Кибербез и его проблемы

Регулировать или не регулировать, пожалуй, один из актуальных вопросов в сфере кибербезопасности, как показал Positive Hack Days, который проходил в Москве в мае 2023 года. Министр Минцифры Максут Шадаев сказал четко: «Как государство будем наказывать больно, если компании не двигаются в сторону повышения информационной защищенности. И сейчас большой штраф — единственный способ побудить инвестировать в компанию».

Регулятор говорит о совместной работе над требованиями к повышенной безопасности компаний и организаций. «Модель, когда регулятор дает требование, а компании их выполняют и отсчитываются, должна стать комплексной, с большим количеством инструментов и сервисов. В этом году нам всем надо сформулировать требования к повышенной безопасности», – отметил Максут Шадаев, обращаясь к представителям компаний во время одной из сессий на Positive Hack Days.

Кроме того, по словам главы департамента обеспечения информационной безопасности Минцифры Владимира Бенгина, министерство собирает от экспертов из различных отраслей предложения, которые позволят разработать рекомендации ИТ-компаниям малого и среднего бизнеса по защите личной информации граждан.

По словам участников рынка, в России пока еще нет системно выстроенных, организованных площадок для сообщества по образцу западных. Директор центра информационной безопасности «Инфосистемы джет» Андрей Янкин отметил, что между множеством «замьюченных телеграм-каналов и зарегулированностью не хватает открытой площадки, на которой обычные специалисты могут свободно общаться». На такую площадку сейчас претендует анонсированная на Positive Hack Days открытая платформа Rezbez.ru, на которой комьюнити может собирать фреймворки по построению результативной безопасности.

Однако, как показали острые дискуссии на форуме, игроки отечественного рынка кибербезопасности готовы делиться далеко не всеми своими наработками. Индикаторы атак, сигнатуры, правила корреляции — это лишь малая толика того, что компании придерживают, не делясь с сообществом. «С одной стороны, можно отдавать индикаторы компрометации, но с контекстом будут проблемы. Как правило, организации вручную собирают информацию, очищают и обогащают. Получается такая парадигма: отдать сам индикатор, наверное, можно, но в это были вложены реальные трудозатраты, потрачены людские ресурсы и деньги компании», — рассказал генеральный директор и сооснователь компании «Технологии киберугроз» (RST Cloud) Николай Арефьев. Он пояснил, что у вопроса кооперации есть маркетинговая, финансовая и технологическая составляющая: «Я за то, чтобы делиться логикой правил, но не самим артефактами».

Директор экспертного центра безопасности Positive Technologies Алексей Новиков, отметил, что прежде чем чем-то делиться, надо ответить на два вопроса: «Доверяю ли я другим участникам?» и «Что я получу взамен, потратив время своих сотрудников, разгласив свое ноу-хау с точки зрения технологий?». Директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-солар» Владимир Дрюков также указал на некие границы, на которых коммерческая компания вынуждена оценивать, чем потраченные на кооперацию инвестиции вернуться.

В результате участники рынка вернулись к необходимости регуляторного вмешательства и в этом вопросе. Директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE Теймур Хеирхабаров уверен, что надо разработать стандарт, который сподвигнет российских вендоров средств защиты чаще делиться информацией с рынком кибербезопасности: «Дружить при отсутствии стандартов просто невозможно».

На фоне экономической ситуации, СВО, большого количества и интенсивности кибератак многие задаются вопросом — это уже начало официальной кибервойне или пока на инфраструктуру нашей страны выполняются тренировочные «полеты»?

Максут Шадаев уверен, что надо готовиться к худшему варианту. Правда, отмечает он, в любой ситуации и сфере надо рассматривать худший вариант, чтобы быть к нему всегда готовым. То есть, замминистра больше стращает, предлагая держать руку на пульсе. Его коллега, заместитель директора Федеральной службы по техническому и экспортному контролю России (ФСТЭК) Виталий Лютиков, соглашается, что к нам повышены интерес и усилия, но о кибервойне говорить рано.

Вице-президент, директор по информационной безопасности VK Алексей Волков настаивает, что необходимо проводить ИБ-разведку. «Уже не похоже, что атаками занимаются украинцы-школьники с домашних компьютеров. Это кто-то системно пошел работать, мы видим системную работу с той стороны», — настаивает эксперт. В качестве пояснений он приводит пример, как системно действуют злоумышленники. «С момента проникновения в инфраструктуру и до момента выполнения вредоносных действий проходили четыре-пять или больше месяцев. Люди сначала разбирались, как все работает, а потом сидели в инфраструктуре и наблюдали», — поясняет он.

В 2023 году VK отразил около 6,5 атак на сотрудников, инфраструктуру и клиентов и предотвратил примерно 300 внутренних инцидентов, которые могли бы привести к серьезным последствиям.

«Кибервойна уже идет», — настаивает генеральный директор Positive Technologies Денис Баранов. «Если мы на войне, то рассказывать друг другу, что все нормально — ни к чему. Мы должны говорить открыто, где у нас слабая защита, чтобы быть готовыми к любым угрозам», — заявил Виталий Лютиков.

Работа над отечественным фаерволом, конечно, началась не вчера. Управляющий директор, директор по продуктам Positive Technologies Денис Кораблев отмечает, что технология NGFW (Next Generation Firewall, межсетевой экран нового поколения) требует времени, уже есть продукты, которые что-то умеют, но заменить быстро иностранные решения нельзя. Руководитель направления сервисов Solar MSS компании «Ростелеком-Солар» Александр Баринов соглашается, что полноценного российского рынка этой технологии пока нет, но есть отдельные сегменты.

«История про то, что российских решений на рынке нет, связана с тем, что нет конкретных специфических требований под конкретные специфические пожелания отдельных специфических заказчиков. Также часто заказчики ставят жесткий срок, но сами не готовы в этот срок быстро поменять свою инфраструктуру. В итоге они всеми силами докладывают наверх, что ничего не готово, отправляют этот сигнал регулятору и регулятор транслирует этот сигнал обратно», — откровенен руководитель отдела продвижения продуктов «Кода Безопасности» Павел Коростелев.

Денис Кораблев оценил рынок подобных продуктов в России как минимум в 110 млрд рублей. Свой NGFW компания в пилотных проектах намерена запустить в ноябре 2023 года, коммерческих запуск планируется на ноябрь 2024 года. По итогам 2022 года эксперт оценивает рынок сетевой безопасности в 60 млрд руб.

Менеджер по развитию компании UserGate Иван Чернов указывает, что сейчас в России 25 компаний заявляют, что у них есть NGFW. «В России эти технологии существуют на том или ином этапе развития. До февраля 2022 года мы как маленькая компания продавали свое решение таким же небольшим компаниям. Затем к нам пришли заказчики из большого интерпрайза, с большим набором требований и к которым мы объективно были не готовы», — поделился Иван Чернов, выделяя при этом тренд на интерес к небольшим локальным разработчикам со стороны крупного бизнеса, особенно финтеха. Выручка компании за 2022 год выросла более чем в четыре раза.

По словам Ивана Чернова, рынок NGFW перестал быть прозрачным с февраля 2022 года из-за большого количества теневых инсталляций, когда компании продолжают эксплуатировать зарубежные устройства, приобретая их дополнительными способами. В UserGate посчитали, что 80% рынка NGFW было за иностранцами, 20% — за отечественными разработчиками. При этом, несмотря на то, что примерно 30% иностранцев ушло, половина рынка все равно остается за ними.

Павел Коростелев считает, что ушедшие иностранные вендора освободили нишу в 15 млрд рублей в год, при этом весь рынок NGFW он оценивает в 30 млрд рублей в год. Заказчики тратят около 60 млрд рублей, канал продаж (аудит, консалтинг и т.п.) — примерно 30 млрд рублей. Совокупная выручка российских игроков, которые разрабатывают фаервол, в 2022 году составила 5 млрд рублей, и как минимум треть рынка здесь уже занята локальными игроками. «В 2023 году объем рынка составит 10 млрд рублей», — прогнозирует он. По итогам 2022 года компания продала NGFW на 1 млрд рублей (рост по сравнению с 2021 годом в 5,5 раз).

Представитель «Кода Безопасности» разделяет рынок NGFW на четыре класса. Первый — это игроки, продающие те решения, которые уже есть (60% рынка). В следующий класс входят региональные компании или работающие со средним и малым бизнесом (20%). Участники третьего класса начали разработку NGFW в прошлом году. Четвертый класс представлен иностранными игроками, которые либо не ушли, либо потихоньку приходят (CheckPoint, Sangfor, Huawei), но крупные заказчики уже относятся к ним с осторожностью.

В следующие три-четыре года появится много разработчиков фаервола, прогнозируют участники рынка. После начнется процесс консолидации, и из 25 упомянутых ранее компаний останется четыре-пять крупных. При этом в отдельных не критических нишах будут работать иностранные игроки.

Как отмечают участники рынка, российские разработчики постепенно теряют связи в международных сообществах. «При этом в техническом экспертном сообществе отношения с коллегами-разработчиками теплые. Во время общения мы видим, что они готовы сотрудничать как и раньше, но и их компании и страны накладывают на них определенные обстоятельства», — рассказал руководитель центра мониторинга кибербезопасности «Лаборатории Касперского» Сергей Солдатов.

Руководитель направления сетевой безопасности Positive Technologies Денис Батранков оценивает российский рынок информационной безопасности к 2025 году в 120 млрд рублей.

Денис Кораблев отметил, что по сравнению с прошлым годом тема DevSecOps стала популярнее. «После ухода западных вендоров с российского рынка пришлось различные продукты разрабатывать с чистого листа», — уточнил он. По словам менеджера продуктов безопасности Yandex Cloud Рами Мулейса, частичный уход западных вендоров затруднил разработку продуктов: «Все осложняется тем, что готовых решений для DevSecOps все меньше и меньше. Мы видим ставку на решения open source (программное обеспечение, распространяемое с открытым исходным кодом) по безопасности».

«Требуется инвестировать в инструменты проектирования открытого аппаратного обеспечения, так как сейчас такие средства создаются монопольно и не российскими компаниями», — настаивает директор по исследованиям и разработкам «Yadro центр исследований и разработки» Игорь Лопатин. Сооснователь компании Picodata Константин Осипов оценивает российский рынок open source в 1% от мирового.

Константин Осипов назвал в числе приоритетных для импортозамещения сегментов SCADA- и ERP-системы, базы данных, а также системы автоматизированного проектирования (CAD).

С уходом зарубежных вендоров изменилась и ситуация в сфере отечественных ОС. «Отечественными вендорами заложен базис, вокруг которого нужно строить экосистему, при этом конкурируя на рынке, в том числе с технологиями, к которым рынок приручил всех нас. Если бы не резкий уход зарубежных вендоров, то мы бы раскачивались еще лет семь», — рассказал директор департамента компании «Открытая мобильная платформа»разработки» (разрабатывает ОС «Аврора») Роман Аляутдин.

«Раньше нам не хватало времени, чтобы получить пользовательский опыт, понять, какие сценарии востребованы у наших потребителей, где усилить, в чем развиваться. Может, не так гладко, но адаптироваться сумели, состояние стресса пережили и вышли на плато, когда можно спокойно внедрять наработки, развивать и двигаться вперед. И заказчики уже смотрят с меньшей боязнью внедрять отечественные ОС», — рассказал начальник отдела научных исследований ГК «Астра» Владимир Тележников.

По словам Романа Аляутдина, еще один вызов для отечественной ОС — это браузеры. «Монополистом во всем мире по движкам является Google Chrome. Свободный интернет, каким бы он не был свободным, имеет калитку и ее открывает Google. Одна компания и даже одно государство это не решит», — отметил он.