Интересно для всех

Александр ЛАТКИН

Пять лет назад об информационной безопасности думали только спецслужбы
(Интервью c Мэри-Энн Дэвидсон,
директором по информационной безопасности корпорации Oracle)

Источник: Фин.Известия.Ru, 03.12.2003, http://www.finiz.ru/cfin/tmpl-art/id_ art-708489

Построение в России информационного общества переводит проблему информационной безопасности (ИБ) в разряд общенациональных. Сила российского хакера несколько преувеличена, но наша безалаберность может причинить вреда больше, чем любой кибер-злоумышленник. Как решить идеологические, технические и культурные проблемы в этой области, директор по информационной безопасности корпорации Oracle Мэри-Энн ДЭВИДСОН рассказала обозревателю "Известий" Александру ЛАТКИНУ.

Ф.И. Сейчас в России вопрос информационной безопасности очень активно обсуждается - наши телекоммуникационные системы протянуты по всей стране и не всегда хорошо защищены, российские хакеры достаточно опытны. Однако четко приоритеты в этой области еще не сформулированы - часто наши чиновники, говоря об ИБ, призывают просто все закрыть и отключить. Каковы основные тенденции в создании систем ИБ сейчас?

Мэри-Энн Дэвидсон: Действительно, ваши хакеры весьма хороши (смеется). Но невозможно все сделать абсолютно секретным. Например, бизнес вынужден рисковать. Вы должны делать информацию доступной для клиентов, для партнеров - иначе вам не успеть за изменяющимся рынком. Также новые технологии могут приносить дополнительные риски. Например, Instant Messenger Systems (IMS - системы мгновенного обмена сообщениями, или интернет-пейджеры. Самые распространенные IMS - ICQ, MSN Messenger. - "Известия") создают проблему с точки зрения ИБ, поскольку информация может бесконтрольно уходить из компании. Поэтому многие компании сейчас запрещают установку на своих компьютерах IMS. Другой пример - беспроводные технологии. Эти технологии очень удобны, но многие компании испытывают связанные с ними проблемы информационной безопасности. Поэтому здесь нужно применять специальные приложения, которые будут обеспечивать надлежащую безопасность.

Ф.И. Каковы тенденции рынка систем ИБ? Насколько сложно продавать такие системы в различных странах? Например, у нас в стране спецслужбы традиционно сильны - не затрудняет ли это бизнес?

Мэри-Энн Дэвидсон: Спецслужбы многих стран сильны. Мы достаточно хорошо чувствуем себя на рынке систем для частных компаний - я не могу называть имена наших клиентов. Также у нас хорошие отношения и со спецслужбами - дело в том, что пять лет назад об информационной безопасности думали только спецслужбы и Министерство обороны. Эти структуры подтолкнули рынок, определили основные характеристики программных продуктов. Сейчас же гораздо больше самых разных клиентов думают об ИБ.

Ф.И. После 11 сентября Oracle заявила, что способна построить общенациональную систему идентификации граждан США. Тогда некоторые правозащитные организации выступили с заявлениями, осуждающими главу вашей компании Ларри Эллисона. Как ваша компания учитывает подобные мнения, когда разрабатывает продукты в сфере ИБ? Можно ли говорить о противоречиях между правами граждан и системами ИБ?

Мэри-Энн Дэвидсон: Надежная безопасность является базой для всего, что вы делаете. Все клиенты имеют свои секреты. Например, база данных клиентов компании - это ее секрет. Персональная информация о ее сотрудниках - это тоже секрет. И потому перед технологией ставится задача обеспечить управление доступом к информации, знать, кто имеет такой доступ. И я не думаю, что здесь есть противоречие. Тайна частной жизни - это и есть безопасность. Безопасность необходима для частной жизни.

Ф.И. Сейчас Oracle начала продвигать свою новую grid-технологию: данные будут храниться и обрабатываться не на одном компьютере, а в разных частях информационной сети, может быть, даже в разных городах. И здесь неизбежно появятся новые проблемы. В чем они, как их решить?

Мэри-Энн Дэвидсон: Grid-системы решают множество проблем организаций. Конечно, проблемы безопасности здесь тоже существуют. Но их можно решить, регулируя доступ сотрудников к системе. Например, нужно часто менять пароли - лично для меня самой это большая проблема (смеется). Без хорошего менеджмента, без управления сетью, всей инфраструктурой невозможно получить те преимущества, которые дает grid-технология.

Ф.И. В России информационная структура не очень хорошо развита - она вполне современна в столице, в крупных городах, но на остальной территории страны каналы связи часто низкого качества. Помешает ли это обстоятельство внедрению grid-технологй?

Мэри-Энн Дэвидсон: Удобство этих технологий в том, что вы не должны делать либо все, либо ничего - все на базе grid или ничего на базе grid. Многие организации медлят с внедрением таких технологий даже в тех случаях, когда информационная инфраструктура между городами вполне развита. Например, некоторые организации отказываются разделять информацию по разным частям своей информационной структуры, поскольку считают, что одно подразделение не должно вмешиваться в дела другого подразделения. Более серьезными являются подобные "культурные препятствия", мешающие созданию больших grid-систем.

Ф.И. В деле ИБ очень важным является вопрос стандартов. Что должны делать отдельные страны, в частности - Россия: принять, например, известный стандарт Common Criteria или разрабатывать свои стандарты ИБ?

Мэри-Энн Дэвидсон: Мы очень верим и надеемся на Common Criteria, ждем, когда каждая страна примет этот стандарт. И мы знаем о том, что Россия присматривается к этому стандарту (в 2004 году в России вводится ряд ГОСТов, основанных на Common Criteria. - "Известия"). Достоинство Common Criteria в том, что он универсален. Common Criteria - это последний шанс информационной индустрии для того, чтобы она могла работать глобально, для всего мира.

Париж - Москва