Интервью с экспертом: «Как внешние факторы меняют приоритеты служб информационной безопасности»
Как бы вы в целом охарактеризовали «современные условия», в которых российским организациям и предприятиям приходится решать задачи, связанные с защитой критичных приложений и ИТ-инфраструктуры. Каковы собственно эти условия?
«Современные условия» для всего ИТ-рынка, не только информационной безопасности, можно охарактеризовать как экстремальные. Хотя во многих, особенно зрелых, компаниях уже достаточно давно при разработке долгосрочных стратегий ИТ/ИБ анализировались так называемые «страновые» или санкционные риски, никто не готовился к тому, что почти все зарубежные производители ИТ и ИБ решений практически одномоментно прекратят деятельность в России. Это, безусловно, первый и самый главный фактор, отличающий «современные условия».
Второй фактор – это появление политических предпосылок для взрывного роста количества кибератак на российские организации. В результате массовой киберагрессии, направленной на российские предприятия, многие компании впервые столкнулись с тем, как на самом деле реализуются риски утечки информации и нарушения бесперебойного функционирования ИТ-систем и бизнес-процессов. В число атакованных попали также и международные компании, не свернувшие свой бизнес в России.
Эти факторы привели к достаточно тяжелой ситуации, особенно в первые два-три месяца (с февраля по май 2022 года). Организации столкнулись с тем, что многие функции средств защиты оказались неэффективны в момент резкого роста числа кибератак, поскольку не обновлялись современными сигнатурами, индикаторами компрометации, данными о вредоносном ПО.
Третьим важным фактором, определяющим современные условия, стала кадровая проблема. Она всегда была острой в информационной безопасности, но в этом году на фоне оттока специалистов из России, можно создавать открытые площадки в виде электронных торгов за квалифицированных специалистов в формате аукциона. Однако с учетом специфики деятельности ИБ далеко не каждая организация готова сотрудничать со специалистами, работающими за пределами Российской Федерации. Особенно, когда речь идет о защите критичных систем государственного сектора и прочих сегментов национальной критической информационной инфраструктуры. На этом фоне становится все сложнее привлечь квалифицированные кадры на непрофильную для компании деятельность по обеспечению информационной безопасности, и мы видим рост потребностей заказчиков в привлечении внешних специализированных организаций.
Как российские организации отреагировали на появление этих факторов?
В мае 2022 года мы проводили наше первое в этом году исследование мнений ИТ и ИБ руководителей среди наших заказчиков с целью оценки изменений, произошедших за два месяца работы в новых условиях. В опросе приняло участие более 210 руководителей в различных сегментах рынка. 55% опрошенных отметили существенный рост внимания со стороны бизнеса вопросам ИБ, при этом 82% столкнулись с ростом кибератак. В целом рынок можно разделить на тех, кто оперативно приступил к экстренному закрытию уязвимостей и тех, кто поэтапно тестировал отечественные решения. Естественно, безопасность не существует в вакууме, поэтому многим приходилось наблюдать за развитием ситуации с решением по выбору новых компонентов ИТ-инфраструктуры и информационных систем. Ведь во многих организациях в скором времени могут полностью начать меняться все ключевые информационные системы, вроде ERP или SCADA, — а это ключевые объекты защиты и изменение бизнес-логики! Многие проекты встали на паузу из-за того, что спроектированная ранее на западных производителях ИТ-платформа более не может быть реализуема. Другие столкнулись с невозможностью обеспечения серверными мощностями и системами хранения данных. Существенное число заказчиков развернулось в сторону облачных технологий, чтобы компенсировать нехватку ресурсов и обеспечить защиту своих информационных систем силами провайдера в специализированных аттестованных сегментах.
В этом плане нам в ИБ с отечественными производителями повезло, наш рынок достаточно зрелый, и поменять зарубежные ИБ-продукты на российские, в принципе, возможно. По сравнению с ИТ-рынком, где есть определенные сложности, у нас есть по три-четыре конкурентно-способных решений практически в каждом классе средств защиты, за небольшими исключениями вроде контроля доступа к сети (Network Admission Control, NAC), безопасного Wi-Fi или управления безопасностью мобильных устройств (Mobile Device Management, MDM). Как только все началось, мы подготовили для наших заказчиков некую визуализацию, основанную на квадранте Gartner, но вложили несколько иной смысл. Мы сегментировали рынок средств защиты по четырем уровням зрелости:
- «Нишевые игроки» — наши средства защиты, без которых сложно представить хотя бы одну государственную информационную систему или систему защиты персональных данных — средства защиты от несанкционированного доступа, средства криптографической защиты информации (СКЗИ), доверенная загрузка или защита среды виртуализации. В этом сегменте ничего менять, скорее всего, не требуется.
- «Претенденты» — программные средства защиты, уже эксплуатируемые многими крупными заказчиками, которые проигрывали ранее в конкурентной борьбе западным решениям. С некоторыми оговорками в качестве примеров: межсетевые экраны для веб-приложений (Web Application Firewall, WAF), системы управления событиями информационной безопасности (Security Information and Event Management, SIEM), средства контроля и управления неструктурированными данными DAG (Data Access Governance, DAG), системы контроля привилегированных пользователей (Privileged Account Management, PAM), системы управления доступом (Identity Management, IDM) и другие. Уже сейчас готовы заменить западные продукты без серьезной потери в качестве, а технологическое отставание могут наверстать в течение максимум трех лет при увеличении базы активных заказчиков.
- «Лидеры» — технологически зрелые программные средства защиты, уже давно выигрывавшие конкуренцию с западными продуктами. В качестве примеров можно привести средства антивирусной защиты, средства анализа защищенности и решения по защите от утечек.
- «Дальновидные игроки» — это производители межсетевых экранов (Next-Generation Firewall, NGFW) и прочих средств сетевой безопасности, которые начали заниматься данным направлением задолго до текущих событий, но имели минимальную долю рынка ИБ среди всех представленных классов защиты. Этот сегмент хотя и наиболее проблемный, но в то же время наиболее востребованный в этом году.
При этом наше исследование в мае показало, что лишь 27% опрошенных доверяют российским производителям. Забегая вперед, в конце ноября этого года аналогичное исследование показало рост доверия к российским производителям до 48%, а это значит, что наша отрасль двигается в правильном направлении.
Третий фактор, кадровый, раскрылся для многих с неожиданной стороны. Оказалось, что просто взять и переподготовить персонал на российские решения — непростая задача. В особенности, когда есть текущие рутинные операции. Поэтому роль интеграторов и провайдеров услуг при проведении миграций повысилась многократно.
Также нужно отметить, что треугольнику «заказчик – интегратор – производитель» пришло время научиться работать совместно. Заказчику – искать компромиссы и приоритеты в своих требованиях к функциям средств защиты. Производителям – прислушиваться к задачам и потребностям заказчиков, успевать включать в свои новые релизы требования ключевых заказчиков, ведь без этого невозможно развитие конкурентных продуктов. Системным интеграторам – успевать наращивать инженерную экспертизу и учиться быть связующим звеном между заказчиком и производителем. Если решение работает не так, как ожидает заказчик, учиться быть архитектором с целью перераспределения функций безопасности с одного текущего импортного на несколько отечественных решений для обеспечения производительности и отказоустойчивости. Может потребоваться компетенция консультанта по реинжинирингу процессов безопасности.
Какие именно направления защиты критичных приложений и ИТ-инфраструктуры организации стали приоритетными в современных условиях?
По данным наших исследований, в мае первичной головной болью организаций была защита периметра и модернизация подсистемы сетевой безопасности: межсетевых экранов (NGFW), включая защиту почтового трафика и URL-фильтрацию, решений по защите веб-приложений (WAF) и защиты от DDoS-атак. Порядка 40% опрашиваемых ответили, что обеспечение сетевой безопасности и защита периметра являются приоритетной задачей на текущий момент, а все остальное является вторичным. Такая закономерность легко объяснима: это было на пике кибератак, и это как раз те классы решений, которые у заказчиков были реализованы преимущественно на базе решений западных производителей.
Когда мы провели повторные исследования в ноябре, картина поменялась. Заказчики в целом немного успокоились. После прошедшей паники и решения задачи защиты периметра организации начали подходить к вопросу безопасности комплексно: порядка 80% всех опрошенных сказали, что не могут сейчас выявить одно конкретное направление информационной безопасности, которое для них наиболее актуально. Это подтверждают и практические результаты работы нашего центра экспертизы: за запросами по замене решений сетевой безопасности пошли запросы на средства мониторинга и реагирования на инциденты информационной безопасности, защиты от целенаправленных атак, различные агентские решения (в том числе, новые для российского рынка XDR), тестирование на проникновение и прочие ИБ-услуги. Можно сказать, что приоритеты в части безопасности постепенно возвращаются в более или менее привычное русло.
Насколько выявленные вами приоритеты в сфере ИБ универсальны? Есть ли здесь отраслевая специфика, в чем она?
Универсализм, пожалуй, не столько сейчас продиктован отраслевой спецификой, сколько требованиями законодательства, ведь сегодня уже даже операторы персональных данных обязаны отправлять сведения об инцидентах ИБ, связанных с утечками персональных данных в результате компьютерных атак, в ГосСОПКА. Есть Указ Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Он разделил все компании на государственные, системообразующие, стратегические или являющиеся субъектами КИИ, а также условно некритичные для государства организации. Для попадающих под требования данного указа сформулированы достаточно жесткие сроки, в том числе по переходу на ПО исключительно из дружественных стран (либо на отечественные для субъектов критической информационной инфраструктуры согласно Указу Президента Российской Федерации от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» к началу 2025 года. Таким организациям обязательно придется мигрировать на российские (или из дружественных стран) ИТ и ИБ продукты. Это главный приоритет для таких компаний.
Другие компании, не попадающие под ранее обозначенные категории, не обязаны менять западные продукты на российские. И по данным нашего исследования, из их числа порядка 62% пока не торопятся с заменой. Тем более, что по ряду направлений этой замены попросту нет (в части ИТ). А в некоторых компаниях еще надеются, что какие-то зарубежные игроки вернутся на наш рынок. Хотя верующих в это с каждым днем все меньше. В таких компаниях мы видим сейчас в исполнении принцип «работает – не трогай».
Отраслевая специфика порой никак не проявляется. Например, в плане кибератак сильно досталось госсектору – на государственные организации и предприятия был основной наплыв кибератак. И характер внешней агрессии существенно повлиял на приоритеты в области ИБ государственных организаций. Но также досталось и промышленным компаниям и ритейлерам. Многие компании, у которых, по крайней мере, есть своя веб-страница в Интернете, так или иначе были подвержены DDoS-атакам и взлому страниц для публикации каких-либо политических лозунгов. Мы видим огромное количество утечек персональных данных как реальных, так и фейковых, состоящих из компиляции предыдущих утекших баз данных. Пожалуй, банки в силу своей высокой подготовленности не так сильно пострадали, но сказать, что финансовый сектор никто не атаковал было бы неправильно. Ряд крупнейших банков находился под достаточно сильными DDoS-атаками. То есть нельзя в этом плане выделить какую-то отрасль и соответственно говорить об отраслевой специфике приоритетов в ИБ.
Сложный путь сейчас с точки зрения новизны для российского рынка проходят бывшие международные компании – компании, которые вели своей бизнес в России через свои представительства и офисы, а сейчас выделяются в российские юридические лица и, по сути, создаются заново. Как правило ИТ и ИБ в этих компаниях раньше строились на базе сервисов, поставляемых головными офисами из-за рубежа. Сейчас эти компании в России оказались в принципе без актуальной защиты, без ресурсов, без компетенций и полноценной инфраструктуры. Им в течение этого года пришлось решать многие свои задачи в сфере ИБ с нуля.
Что более всего препятствует реализации приоритетных направлений развития ИБ в современных условиях? На какие конкретные проблемы указывают ваши заказчики, и как они решаются?
Основные проблемы обусловлены энтропией будущего ИТ-инфраструктуры, текущими сложностями с аппаратным обеспечением и кадровой проблемой. Остальное – это скорее задачи, которые рынок должен решить в течение грядущих трех-пяти лет. Приведу пару примеров, иллюстрирующих общую картину.
Нередко наши заказчики сталкивались в этом году с необходимостью параллельного тестирования более пяти классов решений либо необходимостью запуска программы проектов по обеспечению санкционной независимости в области ИБ. С учетом кадровой обстановки и роста задач мы начали предлагать услугу выделенного архитектора информационной безопасности, который на время де-факто становится собственным ресурсом заказчика, помогая ему в реализации задач, связанных с развитием его системы ИБ. Такой вид услуги не является для нас профильным, поскольку мы привыкли больше к проектным задачам с понятным объемом работ и конечными сроками выполнения, но мы не можем не идти навстречу потребностям рынка. Да и в целом все больше своих процессов и функций заказчики готовы отдавать на аутсорсинг лицензиатам.
Мы видим динамику перехода заказчиков в «облака». Там, как правило, уже есть сертифицированные средства защиты, сегменты аттестованы по требованиям ФСТЭК России и ФСБ России, нет необходимости искать дополнительные вычислительные мощности. Но здесь тоже имеются сдерживающие факторы. Переход в «облако» всегда сопряжен с возражениями, особенно с точки зрения ИБ. Кто будет отвечать, если произойдет инцидент ИБ? Где гарантии, что будет корректно обеспечен доступ? Как будет обеспечиваться защита персональных данных? Какова финансовая ответственность сервис-провайдера? Если мы говорим не про историю с гособлаком, а про коммерческие компании, эти вопросы по-прежнему важны, но обстоятельства двигают рынок к облачным инфраструктурам.
Можно привести пример потребности заказчиков, которая на текущий момент не закрывается полностью ни одним из существующих решений: комплексная система безопасности конфигураций ИТ-активов. За последний год мы реализовали несколько проектов на эту тему и видим, как проблема усиленной настройки встроенных функций безопасности существующих компонентов ИТ-инфраструктуры (операционных систем для серверов и рабочих станций, СУБД, сетевого оборудования, мобильных устройств, ERP-систем и прочих систем) начинает приобретать все большую значимость. Особенно это связано с текущей ситуацией, когда есть сложности с установкой обновлений и патчингом. Частично эту проблему позволяют решить стандарты безопасных конфигураций, но на практике это не работает без использования средств автоматизации. У нас имеются системы анализа защищенности, в которых есть возможность сканирования на соответствие базовым стандартам, есть решения класса GRC (Governance, Risk and Compliance), которые позволяют вести учет критичных ИТ-активов организации, есть решения, позволяющие проводить анализ безопасности конфигурации на уровне сетевых устройств и межсетевых экранов. Но вот комплексной системы пока в принципе не существует. А это важный момент как раз с точки зрения определения приоритетов, устранения уязвимостей или реагирования на инциденты. У вас, например, случился инцидент: есть проникновение с компрометацией узла в сети или вредоносное ПО обнаружилось. Насколько быстро вам нужно реагировать? Это сложный вопрос, потому что нет полной оценки ситуации в реальном времени. Какой частью системы, например, является зараженный компьютер или сервер? Насколько он изолирован, какие уязвимости найдены, в системе какого уровня критичности? Пока мы совместно с заказчиками двигаемся в сторону заказной разработки под данную тему, но было бы неплохо иметь готовый продукт, закрывающий данную проблему.
В какой степени выявленные вами приоритеты удовлетворяют требованиям современного законодательства о безопасности КИИ? Нужны ли новеллы в этом законодательстве и какие (в связи с изменившимися условиями)?
Законодательство о безопасности КИИ эти приоритеты, в том числе, и диктует. То есть организации должны категорировать свои объекты критической инфраструктуры, построить систему защиты и обеспечить реагирование на инциденты ИБ, уведомляя регулятора об инцидентах безопасности. Есть определенные требования регулятора, они понятны профессионалам, но не всегда понятны бизнесу. 250-й указ уже возложил ответственность по обеспечению информационной безопасности на руководителя организации или его заместителя. Следующим шагом в свете существующих ограничений вполне могли бы быть полезны изменения в законодательстве, устанавливающие приоритеты в сосредоточении усилий по информационной безопасности критичных приложений и ИТ-инфраструктуры на уровне бизнес-руководителей. Таким шагом могут стать законодательные инициативы в направлении определения реестра недопустимых событий информационной безопасности для госструктур и объектов критической информационной инфраструктуры. Считаю, что данная инициатива помогла бы повысить вовлеченность руководства компаний в вопросы информационной безопасности, потому что только они на самом деле могут корректно оценить ущерб и последствия для организаций вследствие инцидента ИБ.
Как могут поменяться приоритеты российских предприятий и организаций в защите критичных приложений и ИТ-инфраструктуры в обозримой перспективе?
Если посмотреть на уровень зрелости информационной безопасности, нам еще есть, куда расти. Многие компании только в этом году озаботились вопросами ИБ в принципе. Для многих вдруг стало ясно, что можно многое потерять, поймав, например, шифровальщика в корпоративную сеть. Кто-то, кто в 2017 году избежал эпидемии WannaCry, Netya и Petya, все еще жил мыслью, что как только с ним это произойдет, тогда он и начнет действовать. А хватит ли для этих действий кадров и компетенций? Подготовка квалифицированных специалистов станет одним из ключевых приоритетов, но кадровую проблему быстро не решить, соответственно будет расти спрос на сервисы ИБ.
Другой тренд – это стремление к развитию средств автоматизации в области ИБ, что также связано с нехваткой ресурсов, особенно кадров. Здесь открывается возможность активного использования технологий машинного обучения.
Останется приоритетом совершенствование систем ИБ на базе отечественных продуктов. Будем исходить из того, что у нас появилась вполне достижимая возможность построить конкурентоспособные продукты ИБ. Где-то мы уже на высоком уровне, и нужно два-три года, чтобы полностью вывести их на мировой уровень. А где-то еще нужны существенные инвестиции в развитие. У нас есть действительно много перспективных технологий, тот самый сегмент «претендентов» на лидерство, и только требовательные представители ИТ и ИБ российских предприятий и организаций могут помочь вывести эти решения на новый уровень.
Сейчас сформировались уникальные возможности для построения систем безопасности на базе продуктовых экосистем, к которой двигаются все ключевые вендоры ИБ в России. Мы уже не можем говорить, что, например, «Лаборатория Касперского» – это производитель антивирусов. Раньше экосистемную безопасность на отечественных продуктах было сложно себе даже представить. А сейчас, когда многие организации почти с нуля начинают выстраивать свои системы ИБ, развитие в сторону экосистем продуктов одного производителя вполне может стать рабочим сценарием.
В целом, на мой взгляд, время для смены приоритетов в защите критичных приложений и ИТ-инфраструктуры еще не пришло. Перед российским сообществом безопасности есть амбициозная задача - к 2025 году обеспечить должный уровень безопасности в резко меняющемся окружающем ИТ-мире, реализовать базовый набор мер, выполнить требования существующего законодательства. Задач много, главное, чтобы хватило на все ресурсов.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
