CNews: Какую роль сегодня играет госсектор в развитии решений для информационной безопасности? В чем его особенности и отличия от других секторов экономики?

Егор Кожемяка: В государственном секторе формируется заказ, спрос на определенные классы решений для информационной безопасности. И этот спрос во многом зависит от федеральных законов, постановлений Правительства РФ, приказов и требований регулирующих органов, а также других нормативно-правовых документов. Регуляторы, опираясь на аспекты, связанные как с актуальными угрозами безопасности информации, так и с развитием ИТ, формируют требования к средствам обеспечения информационной безопасности. Эти требования зачастую являются драйвером развития для всей отрасли ИБ.

Отличия госсектора от других секторов экономики обусловлены требованиями законодательства. В частности, для построения систем информационной безопасности в госсекторе необходимы сертифицированные средства защиты информации (СЗИ), позволяющие обеспечить весь комплекс создания систем информационной безопасности.

Система сертификации направлена на то, чтобы заказчики получали проверенные решения по информационной безопасности. В данном контексте речь идет о проверках несколькими независимыми организациями. В частности, в системе сертификации ФСТЭК России испытания и экспертизу документации проводят испытательные лаборатории и органы по сертификации. По своему опыту мы знаем, что такие проверки не являются формальностью. Чтобы получить сертификат соответствия на уже готовый продукт, требуются многие месяцы работы.

CNews: Какие тенденции сегодня оказывают на него наибольшее влияние?

Егор Кожемяка: Наибольшее влияние на государственный сектор оказывает деятельность регуляторов, формирование требований, которые, как уже упоминалось, зависят от актуальных угроз безопасности информации и развития технологий. ФСТЭК России ведет системную планомерную работу по разработке новых требований к отдельным классам СЗИ. Также ФСТЭК России старается повысить качество работы испытательных лабораторий и органов по сертификации, проводит сокращение их количества. Много внимания регулятор уделяет безопасной разработке программного обеспечения производителями СЗИ по новому ГОСТу, обновлению сертифицированных СЗИ, процессу качественного технического сопровождения и поддержки пользователей.

Различные экономические и политические процессы тоже имеют свое влияние на госсектор. Мы видим, что в целом рынок ИБ в России демонстрирует рост, в государственном секторе по собственным проектам мы можем сделать вывод о более позитивной динамике.

Один из политических аспектов, импортозамещение, безусловно, влияет на рынок. Но если говорить о сфере решений по информационной безопасности, то эта тенденция актуальна для нее в меньшей степени, чем для ИТ-сферы в целом. Более половины предлагаемых на рынке сертифицированных СЗИ — это отечественные разработки. И здесь, опять же, дело в специфике требований российских регуляторов.

CNews: Каковы итоги деятельности вашей компании в 2016 году? Удалось ли выполнить все намеченные планы? Какие события для вас были ключевыми?

Егор Кожемяка: Среди экономических итогов можно отметить тот факт, что группа компаний «Конфидент» растет гораздо быстрее рынка.

Основная наша деятельность как разработчика сосредоточена на создании систем защиты информации «конечных точек» преимущественно для госсектора. В этом сегменте по итогам 2016 года мы показали значительный рост, который измеряется десятками процентов. За этот год в России было реализовано более 3500 проектов с использованием продуктов семейства Dallas Lock.

В 2016 году разработки компании пополнились новыми решениями и модулями. Наша задача — создавать продукты в составе единой линейки, которые закрывают большинство актуальных угроз и отлично дополняют друг друга, так как интегрированы между собой. Считаю, что с данной задачей мы отлично справляемся.

Одно из ключевых событий 2016 года — это завершение сертификации наших новых продуктов и модулей. Важно отметить, что на текущий момент набор сертификатов соответствия ФСТЭК России продуктовой линейки Dallas Lock охватывает следующие решения: защита от несанкционированного доступа (НСД) для ОС Windows и Linux, персональный межсетевой экран (МЭ), система обнаружения и предотвращения вторжений (СОВ), средство контроля съемных машинных носителей информации (СКН), средство доверенной загрузки (СДЗ) уровня платы расширения. Мне не известны производители, которые бы имели такой же состав сертифицированных защитных механизмов в своем продуктовом портфеле.

CNews: Назовите, пожалуйста, важнейшие направления вашей работы в 2016 году и на ближайшую перспективу.

Егор Кожемяка: Компанией «Конфидент» ведется работа по расширению продуктового портфеля, совершенствованию существующих продуктов и оказанию сопутствующих сервисов для партнеров и конечных пользователей. Мы хорошо чувствуем обратную связь от них. Это является одним из важнейших источников идей по развитию продуктовой линейки.

На ближайшую перспективу в наших планах: завершение сертификации персонального межсетевого экрана по новым требованиям ФСТЭК России, выпуск и сертификация новой версии Системы защиты информации в виртуальной инфраструктуре Dallas Lock, в которой реализована возможность управления ИБ из единой консоли несколькими серверами виртуализации VMware vCenter и Microsoft Hyper-V.

Другая, не менее важная задача — это расширение состава сертифицированных защитных механизмов и их функциональности в СЗИ НСД Dallas Lock Linux. Инфраструктуры заказчиков меняются, поэтому мы также совершенствуем свои продукты для обеспечения надежной защиты информации в информационных системах.

CNews: Повышает ли переход на российское и свободное ПО безопасность организаций?

Егор Кожемяка: Свободное ПО, как и любое другое ПО, может служить источником угроз из-за содержащихся в нем уязвимостей. В качестве примера можно привести ситуацию с ОС Red Star на базе ядра Linux, разработанной и используемой в КНДР. В конце 2016 года эксперты обнаружили ряд уязвимостей, позволяющих получить на системе права суперпользователя. Это довольно показательный случай, который может повториться и в других странах.

Если обратиться к статистике уязвимостей за 2016 год, то мы видим, что ОС на базе свободного ПО имеют гораздо больше уязвимостей, чем всем известные ОС Windows. По данным CVE Details за 2016 год, тройку лидеров по уязвимостям составляют ОС Android, Debian Linux и Ubuntu Linux. Семейство Microsoft Windows среди ОС показало относительно небольшое количество уязвимостей. Это подтверждает и статистика Банка данных угроз безопасности информации ФСТЭК России. По количеству критических уязвимостей в ПО различных производителей первые строчки рейтинга занимают Adobe Systems Inc., Red Hat Inc., Software in the Public Interests Inc., The CentOS Project. Суммарное количество критических уязвимостей в свободном ПО по итогам 2016 года в несколько раз превышает количество таких уязвимостей в продуктах Microsoft Corp.

Сейчас уже есть на рынке отечественные ОС, построенные на базе свободного ПО. Заказчикам стоит помнить, что уязвимости есть во всех продуктах, как в отечественных, так и в иностранных. Их количество не зависит от страны происхождения продукта. В гораздо большей степени на наличие уязвимостей влияет то, каким образом в компании выстроен процесс безопасной разработки, каким образом проводится тестирование и т.д.

CNews: Зачем нужно столько сборок Linux в Реестре российского ПО под видом отечественных ОС? Какие у них перспективы?

Егор Кожемяка: Государственные заказчики в связи с импортозамещением стали чаще обращать внимание на отечественные ОС, не подозревая обо всех возможных последствиях, если проблему защиты информации рассматривать комплексно. Раз есть спрос, то появляется и предложение. Давайте посмотрим, что могут сейчас предложить российские разработчики операционных систем, созданных на базе ОС Linux? Компания «Конфидент» уже четверть века защищает информацию в госсекторе, мы понимаем все тонкости в данном сегменте, поэтому для нас очевидны «преимущества» такого предложения.

Во-первых, как уже упоминалось, статистика показывает относительно большое количество уязвимостей в свободном ПО. Если мы говорим про сертифицированные защитные механизмы в составе такого ПО, то устранение уязвимостей в данном случае — это достаточно трудоемкий и долгий процесс.

Во-вторых, для защиты ГИС 1 и 2 классов в подавляющем большинстве случаев требуются не только средства защиты от несанкционированного доступа. Помимо этого, также необходимы и межсетевой экран, и система обнаружения вторжений, и средство контроля съемных носителей, и средство доверенной загрузки. Речь идет именно о СЗИ, сертифицированных на соответствие определенным требованиям. Если совместимость со средствами доверенной загрузки обеспечивается достаточно просто, то как быть с другими типами СЗИ? Во многих случаях оказывается невозможным с технической точки зрения обеспечить совместимость отечественных ОС с требуемыми типами СЗИ. А собственные защитные механизмы «российских» ОС не имеют соответствующих сертификатов, поэтому реалии таковы, что в ряде случаев невозможно аттестовать рабочие места по требованиям безопасности информации.

CNews: На что обращать внимание заказчикам при выборе средств защиты информации? На чем можно сэкономить не в ущерб безопасности информации?

Егор Кожемяка: Мы видим, что в инфраструктуре заказчиков подавляющее большинство программ, в том числе из Единого реестра российских программ для ЭВМ и БД, работает под управлением ОС Windows. Зачастую это является вынужденной мерой для исполнения ими государственных функций. Это означает, что переход на отечественное ПО, особенно в части операционных систем, будет достаточно долгим. В этой ситуации на данный момент наиболее востребованными для использования являются накладные средства защиты информации, сертифицированные по требованиям безопасности.