ALADDIN Software Security R. D.

Сергей Груздев: Мы наблюдаем заметный рост интереса к обеспечению внутренней безопасности компании

Сергей Груздев 
Интервью CNews. ru дал Сергей Груздев, генеральный директор компании ALADDIN Software Security R. D.

CNews. ru: Какова роль устройств аутентификации на российском рынке средств защиты информации?

Сергей Груздев: Любая система информационной безопасности не будет в должной степени надежной без аутентификации пользователей. Это наше мнение подтверждается прогнозами IDC. Согласно отчету этой исследовательской компании, к 2004 году рынок средств 3А (аутентификация, авторизация, администрирование) будет занимать около 2/3 всего сектора информационной безопасности при среднегодовом росте сектора в 28%.

Почему проблема 3А стоит так остро? Хотя бы потому, что человеческий фактор играет основную роль при ущербах от потери корпоративной информации — до 75 % (данные Computer Security Institute). При решении проблемы 3А, и, в частности, использовании надежных средств аутентификации риск раскрытия конфиденциальной информации и получения вследствие этого серьезного ущерба значительно снижается.

 
До последнего времени средства аутентификации играли второстепенную роль на рынке ИТ-безопасности. Вендоры шли от продукта, программно-аппаратного комплекса, который мог работать с различными идентификаторами. В результате сейчас используются самые различные устройства, но постепенно рынок идет к тому, чтобы унифицировать средства аутентификации. Аппаратное средство аутентификации должно быть одно, и одно должно стать хранилищем для digital ID, то есть совокупности различной идентификационной информации пользователя: логинов, паролей, цифровых сертификатов, ключей шифрования для входа в сеть, подключения к приложениям, защищенным ресурсам и т. д.

CNews. ru: Каковы должны быть основные требования к такому средству?

Сергей Груздев: Прежде всего это защищенная PIN-кодом память достаточного объема для хранения digital ID, аппаратное выполнение криптографических операций, обеспечение мобильности пользователя, небольшой размер.

Такое средство очень удобно для пользователя: все профили хранятся в одном месте. С другой стороны, они удобны и для компании, внедряющей систему безопасности, поскольку отчуждаемы от пользователя: их можно выдавать под роспись, забирать у пользователя при увольнении или каждый вечер после окончания рабочего дня. Секретные ключи шифрования должны быть неизвлекаемы и хранится в самом средстве аутентификации. Таким образом, исходя из тех условий, что сегодня нам диктует рынок, идеально подходят смарт-карты и USB-ключи.

CNews. ru: В какой части проектов в сфере ИБ предусмотрены решения этого класса?

Сергей Груздев: Что касается проектов, реализованных с применением аппаратных средств аутентификации, их можно условно разделить на две большие группы. К первой относятся проекты по обеспечению внутренней безопасности компании, ко второй — внешней (обеспечение удаленного доступа к ресурсам компании). Сейчас наблюдается заметный рост интереса к массовой реализации первой группы проектов. Смарт-карты и токены обеспечивают вход в сеть (аутентификацию в службах каталога локальной сети); аутентификацию и авторизацию в различных информационных системах. Также обеспечивается возможность безопасного подключения мобильных пользователей (что особенно актуально для топ-менеджмента) для безбоязненного использования свежей, актуальной корпоративной информации.

Вторая группа — в основном проекты по построению корпоративных порталов с различными возможностями (доступ к биллинговым системам, базам данных партнеров/клиентов компании и т. д.). Уже реализованы или находятся в стадии пилотных проекты в компаниях, работающих в самых различных отраслях экономики: нефтегазовой, телекоммуникационной, финансовой. Есть заказчики из числа GSM-операторов, из государственного сектора, очень привлекательны такие решения для удостоверяющих центров, активно разворачивающихся в связи с реализацией ФЦП «Электронная Россия».

CNews. ru: Можете ли вы привести примеры инцидентов из российской или мировой бизнес-практики, когда бизнес понес реальные потери от отсутствия средств защиты ПК?

Сергей Груздев: Сразу оговорюсь: об этом никто не хочет рассказывать. В нашем офисе примерно два раза в месяц появляются удрученные представители компаний, оказавшихся в беде именно по этой причине. Они обращаются к нам за помощью. В основном это представители среднего и мелкого бизнеса. Крупные компании, наоборот, модернизируют свои системы защиты информации, предотвращая такие риски. По понятным причинам мы не можем называть наших клиентов поименно.

Правда, мы собираем данные из открытых источников. Кстати, они подтверждают, что специалисты не любят делиться впечатлениями о том, скольким атакам они подверглись, даже если все они были успешно отражены. Могу привести такой пример: при попытке Торговой палаты США, PriсewaterhouseCoopers и ASIS провести опрос компаний из списка Fortune 1000, только 14% из них (139) прислали ответы на вопросы об инцидентах в области нарушения ИТ-безопасности. Из 139 компаний только 40% согласились рассказать о них и лишь 55% опрошенных заявило, что их менеджеры занимаются предотвращением таких случаев. В общем и целом, если доверять такой авторитетной организации, как CERT (Computer Emergency Response Team), за два года (2000 — 2002) число инцидентов, связанных с такими потерями, выросло почти в 10 раз. Если говорить о российском рынке, можно привести такую статистику от Ernst&Young (опрос 2001 г. среди более 100 компаний, работающих в России и СНГ): из опрошенных, уже применяющих хотя бы один способ защиты сетей и ПК, 65% по меньшей мере один раз сталкивались с проблемой нарушения компьютерной безопасности.

CNews. ru: Насколько существенно изменились за последние 10 лет технологии, на основе которых сегодня создаются аппаратные средства аутентификации? Каковы были основные вехи в этой эволюции?

Сергей Груздев: Если говорить о российском рынке, то до сих пор, как и 10 лет назад, самым популярным средством аутентификации являются пароли. Об их недостатках уже столько сказано, что я не буду касаться этой темы. Примерно тогда же многие компании стали применять дискеты в качестве внешнего носителя ключей. Это «дешево и сердито»: качество защиты поднимается совсем незначительно, дискета может быть скопирована без знания пароля, да и выходят из строя они слишком часто. Несмотря на то, что средство тоже недостаточно безопасное, им, как и паролем, до сих пор многие пользуются. Еще один очень распространенный в России способ аутентификации — с помощью идентификаторов Dallas Touch Memory («таблеток» iButton).

Оптимальными с точки зрения безопасности и удобства использования на сегодняшний день являются смарт-карты. Почему? Во-первых, это достаточно высокий уровень обеспечения безопасности. Во-вторых, мобильность пользователя (возможность подключения к корпоративным ресурсам вне офиса, из так называемой «враждебной» среды).

Многие вендоры сейчас приходят к тому, что digital ID одного пользователя для различных систем удобней всего хранить на одном устройстве. Это значительно повышает удобство использования. В роли таких устройств, обладающих значительным объемом защищенной памяти, выступают смарт-карты. Возвращаясь к проблеме 3А, необходимо отметить еще один неоспоримый плюс: смарткарточные технологии вкупе с системами с открытой архитектурой обеспечивает надежное и безопасное администрирование сети. А ведь безопасность администрирования — одна из ключевых проблем предприятия: если полномочия администратора попадают в руки злоумышленника, это может стать катастрофой для компании. При использовании этой технологии пользователь не хранит свои пароли на бумажках. Кроме того, секретная информация, которая, будучи перехваченной, позволит злоумышленнику «влезть» в систему, никогда не покидает защищенной памяти смарт-карты. На основе же тех данных, которыми обмениваются сервер и устройство аутентификации, получить доступ к системе невозможно.

При всех плюсах смарт-карт у них, пожалуй, есть только один минус: для их использования необходим считыватель. Во-первых, это снижает мобильность: например, пользователю, отправляющемуся в командировку с ноутбуком, приходится брать с собой дополнительное устройство. Во-вторых, повышает цену решения.

В конце девяностых на стыке смарт-карточных технологий и технологий электронных ключей для защиты программного обеспечения родилось новое устройство — USB-токены. Они абсолютно аналогичны смарт-картам по своим функциональным характеристикам и степени защищенности, но при этом выполнены в виде брелока. Считыватель, по сути, совмещен со смарт-картой в едином USB-устройстве. Соответственно, цена у токенов ниже, и они при ровно таком же уровне безопасности обеспечивают и мобильность пользователей.

CNews. ru: Рассматривая развитие рынка аутентификации за последние десять лет, в целом можно говорить о дрейфе от программных к аппаратным средствам? Вы согласны с этим тезисом?

Сергей Груздев: Это действительно так. До появления стандарта PC/SC аппаратные средства были «разношерстными». С 1997 года в авангард выходят смарт-карты. Они тоже проделали определенную эволюцию: сначала на рынке появляются Memory Card, затем — карты с защищенной памятью (Protected Memory Card). Позже появляются CPU Card (микропроцессорные) — карты с чипом, аппаратно реализующие алгоритмы шифрования. Позже, в 1998-1999 гг., на стыке двух технологий появляются USB-ключи: смарт-карты и считыватели «в одном флаконе» в форм-факторе брелоков.

Современные смарт-карты обладают большой защищенной памятью, поддерживают технологии, заложенные в операционных системах (Smartcard Logon, MS CAPI, PKCS #11 и т. д.); легко интегрируются в ОС и большинство приложений крупных вендоров (в качестве примера можно вспомнить приложения IBM — Lotus Notes, Tivoli).

CNews. ru: Говоря о средствах аутентификации мы не упомянули о средствах биометрии.

Сергей Груздев: Тут необходимо уточнить, что биометрические средства, основываясь на вероятностных методах, подразумевают идентификацию, а не аутентификацию пользователя. Цена действительно надежных средств очень высока, а устройства в ценовом диапазоне до 100 долларов до сих пор не в состоянии обеспечить действительно надежную идентификацию. Биометрию возможно использовать вкупе с PIN-кодом или же вместо при использовании смарт-карт или USB-ключей — как второй или третий фактор аутентификации.

CNews. ru: Каковы перспективы развития современных средств аутентификации, на ваш взгляд? Какие технологии имеют наибольший потенциал развития?

Сергей Груздев: По нашим представлениям, на сегодняшний день оптимальные устройства — смарт-карты и USB-ключи. Именно за ними будущее. Средство аутентификации, по нашим представлениям, должно отвечать следующим условиям: возможность хранения digital ID , или совокупности идентификационной информации, на одном устройстве; универсальность и удобство применения для пользователя; наличие встроенного криптопроцессора; большой объем защищенной памяти с PIN-кодом; поддержка индустриальных стандартов; максимальная открытость архитектуры при сохранении уровня безопасности; поддержка международных и государственных стандартов безопасности, таких как FIPS, Common Criteria, ГОСТ.

Все это уже сейчас обеспечивают токены и смарт-карты. Какова перспектива? Как нам кажется, средства аутентификации будут развиваться по двум основным направлениям. Во-первых, активнее будут использоваться уже появившиеся на рынке комбинированные средства (например, с двумя интерфейсами — бесконтактные и с USB-портом). И, во-вторых, будут развиваться и удешевляться технологии бесконтактных карт (например, с применением стандарта Bluetooth).

В любом случае, средства аутентификации будут как минимум двухфакторные (первый фактор — обладание ключом, второй — знание PIN-кода). Возможно применение дополнительного фактора (биометрия).

CNews. ru: Насколько массово USB-ключи, защищающие ПК, распространены в других странах мира?

Сергей Груздев: USB-ключи получают все большее распространение. По нашим данным, в США из 100% тех компаний, которые используют методы физической защиты, 24% используют смарт-карты, а 36% — различные токены, в том числе и USB-ключи. К сожалению, сейчас нет достоверных данных об общих объемах продаж токенов: обычно приводящиеся цифры включают в себя продажи не только собственно USB-ключей, но и приложений на базе токенов или же ключей для защиты ПО. Поэтому я могу опираться только на личный опыт. Хороший показатель интереса рынка к той или иной технологии — выставка CeBIT. Я каждый год методично обхожу стенды всех игроков этого рынка. О его росте можно судить по динамике количества компаний, представляющих на этой выставке свои токены. Вот посмотрите на динамику: в 1999 году стендов таких компаний было всего 3, в 2000 — 8, в 2001 — 17, а в 2002 уже 27.

CNews. ru: Насколько нам известно, компания Aladdin первой создала и запатентовала USB-ключ. Это так?

Сергей Груздев: Да, это так, однако в том же году у Aladdin появились конкуренты, двое из которых представляли свою продукцию на CeBIT. Дальше их число росло просто стремительно. Если говорить о географии, то половина производителей — компании из США и Западной Европы, остальные — представители Юго-Восточной Азии. Однако рост продаж идет в основном за счет Восточной Европы и азиатского региона.

CNews. ru: Сколько брелков уже продано в России и каких объемов продаж вы планируете добиться в ближайшие годы?

Сергей Груздев: Что касается динамики продаж в цифрах, мы можем опираться только на собственный опыт. Данные Aladdin Knowledge Systems по 2002 году: рост продаж USB-ключей eToken в мире составил около 200%. Для российского рынка этот показатель равен 186%. В 2003 году мы планируем достигнуть 300-400% роста продаж в Российской Федерации.

CNews. ru: Aladdin представляет в России израильские технологии. Каковы ваши оценки степени лояльности государства к иностранным поставщикам иностранных средств защиты? Некоторые говорят о том, что российский рынок в этом вопросе один из самых закрытых в мире.

Сергей Груздев: К сожалению, на российском рынке не представлены отечественные разработки USB-ключей такого уровня, как eToken. Поэтому естественно, что используются зарубежные устройства, совместимые с российскими криптографическими средствами. Типичный пример — компания «Крипто-Про», являющаяся нашим стратегическим партнером, в качестве рекомендованного носителя ключевой информации для СКЗИ «КриптоПро» предлагает наш eToken. Это устройство сертифицировано ФАПСИ в составе криптопровайдера версии 2.0. Кстати, в других СКЗИ («Соболь», «Тропа», «Аккорд») также вынуждено используется зарубежный идентификатор — iButton.

Нельзя говорить о том, что мы представляем израильские технологии. Aladdin Knowledge Systems давно уже стала мировой компанией. Так, группа Research&Development, занимающаяся созданием «железа» и разработкой драйверов, расположена в Германии. Чипы, операционная система для токенов и смарт-карт разрабатываются в Японии. Маркетинговая поддержка обеспечивается чикагским офисом. Управление бизнес-процессами осталось в ведении головного офиса в Израиле. Кроме того, как я уже упоминал, наша компания тоже участвует в развитии этой технологии. Мы имеем статус R&D, разрабатываем и тестируем технологии, являемся международным тестовым центром большого «Аладдина» и постоянно поддерживаем контакт с разработчиками. Такое международное разделение труда — нормальная практика. В рамках международного сотрудничества был создан eToken RIC.

Хочется добавить, что во многом доверие к вендору определяется наличием государственных сертификатов. Если их нет, всегда существует опасность, что устройство ненадежно или же не отвечает заявленной функциональности (например, не поддерживает аппаратного шифрования, а реализует его лишь программно в памяти компьютера). Мы — компания российская и работаем на российском рынке для российских потребителей. Мы проводим локализацию продуктов, очень плотно сотрудничаем с отечественными производителями криптосредств и систем безопасности, а они, в свою очередь, поддерживают наши токены и смарт-карты. Наша компания и продукты сертифицированы ФАПСИ и Гостехкомиссией.

CNews. ru: Кстати о ФАПСИ, как, на ваш взгляд, отразится на рынке упразднение этого ведомства?

Сергей Груздев: Думаю, сегодня никто не может ответить на этот вопрос. Мне кажется, что ни эйфория, начавшаяся по этому поводу у представителей некоторых компаний («теперь нас пустят на этот рынок»), ни выжидательная позиция не являются оправданными. Упразднение ФАПСИ на данный момент тормозит развитие рынка, так как неясно, что будет, например, с системой сертификации. Но даже если «правила игры» изменятся, одно ясно: этот сегмент рынка должен в той или иной степени регулироваться государством. Каким образом это будет реализовано — покажет время.

CNews. ru: Недавно ваша головная компания Aladdin Knowledge Systems объявила о сертификации по стандарту ISO 9001:2000. Имеет ли это какое-то отношение к российской компании Aladdin, дает ли это вам какие-то преимущества?

Сергей Груздев: Эта сертификация — международная. Преимущества очевидны: разрабатывается и производится действительно качественная продукция, а самое главное, потребителю обеспечивается качественная поддержка. Ведь смарт-карты и USB-ключи — основа всей линейки наших продуктов. И большой «Аладдин», и мы оперативно реагируем на изменения рынка — как мирового, так и отечественного. Поэтому мы гарантируем нашим клиентам решение их проблем.

CNews. ru: Как изменялся за последнее время Aladdin? Какие изменения произошли в бизнесе компании? Какие изменения в бизнесе запланированы на ближайшее время?

Сергей Груздев: Наша торговая марка традиционно связывалась с брендом ключей для защиты ПО (HASP, Hardlock). В 1996-98 гг. мы активно начали заниматься смарт-картами. Слияние этих технологий породило токены, и с 1999 г. наша компания сфокусировалась именно на них. Последние два года мы сосредотачиваем силы на разработке и внедрении систем информационной безопасности и позиционируем себя как «правильного вендора». Мы переориентировали бизнес таким образом, что с этого года полностью отказались от прямых продаж, передав их партнерам, и сфокусировались на разработке новейших технологий и поддержке наших продуктов.

У нашей компании сейчас две основных группы партнеров. Первая — компании, реализующие наши продукты, и системные интеграторы, их внедряющие. Вторая — технологические партнеры, интегрирующие наши технологии в свои продукты или же продукты третьих компаний. Нашу миссию мы видим в том, чтобы разрабатывать действительно современные и прогрессивные технологии, аккумулировать знания и доносить их до партнеров, занимающихся их интеграцией и внедрением. Сейчас мы начали плотную активную работу с ведущими мировыми вендорами. Реализуем совместные проекты, внедряем свои технологии в их решения, ведем совместные акции. Первые шаги на пути сотрудничества мы уже сделали, сотрудничая с такими гигантами рынка, как Microsoft, Novell, Cisco, IBM, SAP AG.

CNews. ru: Какими факторами определяется востребованность поставщика продуктов на рынке информационной безопасности?

Сергей Груздев: При прочих равных условиях выбирается решение, поддерживающее максимальное количество стандартов, как индустриальных, так и международных стандартов сертификации. Заказчик рассматривает любую систему не только с точки зрения удовлетворения сегодняшних потребностей, но и с точки зрения инвестиций на будущее. Определяющими факторами становятся степень готовности решения и его сертификация, наличие «критической массы» внедренцев, способных его развернуть и поддерживать, качество решения. К тому же известный производитель обычно гарантирует не только качество товара, но и поддержку своих систем. Так, у нас очень тесные связи с Aladdin Knowledge Systems. Мы быстро реагируем на просьбы наших партнеров и клиентов, влияем на разработку новых технологий. С помощью AKS мы создали eToken РИК, аппаратно реализующий национальный стандарт шифрования (ГОСТ 28147-89). Мы обладаем необходимой инфраструктурой и большим опытом, наши решения сертифицированы, мы гарантируем заказчикам поддержку, реакцию на их просьбы. Помимо прочего, у нас сильная, квалифицированная команда профессионалов.

CNews. ru: Спасибо.