В 2016 году компания «Аладдин Р.Д.» завершила стратегический переход от бизнес-модели VAD (Value-Added Distribution — «дистрибуция с добавленной стоимостью») к вендорской модели и сосредоточилась на собственных продуктах и технологиях. О причинах смены стратегии, первых итогах ее реализации, а также о реакции компании на актуальные тенденции рынка информационной безопасности рассказал генеральный директор «Аладдин Р.Д.» Сергей Груздев.
— Как в целом меняются ландшафт угроз и подходы к обеспечению информационной безопасности на современном этапе?
На ландшафт угроз в значительной степени влияет геополитика. США достаточно давно, планомерно и очень системно реализуют программы глобального перехвата и анализа информации. Телефонные переговоры, электронная почта, сообщения в социальных сетях, а главное, пароли и ключи доступа к используемым ресурсам — все это попадает в поле зрения АНБ. И пока весь мир борется с навязанными угрозами — вирусами и хакерами, американцы переходят от глобального перехвата коммуникаций к полному контролю информации на конечных устройствах.
В процессорах с технологией Intel vPro давно заложена возможность удаленного администрирования. Это преподносится как полезный для администраторов инструментарий, а на деле представляет собой аппаратную закладку в чипсете, которая позволяет скрытно, в том числе при выключенном компьютере, снимать информацию.
Новая цель АНБ — полный контроль над конечными устройствами за счет проникновения в процессоры мобильных и встраиваемых устройств и гаджетов, в промышленные микроконтроллеры.
Сергей Груздев: «Все проектирование, разработка и производство продуктов осуществляются нами самостоятельно в России» Источник: «Аладдин.Р.Д.» |
— Однако пока инциденты, связанные с рисками прослушки АНБ или перехватом данных, упоминаются редко. Какие угрозы больше всего волнуют российские предприятия и как им реагировать на них?
Основные потери, вызванные нарушением режима информационной безопасности, российские предприятия несут из-за пресловутого человеческого фактора. Слабые пароли доступа, ошибки персонала, нечестные сотрудники — вот причины, обусловливающие 74% материального ущерба организаций, говорят аналитики IDC. Лишь 4% потерь вызвано заражением ИТ-систем вирусами и 2% — нападениями злоумышленников извне. Как ни странно, свою защиту предприятия выстраивают исходя из совсем иных приоритетов: 74% бюджетов информационной безопасности тратится на защиту от «плохих парней» и их действий — взлома или попыток внедрить троянцы и вирусы. И менее 20% выделяемых средств идет на развитие средств аутентификации и электронной подписи, то есть на защиту доступа к ИТ-системам, юридически значимых процедур и документов. Налицо явный дисбаланс.
Смещение акцентов от противодействия вирусам и хакерам к развитию средств идентификации и аутентификации — вот одно из ключевых изменений, которое должно произойти в подходах к обеспечению информационной безопасности.
— Как стратегия вашей компании учитывает эти тенденции при разработке новых продуктов и выборе технологических и рыночных партнеров?
В 2016 году мы завершили переход от модели дистрибуции с добавленной стоимостью к стопроцентной вендорской модели бизнеса. Сейчас все проектирование, разработка и производство продуктов «Аладдин Р.Д.» осуществляются нами самостоятельно в России. Мы написали собственную карточную ОС и отказались от лицензирования зарубежной. С 2017 года мы прекратили закупать электронные ключи eToken и лицензии на клиентское ПО к ним, полностью перейдя на собственные продукты — JaCarta, «Единый клиент» (поддерживающий как eToken, так и JaCarta). Это вызвало некоторую турбулентность на рынке и спекуляции вокруг «Аладдин Р.Д.».
Подоплека этих событий проста: за 15 лет мы продали в России около 7 млн экземпляров электронных ключей eToken. Но за последние шесть-семь лет у нашего якорного в прошлом технологического партнера Aladdin Knowledge Systems — разработчика и производителя электронных ключей eToken — дважды сменился владелец (сначала SafeNet, затем Gemalto). Очередная смена владельца eToken затормозила развитие продукта, его продажи резко упали. Потерю своих рыночных позиций менеджеры Gemalto, отвечающие за российский рынок, решили компенсировать введением «оброка» с существующих пользователей — взиманием лицензионного платежа за использование клиентского ПО, необходимого для работы ключа eToken. Почти 7 млн пользователей по 4–5 долл. за лицензию — это позволило бы заработать 28–30 млн долл. в год. А заодно и решить вторую задачу — обновить всем пользователям eToken клиентское ПО, недавно сертифицированное в США.
Известно, что все продукты, содержащие криптографию и предлагаемые для продажи на рынке Соединенных Штатов, обязаны проходить сертификацию на соответствие требованиям FIPS-140. Кроме того, они должны затачиваться под специфику американского законодательства, требующего, в частности, наличия механизмов, которые обеспечивают специалистам АНБ возможность доступа к защищаемой на территории США информации.
Осознавая свою ответственность перед заказчиками, еще пару лет назад мы запустили программу миграции с импортных ключей eToken на отечественные JaCarta с нашим клиентским ПО.
Переход к стратегии технологической независимости дал свои первые плоды, позволив нам поднять уровень доверия при сертификации и выйти на рынок средств защиты гостайны. Оборот «Аладдин Р.Д.» в 2016 календарном году вырос на 75% — до 1,77 млрд руб. По результатам финансового года мы планируем взять планку в 2 млрд руб. Чтобы продолжить расти высокими темпами, есть необходимые предпосылки. USB-токены и смарт-карты активно внедряются в России уже на протяжении 15 лет. Они используются практически всеми федеральными структурами, а также крупными корпорациями и предприятиями среднего размера. Общая совокупная инсталляционная база таких устройств оценивается в 7 млн, а износ инсталляционной базы токенов — в 80–85%. В 2017–2018 годах потребуется их массовое обновление, в том числе и из-за необходимости перехода на новые ГОСТы для электронной подписи. И мы предлагаем рынку готовое импортозамещающее решение — наш российский продукт JaCarta. В этой линейке есть и полностью совместимая модель с «привычным» для многих заказчиков ключом eToken, так что переход для них не будет сложным. В прошлом году мы получили сертификат ФСБ на 13 исполнений смарт-карт и ключей JaCarta второго поколения. Их главное отличие от предыдущих версий — соответствие новым требованиям ФСБ по функциональной законченности средств криптографической защиты информации, поддержке ГОСТов 2012 года на электронную подпись, безопасности использования при встраивании в прикладное ПО.
Еще мы выпустили ряд новых продуктов для банков, рынка гостайны, массового сектора и др.
— Какие новые стандарты и регламенты в области информационной безопасности учитываются вами при разработке решений и систем безопасности?
В прошлом году мы выполнили одну очень важную для российского рынка задачу — подготовили проект национального стандарта по идентификации и аутентификации. Это лишь начало большой и серьезной работы, которая займет не один год, — планируется развитие и продолжение в виде целой системы добротных стандартов.
— А как учитываются угрозы, связанные с активностью АНБ и наличием возможных закладок в процессорах?
Мы ведем разработку технологии «стерилизации» современных ARM-процессоров с потенциально опасным кодом внутри TrustZone. Мы написали свою версию доверенной ОС для TrustZone таких процессоров и готовимся к ее сертификации для использования в системах критически важной информационной инфраструктуры, в том числе обрабатывающих гостайну.