Забудьте о безопасности 3.0. Думайте о четвертой версии

17 апрель, 2008 - 11:43Александр Черников

В красивой легенде о Прометее, подарившем людям божественный огонь, обычно умалчивают о расплате за это – специально изготовленном Зевсом любопытном андроиде, открывшем ящик, полный бедствий. Теперь «ящиком Пандоры» мы называем все то, что может послужить при неосторожности источником не только многочисленных проблем, но – и вдохновения при их же преодолении. В общем:

«...Открылась бездна, звезд полна.
Звездам числа нет, бездне дна»

Михаил Ломоносов

Статьи, составившие эту Тему недели, каждая по-своему осветили аспекты проблем, связанных с безопасностью использования информационных технологий. Современный мировой опыт свидетельствует о том, что в перечне реальных и потенциальных угроз данного типа появляются все новые, порой весьма неожиданные, пункты. Отечественные подвижники, взявшие на себя труд уменьшить количество проблем в ИT, с переменным успехом ведут в основном просветительскую деятельность, разъясняя преимущество комплексных подходов к решению вопросов безопасности. Государство борется с киберпреступностью своими способами, постепенно совершенствуя законодательство. Специалисты по безопасности компаниям требуются, но какие именно и в каком количестве, определить им пока очень сложно.

Выбирать же такую профессию не то чтобы бесперспективно, но при этом нужно четко осознавать, что на базовом образовании здесь всю жизнь не просидишь – придется постоянно совершенствоваться и изучать многие новые технологии. В чем-то это похоже на героические 80-е, когда ПК осваивались с рвением, сравнимым разве что с временами ОСОАВИАХИМА: «Комсомол – на самолет!». И все же почему-то кажется, что в области информационной безопасности такого массового героизма не будет. Хотим мы того или нет, но основной частью трудоспособного населения уже сегодня становится молодежь, чьи пальцы приобретали ловкость на клавиатурах мобильных телефонов и для которой MySpace и YouTube являются частью культуры.

Забудьте о безопасности 3.0. Думайте о четвертой версии
А вот IDC считает, что сенсаций в области безопасности не предвидится. Например, спрос на решения, связанные с допуском пользователей к информации (Identity and Access Management, IAM) будет стабильно расти на 10–15% в год в течение ближайшей пятилетки. Single Sign-On (SSO) – единая точка идентификации, Provisioning – доступ к приложениям

Так какая версия безопасности нынче наиболее актуальна? Об этом довольно подробно распространялся аналитик из Gartner Джон Пескатори (John Pescatore) на IT Security Summit 2007 в Вашингтоне. «Безопасность 1.0» он назвал связанной с мэнфреймами, 2.0 – с расцветом клиент-серверных технологий и распределенных вычислений. Для третьей версии для пущей наглядности и доходчивости докладчик сначала употребил хоккейную метафору: она «несется на коньках впереди шайбы», а затем обратился и к охоте: она «подобна охотнику, стреляющему по уткам с упреждением». То есть возможности систем безопасности сегодня должны всегда опережать на шаг вероятные угрозы (тут, правда, уместно вспомнить и несколько иную, но зато нашу пословицу о телеге перед лошадью, что, в общем, позволяет по-другому взглянуть на данную проблему).

Если руководителям корпоративных служб безопасности снятся ночью кибернападения, если их бросает в холодный пот от мыслей о нелояльных сотрудниках, крадущих базы данных, если они с отвращением наблюдают на экранах служащих сервисы, характерные для Web 2.0 – значит ли это, что что-то идет не так в повседневной деятельности предприятий и организаций?

Конечно, хорошо Пескатори, который в своем выступлении без устали жонглировал на сцене различными аналогиями, утверждая, например, что в области безопасности нужно научиться играть с угрозами как в шахматы, но белые фигуры всегда должны быть у «хороших парней», которые поэтому, мол, опережают противника на один ход и создают угрозы потенциальным угрозам. Более того, «нужно сделать так, чтобы стратегия превентивной защиты направляла потенциальные угрозы туда, где средства противодействия оказываются наиболее сильными и совершенными». Отличная концепция. Присутствующие голосуют за нее обеими руками, бурно аплодируют и только потом задумываются о том, что на практике все обычно оказывается как-то иначе.

Забудьте о безопасности 3.0. Думайте о четвертой версии

На что в действительности будет похожа «Безопасность 4.0» лет через пять? С ростом глобализации и расширением grid-вычислений компаниям уже не будет принадлежать многое из их ИT-инфраструктуры. Они, как и везде в бизнесе, станут покупать нужные ресурсы у поставщиков, предлагающих наилучшее соотношение цены и качества, а социальные сети с высокой степенью вероятности преобразуются так, чтобы стать частью рабочего места будущих information workers. «Консумеризация» ИT, по мнению Gartner Group, приведет к тому, что уже никто не сможет узнать, какие данные, где и в каком состоянии находятся. Как метко выразился Пескатори, «our information is flowing to god-knows-what devices». Тогда возникает следующий вопрос: можно ли из такого положения вещей действительно извлечь какую-то реальную выгоду для ведения бизнеса? И если да, то как это сделать организационно и технически?

Для фантастических идей должны быть соответствующие фантастические решения. Например, компании будут выбирать поставщика сетевых услуг по принципу «best in-the-cloud service». На человеческом языке это означает, что часть своей головной боли по поводу безопасности (или, вернее сказать, опасности), администраторы очень хотели бы переложить на чужие плечи. И в самом деле, в расчете на грядущие прибыли вопросами «заоблачной» безопасности уже сегодня занимаются, например, AT&T и Verizon. Теперь проблема приобретает несколько иной оттенок: каково должно быть соотношение внешних и внутренних средств и мер безопасности? Ответ вовсе не тривиален и будет весьма различным в зависимости от масштаба компании, отрасли, в которой она работает и множества других, более или менее значимых факторов. Можно было бы просто подождать, пока четче не вырисуются новые принципы построения систем безопасности, но конкуренты не дремлют... Поэтому, как всегда, все придется делать и переделывать на ходу, еще и еще раз наступая на грабли и набивая собственные шишки.

И хорошо это или плохо, но опять подрастает новое поколение, и ему, в свою очередь, придется решать создаваемые им же проблемы в рамках очередной версии безопасности, которую, без сомнения, выдумает вечная и вездесущая Gartner Group...