– System zabezpieczeń powinien sprostać wymogom wielokrotnie „większych” systemów IT, nad którymi będzie czuwać za kilka lat – Shlomi Yanai, wiceprezes Aladdin Knowledge Systems
Shlomi Yanai wiceprezes Aladdin
Knowledge Systems odpowiadający
za obszar eTokenów
W polskich przedsiębiorstwach zaledwie 0,5% budżetów działów IT stanowią nakłady na zabezpieczenia systemów informatycznych. Segment ten jest obecnie traktowany niezbyt poważnie. Czy sytuacja ta zmieni się w przyszłości?
– Zmieni się sposób prowadzenia działalności. Ze względu na tendencje w dziedzinie rozwiązań internetowych i pracy w sieci pracodawcy będą musieli zapewnić pracownikom bezpieczniejszy dostęp do istotnych danych przez wirtualne sieci prywatne (VPN) czy witryny internetowe.
Coraz więcej obszarów działania firmy przenoszą w sferę Internetu i nabiera znaczenia „praca zdalna”. Chodzi o koszty: w krajach zachodnich wielkie koncerny znacząco ograniczają infrastrukturę biurową na rzecz telepracy. Te tendencje wymuszają na firmach stosowanie wielu zabezpieczeń, które będą uszczelniać system obiegu informacji. Przeniesienie działalności poza biuro wiąże się bowiem z ryzykiem narażenia na niepowołany dostęp do poufnych informacji biznesowych. Ze zjawiskiem telepracy wiążą się jeszcze inne zagrożenia, choćby z kategorii ataków sieciowych.
Polskie przedsiębiorstwa muszą nadążać za globalnymi trendami i unormowaniami w dziedzinie handlu, takimi jak ustawa Sarbanes-Oxley, muszą więc wdrażać metody i techniki, dzięki którym nie pozostaną w tyle. Dlatego nasza działalność w Polsce coraz lepiej się rozwija. Firmy pragnące funkcjonować na rynku międzynarodowym muszą przestrzegać jego uregulowań, a do tego potrzebne są odpowiednie narzędzia. Polska pod względem obowiązujących regulacji nie będzie wyjątkiem, nie ominie jej fala koniecznych prac związanych z dostosowaniem użytkowanych rozwiązań do obowiązujących przepisów. Sytuacja na rynku międzynarodowym wpływa i będzie wpływać także na koncepcje wdrożeniowe w Polsce.
Jakie zmiany zachodzą na światowym rynku zabezpieczeń IT?
– Dawniej większość zabezpieczeń systemów sieciowych opierała się na rozwiązaniach programowych, ale specjaliści coraz częściej skłaniają się ku rozwiązaniom sprzętowym, które znacznie podnoszą poziom bezpieczeństwa. Zabezpieczenia programowe łatwiej złamać, dlatego spełniają swoje zadanie tylko wtedy, gdy są dostatecznie często aktualizowane. Wiele firm europejskich, w tym także z Europy Wschodniej, niechętnie poprzestaje na wdrożeniach zabezpieczeń programowych. Oczywiście rynek rozwiązań software’owych jest znacznie większy, ale coraz częściej firmy będą musiały korzystać także z elementów sprzętowych, takich jak oferowane przez nas tokeny sprzętowe (eTokeny). Poza tym w związku z rozwojem pracy mobilnej i telepracy rynek będzie coraz bardziej potrzebować narzędzi do tzw. silnego uwierzytelniania dających użytkownikom gwarancję bezpiecznego, chronionego dostępu do informacji w postaci elektronicznej – w kanale internetowym czy mobilnym. Podobne narzędzia wspierają także popularyzację stosowania podpisu elektronicznego zarówno w biznesie, jak i w administracji państwowej.
Tak przedstawiają się ogólne tendencje, ale moim zdaniem o wyborze klientów w największym stopniu będzie decydował wskaźnik TCO (całkowitego kosztu posiadania).
Ideą zabezpieczeń programowych jest przede wszystkim ochrona dostępu do sieci, natomiast tokeny mają za zadanie chronić dane przed nieautoryzowanym dostępem. Czy te rozwiązania są wobec siebie konkurencyjne, czy uzupełniają się?
– Część rozwiązań Aladdina służy do ochrony informacji oraz sprawowania nadzoru nad przepływem danych przychodzących do sieci firmowej i wychodzących z niej, czyli ochrony przed atakami. Zabezpieczenia w tej dziedzinie zapewniają w 99% kontrolę nad przepływem informacji, który można filtrować lub blokować. Ale dopiero po zastosowaniu rozwiązań z drugiej grupy – tokenów – zyskujemy 100% zabezpieczenia. W tokenach zastosowano zupełnie inne podejście do kwestii ochrony, a oba rodzaje rozwiązań sprawdzają się doskonale, funkcjonując łącznie.
Kiedy „otwieramy się” na publicznie dostępny Internet, musimy poświęcić odrobinę wolności i swobody dostępu do danych na rzecz większej kontroli i możliwości blokady dostępu. Ze względu na znaczenie systemów informatycznych i przetwarzanych w nich informacji dla działalności biznesowej proponujemy wyposażać pracowników w sprzętowe tokeny, aby mieć stuprocentową pewność, kim jest użytkownik starający się o dostęp do naszej sieci. Wybór zabezpieczenia jest podyktowany potrzebami konkretnego przedsiębiorstwa.
Jakie są perspektywy Aladdina na polskim – dość już nasyconym – rynku?
– Wprawdzie rynek zabezpieczeń przed atakami internetowymi wydaje się w tym regionie nasycony, ale rynek rozwiązań służących do identyfikacji i autoryzacji użytkowników w rzeczywistości dopiero się rodzi. Największą sprzedaż obserwujemy na rynku europejskim, realizacja projektów w tym regionie przynosi nam ponad 50% przychodów. Wynika to z uwzględniania wymogów zgodności z regulacjami w zakresie bezpieczeństwa, rosnącej liczby usług online, a także dojrzałości rynku pod względem zainteresowania technikami informatycznymi.
Największe przychody czerpiemy z działań na rynku wschodnioeuropejskim. Podejmuje się tutaj wiele inwestycji w zakresie infrastruktury, wchodzą w życie istotne regulacje. W dodatku zarządy przedsiębiorstw dostrzegają cechy wyróżniające naszą ofertę, ponieważ nie zamierzają oszczędzać na bezpieczeństwie IT kosztem jego poziomu. Decydenci są świadomi, że mogą przebierać w ofercie rynkowej i korzystać z różnych dostępnych technik, kierując się rzeczywistymi potrzebami biznesowymi, analizując koszty i odrzucając drogie rozwiązania, które nie w pełni odpowiadają ich wymaganiom. To właśnie w Europie Wschodniej, wliczając Polskę, obserwujemy zainteresowanie oferowanymi przez nas rozwiązaniami oraz chęć ich wdrażania, większą niż na innych światowych rynkach. Jesteśmy spokojni o pomyślną penetrację rynku polskiego, a w ogólności rynku wschodnioeuropejskiego.
Jakimi sukcesami w Polsce możecie się pochwalić?
– W Polsce sprzedajemy systemy zabezpieczeń oparte na uwierzytelnieniu użytkowników m.in. firmom z sektorów telekomunikacyjnego i finansowego, zwracającym szczególną uwagę na bezpieczeństwo swoich danych. Firmy te potrzebują gwarancji, że dostęp do ich danych mają wyłącznie upoważnieni pracownicy lub klienci.
Zrealizowaliśmy również wiele wdrożeń wynikających z przepisów o podpisie cyfrowym. Z powodzeniem rozwijamy kanał sprzedaży do małych i średnich przedsiębiorstw. Ponadto obserwujemy wyraźny wzrost sprzedaży zabezpieczeń wirtualnych sieci prywatnych (VPN). Bardzo perspektywiczny jest też rynek firm oferujących usługi online, które chcą zapewnić bezpieczne sposoby logowania się do ich witryn i zasobów.
Niestety, nie mogę wymienić naszych klientów z nazwy, ponieważ są to firmy bardzo świadome wagi bezpieczeństwa informacji, a na ich wizerunek bardzo wpływają wszelkie przecieki o ewentualnych problemach z zabezpieczeniami czy informacje o stosowanych systemach zabezpieczeń.
Jaka jest przyszłość systemów zabezpieczeń?
– Przewidujemy, że za kilka lat użytkownicy będą mieli zupełnie nowe podejście do kwestii korzystania z danych i uzyskiwania do nich dostępu. Rozwój Internetu i infrastruktury zaowocuje nową techniką udostępniania i korzystania z danych (w postaci filmów, plików muzycznych czy aplikacji), bo przecież oprogramowanie nie musi być zainstalowane w biurze, ale można je udostępniać pracownikom w formie usługi w dowolnym miejscu świata (Software as a Service – SaaS).
Proponując rozwiązania naszym klientom, przekonujemy ich, że dzisiejsza inwestycja w zakresie zabezpieczeń będzie tak samo efektywna w przyszłości. Nie zmieni się koncepcja mechanizmów przydzielania i ochrony dostępu, dlatego staramy się podkreślać, że nasze produkty idą z duchem czasu i będą się sprawdzać w infrastrukturze przyszłości. Rynek będzie oferował coraz lepsze rozwiązania, a dostawcy będą się prześcigali w innowacjach, wobec czego system zabezpieczeń wdrażany obecnie powinien sprostać wymogom wielokrotnie „większych” systemów, nad którymi będzie musiał czuwać za kilka lat. Mówiąc o wielkości, nie mam na myśli wyłącznie kwestii przepustowości czy rozmiarów pamięci, ale także rosnące potrzeby biznesowe firm.
Rozwijamy więc produkty umożliwiające bezpieczną dystrybucję treści z bezpiecznymi mechanizmami dostępu. Treścią może być dosłownie wszystko. Niektórzy klienci zabezpieczają dostęp do oferowanych przez siebie usług SaaS, inni chronią dostęp do gier, dokumentów czy danych będących własnością przedsiębiorstw. Wobec rosnącej roli Internetu kluczowym elementem działalności firmy wykorzystującej ten kanał komunikacji będzie zabezpieczenie punktu końcowego. Dlatego uważam, że rynek zabezpieczeń znajduje się dopiero na początku fazy wzrostu. Będziemy zatem rozwijać skuteczne techniki, które ułatwią naszym klientom efektywne korzystanie z ich systemów IT.
Jak przekonać do zainwestowania w system zabezpieczeń zarząd, który nie odczuwa potrzeby tego rodzaju zakupu, bo nigdy nie przeżył katastrofy?
– Dużą część naszych produktów kupują firmy, które dotąd nie wprowadzały innowacji do swojej działalności. Dzięki naszym rozwiązaniom mogą teraz stosować nowe rozwiązania biznesowe, np. sprzedaż przez Internet czy korzystanie z usług pracowników mobilnych, pracujących w terenie za pomocą przenośnych komputerów. Argumentem „za” jest fakt, że system zabezpieczeń może stać się czynnikiem napędzającym rozwój firmy, ponieważ poszerza perspektywę przedsiębiorczości i daje nowe możliwości działania.
Drugi argument wynika z prostej zasady: nie kupuje się rozwiązań, jeśli nie dyktują tego potrzeby biznesowe. Z badań wynika, że w naszym segmencie rynku potrzeby są ogromne i wynikają nie tylko z konieczności przestrzegania przepisów czy zapewnienia bezpiecznego dostępu do poufnych danych, ale także ze świadomości, jaką wartość ma szczelny system zabezpieczeń.
Gdy rozmawiamy z klientem, zachowujemy się jak firma konsultingowa: wspólnie zastanawiamy się, jakie są rzeczywiste potrzeby biznesowe danego przedsiębiorstwa i w jakim stopniu opłacalna jest inwestycja w zakresie jego systemu ochrony. Rzeczywiście często spotykanym problemem są niewielkie nakłady na bezpieczeństwo. Dlatego menedżerom odpowiedzialnym za informatykę, bezpieczeństwo czy produkcję przedstawiamy wachlarz propozycji, a ich zadaniem jest ocena, czy konkretne zabezpieczenie jest warte swojej ceny, czy może potencjalna strata spowodowana np. udanym atakiem nie będzie wcale tak straszna, jak ją malujemy.
Firmy z sektorów bankowości i telekomunikacji doskonale wiedzą, że koszt zakupu dobrego systemu zabezpieczeń jest mniejszy niż ewentualne straty poniesione w wyniku awarii słabszego rozwiązania. Kiedy wizerunek organizacji determinuje jej wartość, liczy się nie tylko koszt wdrażania, ale i koszt niewdrożenia, ponieważ w przypadku takich firm nawet niewielkiego potknięcia w kwestii bezpieczeństwa nie pokryje żadne ubezpieczenie. A zatem zarząd każdej firmy – przedsiębiorstwo przemysłowe nie jest tu wyjątkiem – powinien obliczyć, ile będzie kosztował zakup systemu teraz, a ile w przyszłości, gdy… może być już za późno.
Autor: Elżbieta Jaworska, MSI Polska