Софт, надежный как сейф: где искать ПО для бизнеса

В суровые кризисные времена мировую индустрию IT вытягивали продажи ПО в корпоративном сегменте. В украинских реалиях, для которых кризис далеко еще не закончен, картина в целом повторяется: по данным "Инком", с одной стороны, за прошлый год выросли объемы продаж лицензий стандартного ПО, с другой - крайне популярными оставались продукты, связанные с IT-безопасностью, поскольку о ней в ужесточившихся рыночных условиях предприниматели думали в первую очередь.

О том, какие риски связаны с неправильным выбором ПО, какие программы могут обеспечить инфобезопасность для малого и среднего бизнеса и можно ли сэкономить на подборе и закупках ПО, редакция ЛІГАБізнесІнформ рассказали производители и продавцы ПО и сервисов, а также аналитики рынка.

Иллюзия защищенности

Неправильный выбор программного обеспечения может доставить руководству компании множество неприятных моментов: это могут быть как банальные сбои в работе компьютера одного сотрудника, так и уничтожение целого бизнеса. Основные риски в случае, если подбору ПО уделялось недостаточно внимания и времени, включают: потерю конфиденциальной информации, материальный ущерб (временный выход из строя ПК или серверов), остановку работы целой компании и даже банкротство, рассказал руководитель направления СМБ отдела продаж компании "Софтпром" Юрий Стукаленко.

О конфиденциальности информации в последнее время много говорится, но при этом можно упустить из виду, что в защите нуждаются очень различные массивы данных: отчетность финансового отдела, планирование отдела маркетинга, данные по работе с клиентами и контракты для отдела продаж, интеллектуальная собственность для разработчиков...

Необходимость защиты конфиденциальной информации существует уже на пользовательском уровне, говорит старший консультант группы управления информационной безопасности отдела консалтинга компании "Инком" Илья Колесниченко: "Приведу живой пример: оператор связи планировал некую маркетинговую акцию, запуск новой услуги. Но из-за разговоров в "курилке" и утечки информации конкуренты успели подготовить на скорую руку и предложить рынку подобную акцию раньше, а оператор, соответственно, потерял вложенные деньги". Но намного чаще инсайдерских "проколов" происходят утечки/кражи информации - из-за недостаточно тщательного подхода компании к подбору программ.

Имея потенциально такие нелицеприятные варианты развития событий, некоторые некрупные компании в плане цифровой защиты ограничиваются единственно установкой антивируса. Но, как замечает Ю.Стукаленко, даже и этот минимальный "щит", охраняющий корпоративный компьютерный парк, должен включать в себя минимум локальную защиту от спама и фишинга, расширенную проактивную защиту рабочих станций и файловых серверов от вредоносных программ, защиту при работе в сетях любого типа, распределение нагрузки между процессорами сервера.

Подробнее о защите от онлайн-угроз читайте "Виртуальная угроза для реального бизнеса">>>

В более широком плане необходимо уделять внимание всем уровням установки и работы софта, который используется компанией. Так, по совету эксперта по компьютерной безопасности Microsoft Most Valuable Professional Владимира Безмалого, для сохранения минимальной безопасности компании понадобится:

- брандмауэр (в российской терминологии - межсетевой экран);
- антивирусное ПО;
- правильная настройка операционных систем;
- настроенное автоматическое обновление ОС;
- настроенные политики использования ПО (Software Restriction Policy);
- правильно настроенные права пользователей.

И если настройка систем напрямую зависит от квалификации IT-специалистов компании, то бесперебойную и безопасную работу программного обеспечения лучше обеспечить уже на этапе подбора приложений.

Как подбирать ПО?

Достаточно часто компании выбирают "неудачное" ПО. В контексте информационной безопасности, "неудачное" – означает "несоответствующее выявленным и возможным рискам в работе компании". Ведь приложения – это по сути компенсационные меры на выявленные или возможные риски (о которых речь шла выше). И неверный выбор ПО может вести к дополнительным неприятностям в виде затрат: сама закупке ненужного/неэффективного приложения плюс высокие затраты на сопровождение приложений, дополнительные затраты на интеграцию в уже существующую инфраструктуру, говорит И.Колесниченко, предлагая для подбора ПО использовать риск-ориентированную методологию.

Суть этого подхода в том, чтобы, в первую очередь, проанализировать инфоресурсы компании для оценки возможных рисков: нарушения конфиденциальности, целостности и доступности активов. А после того, как был проведен анализ рисков для данных информационных ресурсов, можно формировать требования к ПО, призванному эти риски сократить. К сожалению, это отнюдь не означает сокращения затрат на ПО, зато даст гарантию того, что средства не будут потрачены впустую.

"Безопасность, увы, не бывает бесплатной. И если вы должны создать удобную, дешевую и безопасную инфраструктуру, то, боюсь, придется создавать три отдельные системы безопасности", - говорит В.Безмалый. В кризис руководство компаний стремится именно к оптимизации затрат на IT, но наиболее распространенные средства экономии иногда означают снижение уровня безопасности ПО.

Сэкономить легально…

Распространенным методом экономии затрат на приложения является комбинация платных и бесплатных программ. Такими методами сокращения затрат не брезгуют даже на государственном уровне.

Перевод системы государственных органов на открытое ПО будет стоить Украине 45 млн. грн., а полная легализация существующего ПО – около 100 млн. грн., считают в Госкоминформатизации

Например, на лицензионной операционной системе может стоять бесплатный офисный пакет, но уже в случае многоуровневой антивирусной защиты лучше так не экспериментировать. "Если на ПК установлена программа антивирусной защиты одного производителя, а файловые серверы защищены антивирусной программой другого, отсутствует возможность централизованного управления всех узлов с одного ПК. В целом, на одном ПК или сервере не рекомендуется устанавливать несколько антивирусов, поскольку они могут блокировать общую работу ПК", - считает представитель "Софтпрома".

Если компании необходимы "бюджетные" решения, она может комбинировать как open-source решения, так и недорогие коммерческие продукты, но тогда, как советует И.Колесниченко, важно учитывать не только стоимость закупки продуктов (как это чаще всего происходит в Украине), но и совокупную стоимость владения данным решением: сопровождение, поддержку, обновление, образование специалистов.

Именно последние пункты, по мнению эксперта по компьютерной безопасности Microsoft Most Valuable Professional В.Безмалого, могут быть ключевыми в принятии решения: "Я отрицательно отношусь к идее "зоопарков". Так как идеологически правильнее, проще и дешевле в обслуживании, когда компания либо ставит себе продукты, работающие по идеологии "Microsoft", либо продукты с открытым кодом (или с закрытым, но бесплатно распространяемые). Смешивать их в одном "котле" я бы не советовал. В противном случае, боюсь, придется иметь, как минимум, двойной комплект системных администраторов и службы поддержки". Кроме этого, одним из основных аргументов со стороны производителей платных программ является именно повышенная безопасность продукта, чей код известен только компании-разработчику, в отличие от программам, разработанных согласно открытым стандартам.

Сэкономить нелегально...

В целях экономии украинские компании часто обращаются к наиболее очевидному решению: установке контрафактного софта. Кроме ненадежности такого рода продукции, которая в коробочном варианте вполне может продаваться с вирусным "довеском", в данном случае возникает вполне реальная угроза штрафов и уголовной ответственности - для специалистов IT-отдела и для руководства компании.

Чаще всего, по статистике Департамента государственной службы по борьбе с экономическими преступлениями МВД Украины (ГСБЭП МВД Украины), в Украине "по-пиратски" устанавливается ПО от "Microsoft", "Adobe" и "Corel". "Максимальное наказание по трем частям (статей 176 и 203-1 Уголовного кодекса Украины) за подобное нарушение – до 6 лет. По ст. 203-1 – штраф от 1000 до 5000 не облагаемых налогом минимумов доходов граждан или исправительные работы сроком до 3 лет, или лишение свободы на тот же срок с конфискацией и уничтожением дисков для лазерных систем считывания матриц, оборудования или средств для их изготовления. Максимально – до 5 лет", - говорит заместитель начальника отдела по борьбе с преступлениями в сфере интеллектуальной собственности и компьютерных технологиях Департамента государственной службы по борьбе с экономическими преступлениями МВД Украины Александр Савченко.

При этом при обнаружении нелицензионного ПО в компании ответственность несут как работник, установивший пиратский софт, (может быть привлечен к административной или уголовной ответственности как физлицо), так и его работодатель (как юридическое лицо – к гражданской ответственности за нарушение авторских прав), как рассказывает юридический представитель "Business Software Alliance" (BSA) в Украине Владислав Шаповал.

То есть, нелицензионное ПО, может, и экономит средства, но уж точно не может считаться "безопасным" для бизнеса. Хотя объемы его использования в корпоративном сегменте практически не уменьшаются, в том числе, как считает юридический представитель BSA в Украине, из-за развития новых каналов поставок контрафакта, таких как Интернет.

Безопасно ли в "облаках"?

Но Интернет может являться источником и абсолютно легальной экономии и защищенности – виртуального доступа к бизнес-программам. Как рассказывает менеджер по управлению деятельностью компании "Google" в Украине Дмитрий Шоломко, у "облачной обработки данных" есть много преимуществ, но два можно выделить особо. Первый - снижение расходов: "Как только клиент подключился к всемирной паутине, цена лицензии, покупки серверов и их поддержки, снижается, так как появляется возможность взять бизнес-приложения или услуги (например, почту) "напрокат" у провайдера и эффективно их использовать".

Еще одним бонусом "облаков" является лучшее взаимодействие в работе, быстрый обмен информацией с коллегами и партнерами, совместно работать над проектами и документами.

Что же касается безопасности виртуальных программ и сервисов, первым из рисков является специфика предоставления виртуальных услуг: хостинг-провайдер может представляться не всегда надежным с точки зрения контроля и безопасности информации.

Сами же веб-приложения постепенно становятся любимой мишенью для хакерских атак, которых на данный момент существует великое множество видов. По данным WASC (Web Application Security Consortium) проводятся атаки на используемые веб-приложением методы проверки идентификатора пользователя, атаки на пользователей веб-сервера, на выполнение кода на веб-сервере, на получение дополнительной информации о веб-приложении, на эксплуатацию функций приложения или логики его функционирования. Но, как замечает Д.Шоломко, компании, которые предоставляют услуги доступа к виртуальному ПО, инвестируют куда больше времени и денег для того, чтобы защитить информацию, чем могла бы себе позволить любая небольшая компания.

Ольга КАРПЕНКО

Связь, IT: подборка новостей>>>