Рост киберпреступности приучил пользователей к тому, что выходить в интернет с компьютера, не защищенного антивирусом и фаерволом, — значит напрашиваться на неприятности. Однако такое отношение пока не характерно для пользователей смартфонов и планшетов, которые по архитектуре и функциональным возможностям уже не так сильно отличаются от ПК. Андрей Вышлов, глава российского представительства компании Symantec, рассказывает, почему мобильные устройства столь же важно защищать.
Каковы основные тенденции развития рынка защитного программного обеспечения?
Мы определили для себя три глобальных тренда, которые сейчас оказывают наибольшее влияние на рынок: виртуализация, мобильность, облачные вычисления.
Как вы определили эти тренды? Вы их выявили по растущему спросу на конкретные услуги на рынке или просто предвидите, в каком направлении будет развиваться рынок?
Определение таких трендов — это всегда некий компромисс между тем, что хочет рынок, и тем, что мы можем ему предложить.
Итак, мобильность — один из трех трендов. В общем, это очевидно и без глубокой аналитики…
Да, количество мобильных устройств растет высокими темпами, а объем данных, который перемещается между этими устройствами, увеличивается прямо-таки бешеными темпами. Мобильные устройства на наших глазах становятся полноценными «участниками» цикла обработки информации, и не стоит недооценивать необходимость защиты этой информации. Мы тоже не остались в стороне и объявили о выходе ряда новых продуктов для мобильных устройств.
Вскоре мы планируем выпустить еще один «мобильный» продукт для защиты от утечек информации. Нельзя сказать, что речь идет о каких-то принципиально новых решениях относительно остальной линейки продуктов Symantec. Продукты, которые мы разрабатываем, представляют собой промышленное ПО для корпоративного сектора. А рынок решений для мобильных устройств исторически развивается по другой модели: сначала создается приложение для себя и друзей, для малого бизнеса и т.д. Когда возникает проблема масштабирования, ее обычно решают просто за счет увеличения количества серверов. Мы пошли другим путем: в наши приложения, которые уже работают в промышленном масштабе, мы добавляем «мобильный» функционал.
Получается, что для малого и среднего бизнеса такое решение не актуально?
Я считаю, что на текущий момент для малого и среднего бизнеса не подходят решения, которыми предприятие будет полностью владеть. Небольшим компаниям удобнее и выгоднее арендовать услугу, поэтому «облачность» и становится глобальным трендом. Я сомневаюсь, что предприятие малого или среднего бизнеса потратится на то, чтобы установить у себя решение для защиты информации на мобильных устройствах, имея до сотни устройств. Предприниматель предпочтет заказать услугу контроля безопасности от оператора, у которого он покупает мобильные устройства, номерную емкость и трафик.
Насколько хорошо российские потребители осведомлены об угрозах, которым подвергается информация на смартфонах и планшетах?
Сейчас уровень восприятия угрозы еще недостаточен, поскольку сложно оценить возможные потери. Когда вы знаете цену ошибки, это влияет на принятие решения, поскольку вы будете стараться этой ошибки избежать и поймете, сколько не жалко на это потратить. Например, все понимают, что цена незащищенности компьютера от вируса очень высока, поэтому ни у кого не возникает вопросов, ставить антивирус или нет. Когда же речь заходит о почте на мобильных телефонах, то пока люди цену такой ошибки не осознают.
Это недооценка угрозы?
Да. Потенциальные заказчики на отечественном рынке обычно реагируют так: «Было бы хорошо это решение иметь, но мы, наверное, чуть-чуть подождем». Я, конечно, могу доказать, что украденный ноутбук или мобильный телефон с потенциалом доступа к корпоративной почте может принести гораздо больше убытков, чем стоимость системы безопасности.
Так докажите!
Общий уровень безопасности системы не выше уровня безопасности самого небезопасного элемента. Поэтому если ваша IT-система максимально защищена, но при этом сотрудники пользуются собственными незащищенными мобильными устройствами для входа в корпоративную сеть, то считайте, что она не защищена вообще.
В чем главная проблема? Большинство людей приходят в компанию со своими собственными устройствами и говорят: вот, у меня есть смартфон, сделайте мне с него доступ к корпоративной почте, к документам и т.п. А системные администраторы не контролируют, какие еще приложения могут быть установлены на этих устройствах. Некоторые производители предлагают функцию удаленного уничтожения содержимого. Хорошее решение. Но у него есть недостаток: вместе с корпоративными данными удаляется и личная информация. Более правильное решение — отделить частные данные от корпоративных. Самым первым и самым простым способом защиты является деление данных на конфиденциальные и все остальные. У нас есть решения, позволяющие классифицировать всю информацию, которая есть в компании, и дальше в зависимости от типа информации ограничивать допустимые действия с ней: например, запрещать ее вынос из корпоративной сети.
Что бы вы посоветовали предпринять для повышения безопасности данных при работе с мобильными устройствами?
Могу рассказать на примере нашей компании. У нас всем сотрудникам запрещено пользоваться собственными устройствами для любых манипуляций со служебной информацией. Компания сама покупает сотруднику мобильный смартфон и делает с ним все, что захочет: устанавливает приложения, удаляет их и т.п. У каждого сотрудника на мобильном устройстве установлено приложение, которое с интервалом в тридцать секунд генерирует новый ключ. Для входа в корпоративную сеть вне офиса сотруднику нужно ввести свой пароль и этот ключ.
Чтобы работа с данными была безопасной, нужно, во-первых, определить политику компании по данному вопросу, а во-вторых, донести до сотрудников правила и рассказать им о существующих рисках.
А что делать, если утечка информации все-таки произошла?
Это популярный вопрос, но мы предпочитаем отвечать на вопрос: «Что нужно делать, чтобы утечка не произошла?» Это разница в менталитете.
В числе трендов вы упомянули «облачность». Какие проблемы могут возникнуть с этим?
У многих есть ложное чувство безопасности, что когда вся информационная инфраструктура находится под рукой, то можно, условно говоря, в случае ЧП выдернуть кабель и тогда, наверное, ничего не случится. А вот когда данные и программы находятся где-то в «облаке», то ты ничего не контролируешь, поэтому и безопасность ниже. Это заблуждение, конечно. Когда вы следите за собственной инфраструктурой, нельзя быть уверенным, что вы все учли.
Сейчас малый и средний бизнес ждет предложений «облачных» сервисов. Мы избрали следующую стратегию: любой наш продукт, который мы продаем в коробке, должен быть доступен и в «облаках». Вы можете приобрести антивирус в коробке, а можете использовать антивирус из «облака». Пока не все наши продукты имеют «облачную» альтернативу, но наша долгосрочная цель — дать любому нашему заказчику выбор.
Андрей Вышлов
В 1996 году с отличием окончил факультет вычислительной математики и кибернетики МГУ. Позднее получил степень МВА в Open University Business School (Великобритания). Работал в компаниях HP, Compaq, «Ланит» и др. В 2011 году возглавил представительство Symantec в России.
Беседовал Алексей Упатов