Мнение нобелевского лауреата о рынке ИБ

Моя заметка для Компьютерры

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Ригель

    Тебе наконец нобелевку дали? О_О

    Ответить
  2. Анонимный

    Тут же вспомнился фильм "Игры разума"… С Алексеем в главной роли …

    Ответить
  3. Анонимный

    "При этом цена у некачественных средств защиты сопоставима с лучшими образцами рынка ИБ, а иногда и выше, но с о-о-очень гибким подходом к формированию финальной стоимости. В итоге мы приходим к той же ситуации, что и с классическими "лимонами" описанными у Акерлофа – некачественные СЗИ заполоняют рынок, вытесняя высококлассные средства защиты, в разработку и тестирование качества которых вложены огромные средства."

    Тенденция не только в России, но и в мире. И тут дело не только в цене…

    Ответить
  4. Алексей Лукацкий

    Для потребителя в цене. Или в репутации/гарантии, что в России пока мало оценивается на нужном уровне.

    Ответить
  5. Анонимный

    Ничего архитекторы безопасности созреют вместе с рынком…
    У нас создатели крупных систем уже очень хорошо оценивают средства защиты для внедрения. Идет оценка по разным параметрам и с учетом репутации и на длительную перспективу (>10 лет) сотрудничества с разработчиками СрЗИ.
    Зрелые компании покупают зрелые решения — их ввести в заблуждение трудно и опасно.
    Мелкие, средние и частный сектор из лимонов уже варенья варят…

    Ответить
  6. Анонимный

    Со многим из выводов не согласен:
    1. Исключить вмешательство государства в вопросы регулирования ИБ для широкого спектра приложений (…)
    — а сейчас вмешивается разве? Можно пример? Кроме ПДн есть еще что-то?
    2. Принять международные стандарты в области ИБ или гармонизировать с ними отечественные требования ("Общие критерии" подходят для этого как нельзя лучше)
    — кто мешает бизнесу прямо сейчас начать соответствовать хоть марсианским стандартам? Как данное пожелание согласуется с п. 1 кстати?
    2. Превратить сертификацию средств защиты из обязательной в добровольную, сделав её реальным дифференциатором и ключевым отличием от конкурентов.
    — то есть сейчас она обязательна? Для кого и в каких случаях:
    3. Запустить процесс появления саморегулируемых организаций, самостоятельно вырабатывающих требования по ИБ для отдельных отраслей, исключив из процесса орган исполнительной власти, одновременно вырабатывающий требования и проверяющий их исполнение, а также проводящий лицензирование участников рынка
    — государство защиту гостайны никогму никогда не отдаст (и правильно сделает) и система аттестация/сертификаций по гостайне останется. А рынок и бизнес получит еще одного "общественного" регулятора. Со своей политической борьбой внутри.

    4.Повышать уровень реальных гарантий, которые производители средств защиты дают на свои продукты.
    — это можно решить в каждом конкретном случае конкретным пунктом договора. Вот только это не нужно интеграторам, вендорам и прочим продавцам.

    Ответить
  7. Алексей Лукацкий

    1. Можно пример не вмешательства? Сейчас ФСБ регулирует ЛЮБУЮ криптографию. ФСТЭК пытается регулировать все остальное, натягивая на всех СТР-К. Попытки уйти от этого не говорят, что этого нет.

    2. Никто не мешает, если бы регуляторы признавали марсианские стандарты. А т.к. они признают только свое, то кто же будет выполнять еще и что-то другое.

    3. Не надо ерничать. Чтобы нормально работать на рынке продукт должен быть сертифицированным, даже если ПП-608 подразумевает обязательную сертификацию только для гостайны.

    4. Никто и не претендует на рынок гостайны. Для саморегуляируемых организаций подойдет только коммерческая тайна и т.п., т.е. у чего владельцем не является государство.

    5. В каждом конкретном случае — это повод для злоупотреблений. А то, что это сейчас никому не нужно, — лишний раз доказывает правоту Акерлофа, который отметил, что поэтому на развивающихся рынках работать сложно. Локальным игрокам в массе своей наплевать на качество, гарантии и репутацию.

    Ответить
  8. Анонимный

    1. Можно пример не вмешательства? Сейчас ФСБ регулирует ЛЮБУЮ криптографию.
    — ФСБ регулирует услуги. Никто не мешает ВНУТРИ шифровать всё, что угодно. И, надо сказать, такие услуги реально мало кому нужны.

    ФСТЭК пытается регулировать все остальное, натягивая на всех СТР-К.
    — для кого СТР-К обязателен? Кого это касается? К счастью, пока немногих.

    2. Никто не мешает, если бы регуляторы признавали марсианские стандарты. А т.к. они признают только свое, то кто же будет выполнять еще и что-то другое

    — если кому-то хочется соответствовать ISO 27001, то какой регулятор запрещает это делать? Регулятор регулирует весьма узкую область ИБ. Она расширилась с введением ПДн, но тем не менее ограничена. Если виды информации, доступ к тоторым ограничен по закону. И естественно, что средства и методы этих ограничений также прописаны. Если регуляторы примут за основу те же Общие критерии, то все равно, они будут так или иначе переписаны (глядя на политику формирования ГОСТов — скорее всего не очень сильно). И поводов для критики не уменьшится.

    3. Не надо ерничать. Чтобы нормально работать на рынке продукт должен быть сертифицированным, даже если ПП-608 подразумевает обязательную сертификацию только для гостайны.

    — ЛЮБАЯ сертификация — это дополнительная стоимость. Мне как покупателю непонятно, что я получу за свои деньги. Был просто Cisco ASA — стал сертифицированный. НИЧЕГО не изменилось, кроме цены. Кстати, а как в мире дела обстоят? ЦРУ/ФБР/АНБ сертифицирует технику для комм организаций? Или обходятся "общественными" лабораториями?

    4. Никто и не претендует на рынок гостайны. Для саморегуляируемых организаций подойдет только коммерческая тайна и т.п., т.е. у чего владельцем не является государство.

    — ну можно сделать обязательной сертификацию по какому-то профильному ISO по ИБ. Еще неизвестно что дешевле будет, по СТР-К аттестат получить, или в BSI сходить на ISO 27001 сертифицироваться.

    5. А что вы понимаете под "повышать уровень гарантий"? Законодательно? Зачем? И как? Я был бы не против заставить Касперского гарантировать защиту от вирусов, но боюсь это технически невозможно (я имею в виду невозможно реально обеспечить такую гарантию).

    На мой взгляд лучше, чтобы область госрегулирования хотя бы не расширялась. Выбрать "хорошее" решение или поставщика и без сертфикации не так уж сложно. Если вы хорошо понимаете предметную область — можно сэкономить, выбирая вендоров "не на слуху" и оценивая услугу лично.
    Не понимаете или не доверяете себе — выбирайте громкое имя. Ничего нового кстати. Разбираетесь в производстве телефизоров — покупаёте продукцию того конкретного завода, который по вашей информации правильный. не разбираетесь — покупайте Sony (или еще кого-то).
    Сертификация товаров или тем более услуг ничего кроме монополизации не даст. Игроки типа StoneSoft еще на 5 лет отложат вход на рынок. Многие мелкие консультанты ИБ вообще прекратят своё существование. А "киты" рынка получат любой сертификат и возложат его стоимость на покупателя.

    Ответить
  9. Алексей Лукацкий

    1. Если внимательно почитать ПП-957, то на обслуживание СКЗИ (ДАЖЕ для внутренних нужд) нужна лицензия ФСБ. И последние это подтверждают.

    Про ФСТЭК я же написал — пытаются. А если бы им законодательно запретили лезть за пределы информации, как госсобственности, то они бы и не пытались.

    2. Если бы регуляторы не лезли в коммерческую область, то вы были бы правы. Но так они заставляют аттестовываться вас по своим требованиям. И им наплевать на все остальные.

    3. Вот именно. Именно поэтому я и говорю про ДОБРОВОЛЬНУЮ сертификацию.

    4. Я ратую за то, чтобы потребитель САМ решал, надо ему аттестовываться или нет. Задача регулятора — вырабатывать РЕКОМЕНДАЦИИ.

    5. Речь идет о гарантии качества, а не гарантии ИБ.

    Про сертификацию я уже написал (как и Акерлоф). Обязательная — это зло. Добровольная (реально добровольная) — это дифференциатор.

    Ответить