Президент "Информзащиты": ИБ не отстает от развития информационных технологий
Своим современным обликом дело информационной безопасности в России обязано буквально нескольким компаниям-лидерам, которые одновременно были и первопроходцами в этой молодой отрасли...
Своим современным обликом дело информационной безопасности в России обязано буквально нескольким компаниям-лидерам, которые одновременно были и первопроходцами в этой молодой отрасли. Одна из них – ГК "Информзащита". Ее президент и один из основателей Петр Ефимов отметил недавно 50-летний юбилей.
- Как появилась компания "Информзащита"? С чего все начиналось?
- Мы начинали еще в то время, когда локальные вычислительные сети (ЛВС) по сути только зарождались. И тех угроз, которые пришли в нашу жизнь с развитием ИКТ, еще не было.
Скажем, когда в начале 90-х я приходил на переговоры в крупный банк и предлагал защиту от несанкционированного доступа (НСД), меня не сразу понимали. А когда понимали, обычно говорили что-то вроде: "лучше бы вы нам предложили защиту от НДС". Люди мало задумывались о проблемах информационной безопасности (ИБ), об угрозах, с последствиями которых они еще ни разу не сталкивались. Все было несколько проще для владельцев ИС. И сложнее для нас – тех людей, которые начинали работать в сфере ИБ. Осознание, например, важности защиты от вирусов пришло ко многим потребителям гораздо раньше, чем понимание проблем, связанных с общими вопросами ИБ.
В то время в сфере ИБ быстро появлялось (и так же быстро исчезало) множество компаний. А качественно реализовать даже самую гениальную идею в области ИБ было явно недостаточно для моментального успеха. Потребителей предстояло воспитывать, а на формирование новой потребности уходит не 10 минут, не день, и даже не год…
- Судя по последним финансовым отчетам, вы смогли не только воспитать эту потребность среди заказчиков, но и неплохо ее монетизировать. В этом году оборот группы компаний "перевалил" за 100 млн долл. Менялся ли ваш подход к управлению, к сотрудникам по мере роста "Информзащиты"? Вы стараетесь вникать во все дела или оставили себе только стратегические задачи?
- Чем крупнее и диверсифицированнее компания, тем сложнее ею управлять. Нисколько не удивлюсь, если глава крупной компании-вендора не сможет на память перечислить свою линейку продуктов. Не говоря уже о том, чтобы рассказать о каждом из них поподробнее.
Мне больше импонирует золотая середина: человек, сочетающий в себе качества технаря и управленца в нужной пропорции.
Мне больше импонирует золотая середина: человек, сочетающий в себе качества технаря и управленца в нужной пропорции
В кабинете, где мы разговариваем, дверь открыта для всех тех, кому есть что сказать. Значительную часть рабочего дня я трачу и на общетехнические вопросы, связанные с формированием техполитики, продуктового ряда, с анализом новых возможностей и технологий. При этом задействую весь свой технический и управленческий "бэкграунд" и думаю, что такой подход наиболее эффективен.
- Несколько лет назад вы вошли в список 100 самых влиятельных ИТ-людей Росссии. Группа компаний, которую вы возглавляете, постоянно упоминается в крупных исследованиях российского рынка ИТ. Как вы воспринимаете это признание – как достижение цели?
- О том, что я вошел в Топ-100, я узнал чуть ли не случайно – в последний момент, когда меня уже пригласили на церемонию награждения. Подобного рода оценка профессиональным сообществом твоих усилий и роли всегда приятна, причем не только тебе самому, но и, скажем, членам семьи.
Но это не должность, а только оценка. Она не накладывает дополнительных обязательств, не меняет должностных функций. Причем, если раньше эти рейтинги многих интересовали, то сейчас ажиотаж вокруг них значительно поутих, уступив место рейтингам Forbes.
Но это совершенно не относится к исследованиям, в которых фигурирует наша группа компаний. Лидирующие позиции каждой из компаний мне очень дороги и важны.
- Вернемся к началу нашей беседы: вы начали рассказывать о том, что представлял собой рынок ИБ в России 17 лет назад. Что изменилось за это время в сфере "безопасных" технологий? Чем именно в этой сфере вы занимаетесь сейчас, на что делаете акцент?
- Мы достаточно давно отошли от решения локальных задач, стали работать на уровне инфраструктуры, а сегодня уже, скорее, на уровне безопасности бизнес-процесов и бизнес-приложений. Еще десять лет назад ИБ не диктовала технологических требований, являясь просто одним из ограничений. Сегодня же есть примеры, когда крупные ИТ-проекты реализуются "вокруг" ИБ. Например, самый большой в мире по территориальному охвату удостоверяющий центр для Федерального казначейства, обслуживающий всех бюджетополучателей РФ (это порядка 800 тыс. учреждений и организаций). Центр интегрирован с сайтом госзакупок и другими ИС. Данный проект, реализованный нами, имеет в качестве базиса "безопасные" технологии – ЭЦП и PKI (Public Key Infrastructure).
Безопасность сегодня - один из ключевых показателей ведения бизнеса, а в некоторых случаях и конкурентное преимущество. Бизнес становится все более "ИТ-зависимым", географически распределенным и интегрированным. Грамотное управление ИТ-рисками не только позволяет сократить операционные расходы, но и в целом стратегически укрепить свои позиции в будущем.
Что касается второй части вашего вопроса, то в числе наших направлений сегодня – изучение недокументированных производителями возможностей, защита на уровне микрокода процессора, использование уже появившихся технологий, позволяющих практически реализовать такой "низкоуровневый" подход в целях ИБ. Наши новые разработки, пригодные к промышленному тиражированию, увидят свет уже в этом году. Причем на одно из первых мест будут поставлены вопросы удобства эксплуатации, внедрения, интеграции.
- С чем это связано?
- Представьте, на одного сервисного менеджера компании приходится несколько заказчиков, которые расположены по всей России. Минимум пять раз в год им требуется уделить внимание. Условно говоря, на обслуживание одного конечного пользователя есть совсем немного времени. Решения с затрудненной эксплуатацией обходятся слишком дорого, поэтому традиционно сильной стороной наших разработок является повышенное внимание, которые мы уделяем этому вопросу. Одной лишь передовой технологии или интересного подхода нам недостаточно, мы всегда нацелены на промышленные решения.
- Вы уже рассказали, что в те времена, когда компания была организована, потенциальных заказчиков еще предстояло "воспитать". А кто были ваши первые клиенты?
- Первым, кого нам удалось убедить в необходимости ИБ, было государство. А первым нашим крупным проектом - одногодком компании, который мы продолжаем вести и поныне, стало обеспечение ИБ для государственной автоматизированной системы (ГАС) "Выборы".
Другим нашим крупным заказчиком, тоже в течение 17 лет, является Центробанк. Уже тогда это была весьма централизованная структура, хотя регионы имели больше степеней свободы для того, чтобы проводить свою собственную техническую политику. Эту работу мы начали еще до принятия и начала применения на практике закупочных процедур для госструктур в рамках 94-ФЗ и др. Приходилось много ездить, общаться с техническими специалистами и руководителями, убеждать каждого из них, что мы действительно лучшие.
Примерно тогда же мы начали работать с "Внешторгбанком", хотя по сравнению с другими проектами это больше было похоже на разовые поставки, чем, собственно, на проекты.
- С самого начала компания работала со столь крупными государственными заказчиками. Не возникало желания ограничиться этим кругом клиентов?
- Какой бы привлекательной нам иногда ни казалась перспектива стать компанией одного крупного заказчика, мы всегда целенаправленно стремились к тому, чтобы доля каждого из них не превышала 10%. Например, работа с госзаказчиками приносит деньги, а также значима в социальном плане. Но опыт всевозможных кризисов показывает, что секвестируется в первую очередь то, без чего можно жить. Или же считается, что без этого можно временно обойтись. В частности, урезаются расходы на ИБ в госсекторе.Доля госзаказов в нашем сегодняшнем портфеле составляет примерно 50%. Особый акцент мы делаем на корпоративный сегмент и имеем сейчас порядка 1200 заказчиков и более 400 выполненных проектов в прошлом году. Мы не выходим за рамки наших компетенций в области информационной безопасности. Но это нисколько не мешает нам предлагать свои услуги самому широкому кругу заказчиков.
К тому же, важно заметить, что ведение большого числа проектов, работа с разными клиентами означает для нас накопление опыта. И, как следствие, повышение экспертизы, профессионализма.
- Раз уж зашла речь, давайте немного поговорим о работе с госсектором. Насколько "сегодня" отличается от того "вчера", когда вы начинали развивать свой бизнес?
- Важно отметить два аспекта. Во-первых, изменился подход. Раньше от нас часто требовали сам продукт, а дальше просили отойти в сторону. Сейчас же постепенно приходит понимание, что мало иметь продукт, нужен результат. Такой подход позволяет решать вопросы информационной безопасности наиболее полно. И в этом плане за последние 17 лет рынок ИБ изменился на моих глазах в лучшую сторону. У нас, в частности, есть примеры крупных госструктур, которые мы обслуживаем как аутсорсеры, неся ответственность за конечный результат. Раньше вопросы подобным образом ставились крайне редко.
Во-вторых, изменился ИТ-ландшафт, который раньше был более консервативным. Сейчас государство инициирует развитие электронных услуг, сопряженное с передовыми технологиями. Речь идет об электронном бюджете, СМЭВ и многом другом. ИТ-системы в госсекторе значительно изменились, что, в свою очередь, не может не затронуть ИБ-системы.
- Давайте попробуем немного заглянуть в будущее. Каким вы видите развитие рынка ИБ в России?
- ИБ будет следовать за тенденциями развития бизнеса и ИТ, которые поддерживают этот бизнес. Уже сейчас на бизнес-уровне ИБ обеспечивает коммерческую тайну, борется с мошенничеством, приобретает юридическую значимость. На уровне ИТ вопросы ИБ поднимаются в связи с виртуализацией, развитием мобильных технологий, удаленного доступа и т.д. При этом разные отрасли экономики диктуют определенную специфику. К примеру, в ТЭК и промышленности возрастет внимание к защите технологических сетей (АСУ ТП - автоматизированные системы управления технологическими процессами).
Интерес к ИБ неизбежно станет осознанной необходимостью. Технологии развились настолько, что есть принципиальная возможность реализовать почти любую идею, поскольку мы не испытываем тех ограничений с вычислительными и прочими ресурсами, которые были несколько десятков лет назад. Полет фантазии сегодня достаточно свободный, но не все, что можно реализовать, делается безопасным образом.
Об этом свидетельствует и внимание государства к проблеме обеспечения ИБ, которое будет продолжать усиливаться. В качестве примера можно привести 161-ФЗ "О национальной платежной системе". Или высокий интерес государства к обеспечению безопасной обработки персональных данных граждан.
Напоследок хотелось бы отметить, что мы специализируемся на работе с корпоративными клиентами и госзаказчиками, которые сопоставляют деньги на безопасность с последствиями и вероятностью реализации тех рисков, которые они хотят предотвратить. И уже можно сказать, что процесс формирования "инстинкта информационной безопасности" начался. Дальше он будет только развиваться и распространяться.
- Развитие каких информационных технологий, по-вашему, несут сейчас наибольшие риски с точки зрения ИБ?
- В первую очередь в голову приходят мобильные технологии и связанная с ними защита персональных данных, о которой я уже упомянул. Не исключено, что сборник с полной подборкой личной информации – от финансовой до перечня посещаемых вами ресторанов - можно будет купить где-то в подземном переходе рублей так за 50. Но готовы ли вы, хотя бы теоретически, обнажить свою личную жизнь перед совершенно посторонними людьми до такой степени?
Если взять более глобальные вещи, то, к примеру, на Западе, к различным сетям подключают объекты инфраструктуры: от системы "умных" светофоров (и у нас есть опыт выполнения таких проектов), до энергетических подстанций, с возможностью удаленного управления. С помощью систем, называемых у нас АСУ ТП, можно управлять мартеновским производством или железнодорожными перевозками. Но всякий раз, когда автоматизируешь и подключаешь к сети общего пользования техногенную систему такого масштаба, надо очень сильно задумываться над тем, что ты делаешь.
Поэтому, может быть, и хорошо, что мы пока не дошли до повальной "смартизации" всего и вся. И у нас еще есть некоторое время, чтобы остановиться и подумать - нужно ли это? Мы привыкли считать многие вещи фантастикой, в то время как они уже превратились во вполне реальные угрозы. Инстинкт самосохранения - один из самых сильных, но прежде, чем он сработает в области ИБ, люди должны осознать возможные последствия безоглядного увлечения возможностями современных ИТ.