По ту сторону: взгляд вендора

Page 1

ТЕМА НОМЕРА

#01 (216) 2014

По ту сторону: взгляд вендора Вы замечали, что информацион ная безопасность напоминает рели гию? Причем религию языческую — со множеством богов и божков. Су дите сами: каждая организация при носит ежегодные жертвы в виде про дления техподдержки на уже приоб ретенные средства безопасности, тратит немало средств на закупки новых средств и внедрение все но вых систем защиты — больше прино шений тому богу, на кого уповают в первую очередь. Причем прямой вы годы от этих приношений никакой: как ни крутись, инциденты продол жают случаться, поскольку стопро центной защиты ни одно средство или мера обеспечить не может, по тенциальный риск можно оценить, но не пощупать, да и непонятно, куда в следующий раз попадет снаряд. На ращиваешь защиту периметра, а тут девочка с ресепшн куда то не туда пересылает конфиденциальный до кумент! Внедряешь DLP — глядь, а тут твой вебсайт падает в результате ха керской или DDoS атаки! Или троян на компьютере главбуха чудес натво рил, а уж если обиженный админ ка кой нибудь увольняется, то врагу не пожелаешь... С другой стороны, ИБ не выкинешь из головы: то и дело в СМИ обсуждают очередной скандал с утечкой или кражей данных, много миллионные убытки, потерю репута ции. Реальны случаи даже полного разорения. Детальной информации для открытого анализа и статистики по компьютерным инцидентам мало, но так для богов даже лучше — чем больше слухов и мистики, тем боль ше страха. Богатые организации, ко торым есть что терять, поклоняются сразу нескольким идолам, на всякий случай делая наиболее существенные вливания самым почитаемым боже ствам.

Екатерина Яблокова Заместитель директора по развитию бизнеса в России, СНГ и странах Балтии Stonesoft, А McAfee Group Company

Здесь есть свои уважаемые жрецы в виде регуляторов, роль которых «корректировать веру», призывая по клоняться только правильным золо тым тельцам (т. е. покупать только сертифицированные, одобренные жрецами средства, и внедрять опре деленные меры безопасности). У хра ма каждого бога имеются свои прихо жане, которые веруют в святость вы бранного божества и пытаются убе дить всех в его превосходстве над дру гими (с помощью всевозможных рей тингов и «независимых» отчетов). Но каждая организация по сути все же делает выбор на свой страх и риск, по скольку нет никакой гарантии, что выбранные боги и принесенные жертвы реально помогут избавиться от напастей. Все как в жизни: кто то поклоняется своему рукотворному

БАНКОВСКИЕ

29

золотому тельцу, уповает на проприе тарность своей информационной си стемы, но при этом терпит зависи мость от своего жреца админа, кото рый все это умеет поддерживать и на страивать, кто то ратует за унифика цию и доверяет известному богу из раскрученного храма, третьи, по сути, надеются на авось… Российские банки все же стоят особняком среди этого «религиозного угара» — именно придя сюда, часто ви дишь четко сформулированные цели внедрения той или иной меры защиты и критерии выбора конкретных средств безопасности. И это неудиви тельно, потому что именно финансо вые организации чаще всего имеют дело с реальными инцидентами безо пасности и вполне ощутимым ущер бом от них. Именно СЗИ банков под вергаются практически ежедневной проверке на эффективность противо стояния вирусам, червям и прочим зловредам, спланированным хакер ским атакам и мошенничеству и т. п. Именно коммерческие банки лучше всех считают деньги и, значит, адек ватнее определяют ценность своих ак тивов, чаще всего разрабатывают соб ственную методологию оценки рис ков и хоть как то пытаются рассчиты вать TCO внедряемых ими средств за щиты, перед этим проводя тестирова ние, стараются оптимизировать рас ходы на инфраструктуру и эксплуата цию. Представители банков и других финансовых институтов — самая ак тивная и восприимчивая аудитория на конференциях и мероприятиях, по священных теме информационной безопасности, они задают больше все го вопросов, постоянно интересуются новинками рынка, активно работают в различных профессиональных объе динениях, вступая в диалог с контро лирующими органами, и добиваясь

ТЕХНОЛОГИИ

Информационная безопасность банков

значительных уступок. Чем не идеаль ный клиент для вендора? И при всей своей любви к россий ским банкам, нельзя не сказать о том, что огорчает. Именно они являются самыми дотошными в плане эконо мии средств. При всей своей продви нутости они часто делают самый про стой выбор — исходят из минималь ной цены. Именно здесь чаще всего можно услышать аргумент, мол, та кой то вендор дает нам минус 70% (уважает!), и вы давайте нам столько же, иначе сделки не будет... А что они запросили у другого вендора, на сколько предложенное им решение реально соответствует их требовани ям, сколько в действительности стоит решение другого вендора, обладаю щее необходимыми характеристика ми, — в расчет не берется. Получаем абсурдную ситуацию: предлагаемое решение и так дешевле, чем конку рентное, даже с 70% скидкой, но у нас все равно требуют 70% скидку (вы что, нас не уважаете?). Дальнейший разго вор представляет любой, кто хоть раз был на восточном базаре. Таким обра зом, вендорам, работающим на рос сийском рынке, нужно делать отдель ный российский прайс, чтобы не ока заться в минусе. Умножаем цену на де сять и заходим к клиенту: «Только се годня и только для вас скидка 90%». А как это объяснить европейским и аме риканским коллегам (у них для парт неров нормальные скидки 30–40%)? Остается только ссылаться на «зага дочную русскую душу»... Выбор поставщика банками тоже оставляет желать лучшего. Тщетно уламывая интегратора сделать все практически бесплатно, они или по лучают «никакое» внедрение, или при поставке не то, что заказывали, пото му что квалифицированные специа листы стоят денег, и бесплатное про ектирование или внедрение непре менно «отбивается» на поставке или на техническом сопровождении. Вот и мечутся уважаемые организации между поставщиками с неизбежной нервотрепкой, получая не в срок и не то, что нужно. Но при этом — с мини

#01 (216) 2014

мальными ценами. А крайним в этой чехарде чаще всего оказывается вен дор — именно он не обеспечил требу емой маржинальностью партнера или вообще подсунул «кривые кирпичи», которые никак не заставишь работать заявленным способом. Можно возра

Представители банков и других финансовых институтов — самая активная и восприимчивая аудитория на конференциях и мероприятиях, посвященных теме информационной безопасности зить, что это поставщики вконец раз ленились и не желают оказывать каче ственный сервис ни за большие день ги, ни за малые, но из своего опыта скажем, что найти поставщика, кото рый сделает действительно качест венно и быстро, возможно. Реальной альтернативой является приобрете ние собственных квалифицирован ных обученных технических специа листов, вопрос только в том, как после получения всех сертификаций их по том удержать... Необходимо помнить также, что перед внедрением каких либо техни ческих средств необходимо сначала произвести проектирование целост ной многоуровневой системы инфор мационной безопасности, разрабо тать ее архитектуру, включая адекват ные организационные и технические меры защиты на всех уровнях, что так же не может быть выполнено бесплат но и без детального обследования ин формационной системы. В противном случае вы получите набор не связан ных между собой средств безопаснос ти, в лучшем случае взятых из проекта по защите информационной системы какого то другого банка. Но вероят

БАНКОВСКИЕ

30

ность, что ваши информационные си стемы идентичны или хотя бы похо жи, так мала… За минимальные деньги вам предоставят обычно проект, кото рый содержит только рекламные опи сания продуктов, без всякой привязки к конкретной ситуации. Нюансы могут быть разные, и нередки случаи, что да же маловажные с точки зрения непро фессионала моменты, например, в об ласти корпоративной культуры, могут повлиять на выбор тех или иных мер защиты. Конечно, если стоит задача не просто отчитаться перед руководст вом и получить медаль, а создать высо коэффективную систему защиты, ко торая позволит IT успешно работать, а не постоянно преодолевать навязан ные ИБ сложности. Как уже было отмечено, на данный момент среди российских организа ций самый распространенный вари ант выбора средств защиты — тендер на самое дешевое предложение, обла дающее минимальным набором необ ходимых характеристик (производи тельность, интерфейсы и наличие сертификата, если это применимо). Но необходимо учесть, что затраты на эксплуатацию систем защиты час то несоизмеримо выше начальных за трат на приобретение оборудования. Одновременно с поставкой заказчик обычно получает набор эксплуатаци онных документов, иногда только на английском языке. Оценить, сколько затрат потребуется на установку или настройку того или иного средства в таком случае практически невозмож но. Кроме того, необходимо учиты вать еще и косвенные расходы на обу чение персонала, простои и разбор инцидентов безопасности, управле ние и техническую поддержку систе мы защиты, телекоммуникации, свя занную инфраструктуру, не говоря уже о затратах на последующий аудит и неизбежную модернизацию систе мы защиты. Очевидно, что более вдумчивый выбор средств ИБ с учетом всех связанных затрат позволит орга низациям получить более эффектив ное и экономически выгодное реше ние, не выгадывая на мелочах.

ТЕХНОЛОГИИ

Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.