При этом в виртуальности есть масса всякой гадости

Cегодня даже для небольших фирм стало дурным тоном не иметь своего фирменного сайта, выхода в Интернет и электронной почты. Коммерческие структуры быстрее государственных осваивают компьютеризацию – в любой приличной компании несколько десятков или сотен компьютеров объединены в локальную сеть (ЛВС), идет накопление деловой и бухгалтерской информации на серверах, через Интернет связываются со своими партнерами в ближних и дальних регионах. Наверняка в сервере ЛВС уже при ее создании система управления базами данных (СУБД) предусматривала разграничение доступа персонала, защиту почты по открытым сетям и многое другое в интересах информационной безопасности.

Но время проходит, перечень и реальность угроз в виртуальных сетях стремительно меняются, а аппаратно-программные средства компьютерной защиты компании потихоньку и незаметно ветшают. Руководство фирм только вздрагивает при очередном публичном хакерском успехе или при сообщении о размерах нанесенного очередным вирусом типа "I love you"

ущерба где-то "за бугром"…

Охранный бизнес не остался в стороне от внешней и привлекательной стороны компьютеризации, а "по замыслу Создателя" и в этих технологиях должен стоять на страже "всяких утечек". Да, защита телефонных линий, помещений от прослушивания, проверка персонала и ряд других услуг входили и входят в джентльменский набор их рекомендаций своим клиентам. Компьютерные сети не должны были стать исключением. Но автор присутствовал на некоем "круглом столе", где представитель фирмы по защите информации и бывший технарь из cпецслужб для себя "обнаружил", что давно существуют программные методы различения обычного сбоя компьютера и нарушения его работы, спровоцированного атакой злоумышленника.

Может быть, это не его вина, а "общая беда". Если не считать немногочисленной когорты криптоаналитиков и программистов, ушедших "на вольные хлеба", многие силовики покинули свои ведомства в начале 90-х, когда компьютер в квартире или офисе считался "криминогенной зоной", а Интернет был вообще диковинкой. (Для многих до сих пор кажется странным открытие, что аббревиатура www появилась только в 1993 году.) Им было "не до грибов", надо было выживать и строить свой бизнес с учетом имевшихся, "традиционных" знаний. Также понятен и агрессивный маркетинг "чисто" компьютерных фирм в активно развивающемся секторе рынка по системной интеграции средств охраны, где компьютерные технологии достаточно эффективны и имеют неплохую перспективу.

Сейчас специалистов по компьютерным средствам защиты информации (СЗИ) хоть и немного, но готовят в ВУЗах. Но даже привлекаемым в охранные структуры и СБ спецам из молодых "компьютерных волков" нужно грамотно поставить задачу с не всегда афишируемой оперативной составляющей. Видимо поэтому при расследовании утечек информации виртуальные каналы рассматриваются часто как первопричина в последнюю очередь.

И собственно охранные структуры, СБ и их клиенты в экспансии на региональном уровне обречены на развитие компьютерных технологий обработки и передачи БД и на столкновение с существующими при этом рисками и угрозами.

Спрос на защиту канала электронного общения по открытым или выделенным сетям сейчас значителен, технически решаем без больших затрат. Но все равно по лени и из-за копеечной экономии гонят на фирмах по незащищенному каналу e-mail документы, носящие подчас конфиденциальный коммерческий характер.

Взломы серверов компаний тоже для многих как бы далеки. Не поражает воображение даже классический пример с флажком на Капитолии. (Когда на "иконке" сайта американского Белого Дома стал вдруг падать и проламывать крышу этот самый флажок.) А случилось это после начала бомбежек Югославии. Причем американцы обвинили во всем русских хакеров. Они ли это – история умалчивает, но специалисты в области СЗИ могут оценить уровень квалификации "хулиганов".

Системные администраторы в компаниях – т.е. те, кто теоретически должен обеспечивать защиту компьютерной информации от внутренних и внешних недоброжелателей – часто выполняют функции "мальчика на побегушках": поменять картридж, почистить "комп" от вирусов или переустановить новую версию программы. Да, в банковских и финансовых структурах, особенно связанных с Центробанком, соответствующие превентивные меры защиты были предприняты и контролируются ФАПСИ после внедрения компьютерных технологий в практику электронных платежей.

Но здесь все-таки сосредоточены национальные интересы и угрозы макроэкономике. Большинство же коммерческих и торговых компаний, особенно имеющих региональных партнеров, от такой "добровольно-принудительной заботы" избавлены и спохватываются, когда срываются контракты на десятки и сотни тысяч долларов.

По оценкам западных экспертов, 60-70 % компьютерных инцидентов (вирусы, утечка конфиденциальных данных, разглашение паролей и пр.) связано с действиями зарегистрированных пользователей, то есть тех, кому принято доверять. А это иногда достаточно широкий круг: свои сотрудники, партнеры, клиенты. Организационные и кадровые меры недостаточны. К тому же внешние пользователи корпоративной сети многолики и для них посторонние кадровые советы – это как бы "со своим уставом в чужой монастырь…" Но можно договориться об общей политике безопасности и соответствующей защите технологий обработки информации (межсетевые экраны, системы обнаружения атак, системы шифрования трафика, системы контроля "мобильного кода" и т.д.). Хочешь – не хочешь, но этому должны соответствовать специалисты, владеющие "предметом" и "переваривающие" вал непрерывно обновляющейся информации по средствам защиты и нападения.

Еще одним сегментом рынка, на который все больше обращают внимание специалисты по защите компьютерной информации, являются е-бизнес, е-коммерция. Не раскрывая эти разные понятия, достаточно отметить, что для России актуальней пока говорить об е-коммерции, позволяющей наладить отношения продавец-покупатель в сети Интернет, или попросту об интернет-магазинах. Оперативникам из управления "Р" МВД известно о случаях мошенничества и покупках в сетях за чужой счет с использованием потенциала "хакеров". Сами интернет-магазины предпочитают не афишировать такие инциденты, чтобы не отпугнуть клиентов. Правда аналитики утверждают, что большинство из сотен интернет-магазинов по России малоприбыльны, то есть нам еще далеко до западного бума. Вместе с тем, "кто не успел – тот опоздал". Рост числа пользователей, по мнению многих, увеличивается каждый год на 100% от существующих около 2-2,5 миллионов по России.

Несколько привлекательней в России выглядит ситуация с интернет-торговлей в нише B2B, требующей наличия устойчивых групп корпоративных пользователей (потребителей-оптовиков с другой стороны) и отработанной схемы доставки услуг и товаров. Есть конкретные успешные примеры, но, что характерно, только 5% из них используют полную схему е-коммерции с проводкой электронных платежей. Это не только проблема юридической незавершенности данных технологий при судебных конфликтах, но и чисто российское стремление не высвечивать финансовые потоки, в том числе для ухода от налогового бремени.

Охранно-детективный бизнес не остался в стороне от тенденций. Но возникшие, прежде всего в сфере технических средств безопасности, интернет-магазины сейчас больше похожи на доску объявлений ряда случайных и разноплановых фирм. Инициатива в духе времени, но эффективность может быть прогнозируема.

Вместе с тем историческая концентрация профессионалов частного охранно-детективного бизнеса, особенно ее технологической составляющей, в Москве и Санкт-Петербурге, их интеллектуальный потенциал разработок, производства и международных связей, а также насыщение и жесткая конкуренция местного рынка стимулирует их естественное стремление в регионы. С подключением инструмента е-коммерции их успех может быть рассчитан с использованием опыта профессионалов в этой сфере.

Специалисты неназванной, но продвинутой компании по WEВ-торговле предлагают уже сейчас не только провести консалтинг с изучением спроса в регионах, найти дилеров-оптовиков, но и создать с их помощью региональную информационную среду и подключить фирму-партнера по доставке, то есть решить обременительные вопросы логистики. Хотя не исключено, что они же могут убедить отказаться от некоего проекта в связи с его бесперспективностью. Причем все это – после консультаций и ежемесячных расходов порядка 100 долларов и, безусловно, с использованием интернет-технологий.

Любопытно, что попытки отечественных "грандов" компьютерной СЗИ предложить свои дорогостоящие услуги (10-20% от стоимости системы или размера возможных убытков) компаниям по WEB-консалтингу, последние расценивают все-таки несвоевременными. С учетом относительно невысоких денежных потоков в российской интернет-торговле, редкого использования электронных платежей и кредитных карт в регионах, фирмы по WEB – консалтингу предполагают, что ответственность (адекватная стоимости услуг) по защите сделок, клиентской базы и прочего может быть прерогативой выбранного интернет-провайдера. При росте бизнеса и большом обороте возникающие риски могут быть возложены на держателя платежной системы, куда подключается магазин и где могут быть востребованы разработки фирм компьютерных СЗИ.

Суть позиции упомянутых фирм по WEB-консалтингу достойна похвалы – за российских бизнесменов как бы экономят доллары и рубли по статье "накладные расходы за предпринимательский риск". Но рассудит их, как всегда, жизнь.