Интервью с Ильей Медведовским, директором компании Digital Security.

10.07.2013

(Оригинал на www.astera.ru )

Интервью с Ильей Медведовским, директором компании Digital Security.

- Произошли ли, на ваш взгляд, какие-либо изменения на российском ИТ-рынке в первой половине 2013 года? Что изменилось по сравнению с 2012 годом?

- Исходя из специфики деятельности нашей компании, мы акцентируем внимание на рынке ИБ, который является неотъемлемой частью рынка ИТ.

Поговорим об изменениях, произошедших в следующих сферах: технический аудит защищенности различных информационных систем от SAP и систем ДБО до АСУ ТП, разработка программных продуктов по мониторингу защищенности SAP и анализу исходного кода различных языков программирования на уязвимости.

В 2013 году по сравнению с предыдущим периодом мы отмечаем растущий интерес заказчиков (вплоть до намечающегося экспоненциального роста в случае SAP) к трем направлениям, которые являются для нас одними из ключевых: безопасность АСУ ТП, безопасность SAP систем, анализ исходного кода. Почему это происходит, вполне очевидно.

Безопасность АСУ ТП и проблемы безопасности исходного кода сейчас находятся на начальной стадии зрелости рынка. Происходит их постепенное осознание заказчиками, формируются методы решения вендорами и консультантами.

Безопасность SAP-систем находится на следующей стадии зрелости, на которой заказчиком уже сформулирована осознанная потребность в решении этой проблемы, и рынок предлагает зрелые методы и средства ее решения. В частности, ведущий в мире партнер SAP AG в этой области, предлагает на мировом рынке комплексную систему мониторинга защищенности SAP и управления уязвимостями, позволяющую заказчикам самостоятельно решать данную задачу, обеспечивая постоянный контроль защищенности SAP в различных областях (SoD, ABAP, платформа)

- Что, по вашему мнению, сдерживает развитие российского ИТ-рынка в этом году? Влияет ли это на работу вашей компании?

- На интересующей нас части рынка ИБ мы не видим каких-либо сдерживающих факторов, кроме ряда сугубо объективных сложностей. В частности, в случае с АСУ ТП должно пройти время, чтобы заказчики осознали, что необходимо не только проводить поверхностные аудиты защищенности всей системы АСУ ТП в целом, а переходить к углубленным исследованиям ее компонентов: от SCADA и MES систем до контроллеров (на особо критичных объектах). Это требует сложных и комплексных исследований и соответствующей научно-технической базы, которой объективно в России обладают единицы компаний-консультантов.

Если говорить об анализе кода, объективным сдерживающим фактом является полное непонимание заказчиками основ предметной области и, вследствие этого, возможность навязывания ложных истин вендорами.

Создание систем анализа кода требует наличия в штате разработчика мощной команды исследователей безопасности, хорошо зарекомендовавшей себя на рынке. Это крайне сложный, длительный и наукоемкий процесс, основанный на применении современных математических алгоритмов, с одной стороны, и прекрасным знанием предметной области поиска и анализа уязвимостей - с другой. Невозможно в принципе быстро создать качественную систему данного класса силами пары фрилансеров.

Сейчас российский рынок систем статического анализа кода находится в "дикой" фазе изучения проблемы и формирования спроса, а главное – адекватного предложения, которое на данный момент полностью отсутствует. Существуют мощные и тяжелые решения, предназначенные прежде всего для разработчиков, но полностью отсутствуют качественные, но при этом простые решения, предназначенные именно для безопасников, позволяющие им контролировать должным образом процесс собственной внутренней разработки.

Ранее аналогичный продукт был нами создан в рамках линейки продуктов мониторинга защищенности SAP для анализа языка ABAP. Годы работы в этой области позволили нам накопить необходимый опыт и выйти на разработку системы и для других языков, которую мы собираемся представить на международном рынке в 3 квартале этого года.

- Получается ли у вашей компании придерживаться стратегии развития, запланированной на 2013 год? Если нет, то почему?

- Основные цели на 2013 год связаны как с увеличением спроса на наши консалтинговые услуги, связанные с аудитом защищенности различных информационных систем, аудитом ДБО, аудитом и подготовкой к сертификации по PCI DSS, аудитом банков на соответствие 382П, так и экспоненциальным всплеском интереса заказчиков к проблеме безопасности SAP. С одной стороны, заказчики осознали необходимость решения этих проблем, а с другой стороны, рынок теперь предлагает им зрелое и комплексное решение, позволяющее контролировать все домены безопасности SAP: пересечение критичных полномочий матрицы SoD, уязвимости исходного кода на ABAP и JAVA, уязвимости платформы SAP.

- Планируете ли вы изменение своей стратегии развития в этом году? Чем это обусловлено?

- Нет, мы планируем придерживаться нашей ранее выработанной стратегии. Разделение бизнесов на консалтинговый и продуктовый полностью оправдало себя. Серьезно помогает факт официального признания наших заслуг компанией SAP, которая после более чем 6 лет постоянно совместной работы недавно официально поблагодарила нас за работы, выполняемые нами в штаб-квартире SAP в Вальдорфе, связанные с регулярным аудитом защищенности их пререлизных версий продуктов, которые мы анализируем до их официального релиза и отправки заказчикам. Также немаловажным фактом стало то, что линейка наших продуктов SAP Security Monitoring Suite прошла сертификацию в SAP и официально рекомендуется всем клиентам и партнерам SAP.

- Ожидаете ли вы новых тенденций в течение этого года на российском ИТ-рынке, которые могут изменить направление его развития? Как это повлияет на работу вашей компании?

- Никаких новых тенденций, кроме тех, о которых уже было сказано, мы не ожидаем. Возможно, будет наблюдаться некоторый постепенный рост интереса к PCI DSS торгово-сервисных предприятий. Однако это процесс длительный и очень плавный, без всплесков. Рынок PCI DSS в России давно поделен между первой пятеркой крупнейших аудиторов и традиционно является достаточно консервативным. Поэтому, несмотря на некоторую наметившуюся тенденцию в этой области, говорить об изменении направления его развития пока рано.

- Как, на ваш взгляд, сложится ситуация на ИТ-рынке России во второй половине 2013 года? Насколько она будет отличаться от первого полугодия?

- Объективно мы не ждем каких-либо существенных изменений в интересующих нас областях. Здесь редко наблюдаются бурные всплески или падения. Это всегда очень длительный и очень плавный процесс, рассчитанный на долгие годы. Поэтому наша стратегия всегда рассчитана на несколько лет вперед, а не на год или тем более на полугодие.