Информационная безопасность: поиск решений в боевых условиях
В условиях международных антироссийских санкций и Специальной военной операции на Украине роль и значение информационной безопасности поднялись на совершенно новый уровень. Инфраструктура и ИТ-системы государства и крупных коммерческих компаний ежедневно подвергаются массированным кибератакам, количество подобных инцидентов с февраля 2022 года выросло многократно. И хотя эксперты утверждают, что особых технологических открытий со стороны злоумышленников зафиксировано не было, противостоять бурному потоку атак и утечек российским ИБ-специалистам все равно непросто, учитывая, что им приходится работать в условиях экстренного импортозамещения, обусловленного уходом с отечественного рынка западных разработчиков. К счастью, в России исторически ИБ-отрасль развивалась достаточно продуктивно, и на рынке можно найти отечественные разработки практически для всех задач, связанных с защитой данных. Тем не менее процесс миграции все равно требует внимательного и грамотного подхода, особенно в нынешней непростой ситуации. Мы решили обсудить работу в новых условиях с экспертами рынка, представителями российских ИБ- и ИТ-компаний.
Проверка на прочность
«С начала года мы, как и весь рынок кибербезопасности, наблюдаем рост количества и интенсивности атак на инфраструктуры российских компаний во всех отраслях, — отмечает Валерий Баулин, региональный директор компании Group-IB в России и странах СНГ. — В среднем, в зависимости от типа бизнеса, число инцидентов выросло на порядок, то есть десятикратно. Кратно выросло количество реагирований Group-IB на инциденты — в первом полугодии 2022 в четыре раза. Бизнесу в стране пришлось экстернно проходить проверку на прочность, и могу сказать, что не все оказались к этому готовы. Например, возьмем пресловутые выложенные в паблик базы данных компаний: на май 2022 года мы фиксировали рост таких инцидентов в три раза по сравнению с мартом. Не все эти утечки были на самом деле свежими и настолько опасными, насколько о них пытались заявить. Но факт остается фактом: защиту компаний «пробивали».
«Главная тенденция — это реальное начало практического импортозамещения зарубежных ИБ-решений. С учетом реалий, необходимых функций, а не тех, что есть только у зарубежных вендоров», — утверждает Дмитрий Хомутов, директор компании «Айдеко».
Также, по мнению Станислава Фесенко, руководителя Центра компетенций компании Crosstech Solutions Group, главным трендом текущего года стало, безусловно, импортозамещение. «Многие зарубежные производители средств защиты информации по той или иной причине покинули рынок РФ, соответственно, появилась необходимость подбора отечественных аналогов. Дефицит наблюдается во всех классах средств защиты — от обеспечения сетевой безопасности до систем управления доступом к конфиденциальным данным. Важно понимать, что далеко не всегда одно зарубежное решение может быть функционально заменено одним продуктом производства российской компании, иногда нужно подобрать несколько, а в других случаях — пересмотреть свою целевую задачу. В этом свете еще один набирающий обороты тренд — технологическое партнерство между российскими компаниями-разработчиками СЗИ и создание общих «бандлов» — пакетных предложений. А вот темы мультивендорности и эшелонированной защиты, наоборот, теряют популярность, так как для реализации этих концептов нужно располагать необходимым в рамках существующих политик ИБ набором функционирующих в инфраструктуре СЗИ», — комментирует он.
Первичная растерянность сменилась уверенным вектором на подбор аналогов отечественного производства и поиск альтернативных решений. Как результат, лето 2022 года можно ознаменовать периодом активных опытных эксплуатаций различных российских ИБ-продуктов. Заказчики создали тестовые площадки, провели эксперименты с решениями разных классов, так или иначе замещающих утраченные зарубежные продукты функционально, сравнили их функциональные и технические характеристики, уточнили целевую задачу и закрепили результаты. В целом, в большинстве случаев альтернатива более чем реальна, пусть иногда одно решение и требуется заменить несколькими. Отдельно следует отметить большую работу, проделанную компаниями-интеграторами, которые оперативно перестроились, изучили российский рынок средств ИБ, обучили своих специалистов и сформировали предложения по переходу на отечественные решения и сервисы.
Государство помогает
Надо отдать должное государству: оно прекрасно понимает значимость не только ИТ-отрасли для цифровизации экономики и достижения экономической независимости России, но и индустрии информационной безопасности, защищающей критическую инфраструктуру, государственные ресурсы, а также бизнес. «Одной из самых важных инициатив государства стал трек по введению нормативной базы по описанию объектов критической инфраструктуры, обязательному применению мер защиты информации значимых объектов КИИ. Данная методология, а также последовавшие за ними Указ Президента от 1.05.2022 № 250 и Постановление Правительства РФ от 15.07.2022 № 1272 по закреплению роли ИБ в структуре управления и ответственности субъектов КИИ, четко обозначили приоритеты нашего государства в области защиты информации. Помимо этого, не могу не отметить важные инициативы для всего рынка в области ИТ, предложенные и воплощаемые Минцифры РФ. Огромное количество сервисов государства теперь предоставляются в цифровом формате, начиная регистрацией прав на недвижимое имущество, запросом многочисленных справок и заканчивая подачей запросов на отсрочку от призыва в ряды Российской армии для сотрудников аккредитованных компаний», — рассказывает Сергей Волков, руководитель Центра киберзащиты компании Cloud.
Сразу две ключевые инициативы государства в поддержку рынка информационной безопасности отмечает Денис Чигин, руководитель направления сетевой безопасности компании Softline. Во-первых, это Указ Президента № 250 от 1.05.2022, который меняет отношение бизнеса к проблемам ИБ, повышает приоритет данного направления для руководства организаций. Вторая инициатива — введение оборотных штрафов за утечку персональных данных. Эта мера, по мнению эксперта, повысит приоритет и стоимость защиты персональных данных, поскольку начисленные штрафы за нарушения обойдутся значительно дороже приведения в соответствие нормам ИБ предприятия.
Проблема выбора
Задачи по импортозамещению иностранных ИБ-решений сегодня стоят перед всеми. Госсектору и владельцам КИИ нужно их решать в максимально сжатые сроки. Для остальных заказчиков дедлайна пока не существует, однако вряд ли кто-то захочет пользоваться продуктом для защиты от угроз, но при этом лишенным поддержки и обновлений со стороны разработчика. Благо есть из чего выбирать. За эти несколько месяцев российские ИТ- и ИБ-компании оперативно разработали и доработали целый ряд интересных новинок, у которых ранее не было шанса конкурировать с решениями международных гигантов. Дмитрий Хомутов («Айдеко») говорит о том, что на рынке наблюдается уже вторая волна импортозамещения. «За первой волной заказчиков, быстро замещающих решения уходящих вендоров, в марте-апреле последовала вторая волна заказчиков, уже более вдумчиво выбирающих отечественные продукты. Они тестируют и выбирают решение уже в реальных условиях и плавно планируют переход в 2023–2024 годах. Конечно, отечественные NGFW-решения пока не всегда могут удовлетворить требования крупных сетей к скорости обработки трафика. Но любой крупный пилотный проект и общение с заказчиками — это опыт, который дает шанс на появление новой функциональности уже в ближайшем будущем», — констатирует он.
Заменять большое количество инфраструктурных решений всегда сложно. Тем более что сейчас многим специалистам приходится изучать новое для себя ПО. Со стороны вендора, мы в «Айдеко» делаем все, чтобы использовать наш продукт Ideco UTM можно было без специального обучения: максимально совершенствуем UI/UX-дизайн под паттерны, знакомые пользователям аналогичных решений, чтобы переход мог состояться при минимальных трудозатратах. Также некоторой проблемой является возможность отечественных производителей поставлять большие партии аппаратных комплексов в короткие сроки. Здесь поможет только более долгосрочное планирование, а не замена решений в пожарном порядке.
«Чем больше информирован заказчик о своих рисках, тем хуже он реагирует на все, что усложняет их минимизацию, — утверждает Максим Степченков, совладелец компании RuSIEM. — Если не говорить об эмоциях, то задачу импортозамещения решают пока что с переменным успехом. Во-первых, мы видим нехватку российских систем в сфере защиты контейнеров и облачных сред, средств безопасности для сред разработки. В секторах, где работает единственный российский поставщик, вопросы, разумеется, к качеству его решения: отсутствие конкуренции ему не способствует. Для ряда сервисов (внешние решения для анализа угроз, ПО для балансировки нагрузок и резервного копирования), насколько я понимаю, полноценных российских аналогов не существует. Большие вызовы ожидают заказчиков и при замещении программно-аппаратных комплексов и сетевых устройств».
В первую очередь сейчас не хватает архитекторов информационной безопасности и, как ни странно, «бумажных» безопасников, которые смогут доказать соответствие реализованных в компании организационно-технических мер по обеспечению информационной безопасности требованиям законодательства. Также очевидна нехватка full stack-разработчиков, способных видеть задачу с позиций не только создания кода, но и пользовательских характеристик, экономической целесообразности и в идеале нормативного соответствия и рыночных перспектив решений разрабатываемого класса. Технические писатели, способные внятно и понятно описать продукт и мануалы по его использованию, также, к сожалению, редкость.
«Прекращение деятельности ряда иностранных вендоров не лучшим образом сказывается на уровне доверия российских заказчиков к большинству зарубежных решений, даже к оставшимся на рынке. И прежнее доверие вряд ли вернется, если даже эти компании появятся вновь. Но есть и плюсы: поскольку они ушли, освободилась большая ниша. Количество инцидентов в российских регионах растет. В то же время число специалистов по информационной безопасности, компьютерной криминалистике, готовых отреагировать на происшествие в разных частях нашей большой страны, достаточно ограничено. Чтобы прийти на помощь компаниям вне зависимости от региона, мы взаимодействуем с местными партнерскими MSSP (провайдерами безопасности), предоставляем им технологии для реагирования», — отмечает Валерий Баулин (Group-IB).
Результативная защита
В сложных условиях специалистам по информационной безопасности и защите данных приходится противостоять многократно возросшему числу атак, утечек и других инцидентов. Как справиться с такой нагрузкой? Сергей Волков (Cloud) считает, что в данной ситуации необходимо грамотное проектирование систем защиты информации, применение лучших мировых практик и стандартов по защите информации, внедрение процессов безопасной разработки, передача непрофильных сложных сервисов, таких как SOC as service, Anti DDOS и других в специализированные организации, фокусирование на защите критичных активов организации, уменьшению поверхности атаки. «Хочу отметить, что российские специалисты ИТ и ИБ получили огромный опыт в отражении атак на свои ресурсы в 2022 году. Руководство большинства компаний, попавших прямо или косвенно под кибератаки, изменило оценку роли информационной безопасности в устойчивости функционирования своих бизнес-процессов», — отмечает он.
Мы, как компания, которая также попала под негативные действия ухода иностранных вендоров, как раз проходим путь замещения. Этот путь проходит достаточно стандартно. Первый шаг — поддержка работоспособности и обновления тех иностранных решений, что уже используются для сохранения необходимого уровня защищенности. Параллельно происходит выбор по функционалу из решений российских производителей, далее их пилотирование, закупка и внедрение. Основные сложности связаны с перепроектированием систем защиты информации автоматизированных систем на новые решения, поддержанием их работоспособности в безаварийном состоянии и изменением технологических ИТ-процессов компании, на которые влияют новые внедренные средства защиты информации. Такие сложности устраняются только созданием команды высококвалифицированных специалистов по информационной безопасности и тесным сотрудничеством с технической поддержкой вендоров.
«В этом году в профессиональной среде все чаще стал звучать термин «результативная информационная безопасность». Он означает выстраивание защиты таким образом, чтобы недопустимые для каждого бизнеса, отрасли (или даже государства) события были невозможными. Для этого организациям необходимо концентрироваться на защите ключевых и целевых активов и точек проникновения во внутреннюю сеть, используя для этого решения мониторинга и управления событиями ИБ в рамках внутренних SOC-центров или пользуясь услугами коммерческих. Чтобы обеспечить оперативное реагирование на инциденты, нужно разработать и внедрить политики информационной безопасности, регламенты реагирования и обеспечить организацию управления уязвимостями. И ежегодно тестировать ИБ-систему, проводить киберучения», — рекомендует Максим Степченков (RuSIEM).
Дефицит кадров: не только из-за геополитики
В заключение нельзя не коснуться проблемы кадрового дефицита, как в ИТ, так и в ИБ-отрасли. Хороших специалистов всегда не хватало, однако в этом году на фоне геополитических событий ситуация значительно обострилась. Несмотря на усилия государства по удержанию профессиональных кадров, многие профессионалы перебрались за пределы России. Станислав Фесенко (Crosstech) не согласен с политическими первопричинами миграции специалистов. «Причина дефицита не политическая обстановка, а снижение качества знаний. Фундаментальное инженерное образование сегодня не в тренде, а короткие курсы и семинары дают очень поверхностные, пусть и прикладные навыки. В целом, нельзя сказать, что дефицит существенным образом усугубился», — заключает он.
По мнению Дениса Чигина (Softline) именно качество получаемого образования привело и приводит к подобной ситуации. «Дефицит ИБ-специалистов на рынке стабильно растет, — подчеркивает эксперт. — Для того чтобы стать конкурентоспособным грамотным айтишником, одного диплома недостаточно, нужны определенный набор компетенций и практический опыт. Рынку нужны специалисты, чье развитие не ограничивается программой вузов, которая требованиям практики иногда не соответствует, что позволит не тратить время на переориентацию и дополнительное обучение и существенно повысит привлекательность кандидата для работодателя».
До того как западные вендоры покинули российский рынок, были востребованы специалисты с опытом работы с зарубежными системами. Сейчас мы наблюдаем противоположную ситуацию: опыт работы с отечественными решениями стал конкурентным преимуществом для айтишников. А специалистам по западным решениям приходится оперативно переучиваться и адаптироваться к импортозамещающим продуктам.
В свою очередь Сергей Волков (Cloud) увязывает нехватку ИБ-специалистов с ростом зарплатных ожиданий, вызванных, в свою очередь, возросшей ролью и значимостью в компаниях этой ИБ-составляющей. «Пересмотр роли ИБ в процессах компаний привел к существенному перекосу в сторону спроса на специалистов в области ИБ. Такой перекос спровоцировал изменение зарплатных ожиданий потенциальных кандидатов. Российским работодателям придется подстроиться под новую действительность, поскольку в ближайшей перспективе она, скорее всего, не изменится», — полагает он.
Опубликовано 21.10.2022
Сейчас уже технической информацией о кибератаках и преступных группах располагают не только правоохранительные органы и ИБ-вендоры, но и многочисленные подразделения информационной безопасности, мониторинга (CERT и SOC) и реагирования на инциденты банков, телеком-операторов, промышленных предприятий, госкомпаний и т. д. Мы уверены, что для эффективного предотвращения кибератак необходимо наладить оперативный обмен технической информацией (iOC, хэши, IP, зараженные файлы) между операторами этих данных хотя бы по отдельным отраслям на базе платформ класса Threat Intelligence (TI).