Курс на технологическую независимость как ответ на растущие киберриски
После начала февральских событий российские организации подверглись беспрецедентным по своим масштабам и интенсивности кибератакам. На этом фоне иностранные вендоры, предлагающие решения по кибербезопасности, начали объявлять об уходе или приостановке деятельности на территории России, а Президент Российской Федерации Указом № 250 запретил отечественным организациям использовать средства защиты информации, произведенные в недружественных государствах либо подконтрольными или аффилированными с ними организациями.
Эти три фактора обусловили резкий рост спроса на услуги российских компаний по информационной безопасности, а также на решения отечественных разработчиков. Многие российские компании — предприятия финансового и промышленного секторов, телекома, ретейла и логистики — оказались совершенно не готовы к ситуации, когда защищаться надо, но больше нечем.
По данным фонда «Центр стратегических разработок» (ЦСР), в 2026 году российский рынок кибербезопасности может вырасти со 186 млрд до 469 млрд рублей с учетом влияния геополитических факторов. Без их влияния рост может оказаться двойным — до 370 млрд рублей. Усиление госрегулирования и уход западных компаний делают ИТ и ИБ-секторы, по сути, новой нефтью как с точки зрения снижения рисков нарушения непрерывности работы организаций, так и с позиции потенциального экспорта решений.
Сроки
С 1 января 2025 года использовать иностранное программное обеспечение на значимых объектах критической информационной инфраструктуры (КИИ) будет нельзя. Успеют ли субъекты КИИ уложиться в отведенное время? С одной стороны, сложные системы, которые внедряются в течение нескольких лет, сейчас будут замещаться более простыми, но в то же время справляющимися с нагрузками. Здесь срок замещения равен сроку внедрения с нуля — значит, успеют.
С другой стороны, далеко не у всего ПО есть отечественные аналоги. Новые решения могут разрабатываться не один год, что критично не только для бизнеса, но и для государства. Нам повезло — мы одними из первых поняли, что системы класса SIEM должны импортозамещаться. Однако многим организациям придется в последний момент сталкиваться с сырыми или недостаточно апробированными решениями.
Такие заказчики должны будут создавать тестовые стенды, исследовать ПО, чтобы убедиться в его работоспособности, обучать персонал им пользоваться. Небольшая компания справится, а вот организациям, где 10, 20, 30 тысяч сотрудников и отстроены процессы, будет очень непросто.
А представьте, если во время атаки на компанию перестанет работать установленное в ней импортное оборудование и ПО? Мы вернемся в каменный век. Вероятность такого совпадения невелика, но все равно нужно это иметь в виду.
Серое замещение
Еще один момент: нельзя путать импортозамещение со сменой лейблов. Некоторые организации хитрят: берут западную продукцию, на нее наносят наклейку — и теперь это российский сервер. С ПО немного тяжелее. Иногда российский продукт создается на базе зарубежных Open-Source-решений. Это законно. А псевдороссийский продукт, конечно, позволяет какое-то время формально выполнить требования регулятора, но где гарантия, что Минкомсвязь России не исключит его из реестра? Подобные примеры уже есть.
Сэкономить на импортозамещении
Скупой платит дважды. Поэтому здесь нужно в первую очередь тесно взаимодействовать с бизнесом. Составить дорожную карту, понять, какие системы придется замещать, что уже есть на рынке, либо заказать частную разработку. Также существуют отраслевые сообщества, которые составляют единую дорожную карту, выбирают единого исполнителя и разрабатывают универсальное решение.
Второе, что имеет ключевое значение, — персонал. Риски настолько велики, что необходимо найти грамотных специалистов, разбирающихся в технических аспектах. И не бояться им довериться.
А теперь о рисках и способах их страхования
В 2021 году спрос крупного бизнеса на страхование киберрисков в России вырос на 60%. По данным компании «АльфаСтрахование», это связано с учащением резонансных случаев атак вирусов‑вымогателей в России и мире, а также с возросшими требованиями крупных компаний к своим поставщикам по защите конфиденциальной информации. При этом сам рынок довольно небольшой: сегодня страхует киберриски всего 6% компаний. В первую очередь это организации финансового сектора, компании, занимающиеся электронной коммерцией и оказывающие ИТ-услуги, а также крупные промышленные предприятия, активно автоматизирующие свои бизнес-процессы.
Из безусловно положительных сигналов можно отметить следующее. Во‑первых, две трети купивших полис организаций считают, что это способствовало повышению их привлекательности для клиентов, партнеров и сотрудников. Во‑вторых, среди пострадавших от кибератак 9% жалеют, что у них не была оформлена киберстраховка, благодаря которой они могли бы гораздо быстрее восстановиться. В‑третьих, 21% организаций планирует воспользоваться услугой: по их мнению, наличие страховки поможет быстрее восстановиться после реализованной атаки и сделает компанию более защищенной (как правило, об этом говорят крупные компании и организации, обладающие значительными бюджетами и распределенной ИТинфраструктурой).
Тем не менее большинство респондентов пока не планирует страховать киберриски. Стоимость страхования определяется многофакторной моделью и сильно варьируется в зависимости от отрасли. В среднем суммы выплат находятся в диапазоне от 1 млн до 700 млн рублей, причем, по некоторым данным, полис может увеличить бюджет расходов на ИБ на 10–20%. Для 33% опрошенных это либо слишком дорого, либо неочевидно с точки зрения финансовой целесообразности.
Перспективы
Число и интенсивность кибератак в краткосрочной перспективе не снизятся. В лучшем случае из полукриминальной активности хактивизм перешел в статус крестового похода за справедливостью и праведным отмщением. О прогосударственных акторах СМИ не только пишут, но уже и цитируют их представителей, что, без сомнения, легализует эту часть жизни в массовом сознании. В России на фоне роста интереса к ИТ-профессиям это будет способствовать увеличению популяции «белых хакеров», что, в свою очередь, неизбежно спровоцирует наращивание сил «противника».
В связи с этим, возвращаясь к причинам низкого спроса, можно предположить, что объективные основания для его роста, безусловно, есть. А вот конкретика будет определяться либо разработанными Банком России для финансовой отрасли и впоследствии адаптированными другими отраслями подходами, либо способностью компаний найти тот самый баланс расходов на ИБ и на страховку рисков, не закрываемых штатными средствами защиты информации.
Как вариант, решением может быть модель конструктора, когда компания сможет самостоятельно выбирать наиболее актуальные для себя риски, а также объем страхового покрытия. Для малого и микробизнеса можно зафиксировать предустановленный максимальный объем страхового покрытия, для крупного бизнеса — проводить индивидуальный андеррайтинг.
В основе любой системы анализа и управления киберриском лежит соотнесение реализованных инцидентов с моделью угроз и взвешивание их по степени опасности для непрерывности производственных и бизнес-процессов, соответствия требованиям законодательства и регуляторов, финансовой безопасности организации, прав и интересов ее клиентов и сотрудников и так далее. Концепция управления риском включает как его предотвращение и парирование, так и «принятие риска», когда предотвращение инцидента обходится компании дороже, чем ликвидация его последствий.
Например, многим знаком непростой выбор между внедрением сложных СЗИ и уплатой штрафа. И, хотя закон не имеет обратной силы и штрафовать за то, что до его принятия нарушением не являлось, никто не будет, незакрытая «дыра в безопасности» может стать основанием для принятия мер реагирования по итогам проверки, проведенной по новым правилам. Поэтому, даже принимая такой риск, компаниям, с учетом разработки и вероятного усиления отраслевых требований по информационной безопасности, есть смысл как минимум сохранять события и телеметрию, анализ которых может выявить уязвимости, и принять меры по их устранению спустя год-два после инцидента, который было решено проигнорировать. Существующие SIEM-системы позволяют это делать благодаря функции архивирования и кластеризации хранилищ. Другой пример — риск социальной инженерии. Человеческий фактор — сущность вообще трудно предсказуемая. Точнее, методики есть (например, HRA — Human Reliability Assessment), но для построения прогноза нужно такое количество факторов, сбор которых сопоставим со стоимостью социального исследования методом прямого наблюдения. Гораздо проще составить алгоритм внедрения мер безопасности по принципу «светофора» и последовательно применять его по мере возникновения угроз соответствующего уровня (разумеется, с определенным запасом). И здесь тоже крайне важна правильная настройка в SIEM работы с активами, в частности, мониторинг изменения их свойств при наступлении определенных условий и сведение статистики: 1–3 однотипных инцидента в неделю — зеленый уровень, 4–7 — оранжевый, 8 и более — красный. |
Опубликовано 03.11.2022