Совместный проект При поддержке
 Ассоциация Российских Банков Журнал "Банки и технологии"


Владимир Елисеев: "Коробочные" решения уже никого не устраивают

Владимир ЕлисеевНа вопросы CNews.ru отвечают представители компании "Инфосистемы Джет": генеральный директор Владимир Елисеев, начальник отдела по работе с банковскими и финансовыми структурами Константин Казаков, начальник отдела средств и методов защиты информации Илья Трифаленков.

CNews.ru: Прежде чем говорить о защите информации в банковской сфере хотелось бы дать оценку общему уровню защиты банковских IT-систем в России.

Илья Трифаленков: Я бы оценил уровень защиты как адекватный уровню развития самих информационных технологий. По мере того, как развиваются информационные технологии в банке, нарастает понимание, что ресурсы этой банковской системы надо защищать и значит, какая-то часть финансовых средств должна быть направлена на построение защиты.

CNews.ru: Какова динамика спроса на IT-решения среди финансовых структур? Готовы ли банки доверить решение вопросов контроля безопасности третьим лицам или же более активно развивают собственные службы безопасности?

Константин Казаков: Можно сказать, что рост значителен. В 1997-98 гг. были в основном традиционные отделы по "физической" безопасности, а об информационной безопасности заботились в последнюю очередь (ввиду бюджетных вопросов). Сейчас положение несколько изменилось. Я думаю, в среднем банк тратит на информационную защиту порядка 20-30% от общего бюджета, выделяемого на безопасность.

Что касается второй части вашего вопроса. Нет, на мой взгляд, банки не готовы доверять. У каждого банка есть своя собственная служба безопасности, и в некоторых банках даже главенствующая над департаментом ИТ. Это общая практика, которая, скорее всего, сохранится и дальше.

Владимир Елисеев: Если говорить о динамике рынка, то одна из основных тенденций, на мой взгляд, это уход от "коробок": простые "коробочные решения" не только в области информационной безопасности, но и в других областях сами по себе перестают работать. Можно легко собрать систему, которая неработоспособна, при всей внешней привлекательности. Чтобы этого не произошло, необходимы достаточно четкие меры, принимаемые организацией, которая занимается проектом. Многие системы, которые сейчас строятся, требуют детальной проработки. Кроме того, важны вопросы организации работы. Если отсутствует жесткая система управления проектом, то в больших структурах внедрение растягивается не на недели, а на годы.

У нашей компании есть ряд технических решений, которые выведены на уровень типовых и не требуют длительной проработки. Они адаптируются под конкретного заказчика и далее идет накатанная система исполнения. Другая категория - относительно новые решения, которые не могут быть заранее "на глазок" просчитаны. Их надо проектировать, не говоря о том, что сам заказчик до конца не знает, что именно ему нужно. Он хочет решить задачу, но не понимает, как ее решить. Мы рисуем первый эскиз - как это можно сделать, предоставляем информацию о том, какие характеристики системы сколько реально стоят. После этого заказчик начинает изменять свои оценки, требования. В результате меняется решение. Каждое изменение оформляется в реальных документах. Без проектов это просто не делается.

CNews.ru: Какие решения пользуются наибольшим спросом в банковской сфере? Менялись ли запросы банков и их требования к продуктам в течение последних нескольких лет? Есть ли спрос на российские разработки?

Владимир Елисеев: В банках применяются практически все решения, которые мы предлагаем - инфраструктура центрального вычислительного комплекса, серверные комплексы, локальные и распределенные сети, системы безопасности, системы управления и обслуживания. Поскольку мы используем технологии, применяемые в крупных системах, у нас довольно мало заказчиков, которых можно отнести к небольшим организациям. Зато в списке наших заказчиков почти все организации, которые на слуху: большие банки, ЦБ, "Газпром", "Лукойл", "ТНК", "Русский алюминий" и т.д.

Наиболее интересующие сейчас клиентов вопросы - это устойчивость систем, все аспекты хранения данных, которых за последние несколько лет стало действительно много. Мы осуществляем построение сложных систем хранения данных и больших массивов, вынесение их в удаленный резервный центр. В сетевой отрасли активно растет интерес к интегрированной передаче голоса и цифровых данных. Соответственно, возникает вопрос защиты каналов. Организации начинают использовать в качестве среды обмена данными Интернет, следовательно, внедряют VPN. Системы становятся достаточно большими, и без специализированных автоматизированных инструментов ими уже сложно управлять. В этом направлении у нас тоже есть достаточно живые и большие проекты. В работе с банками у нас хорошая история многолетней технической поддержки.

Константин Казаков: Если говорить о приоритетной линейке продуктов, то в основном они определяются теми бизнес-приложениями, которые используются в банке. Сейчас пошла мода на электронную коммерцию, т.е. различные формы интернет-банкинга, и соответственно, требуется обеспечение безопасного доступа, традиционные средства внутреннего аудита. В качестве средств защиты от несанкционированного доступа мы предлагаем межсетевой экран Z-2, для защиты корпоративной электронной почты - продукт СМАП "Дозор-Джет" (оба продукта собственной разработки нашей компании), для активного аудита и контроля защищенности - ряд продуктов компании Axent (ныне принадлежащей Symantec), в качестве антивируса - продуктовую линейку компании Symantec.

Владимир Елисеев: Банки выбирают системы не потому, что они отечественные или западные, а потому, насколько они удобны, существуют ли специалисты, которые умеют внедрять и сопровождать эти системы, или их нет. Некоторые банки используют западные банковские системы, многие банки работают с отечественными. Во-первых, потому, что они дешевле, а во-вторых, потому, что рядом есть разработчик, который быстро все "подгоняет" под наше постоянно меняющееся законодательство. Аналогичная ситуация на рынке защиты информации. Заказчики смотрят на то, что устанавливается. Первым делом все ставят Firewall. Далее смотрят на мониторинг - пытаются следить за тем, что происходит в системах, в электронной почте. Цельных систем защиты в банках практически нет, и спрос только-только начинает возникать. Пока трудно говорить о рынке таких решений. Консалтинг и аудит в банках - также единичные случаи в практике. Эта область традиционно закрытая и требует достаточно долгой работы, чтобы возникло взаимное доверие.

CNews.ru: Насколько банки ориентированы на долгосрочное сотрудничество с системным интегратором, предоставляющим услуги в области информационной безопасности?

Владимир Елисеев: Мы работаем с большими банками. Хотя в целом банки для нас, кроме ЦБ или Сбербанка - заказчики среднего масштаба. У больших банков, входящих в первую десятку, как и у любых больших организаций, специфическое отношение - им трудно менять партнера. Для них это всегда тяжелый переход. Крупным банкам удобно работать с одним партнером. И нам это также интересно. С Центральным банком и "Гута-банком" мы сотрудничаем около 8 лет, с рядом других банков от 5 до 8 лет.

CNews.ru: Вы проводили оценки общего объема российского рынка информационной безопасности в банковской и финансовой сфере?

Илья Трифаленков: Рынок банковской информационной безопасности в 2001 году можно оценить в объеме около 20 млн. долларов. Сам рынок безопасности гораздо больше, несомненно. Здесь надо сказать, что банковская безопасность - это не только программные продукты, но и полный набор услуг.

CNews.ru: А какова доля банков и финансовых институтов в общей структуре вашей клиентской базы?

Владимир Елисеев: Доля коммерческих банков - около 15%, а с учетом Центрального банка, наверное, 25%. Кстати, примерно 25% в структуре доходов компании приходится и на проекты в сфере информационной безопасности.

CNews.ru: Согласны ли вы с утверждением, что в России в настоящий момент нет организованного противодействия преступности в сфере IT-технологий?

Илья Трифаленков: Смотря что называть организованным противодействием. Конечно, любое средство защиты - это определенное противодействие преступности, но скорее надо говорить об обмене опытом, обмене данными, обмене решениями в этой области. Все те решения, разработки, которые принимаются на западном рынке, достаточно быстро проникают на российский рынок и находят здесь применение.

Владимир Елисеев: Вопрос еще и в актуальности. Для западных банков это более насущная проблема, чем для отечественных. Это вопрос объемов автоматизации. Ведь в зависимости от уровня автоматизации, вам можно нанести больший или меньший ущерб. Подозреваю, что в отечественных банках эта угроза в десятки-сотни раз меньше, чем в западных.

Илья Трифаленков: Давайте просто посмотрим, какой процент западных банков работает в режиме онлайн, в интернете, т.е. так или иначе, в потенциально опасной среде, и какой процент среди российских банков. В России сейчас это буквально единицы.

Владимир Елисеев: Кроме того, в российских банках более жесткие условия договоренности с клиентами относительно предоставления такого рода услуг и, следовательно, риски просчитываются лучше.

CNews.ru: Каковы ваши прогнозы относительно дальнейшего развития технологий защиты информации? Каковы основные тенденции в данной сфере?

Илья Трифаленков: Как раз говорить о том, что существуют технологии защиты информации, применяемые исключительно в банковской сфере и не применяемые в других, наверное, неправильно. Технологии в достаточной степени универсальны, и реальный опыт работы показывает, что запросы банков вполне укладываются в номенклатуру требований промышленных предприятий, государственных или иных коммерческих структур.

Безопасность - сама по себе вещь достаточно универсальная. Это некое новое качество, которое влилось в систему с помощью программных средств или организационных методов. Это дополнительное свойство привязано к прямой функциональности системы, но не непосредственно, а с помощью универсальных механизмов, универсальных сервисов безопасности - таких, как аутентификация пользователей, контроль доступа, аудит действий пользователей. Реализация этих механизмов достаточно универсальна. Конечно, существуют и адаптированные решения. Например, система "Клиент-Банк", в которую мы уже включили механизм безопасности. Но надо понимать, что механизмы здесь включены ровно такие же, какие были бы включены в систему управления производством, если бы она удовлетворяла тем же требованиям.

Решения в банках настолько уникальны, насколько уникальна сама банковская система. Есть банки, которые пользуются стандартными решениями, и в этом случае им нужно, чтобы в эти стандартные решения вкладывались сервисы безопасности. Есть банки, которые работают с достаточно уникальными решениями. Однако каким бы не было уникальным решение по безопасности, оно собрано все из тех же стандартных кирпичей.

Владимир Елисеев: Разница в первую очередь, не в технологиях, которые применяются в банках, а в требованиях. Для разных организаций важны разные аспекты безопасности, потому что информация обладает разной ценностью, разные угрозы в разной среде.

Для банков угрозу представляет возможность доступа к информации, возможность совершения каких-то несанкционированных действий, которые нанесут прямой финансовый ущерб. Есть организации, у которых информация открыта, опубликована для всеобщего обозрения, а под безопасностью они понимают несанкционированные изменения. Меры по защите этой информации, соответственно, принимаются по-разному. В одной организации начинают с построения кластера, а в другой с железной комнаты, куда помещают все серверы. Применяемые технологии, так сказать "кирпичи", из которых все это строится, практически одинаковы. Более того, именно в безопасности очень важен уровень доверия к тем "кирпичам", из которых вы строите свой дом. И если это новый "кирпич", сделан под вас, то обычно уровень доверия к нему очень невысок. По сравнению с уровнем доверия, например, к Firewall, который установлен в тысяче мест, или к такому, у которого доступны исходные тексты, чтобы их проверить. И не потому, что они плохо написаны, а потому что контроль с разных сторон позволяет оперативно выявлять разные ошибки. Это еще одна причина, почему доверие к отечественным системам может быть выше. Потому что когда мы сертифицируем отечественную систему, мы предъявляем в сертифицирующий орган все исходные тексты, в отличие от западных фирм, чьи исходные тексты проверить нельзя.

Илья Трифаленков: Если же не привязываться к банковской сфере, а в общем смотреть на универсальные технологии безопасности, которые на сегодня развиваются особенно бурно, то здесь можно отметить несколько аспектов. Первый момент - достаточно серьезное развитие технологии открытых ключей (PKI). Создание подобной инфраструктуры позволяет создать универсальный механизм взаимодействия с внешними пользователями. Несомненно, сейчас увеличивается значимость технологии контекстного анализа по обмену информацией, анализа электронной почты, анализа веб-трафика, для того, чтобы иметь исчерпывающую информацию собственно о том, какие процессы происходят в системе. Безопасность системы определяется во многом тем, насколько хорошо мы знаем, что там происходит, насколько мы в состоянии отличить правильное от неправильного. В последние годы несколько спали темпы развития активного аудита, который, тем не менее, реализуется в большом количестве продуктов, что позволяет накапливать практический опыт внедрения, делать эту технологию более адаптированной, переходить к массовой продукции в этой области. Традиционные технологии, например, межсетевое экранирование, разграничение доступа, средства защиты систем управления базами данных, также развиваются, хотя и более медленными темпами.

CNews.ru: Как вы оцениваете перспективы внедрения биометрических технологий на российском рынке? Насколько отзывчивы банки в этом вопросе?

Илья Трифаленков: Вопрос сложный. Если говорить об организации аутентификации внутри корпорации, то мы, конечно, можем снять биометрическую информацию, создать банк данных и так или иначе ее использовать. Хотя с мобильностью этого средства, разумеется, будут проблемы - в течение полуминуты нельзя сделать биометрию. Поэтому если говорить о большой корпорации, и тем более, о ситуации работы нескольких корпораций между собой, или работы корпорации с внешними пользователями, то в качестве средства аутентификации, конечно, сейчас представляется более перспективной, легко внедряемой и более дешевой технология PKI.

Владимир Елисеев: На рынке безопасности, как и на любом другом, бывают модные решения. В какой-то период появляется модное решение, которое все начинают покупать. Так было с Firewall 3 года назад. Года полтора-два назад было модно покупать сканнеры. Такое впечатление, что биометрия сейчас находится в таком же состоянии - об этом модно говорить.

В безопасности, конечно, есть отдельные точки, традиционные "дыры", которые общеизвестны. И покупка "коробок" обычно эффективна на этапе "затыкания дыр". Но после того, как дыры залатаны, дальнейшая покупка и установка "коробок" к реальному увеличению защищенности системы не ведет. Она скорее ведет к самообману, потому что деньги потрачены, кажется, что вроде бы защитились, а на самом деле защиты никакой не добавляется. Хуже того - происходит усложнение системы, в силу чего она становится более уязвимой. Есть вещи, которые нельзя делать отдельными кусочками; их необходимо проектировать целиком. Иначе получится ситуация с дверью посреди поля, с большим амбарным замком, но у которой ни справа, ни слева нет стен.

Если вы поставили биометрический контроль, надо быть уверенным, что остальная часть защиты как минимум не менее надежна, чем тот уровень, который вам дает биометрическая аутентификация. Там, где стоят биометрические машины, не может быть деревянных дверей. Характерный пример: ставят защиту - "дверь" на доступ к БД через какой-то программный пакет. Однако мимо этого пакета к той же базе можно пройти совершенно свободно чуть более квалифицированному пользователю. А для всех остальных создается видимость уровня защиты, как на атомной подводной лодке.

Илья Трифаленков: Поэтому банки очень внимательно относятся к анализу рисков и к вопросу построения систем именно в соотношении с рисками. По банкам у нас есть целый ряд работ, которые посвящены применению технологий, считающихся стандартом на Западе. Крупные банки практически не надеются на "универсальные таблетки", для них эта мода уже прошла.

CNews.ru: В начале года Президент подписал Закон "Об ЭЦП". Насколько быстро, на ваш взгляд, использование ЭЦП может стать массовым в банковской сфере в России. Чувствуете ли вы возрастание спроса на решения в этой сфере?

Илья Трифаленков: С принятием закона "Об ЭЦП" образовалась как бы формальная основа для применения этого механизма, но не было создано средств и процедур, которые позволили бы этот механизм применять. В самом законе эти процедуры не прописаны, у него во многом "ссылочный характер". Банки вынуждены ждать, пока нормативная база полностью заработает. В этом смысле можно говорить про оживление на рынке в связи с принятием Закона "Об ЭЦП", но как это ни парадоксально, не в финансовой сфере, а скорее в сфере государственных структур, которые находятся "ближе к нормативной базе".

CNews.ru: Какие наиболее интересные проекты компании "Инфосистемы Джет", реализованы в банковской сфере?

Константин Казаков: О многих говорить не смогу, потому что у нас подписаны соглашения о конфиденциальности и неразглашении. Могу рассказать об одном проекте, где сами клиенты нас рекламируют. Это достаточно известная отечественная платежная система "Рапида". Мы разработали электронную систему безопасных взаиморасчетов, включая шифрацию трафика, анализ разграничения доступа, обработку и контроль трафика.

По примеру "Рапиды" многие организации начинают создавать системы электронных взаиморасчетов, и не только в банковской сфере. Это был законченный проект - системная интеграция плюс информационная безопасность.

CNews.ru: Спасибо.

Вернуться на главную страницу обзора

Содержание обзора:

  • Управленческие IT-решения в банковском секторе
  • Интернет-банкинг: медленно, но верно
  • Интернет-трейдинг: в томительном ожидании бума
  • Платежные системы: мировой рынок
  • Информационная безопасность в банковской сфере
  • Телекоммуникационные решения в банковской сфере
  • Динамика цен на акции компаний, предлагающих высокотехнологичные услуги в банковской сферах
  • Версия для печати

    Опубликовано в 2002 г.

    Техноблог | Форумы | ТВ | Архив
    Toolbar | КПК-версия | Подписка на новости  | RSS