Генеральный директор Symantec предсказывает сдвиг парадигмы информационной безопасности
Джон Томпсон — председатель совета директоров и генеральный директор Symantec. С конца 2004 года он возглавляет одну из крупнейших в отрасли программного обеспечения компаний, которой стала Symantec после покупки Veritas Software за 13,5 млрд. долл. Томпсон ответил на вопросы корреспондента еженедельника Computerworld.
Наверное, для специалиста по компьютерной безопасности нет кошмара ужаснее, чем тот факт, что критически важные данные все чаще находятся у мобильного сотрудника?
Люди — новый периметр безопасности. Теперь нельзя защитить периметр лишь возведением сетевых экранов: он будет проходить там, где находятся люди. В силу этого используемые ими устройства должны иметь адекватную защиту, а сами сотрудники — пройти обучение, получить представление о соответствующих протоколах безопасности и предпринимать именно те шаги, которые необходимы для безопасной работы.
Сейчас я могу реализовать непосредственно на устройстве технологию, которая ограничивает доступ к порту USB, поэтому, если к этому порту подключить внешний носитель, то технология не позволит передать данные. Также я могу установить средства контроля утечки данных: в этом случае, если будут переданы файлы определенного типа или размера, то я об этом узнаю и смогу выяснить у пользователя, почему это произошло. Но мы должны обеспечивать безопасность более комплексными способами, основанными на политиках, а не просто повсюду устанавливая соответствующие технические заслоны. В противном случае система становится слишком сложной и дорогой в управлении.
Сама суть угроз кардинально изменилась. Если несколько лет назад это были печально известные вирусы, подобные Melissa и ILoveYou, то теперь мы сталкиваемся с более изощренными атаками, например с кражами идентификационной информации. Понимают ли это пользователи?
То, что делают пользователи для защиты себя, существенно отличается от того, что им следует делать. И я думаю, что мы, как поставщики средств защиты информации, должны создавать технологии, которые им было бы проще использовать, по крайней мере чтобы технологии эти не были столь навязчивыми. Думаю, мы должны переходить от защиты устройств к защите взаимодействий.
Взаимодействий между людьми или между человеком и интерактивной средой?
Пользователи хотят быть уверены в том, что Web-сайт, на который они переходят, — это именно тот самый сайт, который им нужен, и что они не окажутся на каком-то другом сайте, где из-за фишинга могут стать жертвами мошенничества. Многие предприятия, которые поддерживают контакты с клиентами, хотят быть уверены в том, что, когда я связываюсь с ними в онлайне, я именно тот, за кого себя выдаю. Поэтому речь идет о смене парадигмы при реализации этих технологий, о защите пользовательской информации в противовес защите устройств. Антивирусы и программные средства для противодействия шпионам и спаму — это решения для защиты устройств. Они необходимы, но уже недостаточно эффективны.
В каком направлении, по-вашему, развивается безопасность корпоративных информационных систем?
Я думаю, что в ближайшие несколько лет произойдет решительный сдвиг парадигмы в сфере обеспечения безопасности. Вместо защиты устройств и изучения информации об отдельных пользователях мы будем думать о политиках, которым будут подчиняться пользовательские взаимодействия и защита информации. Мы будем реализовывать методики и технологии управления политиками, которые будут выдавать предупреждения или блокировать доступ или иные операции, если они не соответствуют тому, что определено заранее.
Как вы думаете, будут ли руководители Veritas играть доминирующую роль в управлении Symantec?
Если вы имеете в виду тех, кто подчиняется непосредственно мне, Грега Хьюза, который отвечает за подразделение сервисов, и Криса Хагермана, руководителя подразделения управления центрами обработки данных, то оба они пришли из Veritas. Есть и другие члены команды, которые вошли в руководство Symantec с того момента.
Меня не столько интересует, откуда кто пришел, сколько то, что человек знает и что он может дать компании. Мы стремимся сформировать нашу руководящую команду, учитывая не то, откуда они пришли, из Veritas, Oracle или откуда-то еще, а то, что они могут дать компании и как они могут помочь ей развиваться дальше.
Учитывая, какая жесткая критика на вас обрушилась после приобретения Veritas, оправдало ли объединение ваши ожидания?
Действительно, мы не ожидали, что те сегменты рынка систем безопасности, на которые мы ориентировались, потеряют темпы роста в том объеме, как это произошло. Но, если посмотреть на ситуацию с точки зрения нашего плана интеграции, то нам удалось в значительной мере выполнить все его основные пункты. Это была всего одна проблема, с которой мы столкнулись при интеграции обеих компаний. К счастью, мы выполнили 80-90% задуманного. Мы уже прошли самый трудный период трансформации Symantec. Вот почему мы с достаточной уверенностью приобрели компании Altiris в апреле. Отрасль программного обеспечения сейчас переживает период консолидации, и мы не намерены сидеть в стороне и ждать, пока этот процесс будет происходить вокруг нас.
Достаточно ли велик рынок программного обеспечения для того, чтобы здесь могли сосуществовать такие компании, как Symantec и Microsoft?
Судебные разбирательства с Microsoft не закончены. Суд в конечном итоге примет решение о том, какой ущерб мы понесли из-за того, что Microsoft воспользовалась нашей интеллектуальной собственностью. На рынке программного обеспечения трудно не конкурировать с Microsoft, поскольку она все опутала своими щупальцами. Так что вряд ли компания, которая стремится развиваться и процветать, не заденет Microsoft, и именно это и произошло с нами. (Год назад Symantec предъявила иск к Microsoft. В 1996 году Microsoft заключила с Veritas соглашение об использовании разработанной Veritas технологии управления томами в Windows NT. В Symantec утверждают, что Microsoft незаконно завладела технологией, ныне принадлежащей Symantec. В Microsoft заявляют, что обвинения необоснованны, поскольку в 2004 году она приобрела у Veritas права на упомянутую технологию. — Прим. ред.) Они решили, что хотят заниматься системами безопасности. Но мы думаем, что нам удалось довольно многого здесь добиться. Мы решили, что хотим заниматься сохранностью данных. Да, но, как только мы приняли такое решение, они собрались делать то же самое. Теперь внезапно они захотели заниматься интегрированным управлением в оконечных точках после того, как мы поставили себе такую же цель. Это естественный путь конкуренции в отрасли, и победит тот, кто лучше.