Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Рынок молчит про ИБ-проекты

Большинство российских компаний, работающих в сфере ИБ, сегодня готовы под «честное слово» раскрыть информацию о своих доходах, что уже является маленьким подвигом. Когда же речь заходит о реализованных проектах ИБ, снова возникает информационный вакуум.

Когда встает задача описать крупнейшие проекты в области ИБ, первый возникающий вопрос — крупнейших по объему финансирования или по масштабу выполненных работ? Что считать более существенным: специализированный проект по внедрению комплексной подсистемы ИБ, выполненный «нишевым» интегратором, или глобальный ИТ-проект, выполненный системным интегратором широкого профиля? Опросив компании, как специализирующиеся на услугах ИБ, так и системных интеграторов, везде был получен один ответ: наши заказчики против того, чтобы разглашались их имена и какие-либо детали проектов. Более вежливая форма отказа звучала так: для того, чтобы раскрыть информацию о проектах, мы должны спросить разрешения заказчика, согласовать это с их пресс-службой и только потом раскрыть содержание проекта, но без каких либо существенных подробностей.

Заказчики против

Обычное объяснение, почему компания не хочет раскрывать проект вместе с именем исполнителя — тогда станет ясно, что за средства защиты внедрены в организации, а это сообщит лишнюю информацию злоумышленникам. Подобные опасения высказываются как профессиональными компаниями, так и системными интеграторами, которые не «привязаны» к каким-либо средствам. В то же время, по большому счету, количество представленных на рынке средств защиты ограничено, а некоторыми системами всерьез занимаются всего два-три производителями, что почти убивает вариативность. Часто, особенно когда речь идет о государственных структурах, услуги оказываются после проведения тендера, где информация о победителе является открытой. Что опять позволяет провести необходимую параллель.

Возможно, сказывается боязнь привлечь к себе повышенный интерес, заявив о внедрении систем защиты. С другой стороны, интерес злоумышленников больше зависит от сферы деятельности компании и от ее имени, нежели от подобных заявлений. Если посмотреть на развитие киберпреступности, то видно, как в последнее время на этом начинают делать деньги, производя заказные взломы или целенаправленные кражи информации. А от «массовых» хакеров, т.е. школьников, доставших где-то новое «суперсредство» для взлома, многие организации уже давно защищены.

Еще одна возможная причина для сокрытия информации о проектах — нежелание рассказывать о том, сколько денег было потрачено на реализацию. Однако информация о стоимости объявленных тендеров доступна всем участникам рынка, а сумма контракта может быть легко прикинута исходя из стоимости задействованных продуктов и средней стоимости работ по их внедрению. В то же время, конкретная цифра все равно очень относительна, ибо любая работа может быть выполнена с разной степенью детальности, что существенно влияет на стоимость

Исполнители — тоже против

Одной из возможных причин, по которым исполнители не готовы раскрывать информацию о реализованных проектах — страх, что их заказчиков перетянут конкуренты. Но если эта компания победила в тендере — все и так известно. Как ни банально, но если компания хорошо выполнила поставленную задачу, заказчик вряд ли переметнется к другому исполнителю

Характерно, что исполнители часто хвастаются своими заказчиками и реализованными проектами, выступая на семинарах, но не в печати. Тут, вероятно, действует принцип «что написано пером — не вырубишь топором». Т.е. любые огрехи и преувеличения в выступлении можно списать на непонятливость слушателя, а за печатное слово придется отвечать.

Почему не «пиаримся»?

Почему заказчики не стремятся продемонстрировать потенциальным клиентам, что внедряют системы защиты? Помимо того, что это хороший информационный повод появиться в прессе, это еще и демонстрация своей заботы о клиентах. А также способ донести до акционеров то, что их деньги теперь защищены лучше.

Возможно, причина в боязни — обнаружить, что компания находится только в начале пути. Но с другой стороны, это одновременно и демонстрация того, что компания все же на него вступила. Достижениями же в области автоматизации чуть ли не принято хвастаться. Или тут дело в скрытности характера специалистов по безопасности?

У нас в стране пока нет закона, обязывающего компании сообщать об инцидентах, связанных с информационной безопасностью. В 2005 г. в России было зарегистрировано 6910 преступлений в этой сфере, и бытует мнение, что это лишь 20 % от реально произошедших инцидентов. В прессу периодически все-таки просачиваются слухи об утечках информации, взломах, вирусных атаках в различных компаниях. Это, безусловно, отрицательно сказывается на репутации компаний. Но почему эти же компании не стремятся скорее сообщить, что причина устранена, приняты меры и т.п.? Вопрос остается открытым.

Михаил Савельев