложившейся ситуации?
Егор Кожемяка: Есть много аспектов «за» и «против» перехода на свободное ПО, и многие из этих аспектов напрямую не связаны с безопасностью. Показателен случай, о котором в феврале 2017 года рассказывали СМИ, когда самый масштабный в немецком госсекторе (а, возможно, и в мире) перевод техники на открытое ПО потерпел крах. Властям Мюнхена понадобилось более 10 лет на перевод порядка 15 тысяч компьютеров с ОС Windows на местный аналог Linux — ОС LiMux. В итоге городские власти потребовали перейти обратно на ОС Windows и планируют к 2020 году полностью перестроить ИТ-инфраструктуру в муниципальных учреждениях. В качестве причин называют жалобы от чиновников на проблемы с обменом данными, а также огромные затраты на дополнительное программирование.
В российской практике в инфраструктуре заказчиков подавляющее большинство программ, в том числе из Единого реестра российских программ для ЭВМ и БД, работает под управлением ОС Windows. Зачастую это является вынужденной мерой для исполнения ими государственных функций. В этой ситуации наиболее востребованными для использования являются накладные средства защиты информации, сертифицированные по требованиям безопасности для защиты высоких классов ГИС и уровней ПДн. Такие СЗИ как Dallas Lock имеют механизмы управления, независимые от ОС, и позволяют обеспечить универсальную и надежную защиту инфраструктуры заказчика без смены операционной системы.
126