Взгляд на информационную безопасность от Антона Чувакина, GartnerИсточник: computerra Станислав Макаров
Тема защиты информации привлекает внимание не только узкого круга профессионалов. Благодаря недавним громким скандалам и разоблачениям, проблемы информационной безопасности в самом разнообразном контексте волнуют буквально всех, начиная от пользователей соцсетей, обеспокоенных тотальной слежкой спецслужб до руководителей подразделений ИБ и CIO, в обязанности которых входит и соблюдение многочисленных формальных требований компетентных органов и обеспечение реальной защиты корпоративных данных в интересах бизнеса. Об этом (и не только) мы беседуем с Антоном Чувакиным, директором по исследованиям в компании Gartner (Research Director at Gartner for Technical Professionals (GTP) Security and Risk Management Strategies (SRMS) team). Антон, расскажите немного о себе, почему стали заниматься темой компьютерной безопасности? Я закончил МГУ по физике в 96-м году, и тогда многие мои одногруппники решали, остаться ли работать в России и заниматься физикой, уйти из науки и остаться в России или уехать за границу и заниматься физикой там. Большинство моих знакомых приняли решение уехать за границу. Я тоже - поступил на докторскую программу по физике в университете Стони Брука в Нью-Йорке. Но в середине программы я стал думать, что компьютеры интереснее. И из всех компьютерных областей меня больше всего стала интересовать безопасность., так что по завершении обучения я искал работу только в компьютерной безопасности. Первую работу я нашел в 2001 году, во время так называемого dot com crash, это был сложный период, связанный с большим стрессом. Вторая моя работа была в компании - производителе продуктов по безопасности, и потом я занимался уже только этим. Как Вы попали в Gartner? У нас принято во всех презентациях ссылаться на Gartner, это же практически оракул в области ИТ. Да, я тоже раньше, еще до прихода в компанию, шутил, что Gartner и God (бог) начинаются с одной буквы и это не случайность. Я работал в одной компании, производящей продукты по безопасности, потом я из нее ушел и стал думать, чем бы дальше заниматься, не стать ли мне аналитиком. Посмотрел на разные аналитические фирмы, в том числе Gartner, Forrester, Burton Group. Gartner как место работы я не рассматривал, я не хотел работать в большой компании, т.к. в больших компаниях бюрократия и т.д. Но это был 2008 год ,и тогда особо не нанимали новых сотрудников. Поэтому я стал консультировать сам и, по большому счету, проконсультировал два года и не задумывался больше о карьере аналитика. Я был доволен жизнью, работал с разными вендорами, но за это время Gartner купил компанию, в которой я хотел работать - Burton Group. И один из знакомых написал мне e-mail "хочешь ли ты пойти в Gartner?". Это бывшая команда Burton и в Gartner она называется Gartner for technical professionals - GTP. В общем, я присоединился к одной из команд Security, которая входит в GTP. Мы больше пишем архитектурные технологические документы и меньше про рынок - кто выигрывает и проигрывает. Мы даем архитектурно-операционные советы, а не какую компанию следует покупать. Мне это интереснее, хотя я люблю и то и другое. Ваше русское происхождение помогает или мешает добиваться успеха? Влияет ли на это разница в образовании? Мне кажется, что человеческая индивидуальность больше влияет, чем национальность. Я ведь не могу сказать, что аналитический склад ума - русская черта, это ведь абсурд. Я испытал и русскую и американскую системы образования, и я не могу сказать, какая лучше. В каждой системе есть свои отличия, прежде всего тактические. Я не видел каких-то философских отличий. Я видел в них больше общего, чем разного. Обычно сообщество физиков очень интернациональное… Да, оно еще в СССР было интернациональным. Когда я учился в МГУ, у меня практика проходила в Дубне, в Институте ядерных исследований. И тогда, еще в советские годы было понимание, что наука интернациональна. Расскажите, пожалуйста, о вашем видении задач информационной безопасности. В России все помешаны на этой тематике, она имеет такое огромное звучание везде, все только и говорят о защите информации, но, мне кажется, что преувеличивают. Где грань между паранойей и реальными потребностями в защите? Здесь ( в Америке ) тоже много говорят о безопасности, последний год больше чем раньше. Поэтому я думаю, что большая часть этого интереса. Есть метафора - компании накопили большой долг по безопасности, на людей, которые ничего не делали для безопасности, свалилось все сразу. Многие из этих компаний в истерике: "что делать, какие покупать инструменты?". Потому что в прошлом они ничего не делали, а сейчас им приходится. Получается, что безопасность еще и из-за этого стала популярна, много людей откладывали вопросы безопасности, а теперь им приходится погружаться в эту тему. При этом у них нет ни инструментов 90-х годов, ни 2000-х. а сейчас в 2013 году появляются новые поколения инструментов и практик, и нужны грамотные специалисты. Поэтому истерия очень большая. Существует тезис, что Open Source-продукты безопаснее, чем любые фирменные. Хотя ни одна служба безопасности не может проверить все строчки исходного кода и быть уверена, что, например, Linux абсолютно безопасен. Есть ли в действительности различия в безопасности Windows и Linux с практической стороны? У этого вопроса есть много граней. Когда меня спрашивают люди с целью принятия решения, что ставить, т.е. задают скорее практический, не философский (что более безопасно?) вопрос, то я всегда говорю, что имеет значение возможность конфигурировать безопасно. Если опытному администратору Linux дать Windows, то это будет очень плохая безопасность. Если очень квалифицированному администратору Windows дать Linux, то безопасность тоже будет плохая. То, что ты знаешь лучше, то и безопаснее в твоих условиях. В этом есть какой-то политический момент. В некоторых странах, например, в Китае и в Европе, некоторые государственные ведомства пытаются ориентироваться исключительно на open source, чтобы не зависеть от американских компаний. Как Вы к этому относитесь? Есть ли в этом действительные риски или это всё политические игры? Во-первых, правительства могут потребовать исходные коды для коммерческих программ, есть программы, где Microsoft делится своим кодом. Т.е. здесь не только вопрос "open sourсe", это еще и вопрос, можешь ли ты конкретно посмотреть на этот "source" и будешь ли ты делать какой-то анализ и что из этого выйдет. Конечно, если ты хочешь точно знать, что происходит, то ты должен посмотреть на исходный код. Здесь речь идет не о безопасности или паранойе, а именно о том, что ты лучше знаешь, то и более безопасно. Если кто-то возьмется читать весь исходный код Linux и потратит годы многих специалистов и сочтет, что эти коды он знает хорошо, может сконфигурировать, нашел какие-то ошибки, то это для него самое безопасное. А если вы прочитаете код Windows и хорошо знаете Windows и определите, что там нет никаких рисков, то для вас это самое безопасное. Т.е., больше информации, больше знаний означает, что это более безопасная система. Представители ФСБ признают, что они уже не могут изучить исходный код всех операционных систем, и, тем более, всех приложений, которые работают поверх них. Подход к оценке безопасности, базирующийся на анализе исходного кода уже не актуален, так как практически нереализуем. Нужны какие-то другие методы, например, мониторинг активности, потому что полное исследование кода нельзя выполнить в разумные сроки. Да, конечно, это так. Потому что если все время выходят какие-то обновления и необходимо все это учитывать. Я не думаю, что это неактуально, просто есть вещи, где можно взяться за чтение кода, платить деньги людям и покупать продукты для статического анализа, но это не будет единственная мера. Я никогда не скажу: "Этот код проверили десять специалистов мирового класса, и я подключил все инструменты статического анализа, он безопасен и мне не нужна никакая другая безопасность". Это абсурд, потому что и специалисты могут допустить ошибку и автоматика может не найти. Все равно нужно использовать и мониторинг, какие-то текущие оценки. Я не думаю, что этот подход неактуален, я считаю, что он будет выборочно применяться - где-то только автоматика, где-то люди, где-то ничего, где-то другие инструменты сверху. Есть ли в Америке практика, что для использования в госучреждениях нужны разрешительные документы на программное обеспечение или ведомство само решает, может оно использовать или нет? В большинстве случаев ведомство само решает. В некоторых есть ограничения, но они очень формальные и редкие. Много ли русских в IT-бизнесе? Я все-таки нахожусь в Силиконовой долине, здесь немного более заметны люди из Китая и Индии. По ощущениям, русских не настолько много как могло бы показаться. Возможно, я сужу по безопасности, фрагменту рынка - не весь IT, а именно безопасность, в которой не очень много русских. У меня нет ощущения, что это массовое явление. Насколько российские разработчики программного обеспечения заметны на мировом рынке? Зависит от брендов. Например, если посмотреть Magic Quadrant - инструмент для анализа вендеров, Касперский очень заметен в секции лидеров вместе с Symantec и MacAfee. Т.е. Касперский, несомненно, видим. Я ссылаюсь на наше опубликованное исследование, по данным которого Касперский там присутствует, но если попросить среднего аналитика назвать другую русскую марку безопасности, я сомневаюсь, что кто-то назовет еще что-нибудь. Если спросит аналитиков, которые составляют Magic Quadrant по антивирусам, я не уверен, что они назовут вторую русскую компанию. Существуют и финские и европейские антивирусные компании, но во многих других областях большинство компаний американских, ни европейских, ни русских там нет. Если мы говорим о моде, то лидируют французские и итальянские дома, а если о ПО, то 90% - американские компании? Да, это так, и я всегда посмеиваюсь над людьми, которые пишут геополитические заметки на тему того, что США в кризисе. Роль компьютеров в жизни, которая кажется людям большой, может вырасти в сто раз и все равно будет потенциал для роста. А компьютеры и программное обеспечение сейчас - это действительно США. Когда я читаю книги на тему "США и мировое господство в течение ста лет", я в это верю. Компьютеризация будет расти и значительно сильнее, чем многие люди думают. Как Вы относитесь к стартапам? Подавляющее большинство инноваций приходится на стартапы, иногда кажется, что большие компании вообще ни на что не способны. Я думаю, что большие компании уже не будут иметь такого влияния в мире как раньше, стартапы - это наше все. Большинство крупных компаний могут только купить инновации, они не могут их сделать. Я не говорю, что большие компании совсем ни на что не годны, но более вероятно, что следующая инновация будет от маленькой компании. Раньше была такая шутка: если вы что-то придумали, проверьте, не сделала ли это уже IBM. То есть раньше инновации были на стороне больших компаний. Эти времена вместе с патефоном и "москвичом 412" ушли в прошлое и, по-моему, навсегда. В какой-то момент произошел переход, и большие компании перестали заниматься инновациями? Мне бы не хотелось, чтобы такие грандиозные утверждения были мне приписаны. Но иногда такое ощущение складывается. Я не думаю, что перестали заниматься, скорее перестало получаться. |