Источник: Газета «Финансовые Известия»
Построение в России информационного общества переводит проблему информационной безопасности (ИБ) в разряд общенациональных. Сила российского хакера несколько преувеличена, но наша безалаберность может причинить вреда больше, чем любой кибер-злоумышленник. Как решить идеологические, технические и культурные проблемы в этой области, директор по информационной безопасности корпорации Oracle Мэри-Энн ДЭВИДСОН рассказала обозревателю «Известий» Александру ЛАТКИНУ.

— Сейчас в России вопрос информационной безопасности очень активно обсуждается — наши телекоммуникационные системы протянуты по всей стране и не всегда хорошо защищены, российские хакеры достаточно опытны. Однако четко приоритеты в этой области еще не сформулированы — часто наши чиновники, говоря об ИБ, призывают просто все закрыть и отключить. Каковы основные тенденции в создании систем ИБ сейчас?

— Действительно, ваши хакеры весьма хороши (смеется). Но невозможно все сделать абсолютно секретным. Например, бизнес вынужден рисковать. Вы должны делать информацию доступной для клиентов, для партнеров — иначе вам не успеть за изменяющимся рынком. Также новые технологии могут приносить дополнительные риски. Например, Instant Messenger Systems (IMS — системы мгновенного обмена сообщениями, или интернет-пейджеры. Самые распространенные IMS — ICQ, MSN Messenger. — «Известия») создают проблему с точки зрения ИБ, поскольку информация может бесконтрольно уходить из компании. Поэтому многие компании сейчас запрещают установку на своих компьютерах IMS. Другой пример — беспроводные технологии. Эти технологии очень удобны, но многие компании испытывают связанные с ними проблемы информационной безопасности. Поэтому здесь нужно применять специальные приложения, которые будут обеспечивать надлежащую безопасность.

— Каковы тенденции рынка систем ИБ? Насколько сложно продавать такие системы в различных странах? Например, у нас в стране спецслужбы традиционно сильны — не затрудняет ли это бизнес?

— Спецслужбы многих стран сильны. Мы достаточно хорошо чувствуем себя на рынке систем для частных компаний — я не могу называть имена наших клиентов. Также у нас хорошие отношения и со спецслужбами — дело в том, что пять лет назад об информационной безопасности думали только спецслужбы и Министерство обороны. Эти структуры подтолкнули рынок, определили основные характеристики программных продуктов. Сейчас же гораздо больше самых разных клиентов думают об ИБ.

— После 11 сентября Oracle заявила, что способна построить общенациональную систему идентификации граждан США. Тогда некоторые правозащитные организации выступили с заявлениями, осуждающими главу вашей компании Ларри Эллисона. Как ваша компания учитывает подобные мнения, когда разрабатывает продукты в сфере ИБ? Можно ли говорить о противоречиях между правами граждан и системами ИБ?

— Надежная безопасность является базой для всего, что вы делаете. Все клиенты имеют свои секреты. Например, база данных клиентов компании — это ее секрет. Персональная информация о ее сотрудниках — это тоже секрет. И потому перед технологией ставится задача обеспечить управление доступом к информации, знать, кто имеет такой доступ. И я не думаю, что здесь есть противоречие. Тайна частной жизни — это и есть безопасность. Безопасность необходима для частной жизни.

— Сейчас Oracle начала продвигать свою новую grid-технологию: данные будут храниться и обрабатываться не на одном компьютере, а в разных частях информационной сети, может быть, даже в разных городах. И здесь неизбежно появятся новые проблемы. В чем они, как их решить?

— Grid-системы решают множество проблем организаций. Конечно, проблемы безопасности здесь тоже существуют. Но их можно решить, регулируя доступ сотрудников к системе. Например, нужно часто менять пароли — лично для меня самой это большая проблема (смеется). Без хорошего менеджмента, без управления сетью, всей инфраструктурой невозможно получить те преимущества, которые дает grid-технология.

— В России информационная структура не очень хорошо развита — она вполне современна в столице, в крупных городах, но на остальной территории страны каналы связи часто низкого качества. Помешает ли это обстоятельство внедрению grid-технологй?

— Удобство этих технологий в том, что вы не должны делать либо все, либо ничего — все на базе grid или ничего на базе grid. Многие организации медлят с внедрением таких технологий даже в тех случаях, когда информационная инфраструктура между городами вполне развита. Например, некоторые организации отказываются разделять информацию по разным частям своей информационной структуры, поскольку считают, что одно подразделение не должно вмешиваться в дела другого подразделения. Более серьезными являются подобные «культурные препятствия», мешающие созданию больших grid-систем.

— В деле ИБ очень важным является вопрос стандартов. Что должны делать отдельные страны, в частности — Россия: принять, например, известный стандарт Common Criteria или разрабатывать свои стандарты ИБ?

— Мы очень верим и надеемся на Common Criteria, ждем, когда каждая страна примет этот стандарт. И мы знаем о том, что Россия присматривается к этому стандарту (в 2004 году в России вводится ряд ГОСТов, основанных на Common Criteria. — «Известия»). Достоинство Common Criteria в том, что он универсален. Common Criteria — это последний шанс информационной индустрии для того, чтобы она могла работать глобально, для всего мира.