Доверенная защита: советы и рекомендации

Доверенная защита: советы и рекомендации
Теперь у заказчиков возникают не только вопросы «От чего защищаться?» и «Как защищаться?», но и «Чем защищаться?»

Новые условия, в которых живет вся Россия после ввода беспрецедентных международных санкций, заставляют не только искать новые пути для развития и новые возможности для бизнеса, но и внимательно следить за потенциальными рисками, последствия которых могут оказаться очень ощутимыми. Особенно это актуально для тех компаний, которые еще не попали в санкционные жернова, однако из-за ошибки, недальновидности или невнимательности вполне могут оказаться в черных списках. Рынок ИТ-продуктов и услуг тоже находится в одной из наиболее серьезных зон риска наряду с тяжелой промышленностью, финансами, транспортом. Ведущие западные ИТ-вендоры покинули Россию, оставив своих клиентов без поддержки и обновлений, либо просто прекратили продажи для новых заказчиков. Ситуация меняется чуть ли не ежедневно. Возникают сомнения и в сохранении присутствия на российском рынке китайских поставщиков. При этом российские разработчики закрыли далеко не все пробелы в продуктах на отечественном ИТ-рынке. До сих пор есть ряд областей, где заменять ушедших пока нечем. Все это относится к технологическим рискам, но не менее опасны проблемы юридического характера, угрозы информационной безопасности и другие сложности, с которыми приходится сталкиваться как ИТ-поставщикам, так и их заказчикам. В прошлом номере мы уже начали разговор на тему рисков в санкционную эпоху и сегодня хотели бы его продолжить.

ИБ: не только реагировать, но и предотвращать

Риски, связанные с информационной безопасностью, появились далеко не вчера. Однако новая реальность усилила их последствия многократно. Ведь теперь у заказчиков возникают не только вопросы «От чего защищаться?» и «Как защищаться?», но и «Чем защищаться?» Зарубежные ИБ-вендоры отказываются от работы на российском рынке, к тому же наше законодательство требует использовать только российские продукты для защиты объектов критической информационной инфраструктуры. Также 1 мая текущего года был подписан указ №250 Президента РФ о запрете использования российскими организациями средств ИБ, произведенных в недружественных странах. «В сложившейся ситуации информационная безопасность является одной из ключевых задач для обеспечения функционирования бизнеса. Лавинообразный рост числа компьютерных атак на информационные ресурсы государственных компаний и субъектов критической информационной инфраструктуры, к которым можно отнести DDoS-атаки, вирусные заражения, атаки на веб-приложения, показал, что в целом большинство организаций готово к обнаружению и реагированию на компьютерные инциденты, но, с другой стороны, некоторые атаки все же имели существенные последствия, о чем свидетельствует инцидент с сервисом Rutube, — комментирует Алексей Морозов, вице-президент по технике и эксплуатации Sitronics Group. — В связи с этим уход иностранных производителей средств защиты информации действительно становится проблемой для организаций, и не столько потому, что, как принято считать, они являются более функциональными и производительными, сколько потому, что их замена на отечественные средства потребует временных и финансовых затрат. Отечественные производители готовы предложить достаточно качественные средства защиты таких классов, как антивирусное ПО, средства мониторинга и анализа защищенности, средства управления инцидентами, контроль привилегированных пользователей, защиты от утечек данных и др. Сложности могут быть только с периметровыми сетевыми средствами безопасности. В этой ситуации в качестве стратегических мер мы рекомендуем провести анализ защищенности внешней и внутренней инфраструктуры, а также киберучения по оценке текущего уровня информационной безопасности и осведомленности пользователей в отношении киберрисков. Также важно составить перечень наиболее критичных ресурсов, провести оценку возможности использования существующих средств защиты или сроков перехода на отечественные аналоги».

{comment data-id="185027"}

«Действительно, в Указе Президента № 250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» вводится ряд организационных и технических требований, среди которых запрет на использование госорганами, госкомпаниями и субъектами КИИ с 2025 года средств защиты информации, произведенных в недружественных странах или подконтрольных им. По аналогии с зарубежным ИТ-решениям, вопросы о доверии к западным средствам защиты информации, подчас обеспечивающим безопасность ключевой информации в компаниях, поднимались неоднократно на различных уровнях. В текущей ситуации основными рисками являются отказ западных вендоров от поддержки ИБ-продуктов и предоставления сервисов по кибербезопасности, частичное или полное отключение защитного функционала, аннулирование лицензий и договоров, ненулевая вероятность использования программных или аппаратных закладок в иностранных средствах защиты в качестве кибероружия. В сложившейся ситуации ИТ/ИБ-руководителям российских организаций можно порекомендовать выработать стратегию перехода на отечественные средства защиты, которая учтет бизнес-процессы, чья кибербезопасность будет снижена до неприемлемого уровня при выходе из строя зарубежных ИБ-решений, а также учтет функциональность имеющихся импортных продуктов в сравнении с их российскими аналогами и наличие внутренних компетенций по тем или иным системам. Российские ИБ-вендоры во многих направлениях кибербезопасности предлагают продукты, конкурентоспособные при независимом сравнении с западными решениями: антивирусные системы, решения по защите от утечек данных, системы криптографической защиты информации, сканеры уязвимостей, SIEM-системы, SOAR-решения развиваются российскими командами разработчиков не первый год, так что заказчикам есть из чего выбирать», — считает Руслан Рахметов, генеральный директор компании Security Vision.

{comment data-id="185028"}

По мнению Екатерины Старостиной, директора по развитию бизнеса компании «Орлан», ситуация с ИБ выходит на первый план, и последние события это доказали. «В рамках кратковременной стратегии практически каждая организация должна проводить экстренную инвентаризацию своих ресурсов и анализ на предмет возможных каналов утечки, соответственно, необходимо максимально ограничить доступ и провести детальный аудит на предмет уязвимостей. Долгосрочная стратегия подразумевает принятие во внимание количество выросших угроз, дело даже не в том, что правительство ограничивает возможности использования продуктов иностранных вендоров, вероятность угрозы от самих заграничных производителей возрастает многократно. Благо рынок ИБ России достаточно развит и может заменить множество заграничных решений. С ИТ дела обстоят гораздо хуже, но пока рынок России развивается, есть возможность использовать ИТ-оборудование дружественных стран, таких как Китай», — утверждает она.

{comment data-id="185030"}

Оптимистично настроен и Станислав Винников, директор ГК «Абак-2000». «С точки зрения ИБ как раз российский рынок достаточно зрелый и готов практически полностью заменить ушедших вендоров. Тут я не вижу больших рисков для отрасли в целом. Для заказчиков, которые использовали импортные решения, это будут дополнительные затраты. Но это абсолютно решаемая задача в короткие сроки», — уверен эксперт.

Контроль на новом уровне

Чтобы ненароком не попасть под новые ограничения, бизнесу необходимо усилить контроль сделок, клиентов, контрагентов и т. д. Здесь тоже возникает целый ряд вопросов: какие процессы нужно усовершенствовать и кто должен этим заниматься. Станислав Винников («Абак-2000») советует проявить здесь осторожность. «Проблема текущих санкций в их многоуровневости, — объясняет он. — На один и тот же товар накладывают отдельные санкции десятки стран, ведомств и даже отдельные компании. Чтобы что-то сделать, грозящее санкциями, нужно официально получить десяток разрешений. И разобраться в таком клубке практически невозможно. Поэтому лучше в данный момент перестраховаться и минимизировать работу с западными партнерами».

{comment data-id="185031"}

«Однозначно здесь должны помочь служба безопасности и экономической безопасности — их роль должна расти! А для этого должна повышаться квалификация, как профильная, так и управленческая. Они должны управлять информационной безопасностью, а не реагировать на угрозы и инциденты», — отмечает Максим Степченков, генеральный директор компании «Русием». В свою очередь Дмитрий Гусев, заместитель генерального директора компании «ИнфоТеКС», рекомендует не задумываться о способах обхода санкционных рисков, поскольку проблема слишком сложна и многогранна, чтобы можно было предугадать все ее аспекты. «Невозможно угадать, какое действие или бездействие спровоцирует объявление санкций как для компаний, так и персональных. Иногда, чтобы получить санкции, достаточно просто быть успешной организацией. Следует думать не об этом, а о поиске новых бизнес-партнеров, выстраивании новой логистики и о том, как жить и развиваться в новых условиях», — советует он.

{comment data-id="185032"}

«В крупных международных компаниях, вынужденных соблюдать ограничения различных юрисдикций, за соблюдением санкционных требований следят рабочие группы из юристов и риск-менеджеров, — напоминает Руслан Рахметов (Security Vision). — Разумеется, увеличение масштаба санкций и их практически ежедневное расширение не могут не привести к нагрузке на такие подразделения, при этом последствия ошибок будут весьма существенными. В такой ситуации логично максимально автоматизировать процессы по контролю за соблюдением законодательных и санкционных ограничений, выявить имеющиеся взаимосвязи и зависимости от подрядчиков и поставщиков, найти узкие места и потенциальные «точки отказа» в бизнес-процессах и цепочках поставок. Для автоматизации этих действий, а также решения ряда других задач, в том числе связанных с обеспечением кибербезопасности, существуют системы класса SGRC (Security Governance, Risk Management and Compliance, системы управления кибербезопасностью, рисками и соответствием законодательству), которые решают задачи автоматизации управления киберрисками, обеспечения соответствия законодательным, отраслевым и внутренним нормативным актам, менеджмента процессов ИБ (управление ИТ-активами, уязвимостями, документами, задачами). Кроме того, SGRC-системы помогают автоматизировать процессы проведения аудитов (внутренних и внешних), предоставления отчетности и визуализации состояния/метрик, а также обеспечивают интеграцию с информационными системами для мониторинга состояния кибербезопасности».

Выбираем по-новому

Бизнес не стоит на месте. Реализуются новые проекты, открываются новые направления. А это значит, что возникает потребность в новых ИТ-поставщиках и партнерах. Разумеется, нужно более внимательно подходить к их выбору, чтобы обезопасить себя от дальнейших проблем. Максим Степченков («Русием») рекомендует не слишком задумываться о рисках, если речь идет о развитии. «Когда вы думаете о развитии, о рисках вы думаете по остаточному принципу. В случае конфликта (а развитие и управление риском всегда конфликтующие процессы) компромисс — это решение, равным образом не устраивающее обе стороны. Если ИТ-решение служит целям развития, то риск минимизировать нужно другими способами», — заключает он.

{comment data-id="185033"}

Павел Мельник, заместитель директора по работе с корпоративными клиентами ALP Group, советует смотреть не только на наличие российской юрисдикции. «Конечно, сейчас это должна быть российская компания с российскими инвесторами. Но недостаточно, чтобы это было просто российское юрлицо. Важен ее ресурс и возможность реализации с его помощью реальных проектов на территории нашей страны. Это не просто слова — при ином подходе в текущей ситуации поставщик решений вынужден будет «перевесить» слишком многое на плечи заказчика. А это недопустимо. Соответственно, и заказчик, и исполнитель проекта должны совместно решать четыре ключевые задачи: стабильность и безопасность бизнесов; качество разработки; скорость внедрения и неподверженность никаким внешним влияниям», — подчеркивает эксперт.

{comment data-id="185034"}

«Выбор поставщика — это оценка его компетентности, надежности, удобства в работе, предыдущие отзывы. Просто добавился еще юридический критерий «возможность работы». И его надо отслеживать онлайн, поскольку он постоянно меняется», — заключает Станислав Винников («Абак-2000»).

Опубликовано 03.06.2022

Похожие статьи