Comptek

Siemens



 
Совместный проект При поддержке
CNews.ru RBC Мир связи. Connect! МТУ-Информ

Безопасность в сетях

 
Телекоммуникации, будучи одной из реалий, которые все быстрей и быстрей меняют наш мир, опутывают связями современное общество, которое в свою очередь уже не может без них существовать в силу того, что они и составляют его технологическую основу, некий гибкий скелет, который может принимать различные формы в ходе реализации той или иной коммуникации. Важность и значимость телекоммуникаций неоспоримы, поэтому, как правило, экономический рывок в этом секторе символизирует развитие постсовременной экономики. По этой причине вопрос безопасности и информационной безопасности в частности актуален не только для экспертов, но и для общественной экспертизы в целом. Дело в том, что сам феномен телекоммуникаций настолько многолик, что, на первый взгляд, понять, что происходит и нарисовать целостную картину, представляется трудным из-за того, что даже та же проблема безопасности существует на разных уровнях. С одной стороны можно говорить о том, что такое и как реализована безопасность внутри сектора телекоммуникаций, который сам по себе имеет многочисленные сегменты, то есть для самих телекоммуникационных компаний. С другой стороны, можно говорить об информационной безопасности всех тех, кто использует каналы телекоммуникаций. А опасность присутствует почти везде, так как коммуникации проникли почти во все сферы человеческой деятельности и уголки мира, а распространение знания о том, как устроены коммуникации, невозможно сдерживать.

По всей видимости, осуществление тех или иных угроз наносит вред, как самим компаниям, так и их клиентам, и в большинстве случаев это происходит одновременно. В любом случае, рассматривая телекоммуникацию как процесс передачи данных на дистанции при помощи проводных, радио и иных электромагнитных средств, следует отметить, что безопасность касается в первую очередь функциональности, целостности (как соответствия стандартам) систем и конфиденциальности содержания передаваемых данных. Сами же угрозы реализуется в виде умышленных действий (кража данных, мошенничество, взлом сетей), ошибок, сбоев и физических катастроф и аварий. Последние, кстати представляют не меньшую угрозу, чем те же хакеры, хотя именно опасность взлома является доминирующей у представителей отрасли телекоммуникаций, и именно ей озабочены больше всего после безопасности электронной почты или необходимости установки VPN. Хотя компании обычно испытывали трудности именно с вирусами и злоупотреблениями самими работниками компаний. Хотя по количеству работников, занятых внутри компании проблемами информационной безопасности телекоммуникационные компании обычно занимают места в тройке лидеров, уступая или иногда немного опережая аэрокосмическую отрасль и сферу финансовых услуг (статистика по США).

  Комплексные решения для защиты информации. Корпорация «ЮНИ»
Конечно, сами телекоммуникационные компании защищают себя в проекции информационной безопасности более менее схоже с корпорациями, которые активно используют информационные технологии. Проблема скорее заключается в том, что они, предоставляя свои услуги (услуги широкого спектра), существуют как бы на стыке связей и коммуникаций и поэтому несут на себе «двойную» нагрузку. Широкополосный доступ, кабельные каналы, управление сетями, мобильная и спутниковая связь, беспроводные сети, наконец, предоставление услуг в области Интернет, – все это составляет неполный перечень телекоммуникационных сервисов, от которых многое зависит. Ведь недаром сфера телекоммуникаций за последние десять лет превратилась в область, в которой вопросы демонополизации рынка и одновременно необходимости его регулирования встали наиболее остро. И проблема безопасности в этих вопросах далеко не последняя. Это касается как безопасности работы самой инфраструктуры, так и безопасности (в том числе конфиденциальности) передаваемых данных. В целом можно сказать, что размер ущерба в области коммуникаций от мошенничества в сфере Интернет согласно IFCC Internet Fraud Report 2001 невелика: по сравнению с мошенничеством на Интернет-аукционах (42.8%) или в сфере применения кредитных карт (9.4%) мошенничество в области коммуникаций занимает скромное десятое место (0.6%). Хотя та же подмена подлинных данных, несмотря на скромный процент в виде 1.3%, в среднем выражается в виде потерь в размере 3000$. И непонятно, в чем здесь причина в неточности учета тех или иных правонарушений или, действительно, в их слабом распространении.

Скорее всего, речь об информационной безопасности в области телекоммуникаций должна идти касательно специфических областей. Таких, например, как защита персональных данных, которые собранны телекоммуникационной компанией о своих клиентах, безопасности беспроводных коммуникаций, незаконного использования кабельных мощностей (cable piracy). Вопросы же обязательного хранения данных осуществленных коммуникаций и тех же несанкционированных коммерческих рассылок электронных писем граничат с полем общественного интереса, и поэтому, по всей видимости, подлежат публичному регулированию. На самом деле это вопросы использования ресурсов телекоммуникационных компаний, а не безопасной передачи данных. В конечном итоге, как гонять пакеты данных с одного места на другое, особого значения не имеет, а вот кто за это будет платить, и кто будет нести ответственность, – это уже другой вопрос. Поэтому последнее решение Европарламента, которое выразилось в принятии закона о защите данных, который обязывает иинтернет-провайдеров и операторов телекоммуникационных услуг хранить данные о клиентах и другую информацию в срок, превышающий время, необходимое для осуществления биллинга, а также действий, связанных с исполнением требований законодательства. Такие «политические» обязательства имеют под собой невыгодную экономическую подоплеку: компании будут нести на себе издержки хранения всей информации «обо всех». По их мнению, данных, которыми они обеспечивают юрисдикционные органы, уже предостаточно, при этом непременно гражданские права клиентов будут нарушаться, а издержки будут слишком высоки (по материалам Ассоциации Европейских Интернет-провайдеров). Следует заметить, что даже в США пока отказались от такого радикального подхода.

Что касается другой быстро растущей области, как в смысле рыночных показателей, так и информационной безопасности, а именно, области беспроводных сетей и коммуникаций, то следует заметить, что сам по себе тип передачи данных подразумевает сравнительную легкость перехвата данных и информации. Другой не менее важной проблемой является проблема незаконного доступа через цифровые системы (spoofing). Ежегодно это обходится компаниям в более $300 миллионов при общей оценке рынка в $11 миллиардов, что немало. Перехват информации третьей стороной и последующий ущерб вообще очень трудно оценить, хотя как показывают некоторые локальные исследования, до 80% цифрового трафика может сканироваться. Не технически можно избежать открытия деликатной информации лишь только при помощи умалчивания. Технические же решения обычно связаны с шифрованием цифрового трафика, что в свою очередь приводит к коллизиям с органами юрисдикции и проблемам в области стандартизации.

В свою очередь, на Западе достаточно актуальной является проблемы несанкционированного подключения к кабельным каналам телевидения, например в США потери в этой области оценивались в 1999-2000 гг. в размере $6.6 миллиардов ежегодно, что составляет 17% от валового дохода отрасли за 2000 год. При этом даже не учитывается возможное коммерческое использование пиратского сигнала. Недавний скандал между News Corporation и Vivendi Universal был вызван именно якобы фактом пиратского подключения к телевизионным ресурсам одной из компаний. В сердце нашумевшей истории лежало обвинение во взломе или оказании поддержки взлома смарт-карт ITV Digital корпорацией News Corporation. Взломанные смарт-карты действительно распространялись через Интернет, и, как указывает ITV Digital, ей был нанесен ущерб в размере 100 миллионов фунтов стерлингов. Это одно из первых столь громких дел, где схлестнулись две медиа-империи – News Corporation и Vivendi Universal, которая владеет ITV Digital.

Само же лицо телекоммуникаций меняется: технологии быстрого доступа и цифрой связи будут расти в ущерб обычной телефонии и модемной связи в Интернет. Таковы предсказания Forrester Research для США: широкополосный доступ вырастет с $6 миллиардов в 2001 году до $23.3 миллиардов в 2006, беспроводная связь с $46.5 миллиардов до $85.1 миллиардов в 2006, модемная связь за тот же период упадет с $8.6 миллиардов до $5.4 миллиардов. Другое исследование показывает, что число домохозяйств США, использующих высокоскоростную связь, перерастет число, использующих модемную связь в 2005 году, согласно данным The Strategis Group. В целом такой сценарий с учетом сдерживающих факторов, национальной специфики и индивидуальных временных лагов можно предположить и для большинства национальных рынков услуг в сфере телекоммуникаций. Можно также предположить, что перемены технического характера повлекут за собой хотя бы минимальные изменения в плане информационных и компьютерных угроз. О качественном рывке говорить пока рано.

Обычно чем более популярнее становится вид связи, тем больше на него обращают внимание злоумышленники, тем более, если уровень защиты не является адекватным или, наконец, просто проверенным. Между тем беспроводные сети не являются панацеей от хакеров, напротив, они сравнительно уязвимее, хотя проблемы схожи и с обычным управлением корпоративными сетями: слабые пароли, нестойкое шифрование, неэффективное администрирование. Простое включение беспроводных сетей «по умолчанию» в инфраструктуру любой компании опасно, так как это требует весьма аккуратного «встраивания» с множественными ограничениями: и если злоумышленник проникает внутрь беспроводной сети, то никак не дальше. То же самое относится к компрометации одной из машин, подключенной к беспроводной сети.

В целом факт того, что сети различного рода и каналы широкополосного доступа становятся обыденностью, только обостряет и усугубляет проблему информационной безопасности. Возможности сетей расширяются, но сами сети и Интернет в целом не становятся безопаснее. При этом сами возможности будут использоваться с предосторожностями по причине безопасности, но также по причине растущего консерватизма к внедрению IT-решений из-за слабой очевидности их экономической отдачи. Такая тенденция уже характерна в США (России же присущ еще «консерватизм до бума», так как бума как такого у нас и не было). Поэтому IT-бюджеты если не замораживаются, так «подмораживаются», а акцент делается на безопасности вообще или обеспечении безопасности тех или иных решений и приложений в инфраструктуре компании. Несмотря на это, рынок программного обеспечения в области безопасности должен вырасти в этом году на 18% по сравнению с прошлым годом, достигнув отметки в $4.3 миллиарда (по данным Dataquest, Inc). При этом коммуникационные компании, лидировавшие в 2001 году по «безопасным» бюджетам, в этом году урежут свои расходы на информационную безопасность, пропустив вперед правительственные, финансовые организации и IT-компании.

Ефим Осипов

Комментарии участников рынка

Владимир Гайкович: Встроенные механизмы защиты в телекоммуникационном оборудовании никогда не заменят комплексной системы безопасности

Владимир Гайкович  
На вопросы корреспондента журнала «Мир связи. Connect!» ответил Владимир Гайкович, генеральный директор компании «Информзащита». В ходе интервью обсуждались вопросы специфики систем информационной безопасности на предприятиях телекоммуникационной отрасли.

Корр.: Сегодня только самые ленивые не говорят о защите информации. Почему это направление стало модным?

Владимир Гайкович: Мода на занятие информационной безопасностью появилась не так давно. Ее появление связано, прежде всего, с повышением спроса на защиту информации, который сейчас наблюдается. Однако большинство потребителей пока интересуются «всем по безопасности» и, зачастую, в целях повышения собственного уровня образования.



Алексей Комков: Мы с надеждой ждем, когда рынок ASP-провайдеров насытится и они начнут предлагать дополнительные услуги.

Алексей Комков  
По мере возрастающей синергии между рынками связи и компьютерных сетей средства антивирусной защиты получают все более широкое применение в среде телекоммуникационных компаний. Интерес со стороны телекома к подобного рода услугам и продуктам в немалой степени стимулируется растущей конкуренцией между провайдерами услуг. Динамику развития рынка информационной безопасности в телекоммуникационной сфере в интервью корреспонденту CNews.ru комментируют представители компании «Лаборатория Касперского": технический директор Алексей Комков, руководитель направления корпоративных продаж российского офиса Рустэм Хайретдинов и PR-менеджер Светлана Новикова.

CNews.ru: В чем специфика решений для провайдеров?

Алексей Комков: В случае с персональными продуктами одна из их главных задач – простота в установке и использовании. Для телекоммуникационных компаний и ASP-провайдеров, важна масштабируемость, стабильность работы, хорошая техподдержка, консалтинг – те дополнительные услуги, которые персональному пользователю не интересны. И в отличие от ситуации с персональным пользователем, здесь уже сложность настройки может стать скорее плюсом, а не минусом.



Сергей Малышев: Методология обеспечения информационной безопасности предполагает комплексное решение, включающее продукт, сервис и обучение

Сергей Малышев  
На российском рынке услуг в области обеспечения безопасности информации (ОБИ) работает много компаний. Однако мало кто предлагает комплексное решение, ориентированное на долговременные и изменяющиеся интересы заказчика. На вопросы корреспондента журнала «Мир связи. Connect!» отвечает первый вице-президент корпорации «ЮНИ» Сергей Малышев.

Корр.: Как вы считаете, насколько руководителями отечественных компаний осознана важность обеспечения безопасности информации (ОБИ) как одного из способов повышения устойчивости бизнеса?

Сергей Малышев: События последнего времени подтверждают следующее: как на отечественном, так и на зарубежном рынке интерес к средствам, методам и системам защиты информации присутствует, в первую очередь, из-за универсальности этой проблемы. Вопросы обеспечения безопасности затрагивают деятельность любой организации, обладающей коммерчески ценной информацией.

Вернуться на главную страницу обзора