Пять лет назад об информационной безопасности думали только спецслужбы
Построение в России информационного общества переводит проблему информационной безопасности (ИБ) в разряд общенациональных. Сила российского хакера несколько преувеличена, но наша безалаберность может причинить вреда больше, чем любой кибер-злоумышленник. Как решить идеологические, технические и культурные проблемы в этой области, директор по информационной безопасности корпорации Oracle Мэри-Энн Дэвидсон рассказала обозревателю "Известий" Александру Латкину.
- Сейчас в России вопрос информационной безопасности очень активно обсуждается - наши телекоммуникационные системы протянуты по всей стране и не всегда хорошо защищены, российские хакеры достаточно опытны. Однако четко приоритеты в этой области еще не сформулированы - часто наши чиновники, говоря об ИБ, призывают просто все закрыть и отключить. Каковы основные тенденции в создании систем ИБ сейчас?
- Действительно, ваши хакеры весьма хороши (смеется). Но невозможно все сделать абсолютно секретным. Например, бизнес вынужден рисковать. Вы должны делать информацию доступной для клиентов, для партнеров - иначе вам не успеть за изменяющимся рынком. Также новые технологии могут приносить дополнительные риски. Например, Instant Messenger Systems (IMS - системы мгновенного обмена сообщениями, или интернет-пейджеры. Самые распространенные IMS - ICQ, MSN Messenger. - "Известия") создают проблему с точки зрения ИБ, поскольку информация может бесконтрольно уходить из компании. Поэтому многие компании сейчас запрещают установку на своих компьютерах IMS. Другой пример - беспроводные технологии. Эти технологии очень удобны, но многие компании испытывают связанные с ними проблемы информационной безопасности. Поэтому здесь нужно применять специальные приложения, которые будут обеспечивать надлежащую безопасность.
- Каковы тенденции рынка систем ИБ? Насколько сложно продавать такие системы в различных странах? Например, у нас в стране спецслужбы традиционно сильны - не затрудняет ли это бизнес?
- Спецслужбы многих стран сильны. Мы достаточно хорошо чувствуем себя на рынке систем для частных компаний - я не могу называть имена наших клиентов. Также у нас хорошие отношения и со спецслужбами - дело в том, что пять лет назад об информационной безопасности думали только спецслужбы и Министерство обороны. Эти структуры подтолкнули рынок, определили основные характеристики программных продуктов. Сейчас же гораздо больше самых разных клиентов думают об ИБ.
- После 11 сентября Oracle заявила, что способна построить общенациональную систему идентификации граждан США. Тогда некоторые правозащитные организации выступили с заявлениями, осуждающими главу вашей компании Ларри Эллисона. Как ваша компания учитывает подобные мнения, когда разрабатывает продукты в сфере ИБ? Можно ли говорить о противоречиях между правами граждан и системами ИБ?
- Надежная безопасность является базой для всего, что вы делаете. Все клиенты имеют свои секреты. Например, база данных клиентов компании - это ее секрет. Персональная информация о ее сотрудниках - это тоже секрет. И потому перед технологией ставится задача обеспечить управление доступом к информации, знать, кто имеет такой доступ. И я не думаю, что здесь есть противоречие. Тайна частной жизни - это и есть безопасность. Безопасность необходима для частной жизни.
- Сейчас Oracle начала продвигать свою новую grid-технологию: данные будут храниться и обрабатываться не на одном компьютере, а в разных частях информационной сети, может быть, даже в разных городах. И здесь неизбежно появятся новые проблемы. В чем они, как их решить?
- Grid-системы решают множество проблем организаций. Конечно, проблемы безопасности здесь тоже существуют. Но их можно решить, регулируя доступ сотрудников к системе. Например, нужно часто менять пароли - лично для меня самой это большая проблема (смеется). Без хорошего менеджмента, без управления сетью, всей инфраструктурой невозможно получить те преимущества, которые дает grid-технология.
- В России информационная структура не очень хорошо развита - она вполне современна в столице, в крупных городах, но на остальной территории страны каналы связи часто низкого качества. Помешает ли это обстоятельство внедрению grid-технологй?
- Удобство этих технологий в том, что вы не должны делать либо все, либо ничего - все на базе grid или ничего на базе grid. Многие организации медлят с внедрением таких технологий даже в тех случаях, когда информационная инфраструктура между городами вполне развита. Например, некоторые организации отказываются разделять информацию по разным частям своей информационной структуры, поскольку считают, что одно подразделение не должно вмешиваться в дела другого подразделения. Более серьезными являются подобные "культурные препятствия", мешающие созданию больших grid-систем.
- В деле ИБ очень важным является вопрос стандартов. Что должны делать отдельные страны, в частности - Россия: принять, например, известный стандарт Common Criteria или разрабатывать свои стандарты ИБ?
- Мы очень верим и надеемся на Common Criteria, ждем, когда каждая страна примет этот стандарт. И мы знаем о том, что Россия присматривается к этому стандарту (в 2004 году в России вводится ряд ГОСТов, основанных на Common Criteria. - "Известия"). Достоинство Common Criteria в том, что он универсален. Common Criteria - это последний шанс информационной индустрии для того, чтобы она могла работать глобально, для всего мира.
- Сейчас в России вопрос информационной безопасности очень активно обсуждается - наши телекоммуникационные системы протянуты по всей стране и не всегда хорошо защищены, российские хакеры достаточно опытны. Однако четко приоритеты в этой области еще не сформулированы - часто наши чиновники, говоря об ИБ, призывают просто все закрыть и отключить. Каковы основные тенденции в создании систем ИБ сейчас?
- Действительно, ваши хакеры весьма хороши (смеется). Но невозможно все сделать абсолютно секретным. Например, бизнес вынужден рисковать. Вы должны делать информацию доступной для клиентов, для партнеров - иначе вам не успеть за изменяющимся рынком. Также новые технологии могут приносить дополнительные риски. Например, Instant Messenger Systems (IMS - системы мгновенного обмена сообщениями, или интернет-пейджеры. Самые распространенные IMS - ICQ, MSN Messenger. - "Известия") создают проблему с точки зрения ИБ, поскольку информация может бесконтрольно уходить из компании. Поэтому многие компании сейчас запрещают установку на своих компьютерах IMS. Другой пример - беспроводные технологии. Эти технологии очень удобны, но многие компании испытывают связанные с ними проблемы информационной безопасности. Поэтому здесь нужно применять специальные приложения, которые будут обеспечивать надлежащую безопасность.
- Каковы тенденции рынка систем ИБ? Насколько сложно продавать такие системы в различных странах? Например, у нас в стране спецслужбы традиционно сильны - не затрудняет ли это бизнес?
- Спецслужбы многих стран сильны. Мы достаточно хорошо чувствуем себя на рынке систем для частных компаний - я не могу называть имена наших клиентов. Также у нас хорошие отношения и со спецслужбами - дело в том, что пять лет назад об информационной безопасности думали только спецслужбы и Министерство обороны. Эти структуры подтолкнули рынок, определили основные характеристики программных продуктов. Сейчас же гораздо больше самых разных клиентов думают об ИБ.
- После 11 сентября Oracle заявила, что способна построить общенациональную систему идентификации граждан США. Тогда некоторые правозащитные организации выступили с заявлениями, осуждающими главу вашей компании Ларри Эллисона. Как ваша компания учитывает подобные мнения, когда разрабатывает продукты в сфере ИБ? Можно ли говорить о противоречиях между правами граждан и системами ИБ?
- Надежная безопасность является базой для всего, что вы делаете. Все клиенты имеют свои секреты. Например, база данных клиентов компании - это ее секрет. Персональная информация о ее сотрудниках - это тоже секрет. И потому перед технологией ставится задача обеспечить управление доступом к информации, знать, кто имеет такой доступ. И я не думаю, что здесь есть противоречие. Тайна частной жизни - это и есть безопасность. Безопасность необходима для частной жизни.
- Сейчас Oracle начала продвигать свою новую grid-технологию: данные будут храниться и обрабатываться не на одном компьютере, а в разных частях информационной сети, может быть, даже в разных городах. И здесь неизбежно появятся новые проблемы. В чем они, как их решить?
- Grid-системы решают множество проблем организаций. Конечно, проблемы безопасности здесь тоже существуют. Но их можно решить, регулируя доступ сотрудников к системе. Например, нужно часто менять пароли - лично для меня самой это большая проблема (смеется). Без хорошего менеджмента, без управления сетью, всей инфраструктурой невозможно получить те преимущества, которые дает grid-технология.
- В России информационная структура не очень хорошо развита - она вполне современна в столице, в крупных городах, но на остальной территории страны каналы связи часто низкого качества. Помешает ли это обстоятельство внедрению grid-технологй?
- Удобство этих технологий в том, что вы не должны делать либо все, либо ничего - все на базе grid или ничего на базе grid. Многие организации медлят с внедрением таких технологий даже в тех случаях, когда информационная инфраструктура между городами вполне развита. Например, некоторые организации отказываются разделять информацию по разным частям своей информационной структуры, поскольку считают, что одно подразделение не должно вмешиваться в дела другого подразделения. Более серьезными являются подобные "культурные препятствия", мешающие созданию больших grid-систем.
- В деле ИБ очень важным является вопрос стандартов. Что должны делать отдельные страны, в частности - Россия: принять, например, известный стандарт Common Criteria или разрабатывать свои стандарты ИБ?
- Мы очень верим и надеемся на Common Criteria, ждем, когда каждая страна примет этот стандарт. И мы знаем о том, что Россия присматривается к этому стандарту (в 2004 году в России вводится ряд ГОСТов, основанных на Common Criteria. - "Известия"). Достоинство Common Criteria в том, что он универсален. Common Criteria - это последний шанс информационной индустрии для того, чтобы она могла работать глобально, для всего мира.
Ещё новости по теме:
18:20