От редакции:

Редакция «Компьютерры» с возрастающим вниманием присматривается к проблеме общественной безопасности (public security) компьютерных систем и хотела бы придать более высокий приоритет освещению соответствующих аспектов их разработки и эксплуатации. Мы видим, что общественная безопасность компьютерных систем живо интересует большинство наших читателей.

До сих пор обсуждения этой темы в России крутились вокруг криптографии и одиозной роли органов типа ФАПСИ. Мы склонны считать, что это интересные, но второстепенные технические детали. На практике никто не атакует даже не очень сильную криптографическую защиту «в лоб», и никакой административный произвол не устоит против потребностей развития свободной экономики. Проблема общественной безопасности компьютерных систем заслуживает более широкого рассмотрения.

С одной стороны, они представляют собой материальную ценность, уязвимую как для шутников, правонарушителей и преступников, проникающих через общественные сети связи, так и для представителей государства, злоупотребляющих своими властными полномочиями. С другой стороны, безответственное поведение владельцев, ошибки разработчиков, небрежность эксплуатационного персонала или чей-либо злой умысел могут сделать компьютерную систему непреднамеренно опасной для общества или даже орудием общественно-опасных сил.

Мы исходим из того, что открытое обсуждение проблем общественной безопасности компьютерных систем является главным условием как их надежной защиты, так и доверия к ним со стороны провайдеров и потребителей услуг. В свою очередь, доверие, основанное на понимании, открывает путь прогрессу.

Дмитрий Тогушев, сетевой администратор Ассоциации развития банковских технологий

Да. Мы, например, разрабатываем системы дополнительной защиты информации в сетях налоговой инспекции. Эта программа должна еще более повысить степень защищенности и без того защищенных сетей – вплоть до уничтожения информации в случае несанкционированного доступа. Такая деятельность себя окупает.

Возможно ли «взломать» такую систему? Это зависит от времени работы человека и его посвященности в саму систему. И если человек имеет доступ к системе, то ему взломать ее проще, чем постороннему.

Вред, который может нанести взломщик, огромен. От степени засекреченности некоторых блоков производственной информации зависит все, вплоть до благосостояния предприятия. Но наиболее остро стоит проблема защиты данных не в локальных сетях, в которые не так-то легко проникнуть, а в глобальных, в особенности – в Интернете. По этим сетям передавать секретную информацию нельзя вообще.

Алексей Шиманов, технический консультант фирмы «Защита информации»

На мой взгляд, обеспечение безопасности компьютерных сетей становится обособленным видом бизнеса, хотя, честно говоря, это не наш профиль.

Впрочем, я полагаю, что это достаточно доходное дело. Защитить компьютерную сеть сложно и дорого, как и любую другую информацию. Цена здесь определяется тем, что применяются специфические приемы и техника, то есть не собственно их сложностью, а уровнем профессионализма специалистов.

Василий Демин, руководитель отдела специальных систем компании «АйТи»

Многие организации, не уделявшие должного внимания вопросу корпоративной политики информационной безопасности, уже столкнулись с потерями жизненно важной информации, возникшими из-за сбоев; испытали «на собственной шкуре» последствия несанкционированного проникновения в корпоративные сети. Пока доля специализированных фирм, занимающихся только системами компьютерной безопасности, на российском рынке невелика.

Фирмы, специализирующиеся в области охраны и так называемой «физической безопасности», начали выделять в качестве отдельных направлений своей деятельности безопасность персональных компьютеров, программ, коммуникационных устройств и т. д.

Денис Девочкин, директор московского филиала ассоциации «Конфидент»

Этим бизнесом занимается ряд фирм, но сейчас подобная деятельность не очень распространена и, как мне кажется, не будет заметно расширена в ближайшее время.

Всего три-четыре фирмы выпускают готовую продукцию в этом направлении, и используется она в основном в учреждениях банковского типа.

Следовательно, этот бизнес не является большим и прибыльным делом, хотя ситуация заметно меняется. Два года назад никто не понимал, кому нужны информационно защищенные системы, но в последнее время в России стали известны такие явления, как компьютерные хищения и мошенничество.

Татьяна Безуглова, заместитель директора фирмы А&Т

Профиль нашей фирмы – электропитание компьютерного оборудования и средств связи. Мы занимаемся вопросами защиты, в том числе и сетевой, довольно давно. Правда, это защита оборудования от диверсий по электричеству. И в этой области нам удается кое-что успешно продавать. Не скажу, что с этого можно жить, но очевидно, что на рынке есть необходимость в дорогом и надежном оборудовании. Тонкость проблемы состоит в том, что тут приходится платить не за «железо», а за работу специалиста – чтобы он разобрался и заключил, в чем в каждом конкретном случае состоит проблема. А у нас пока платить за это не принято. Однако, основательно помучившись, люди начинают приобретать оборудование, которое в несколько раз дороже, но надежнее, и платить за услуги, которые раньше представлялись ненужными.

Мила Волкова, PR-менеджер Oracle СНГ

Совершенно в этом уверена: обеспечение безопасности сетей становится видом бизнеса, в том числе и для Oracle, которая тоже предлагает свой продукт для шифрования данных, передаваемых по сети. Проблема выходит на уровень, когда за обеспечение безопасности согласны платить и банки, и государственные структуры.

Проблеме обеспечения безопасности компьютерных сетей начинают уделять то внимание, которое она требует. Скажем, сервер Oracle 7 является уникальным коммерческим сервером, имеющим сертификат соответствия уровню защиты С2 министерства обороны США.

Случаи нарушения защиты, связанные с Oracle, мне не известны. Но даже в оборонных министерствах случались нарушения корпоративной тайны (вспомните скандалы с ЦРУ). Однако к любому нашему продукту прилагается гарантированная поддержка защиты данных, следовательно, мы отвечаем за качество.

Юрий Солытин, менеджер технического отдела компании «Диасофт»

Развитие торговли в сетях Internet напрямую связано с их безопасностью. Поэтому, чтобы банки и торговые компании стали использовать данный вид услуг, нужно обеспечить конфиденциальность.

Сильно ли дорожает продукт от установки защиты? Я бы сказал, требуются некоторые капиталовложения.

Попытка взлома компьютерных сетей – достаточно частая ситуация. После подключения нашего сервера к Internet сразу пошла «проверка на вшивость». Можно, конечно, попытаться установить, кто это делал и откуда, но мы не замыкались на этом.

Кстати, сегодня большинство компаний перешли на систему договоров со своими сотрудниками, в которые включены в частности пункты по сохранности информации. Однако все здесь не просто...

Геннадий Матвиенко, старший менеджер отдела маркетинга компании «Инфотекс»

Да, с этого можно кормиться, и уже существуют хорошие технологии, но тут важен человеческий фактор. Когда система добротная и ее трудно «сломать плечом», действуют другие принципы -например, сговор.

Что же касается возможного «взлома» со стороны фирмы, изготовившей защиту, то и тут все зависит от организационных особенностей. Чтобы дать какие-то гарантии, нужно отделить сами программы от ключей. Образно говоря, продавец системы защиты может сделать дверь и предоставить заказчику не ключ, а инструмент и способ для его изготовления. И это намного лучше, чем разработка подобного рода программы внутри своей фирмы.

Павел Прокопенко, инженер компании «Гласнет»

«Гласнет» непосредственно таким видом бизнеса не занимается, хотя предоставляет полный набор услуг, связанных с Internet и WWW.

Можно ли много заработать на этом деле? Безусловно. И ставки будут расти по мере присоединения все большего числа организаций к Internet.

Велика ли вероятность взлома сети? Это дорогое удовольствие. Взломать порой дороже, чем просто сломать, и нередко стоимость самой системы, средств защиты и затрат на администрирование оказывается дороже реальной стоимости той информации, которую содержит сеть. Но в принципе взломать можно любую сеть – разными путями: организационными или технологическими.

Я дал бы такой совет: если вы заинтересованы в конфиденциальности информации, изолируйте вашу сеть, то есть не включайтесь в глобальные сети.

Сегодня разработано множество продуктов и технологий, гарантирующих безопасность сети, но в организации сетей допускается немало ошибок, и всегда существуют способы нарушить их работу.

Есть такая организация, как CERS – Computer Emergency Respond Spin. Во многих странах мира открыты региональные центры этой организации. Была мысль организовать подобный региональный центр и в России, но ничего конструктивного, насколько мне известно, не произошло.

Василий Дудников, менеджер по связям с общественностью IBM ЕЕ/А Ltd

Да. Несомненно. Рядом с Интернетом мелькает последнее время термин «интранет». Острая проблема – как обезопасить интранет от посягательств.

Существует ли принципиальная возможность «сломать» сетевую защиту? Есть четкий показатель того, что решение надежно: ни одна нормальная корпорация не делала бы интранет с выходом в Сеть, если бы не было надежной системы защиты. Это все равно что вынести сейф на улицу, не закрыв его на ключ. Вероятность «взлома» мала. В печати я встречал рассуждения о громких скандалах, когда вскрывали банковские сети. Это неосуществимо без наводки – все равно что потопить авианосец: надо знать пароль и ключи. И никакие защиты не заменят лояльности персонала.

Вопросы задавала Наталья Теплоухова