Журналисты и IT-специалисты плечом к плечу встали и сели на защиту информации
Во вторник, 24 марта, компания IDC провела очередную, седьмую, по счету, ежегодную конференцию IDC Security Roadshow. В рамках этой конференции прошла пресс-конференция.
Заглянув за дверь переговорной комнаты, где должна была состояться пресс-конференция, можно было подумать, что здесь решили собираться для переговоров исключительно представители IT-компаний, имеющих отношение к разработке систем безопасности. Вокруг большого "п-образного" стола стояли стулья, перед которыми находились внушительного размера таблички с именами спикеров. Оставалось только предполагать, что прессе предстоит стоять навытяжку, прижавшись к стене, за спиной у спикеров, но думать в таком ключе об обсуждении безопасности не хотелось.
Увы, но, кое-кому из журналистов, тем не менее, пришлось все же отстоять свое. Но не тем, кто пришел к началу. Им глава российского офиса IDC Роберт Фариш гостеприимно предложил рассаживаться на стульях, стоящих между табличками. Оказалось, что табличек действительно меньше, чем стульев и кое где между «отабличенных» сидячих мест имеются и бесхозные.
Сев на один из стульев, автор данного текста быстро понял, что помимо официальных спикеров будут и те, кому не досталось табличек. Поэтому автора несколько раз просили подвинуться. Так, пересаживаясь, корреспондент IT-Weekly добрался до хозяина конференции г-на Фариша. Тот мог чувствовать себя практически королем. Поскольку слева и справа от г-на Фариша стояло по пустому стулу. Все остальные места были заняты и участники конференции, как журналисты, так и спикеры, приготовились «плечом к плечу», в буквальном смысле, обсудить информационную безопасность.
Роберт Фариш предложил собравшимся ответить на вопросы, какие риски представляют наибольшую проблему в условиях кризиса и как они меняются, а также оценить степень зрелости российского рынка информационной безопасности.
При этом перед спикерами было поставлено и два жестких условия - говорить, отвечая на один вопрос, не более пяти минут и только в микрофон. Последнее - поскольку IDC вела запись беседы.
Отвечая на первый вопрос, представители IT-компаний практически единодушно заявили, что самой главной проблемой во время кризиса является бездумное сокращение расходов на IT. При этом все понимали, что резать надо, потому, как кризис. Но с умом! Красивее всех по этому поводу высказался директор департамента по работе с государственными и общественными организациями Microsoft Павел Ершов: «Резать расходы надо, но так, чтобы не зарезать бизнес».
Разговор о том, как меняются со временем проблемы безопасности, постепенно перешел в обсуждение киберпреступности.
Высказавшийся первым по этому поводу г-н Ершов можно сказать так и не нашел сторонников, согласных с тем, что киберпреступность особо от кризиса не зависит, потому, что такая преступность - это удел людей высокопрофессиональных, имеющих как минимум одно высшее образование, а лучше - несколько. Скорее всего, Павел Ершов имел в виду, что кризис все-таки продлится не так долго, чтобы за это время по нескольку высших образований получило огромное количество людей, пожелавших при этом посвятить жизнь киберпреступности.
Но г-ну Ершову напомнили, что попавшие под сокращение сисадмины - люди грамотные и по всем статьям под критерий киберпреступников подходящие. Во-первых - озлобленные, во-вторых - голодные, в-третьих - жизнь свою информационным технологиям уже, как минимум, один раз посвятившие.
Руководитель отдела стратегического маркетинга «Лаборатории Касперского» Олег Гудилин предположил, что эти уволенные специалисты вытеснят из киберпреступности последних ошивающихся там школьников и студентов и, взявшись за дело с новыми силами, создадут новые высокопрофессиональные инструменты для кибератак.
- Обиженных профессионалов много. Им надо как-то зарабатывать. - Согласился с коллегой из «Лаборатории» руководитель группы технических специалистов Symantec в России и СНГ Кирилл Керценбаум.
По поводу «сращивания» кибер и обычной преступностей мнения разделились.
Г-н Гудилин, в частности, заявил, что два года назад уже появлялись утверждения о постепенном «сращивании» виртуальной и традиционной преступностей, но ничего серьезного с этого времени в этом отношении не произошло.
Обаятельный человек, оказавшийся на поверку бывшим сотрудником ФБР, занимающим в настоящее время должность Chief Security Advisor в фирме Microsoft, Эдвард Гибсон (Edward Gibson) поделился своим опытом и рассказал, что киберпреступность изначально является преступностью и делить преступников на кибер и обычных особого смысла нет.
Г-н Керценбаум сказал, что киберпреступность будет торговать виртуальным оружием и красть материальные ценности у компьютерных игровых персонажей. Этим он хотел подчеркнуть, что киберпреступники будут тем сильнее влиять на нас, чем больше мы будем погружаться в виртуальные миры.
Еще одной темой обсуждения стала защита персональных данных. Примечательно, что подняла эту тему представительница журнала «Персональные данные», которая спросила, как присутствующие относятся к возможности приведения бизнеса операторов этих самых данных (не тех, разумеется, которые в журнале, а самых настоящих) в соответствие с законом, вступающим в силу с 2010 года. Закон подразумевает соответствие нормам ФСБ и ФСТЭК.
Представители IT-компаний показали, что законом довольны.
Точнее, довольны они самим появлением закона. Поскольку он, даже одним своим появлением, стимулирует заказчиков к покупке различных систем, призванных данные защищать. Тем не менее, многие отметили, что закон сыроват и неоднозначен. И нет в нем четких правил построения систем хранения персональных данных и четких критериев.
Ситуацию, которая существует на российском рынке сейчас, честно описал руководитель центра компетенции Trend Micro в России и СНГ Михаил Кондрашин. Он объяснил, что соответствующие органы интересует сейчас не защита данных, а наличие необходимого количества соответствующих сертификатов. Поэтому для поставщиков систем защиты данных эти сертификаты являются по сути отдельным товаром. Их продают точно также, как и программные продукты. Иногда одновременно с продажей ПО, иногда после поставки систем - при необходимости. Как придет аудит, так и сертификаты подвезут. Но заказчик всегда вправе проверить - есть ли сертификаты на приобретаемые решения и те ли это бумаги, которые «подойдут» к последнему закону. И хватит ли бумаг.
Де факто, заказчики к удовлетворению требований нового закона о защите данных не готовы, - считает г-н Кондрашин. И не будут готовы еще как минимум года два. Дело здесь не только в программном обеспечении и «железе». И даже не в сертификатах. А в подготовленности бизнес-процессов, в подходе.
Старший специалист по разработке стратегии информационной безопасности IBM ISS Джошуа Корман, в свою очередь, сказал, что в США, где подобный закон уже действует какое-то время, контролирующие органы стремятся работать, исходя из того, что защита данных - это процесс. Причем длительный. И соответствие закону не является панацеей от бед.
- Закон, запрещающий убийства есть, однако же, людей убивают - резюмировал г-н Корман.
Чтобы не заканчивать повествование на такой негуманной ноте, можно добавить, что формат пресс-конференции, на которой количество спикеров практически равнялось числу присутствующих журналистов, было обусловлено тем, что присутствовавшие IT-компании являлись спонсорами Roadshow IDC.
- Нельзя было не дать возможность им высказаться, - с улыбкой пояснил корреспонденту IT Weekly Роберт Фариш.
Опубликовано 24.03.2009