Спецпроекты

Безопасность Стратегия безопасности Техническая защита Пользователю Администратору Новости поставщиков

От модемов до облаков: "ИнфоТеКС" 20 лет на рынке ИБ

Два десятка лет - достаточно большой срок для любого активно развивающегося рынка, в том числе информационной безопасности. Очевидно, что перемены коснулись всех сегментов рынка - и заказчиков, и политики, и стандартов и, в первую очередь, решений. О том, как трансформировался ИБ-сектор, что нового принес последний год, на какие направления следует сделать ставку и в чем основной секрет успеха, CNews рассказал Андрей Чапчаев, генеральный директор одного из "очевидцев" событий - компании "ИнфоТеКС", отмечающей в текущем году свой двадцатилетний юбилей.

Интервью с топ-менеджером

Андрей Чапчаев: Отдельные ИБ-системы рынку больше не нужны

CNews: В этом году ваша компания отмечает 20-летний юбилей. Какой она была 20 лет назад? Как развивалась и менялась в течение этих 20 лет? Что удалось сделать за это время?

Андрей Чапчаев: 20 лет назад, 6 сентября 1991 года, буквально через две-три недели после того, как пал ГКЧП, мы решились на фантастическую по тем временам вещь - создание акционерного общества. Более 80 человек вложили в нас небольшие деньги, каждый акционер приобрел акции в среднем на 3000 рублей, которые в то время инфлировали с безудержной скоростью, порой инфляция составляла 30%-40% в неделю. Деньги быстро обесценивались, и мы смогли купить на них только компьютер фирмы "Аквариус" (кстати, компания "Аквариус" и по сей день является одним из наших крупных партнеров), пишущую машинку "Ятрань", несколько стульев, пару столов и телефонов. Весь штатный персонал компании состоял из пяти сотрудников, и первые проекты выполнялись силами "временных творческих коллективов" или, как их теперь называют, фрилансеров.

Несмотря на то, что собранных денег хватило только на один месяц зарплаты, нам не было страшно за будущее (или не было времени испугаться), и, видимо, эта уверенность позволила получить достаточно крупные контракты. Сначала - на создание фрагмента сети X.25 для одной госорганизации, потом - на шифрованный обмен данными по модемной сети для удаленных подразделений "Сбербанка" и впоследствии - на шифрование и защиту данных в системе "Сокол-Банкир" ЦБ РФ, представлявшей собой спутниковую систему связи для нужд банка. Кстати последняя система эксплуатировалась потом практически 10 лет, пока ее не сменили более современные решения.

Все эти работы гарантировали нам стабильный доход на протяжении 1991-1993 г.г., за это время мы создали собственный центр разработки ПО, состоявший из 7-8 программистов и разработчиков, и прекратили привлекать фрилансеров. В эти годы, естественно, еще не было интернета, ОС Windows, сетей TCP/IP. Все коммерческие системы передачи данных строились или на протоколах Х.25 или просто на модемной связи. Поэтому мы фокусировались на задачах шифрования данных, особенно при передаче по модему через телефонные линии общего пользования, чтобы сторонний нарушитель не мог перехватить их на открытых телефонных или радиолиниях.

На рубеже 2000 года, к моменту масштабного внедрения интернета в повседневную жизнь, наша компания насчитывала уже более 50 сотрудников, а центр разработки очень оперативно создал программный шифратор для стека TCP/IP, и что важно, он был сделан в виде драйвера ОС Windows – это позволяло очень быстро развернуть криптографическую VPN-сеть, просто используя уже существующий у заказчика парк компьютеров и серверов.

Именно тогда произошло рождение бренда ViPNet, под которым теперь представлена широкая линейка ИБ-средств, обеспечивающая шифрование трафика и документов, фильтрацию трафика (функция firewall), защиту от вторжений, полную линейку PKI-решений, начиная с криптопровайдера, обеспечивающего выработку электронной подписи, и заканчивая мощным масштабируемым удостоверяющим центром со множеством сервисных приложений.

На сегодняшний день штатная численность нашей компании вместе с филиалами и дочерними обществами превышает 300 сотрудников. Из них только в центре разработки трудятся более 150 аналитиков, программистов и разработчиков систем. Годовой объем бюджета, выделяемого на разработку и инновации, превысил 6 миллионов долларов, что является немалой суммой для российских условий.

Такому коллективу под силу уже очень значительные задачи. В качестве примера можно сказать, что наши решения являются ИБ-составляющей гигантской билетной системы ЭКСПРЕСС-3 РЖД, услугами которой пользуется почти все население РФ. VPN-продукты "ИнфоТеКС" обеспечивают безопасность и связность серверных систем Электронного правительства и в первую очередь - связь портала государственных услуг с информационными системами всех федеральных органов исполнительной власти. К системам такого класса предъявляются очень жесткие требования по доступности, безотказности и непрерывности предоставления услуг, и наши ИБ-решения отвечают всем им.

Наверное, главное достижение компании как раз заключается в том, что продукты и решения достигли высокого качества и функциональности, позволяющего их активно использовать в целом ряде крупных национальных ИКТ-систем, предоставляющих массовые сервисы населению, бизнесу и госорганам.

CNews: Как изменился ИБ-рынок и сегмент средств защиты информации в частности? Какие тенденции и технологии сейчас являются определяющими?

Андрей Чапчаев: С одной стороны, информационная безопасность всегда вторична по отношению к развитию информационных систем, приложений и сервисов, поскольку в первую очередь потребители стремятся удовлетворить свои потребности. С другой стороны, использование каких-либо сервисов и приложений без принятия мер безопасности может нести в себе значительные угрозы, как для самого потребителя, так и для остальных пользователей и системы в целом. Например, если в системе клиент-банк идентификация пользователя осуществляется с помощью простого пароля, то есть риск, что к счету клиента получат доступ другие люди, которые овладели паролем, используя перехват трафика между клиентским компьютером и порталом банка, либо посредством внедрения троянской программы на ПК пользователя, либо с помощью ряда других методов. Таким образом, ИБ-системы, хотя и являются вторичными по отношению к информационным сервисам и приложениям (которые они призваны защищать), должны проектироваться применительно к этим системам и, даже лучше, одновременно с ними, так чтобы ИБ-проект был бы непосредственной составляющей комплекса по созданию информационной системы. Иначе проектирование системы защиты информации и ее имплементация уже в работающую ИС будут достаточно дорогостоящим удовольствием и в ряде случаев потребует ре-дизайна самой основы.

Последние годы ИТ-рынок меняется очень стремительно. Буквально за три года произошла резкая смена пользовательских устройств и информационных технологий. Сейчас уже очевидны два тренда, которые по сути являются разными сторонами одной и той же медали. С одной стороны, идет быстрая "мобилизация" пользователей с помощью всевозможных планшетов, смартфонов и пр. Причем каждый человек оперирует множеством устройств, и, как следствие, ему как минимум нужна какая-то единая точка предоставления сервисов хранения данных, доступная для использования с помощью разных гаджетов. С другой стороны, идет активное развитие "публичных облаков" как той самой единой точки предоставления сервисов и хранения данных для индивидуальных пользователей, а также "корпоративных облаков" на базе мощных корпоративных ЦОДов как единой точки предоставления информационных сервисов сотрудникам корпорации и хранения данных для группового использования. По мере строительства "корпоративных облаков" все сервера приложений и сервисов, которые ранее были разбросаны как индивидуальные устройства по узлам корпоративной сети, теперь начинают консолидироваться в корпоративном ЦОДе (физическом носителе "корпоративного облака") в виде виртуальных устройств и объектов (virtual appliance), способных, к тому же, в пределах дата-центра свободно перемещаться с одного вычислительного ресурса на другой, так чтобы все множество виртуальных приложений наиболее эффективно использовало весь вычислительный ресурс ЦОДа и его систему хранения данных.

С этого момента завершается эра построения систем безопасности, основанная на технологии создания защиты вокруг изолированных серверов приложений и данных. Например, если ранее было необходимо обеспечить безопасную работу пользователей с каким-то изолированным сервером, то перед ним можно было установить ИБ-средства также в виде специализированных модулей: файервола - для фильтрации трафика, системы авторизации пользователей – с целью проверки прав пользователя перед тем., как он начнет работать с приложением, VPN-сервер - чтобы подключить удаленных пользователей к рассматриваемому серверу приложений, модуль IDS и многое другое.

Теперь такой подход работать не будет. ИБ-системы теперь практически изначально должны встраиваться внутрь "публичных" и "корпоративных облаков". В этом и заключается основная тенденция.

Производителей ИБ-решений это должно радовать - ведь рынок большой и нерешенных проблем много. Об этом свидетельствуют достаточно частые инциденты, связанные с раскрытием данных пользователей, хранимых в публичных облаках крупных провайдеров, сервисов и приложений в интернете. С другой стороны, это потребует значительных инвестиций от разработчиков ИБ-систем, поскольку за короткий промежуток времени нужно перейти от производства stand alone решений к разработке ПО, встроенного в "облачные" технологии.

CNews: Как выглядит современный клиент вашей компании? Есть ли отраслевые предпочтения? Как со временем менялись запросы клиентов?

Андрей Чапчаев: Современный клиент нашей компании - это в первую очередь средние и крупные коммерческие предприятия и организации государственного сектора. Каких-либо предпочтений нет: все определяется потребностями самого заказчика, и здесь понятно, что задача защиты информации на предприятиях, к примеру, концерна "Росатом", более актуальна, чем на хлебобулочном комбинате. Соответственно, и ИБ-бюджеты у этих организаций разные. Мы как коммерческая организация, конечно же, предпочитаем работать в первую очередь с теми, кто сам понимает важность и жизненную необходимость внедрения ИБ-систем и имеет соответствующий, предусмотренный на эти цели бюджет. Что же касается запросов, то можно утверждать, что в первую очередь растет их качество. Потребители становятся более продвинутыми в области ИБ и выдвигают конкретные требования. С одной стороны, это способствует эффективности будущих разработок, с другой - заставляет все время быть "на уровне".

CNews: Какие решения сейчас наиболее востребованы? Почему?

Андрей Чапчаев: Не могу сказать за весь рынок, но для корпоративного сектора наиболее актуальны решения и комплексы, обеспечивающие защиту информации при групповом использовании сотрудниками информационных ресурсов и приложений корпорации, в том числе и при удаленном доступе с помощью всевозможных мобильных устройств по сетям общего пользования. К ним относятся VPN-решения, средства фильтрации трафика (firewall), аутентификации пользователей, обнаружения вторжений и системы мониторинга событий в ИБ-системе, антивирусы, средства защиты от утечек и многое другое. Практически все, кроме антивирусных средств, имеется в продуктовой линейке нашего предприятия.

Востребованность этих ИБ-продуктов определяется тем, что по мере развития предпринимательства все большую роль в бизнесе играют информационные системы и приложения, например, CRM, ERP и др., и все они предполагают групповую работу сотрудников с ними. Если речь идет о десятках и сотнях работников, использующих общий информационный ресурс, то всегда есть практически реальный риск, что среди них найдется так называемый "внутренний нарушитель", способный нанести вред компании, руководствуясь каким-либо мотивом (недовольство карьерой, зарплатой, отношением руководства и др.) и используя свои пользовательские, или, хуже того, администраторские полномочия в прикладной системе.

CNews: Как изменились ИБ-проекты? На что сейчас ставят компании?

Андрей Чапчаев: Задачи компаний по защите информации по большому счету не изменились. Как и ранее, это обеспечение конфиденциальности, защита от утечек данных, подлога, искажения, неавторизованного использования ресурса и т.д. Новыми стали условия и границы реализации ИБ-проектов. Сложность самих информационных систем и их сетевого окружения достигли такого уровня, что эффект дают только интегрированные ИБ-системы (потому как человеку уже не под силу анализировать информацию из множества разрозненных решений), охватывающие не только объект защиты, но и все мыслимые возможности доступа к нему, а также инструментарий пользователя в виде аппаратных и программных средств.

Короткая ссылка