Журнал "Information Security/ Информационная безопасность" #1, 2021

– Андрей, расскажите немного о себе. – Я закончил Бауманку (МГТУ им. Н.Э. Баумана. – Прим. ред.) по кос- мической специальности "Информацион- ные измерительные системы", но к момен- ту завершения обучения космос был слабо востребован, и пришлось уйти в ИТ. До организации собственного бизнеса я успел поработать в разработке и дистри- буции ПО, телекоме, в интеграторской компании, и этот опыт не раз был востре- бован в дальнейшей деятельности. Когда мы с партнерами организовы- вали собственную компанию, поставили перед собой цель создать дистрибьютора с добавленной стоимостью (Value Added Distributor). Тогда это была довольно редкая модель бизнеса, но только она позволяла работать с высокотехноло- гичными передовыми решениями, с кото- рыми нам интересно было работать. Мы cделали своей миссией продвижение на российском рынке передовых про- дуктов для корпоративных заказчиков, которые "будут востребованы завтра". Должен сделать оговорку: отвечая на вопросы, мне трудно разделить свое профессиональное отношение как дистрибьютора систем ИБ и управления разработкой и личный взгляд как вла- дельца бизнеса, поэтому буду говорить скорее с точки зрения владельца бизне- са – предпринимателя, имеющего свой взгляд на вопросы его информационной безопасности. – Развитие информационных систем постоянно находится под влиянием процессов, происходя- щих в экономике, бизнесе, поли- тике, обществе и т.д. Как в таких быстро меняющихся условиях обеспечивать полноценную без- опасность цифрового бизнеса? – Давайте определимся, что, говоря о безопасности, мы подразумеваем в первую очередь степень защищенности как главную ценность для бизнеса и кли- ентов. Прежде всего я бы отметил как проблему для безопасности информа- ционных систем не собственно их раз- витие как таковое... Наибольшей угрозой для безопасности является именно ско- рость развития систем. Когда мы выстраиваем любую без- опасность, не только информационную, ее удобно выстраивать в стационарных условиях, когда есть время подумать и проверить. Защищать движущиеся и изменяющиеся объекты всегда гораздо сложнее, впрочем, равно как и атаковать их. По оценке многих экспертов, спе- циалисты идут на компромисс при раз- витии новых систем, отдавая предпоч- тение скорости разработки или добав- лению новой функциональности в ущерб безопасности. Другими словами, без- опасность информационных систем часто приносят в жертву требованиям функциональности и инновационности, что, в общем-то, на первых этапах циф- ровизации бизнеса и общества было вполне приемлемо. В современных условиях, когда ИТ становится основным средством про- изводства и доставки ценности, когда информационные активы и цифровые сущности, в том числе и клиентские, становятся основной целью злоумыш- ленников, необходимо радикально изме- нить подход к обеспечению их безопас- ности. От наложенной безопасности необходимо переходить к безопасности по природе (Security by Nature). – Можно ли сделать вывод, что для тех, кто занимается раз- работкой информационных систем, практически не суще- ствует такого понятия, как Secu- rity by Nature? – Я бы не так сказал. Я бы сказал, что классический подход к обеспечению безопасности ИТ уже не работает. Ведь что такое классическая безопас- ность? Это защита физических и инфра- структурных активов, выстраивание физических и цифровых периметров – те же самые системы видеонаблюдения, системы разграничения доступа, систе- мы сегментации сетей, Firewall, IDS/IPS и т.д. Все они создают, к сожалению, барьеры, которые мешают бизнес-про- цессам, да и в целом развитию бизнеса. И именно в условиях ускорения развития в непрерывно меняющемся мире стано- вится критически актуальной концепция разработки информационных систем Security by Nature или, говоря по-другому, интегрированная безопасность. Поясню свою мысль на примере: для того чтобы автомобиль был безопасен по отношению к водителю, в начале прошлого века достаточно было ограни- чить скорость его передвижения и поста- вить ограждения вдоль дороги, чтобы минимизировать потенциальный ущерб. Но в современных условиях, когда потребность в количестве и скорости автомобилей непрерывно растет, в дорожном движении участвует огромное количество автомобилей, скорость пере- мещения, по сути, стала основной цен- ностью автомобиля, и ограждение дорог уже не обеспечивает должной безопас- ности для движения. Это стало возмож- ным благодаря тому, что стали разраба- тывать автомобили с интегрированными системами безопасности не только води- теля и пассажира, но и других участников движения. Эти автомобили становятся все более и более безопасными по при- роде, и в конце концов они не смогут причинять вред ни водителям, ни пеше- ходам. По сути, сейчас мы подошли к такому же периоду в развитии информационных систем, к эдакой фазе информационных супермагистралей, на которых суще- ствует огромное количество взаимодей- ствующих информационных систем и их пользователей. При этом необходимо, чтобы они не мешали другу другу и не несли угрозы. А угрозы безопасности зачастую реализуются неожиданно, их сложно предсказать по времени и неред- ко невозможно предотвратить. Вспоми- нается русская поговорка "Знал бы, где упасть, соломки постелил бы"; так вот, в современной динамической информа- ционной среде "соломку" надо носить с собой. Чтобы повысить безопасность инфор- мационных систем, нужно думать о ней в тот момент, когда мы их задумываем, не рассчитывая, что потом их можно будет защитить файрволом или создать для них безопасную среду. – Считаете ли вы, что безопас- ная разработка лежит в основе обеспечения безопасности информационных систем? 8 • В ФОКУСЕ Я верю в подход Security by Nature то такое Security by Nature, почему безопасная разработка является основой безопасных систем, полезна ли цифровизация бизнесу – эти и другие вопросы мы обсудили с генеральным директором компании Web Control Андреем Акининым. Ч Андрей Акинин, генеральный директор компании Web Control