Ассиметричная безопасность
Автор
Алексей Лукацкий
Все пытаются преподнести себя как доверенных лиц для бизнеса в области ИБ.
Достаточно интересная картина складывается сегодня на рынке информационной безопасности. Рынок средств защиты растет; причем зачастую быстрее ИТ-рынка. Потребители вкладывают свои кровные деньги в новые средства и технологии защиты, надеясь на рост своей защищенности. Но защищенности почему-то больше не становится — число атак увеличивается, число произошедших инцидентов тоже. Разработчики средств защиты и поставщики услуг не справляются с ними. Почему?
Можно сходу привести несколько причин — низкое качество программирования и рост числа уязвимостей, криминализация данной сферы, взрывной рост технологий. Но я хочу сказать о другом — о заговоре, который нишевые игроки рынка безопасности плетут вокруг ничего не подозревающего потребителя. Почему я пишу именно о нишевых компаниях? Просто именно им присуще в большей степени то, о чем я буду говорить,.
Асимметрия информации
Идея информационной асимметрии очень проста. Когда из двух субъектов один обладает большей информацией, чем другой, он может использовать свое знание во вред второму. Например, располагая информацией о возможном падении акций какой-либо компании, вы вряд ли будете их приобретать. Причем инсайдеры в этой компании, обладая такой информацией и не делясь ею, могут своевременно сбросить акции по максимальной цене, а потом купить их снова уже по нижней границе. Для одних — выгода, для других — большие потери.
Аналогичная асимметрия действует и в информационной безопасности, и сразу по нескольким направлениям. Во-первых, асимметрия приводит к появлению компаний — «мыльных пузырей», продающих некачественные продукты и услуги, чьи достоинства и недостатки потребитель оценить заранее не может. А компании, уделяющее серьезное внимание своей продукции, находятся в проигрышном положении и постепенно сдают рынок. Этот парадокс был впервые описан в 1970 году нобелевским лауреатом Джорджем Акерлофом в статье «Рынок лимонов». «Лимоном» в Америке сначала назывался именно подержанный автомобиль, а позднее данный термин стал подразумевать любую вещь, в качестве которой нельзя быть уверенным. Именно эта статья, за которую Акерлоф получил в 2001-м году Нобелевскую премию, упоминается в послании Нобелевского комитета как «единственное самое важное исследование среди публикаций по экономике информации».
Второй пример применения информационной асимметрии в ИБ имеет отношение к тому, как преподносятся угрозы потребителям средств защиты; причем создается впечатление, будто делается это осознанно (неслучайно я вынес в название статьи слово «заговор»). Ландшафт угроз меняется очень сильно и асимметрия информации между продавцами и покупателями средств защиты только возрастает. Угрозы эволюционируют гораздо быстрее, чем производители нишевых средств защиты успевают обновлять свои продукты. Да и интеграторы в целом тоже находятся в той же ситуации — они не успевают поддерживать свои компетенции на должном уровне. Раскрывать свою некомпетентность перед покупателями никто не хочет, и информация о новых угрозах замалчивается. В условиях же взрывного роста новых способов атак сам потребитель не способен все отслеживать самостоятельно и вынужден доверяться интеграторам или разработчикам средств защиты. Вот тут и проявляется асимметрия информации.
Когда это все началось?
В эту «гонку вооружений» мы вошли не сегодня и не вчера. Все началось еще в 1980-х, когда число угроз было невелико и ограничивалось вирусами, распространяемыми на дискетах. Новые вирусы появлялись нечасто, скорость их проникновения была мизерной, разработчики средств защиты успевали выпустить обновления, которые скачивались через BBS или распространялись в сети FIDO. Модель была простой: «есть угроза — есть противоядие». Налаженная модель «информация об угрозе — информация о борьбе с ней» засбоила в 1990-х, когда угрозы начали усложняться, а спектр их — расширяться и выходить за пределы банальных вирусов. Методы же остались прежними. Отчасти потому, что разработчики средств защиты были ленивы, отчасти потому, что не были готовы к новой реальности, отчасти потому, что потребитель и так покупал существующие разработки. «Зачем напрягаться и куда-то развиваться, если продукция и так находит сбыт?» — так думали и до сох пор думают многие компании-разработчики почти в любой сфере деятельности. Но сбой в модели возник не из-за этого, а из-за асимметрии информации. Потребитель защитных технологий уже был не в состоянии самостоятельно разбираться в массе различных угроз, появляющихся ежедневно. Стала активно проявляться специализация — как со стороны защитников, так и со стороны нападающих.
Скажи мне, кто твой поставщик ИБ, и я скажу, как тебя взломать
Потребителю понадобился советник, который смог бы рассказать об угрозах и способах борьбы с ними и регулярно обновлять эту информацию в голове покупателя. Именно в тот момент начала раскручиваться спираль обмана потребителя со стороны нишевых вендоров средств защиты, которые и взяли на себя роль таких советников. Именно нишевые игроки проявили себя не с лучшей стороны в данной ситуации. Конкурировать с крупными ИТ-компаниями, которые среди прочего предлагали и решения по информационной безопасности, им было сложно, и поэтому они решили использовать банальный довод: «Эта компания не специализируется на безопасности, которая для нее стоит в том же ряду, что и IP-телефон, маршрутизатор или плазма для ВКС». Себя же они стали преподносить как единственно правильный выбор поставщика средств защиты, фокусированного только в одной области, а значит, более компетентного в ней, поскольку он не размывает своих усилий и ресурсов по нескольким областям. Простейший анализ количества вкладываемых ресурсов показывает, что нишевые игроки «немного» лукавят. Солидные ИТ-компании тратят на направление ИБ по несколько сотен миллионов долларов, что сопоставимо с оборотами (иногда за несколько лет) нишевых игроков.
В 2009 году на конференции «РусКрипто» я делал доклад «Как ИБ-компании обманывают своих клиентов?», после которого руководители ряда российских компаний «обиделись» на меня и даже писали письмо моему руководству с требованием уволить меня как человека, подрывающего бизнес. А я всего лишь на примерах показывал, что говорят нишевые производители безопасности и что на самом деле они делают или подразумевают. На одном из первых слайдов я развенчивал классическое заявление многих ИБ-игроков, заключающееся в том, что они свою миссию видят как обеспечение своим клиентам безопасного ведения бизнеса при использовании современных ИТ. Кто-то заявляет: «Нам доверяют защиту своей информации». Все пытаются преподнести себя как доверенных лиц для бизнеса в области ИБ. Красивые слова (хотелось бы, чтобы они были правильными). Но на самом-то деле (и это аксиома) деятельность любой коммерческой компании заключается в извлечении прибыли и увеличении своей доходности за счет роста числа клиентов, повышения стоимости продуктов и услуг, снижения себестоимости. И именно это стоит на первом месте у производителя средств защиты. Не будет он тратить ресурсы на то, что не принесет ему отдачу, или на то, что не связано с его непосредственным бизнесом. Антивирусный вендор не занимается поиском уязвимостей, разработчик межсетевых экранов мало понимает в защите индустриальных решений, а израильская компания вряд ли понимает российское законодательство по ИБ.
Компетенции против угроз
Это бизнес нишевого игрока, это нормально. У крупной компании ситуация немного иная — она готова до определенных пределов заниматься если не альтруизмом, то социальными или репутационными проектами, которые в конечном итоге все равно влияют на объемы продаж ее продукции или услуг. Но присуще это именно крупной компании, которая обладает свободными ресурсами на такую деятельность. Маленький игрок, сфокусированной на одной теме, не может себе позволить распыляться — он вынужден тратить деньги только на то, что дает прибыль в краткосрочной перспективе. Будет ли он заниматься изучением угроз, от которых у него нет и не планируется средств защиты? Вряд ли. Будет ли он рассказывать потребителю о таких угрозах? Тоже вряд ли. Зачем?
Достаточно часто на различных конференциях или выставках можно в приватных беседах услышать простой аргумент от нишевых производителей: «Зачем мне рассказывать обо всех угрозах, если я не могу предложить решение для защиты от всех них?!» С точки зрения бизнеса логика понятна, но она ущербна, если смотреть на нее с точки зрения потребителя. Если производитель антивируса не способен бороться с руткитами, значит ли это, что руткитов не существует? А наличие аппаратных закладок на уровне микросхем не означает ли, что потребителю об этом все равно стоит знать, даже если он и не в состоянии бороться с данной угрозой? Производитель средств защиты (как и поставщик ИБ-услуг) должен выступать как коммерческая компания или как надежный (доверенный) советник? Сейчас они почти все выступают в первой, а не второй роли, хотя преподносят себя именно как компетентных и доверенных советников по ИБ. Но если ты компетентный, то почему ты говоришь об одних угрозах (от которых у тебя есть решение и вот его цена в прайс-листе) и молчишь о других? Красиво ли это?
Сегодня потребитель сталкивается с ситуацией, когда из 100 возможных существующих угроз его доверенный советник в лице интегратора или нишевого поставщика продуктов знает о 70, а предложить решение может против 40. И проблема заключается в том, что и потребитель будет знать именно о 40 угрозах и считать, будто в мире больше ничего опасного нет и он надежно защищен от всех проблем с ИБ. Чувство мнимой защищенности будет только нарастать. И причина тому — асимметрия информации. Она влияет не только на то, что некачественные средства защиты информации заполоняют рынок, вытесняя высококлассные продукты, в разработку и тестирование качества которых вложены огромные средства. Она влияет и на низкую осведомленность потребителя в области современных угроз и нежелание производителей делиться этой информацией.
Спираль закручивается
Системы защиты становятся дороже и сложнее. Раньше размер отчислений на информационную безопасность составлял 1–2% от ИТ-бюджета. Сегодня эта цифра достигла 7–8%, а в некоторых компаниях и 12–13%, и тенденция к росту остается положительной. Гонка вооружений только нарастает. Угроз все больше, потребность в защите все выше, продажи нишевых вендоров растут, бюджеты осваиваются. А защищенность заказчиков падает. Делая ставку на точечную защиту, нишевые игроки межсетевых экранов нового поколения, антивирусов, систем защиты класса Endpoint Protection и т. п. проигрывают гонку вооружений и не хотят это признавать, продолжая играть в эту игру, поставляя покупателям средства, которые не в полной мере решают поставленные задачи. Причем поставщики осознанно не говорят о неспособности продаваемых средств защиты обнаруживать и блокировать то, ради чего их покупали. Представьте, вы купили антивирус, а он не ловит вирусов? Вы купили межсетевой экран нового поколения, а он пропускает атаки?
Покупатель, не имея полной информации, чувствует себя в безопасности, которая является мнимой. В аналогичной ситуации, кстати, находится и производитель средств защиты. Если он не вкладывается в исследования, то начинает уступать злоумышленникам (тут тоже проявляется асимметрия информации между хакерами и производителями средств защиты), давно уже выстроившим целую разветвленную бизнес-модель своей деятельности, в которой есть все — продавцы, распространители, система поддержки, бонусные и партнерские программы, скидки, аутсорсинг и т. д.
Лень производителей: они начинают что-то делать, когда их попросят заказчики. Заказчик не просит, значит, производитель не делает. А заказчик не знает, что просить, так как считает, что все нормально. Замкнутый цикл. О том же писал и нобелевский лауреат Акерлоф: асимметричная информация либо приводит рынок к ступору, либо заставляет производить все менее качественные товары.
Есть ли решение?
Какой может быть выход из сложившейся ситуации? Акерлоф выделил несколько. Основными из них были гарантия и репутация, которыми должен дорожить производитель или интегратор. Дорожа репутацией доверенного советника, разработчик средств защиты должен смотреть на проблему чуть шире своего продуктового ряда и помогать решать заказчику задачи, не всегда напрямую связанные с поставляемой продукцией.
Другим выходом может стать вмешательство государства, которое должно наладить и стимулировать обмен информацией об угрозах. Такой опыт уже есть в США, и, судя по статистике, собранной за несколько лет, этот опыт является положительным — число инцидентов в секторах американской экономики, в которых осуществляется обмен информацией, снижается.
Но поскольку репутация формируется не очень быстро, а Россия пока не создавала никаких способов обмена информацией об угрозах (такие проекты только создаются), то можно посоветовать потребителю средств или технологий защиты следующее.
Во-первых, не рассматривать точечные средства защиты как единственно верный подход в области современной информационной безопасности. Он уже устаревает и защита должна быть распределенной по всей корпоративной или ведомственной сети, в которой каждый узел, каждый коммутатор или маршрутизатор выступает в роли элемента централизованно управляемой системы защиты.
Во-вторых, смотрите какой исследовательский центр по угрозам и вопросам ИБ есть у поставщика, выбранного вами. Сегодня это сердце любого разработчика средств защиты. От его работы зависит эффективность защитной продукции и защищенность потребителя. Но тут надо обратить внимание на то, как устроен такой центр. У нишевых компаний это обычно 2–5 человек, в чье поле зрения попадают далеко не все угрозы. Да и ресурсов на полноценный анализ всего спектра современных угроз в таких центрах нет. В качестве примера могу назвать центр Security Intelligence Operations одной ИТ-компании — в нем работает 600 (!) человек.
В-третьих, посмотрите в сторону независимых или коммерческих источников информации об угрозах, из которых можно почерпнуть или перепроверить информацию об угрозах. Да, это дополнительная статья расходов, зато вы сможете быть более уверенными в том, что не пропустили ничего, что могло бы нанести ущерб вашим информационным активам, и что у вас появится дополнительный аргумент общения с вашим поставщиком продуктов и услуг по информационной безопасности.
Опубликовано 22.11.2013
