Импортозамещение в ИБ: игры кончились – теперь по-взрослому
Дмитрий Григорович, 29/12/22
Дмитрий Григорович, директор по информационной безопасности ГК “Элемент”, специалист в области ИБ и ИТ, эксперт по развитию бизнеса и наш постоянный респондент, рассказал об уже существующих и предстоящих изменениях в импортозамещении, о совершенствовании информационной безопасности в условиях санкций, а также о влиянии законодательных инициатив и государственных грантов на развитие отечественных продуктов.
– Дмитрий, рады снова вас видеть. В прошлом году, в третьем номере, у нас состоялось замечательное интервью.
– Меня за то интервью некоторые люди в этом году "проклинали". Спрашивали, где я взял "хрустальный шар". Потому что, как выяснилось, я предсказал многое. Дело в том, что через какое-то время после выхода в свет того интервью мы запустили новый проект по импортозамещению, то есть совсем ушли от импортных средств защиты информации. В последних числах февраля, когда началась специальная военная операция, а вслед за ней и различные санкции, мы ожидали поставку отечественного оборудования. И вот наступает момент, когда рынке случается паника из-за известных событий – у многих импортные СЗИ буквально на глазах превращаются в "кирпичи", все вынуждены вставать в полугодовую очередь к российским производителям. А тем временем у меня на складе уже ждет своих заказчиков палета с человеческий рост с отечественной продукцией.
– У вас просто дар предсказателя!
– Можно долго рассуждать, что хорошо, а что плохо, но на самом деле просто нужно быть готовым. Нужно понять, что назад дороги нет: импортозамещение давно здесь, оно никуда не денется, актуальность этой темы будет только нарастать.
К сожалению, до сих пор многие не понимают, в какой ситуации оказались. Считают, что переход на все отечественное – временная мера, приводя в пример Microsoft, который вроде как ушел, но для частников вернулся. Я в таких случаях спрашиваю: "Вы серьезно считаете, что нужно работать с поставщиком, который по чьей-то указке в любой момент может взять и оставить вас без сервиса, без обновлений?"
– Да, это странно. Кажется, что на ИБ-рынке уже есть четкое осознание необходимости импортозамещения, и все к нему различными способами стремятся.
– Мы забываем, что информационная безопасность сама по себе не живет. Она всегда тесно связана с информационными технологиями. Мы можем построить шикарный забор, разместить пулеметчиков на вышках, выпустить собак, но если внутри останется хаос, то все эти меры будут бесполезны.
У меня есть реальный пример: коллеги в прошлом году собирались на пять лет брать техподдержку Check Point. Я понимаю, что, наверное, это финансово выгодно, но посмотрите, к чему все это может привести: Check Point вроде не ушел, вроде остался, но кто знает, что будет через год? Microsoft тоже в конце февраля не собирался никуда уходить, Fortinet тоже ни о чем не заявлял, а потом приказали – и началось.
К тому же есть законодательная составляющая, а есть финансовая. ИБ, как и ИТ, в состоянии освоить любые деньги – нам сколько ни дай, все мало. Но денег бесконечно много не бывает, и они должны поступать постепенно. Те, кто поумнее, делали заранее, готовились к подобным ситуациям на рынке. Ну а остальные сейчас бегают с выпученными глазами. И хорошо, если у них есть возможность срочно докупить отечественного оборудования на 50–100 млн рублей.
– На данном этапе насколько готовы заказчики и разработчики вкладывать серьезные суммы в создание отечественной продукции?
– В этом году был DLP-форум, там состоялся круглый стол на тему импортозамещения, где мне посчастливилось пообщаться с Александром Барановым, который представлял Академию криптографии РФ. Когда он начал говорить о том, что у нас много чего нет, я спросил: "А кто заказчик этого всего?"
Поймите, чтобы появился защищенный браузер, защищенный коммутатор, защищенный сервер или защищенный компьютер, должен быть заказчик. Компании не в состоянии оплатить разработку таких продуктов, это достаточно дорого. Поэтому в роли заказчика должны выступать либо государство, либо коммерческая структура. Коммерческая структура живет сегодняшним днем и считает, что ей невыгодно покупать устройство, которое потом будут дорабатывать. Ведь хочется все и сразу.
Не так давно кем-то из разработчиков было сделано заявление о том, что они готовы выпустить "российский фотошоп" за 2 млрд рублей. Так вот, 2 млрд рублей, возможно, и не проблема, но есть другой момент: Adobe Photoshop до того, как он вышел в нормальном виде, делали 10 лет. Даже за 10 млрд невозможно в сжатые сроки разработать продукт, равный по функционалу тому, который разрабатывался 10 лет. Для любого качественного процесса необходимо время – маленькие шаги.
На форуме один из ведущих спросил: "Есть ли полноценная замена тому же Check Point на российском рынке?" Полноценной замены нет. Такие компании, как Check Point или Cisco, постоянно совершенствуют свои продукты. А те условия, в которых мы сейчас живем, подразумевают использование того, что есть здесь и сейчас. У нас нет 10 лет на разработку, нужно применять то, что уже существует, и постепенно дорабатывать это.
Более прозорливые готовились к данной ситуации изначально. Они понимали, что помимо импортных решений для защиты необходимо обзавестись и российскими. Некоторые достаточно крупные отечественные компании еще два года назад пытались купить российские серверы на российских процессорах, отечественной комплектации – тогда над ними все смеялись.
– Получается, что нет у нашего бизнеса привычки "готовить сани летом"?
– Проблема скорее в "почивании на лаврах": что-то одно мы починили, а то, что все остальное на соплях держится – но оно же держится! Бизнес не очень хочет вкладываться в разработку продуктов в промышленных масштабах. В итоге все равно все упирается в историю с разработчиками. Например, я знаю ребят, которые пытаются создать почтовый защищенный клиент по ГОСТу, и знаете, с чем проблема? Разработчиков найти не могут.
– Нет специалистов?
– Специалисты есть, но все хорошие уже пристроены. Помните наш прошлогодний разговор по поводу кадров? Стало только хуже. Если раньше мы говорили о том, что студентам необходимо качественное обучение, то сейчас уже и нет особого выбора – берем студентов, дообучаем.
– То есть в данной ситуации нанимаете за софт скилс?
– Да, берем, учим. Например, сегодня я уезжаю в один из регионов, чтобы встретиться с целым потоком студентов пятого курса. И хорошо, если из них – а это 30–40 человек – можно будет взять одного или двоих на полставки, чтобы посмотреть, что получится.
Чтобы вы понимали ситуацию с образованием: недавно нам принесли план обучения одного из вузов по предмету "защита информации"; я не буду касаться общеобразовательных программ, но когда к СЗИ относят DLP-систему... Кто это писал и в каком году? А как вам история из середины 2000-х, когда студентам на полном серьезе преподаватель рассказывал, что если записать звук работающего принтера, то можно восстановить то, что на нем было распечатано? И такое из года в год. Не говоря уже о том, что люди не могут ответить на простейшие вопросы: что такое коммерческая тайна, что такое конфиденциальная информация?
Будущие специалисты не знают базовых понятий, не умеют работать с людьми. Техническая составляющая очень важна в нашей работе, но один из основных столпов – это работа с людьми. Все же согласны, что 90% проблем с безопасностью создают люди? А когда специалист по защите информации, с дипломом, не может объяснить, что такое коммерческая тайна, – это полный провал.
Рынок труда в странном состоянии: людей нет, а ценник на них невероятный. При этом соискатели не совсем понимают, что этот ценник не на слабо обученного специалиста, а на профессионала, который в состоянии и документацию сделать, и внутренние проблемы решить, и бюджет нарисовать и т.д.
Проблема с подготовкой специалистов серьезная. В этом году вышел 250-й указ президента о том, что заместитель генерального директора с функцией ИБ должен получить профильное образование (имеется в виду Указ Президента Российской Федерации от 1 мая 2022 г. No 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации. – Прим. ред.). И 100–150 тыс. уважаемых руководителей службы безопасности пошли учиться.
– То есть не из профессионалов в руководители, а из руководителей в профессионалы?
– То есть в лучшем случае они проходят 512 часов обучения. Как до войны говорили, "ускоренный курс летчиков: взлет-посадка, а дальше разберемся".
– Это продолжение какого-то переходного периода? Когда мы сможем уже действительно что-то серьезно импортозамещать?
– Уже сегодня мы можем импортозамещать многое. У Касперского и Positive Technologies достаточно конкурентные продукты. При этом они пользовались спросом на международном рынке еще до того, как начались глобальные перемены. Теперь есть определенные ограничения на вывоз некоторых систем из страны.
Думаю, что это не переходный период, а период становления. До 2020 года, до того, как пришел ковид, к информационной безопасности относились как к чему-то, осуществляющему защиту персональных данных, и только.
– И даже тогда защиту персональных данных осуществляли из рук вон плохо.
– Да. В каких-то областях это действительно было важно, нужно, но в большинстве случаев к защите ПДн относились формально, пока из-за ковида не начали перестраивать рабочие процессы, чтобы уйти на удаленку. Вот тогда все забеспокоились о том, как обеспечивать безопасность, как это работает. При том, что техники не хватало. Потом ковид плавно перетек в конец 2021 года, все немного выдохнули, вернулись в офисы. Ну а теперь игры кончились, теперь с нами начинают разговаривать по-взрослому. Те, кто работал без погрешностей, кто привык пахать, – те сейчас находятся в несколько более выгодной ситуации.
– Те условия, в которые поставили ИТ- и ИБ-сектор, способствуют развитию?
– Как бы цинично это ни звучало, нас в эти рамки надо было ставить давно, еще в 2020 году. Тогда мы сейчас были бы более подготовленными.
Сейчас производители работают в полную силу: новые продукты, новые разработки, новое видение, новые СЗИ, новые сервисы и т.д. Конечно, уровень защищенности всего этого должен быть достаточно высокий, потому что против нас идет кибервойна.
– Да, это видно по статистике: увеличилось количество серьезных атак за последнее время. Причем изменилась цель этих атак. Если раньше целью было украсть данные, то сейчас – просто уничтожить.
– А вот здесь особую тревогу вызывают облачные решения. Если мы говорим про широкое использование облака, когда можно зайти на сайт, купить себе сервис, то для маленьких компаний, наверное, это какой-то выход. Но насколько это все обеспечено с точки зрения безопасности?
– В идеале они должны уже создаваться защищенными.
– Вы хоть одну облачную экосистему видели, где можно выбрать наличие межсетевого экрана, VPN и т.д.? Дело в том, что маленькой компании такие функции не важны, а крупным компаниям такие сервисы не должны быть интересны. "Чужое" облако не подходит крупным компаниям. Под "свое" облако можно арендовать стойку, хранилище, решить, каким образом будет осуществляться подключение, поставить оборудование для обеспечения VPN и т.д. Не редки случаи, когда крупные компании покупают "чужое" облако, загружают в него свои данные, а потом происходит то, что уже несколько раз произошло в этом году: всех зашифровали. Это показатель уровня защищенности.
К сожалению, до сих пор в отношении Пдн присутствует сильное регуляторное отставание. До сих пор отсутствуют оборотные штрафы за потерю персональных данных. Несколько лет назад я прочитал в каком-то СМИ... Если не ошибаюсь, в Польше отсутствует требование к защите персональных данных, но есть уголовная ответственность: если утечка произошла, то директор автоматически получает от двух до четырех лет лишения свободы.
– Второе мнение слышу о том, что пора вводить уголовную ответственность за утечку ПДн. Давайте поговорим про проекты, которые вы запустили в этом году.
– В этом году мы запустили отечественный мессенджер "Экспресс" совместно с компанией "Лаборатория информационной безопасности" – пропилотировали, посмотрели, как работает вживую. Был ряд проблем, которые мы героически решили.
Система уже почти год работает без нареканий! С учетом того, что вышло указание Минпромторга, это достаточно неплохой результат (Минпромторг рекомендовал предприятиям отказаться от использования зарубежных мессенджеров и сервисов видеосвязи. – Прим. ред.).
Мессенджер "Экспресс" – полностью отечественная разработка, включена в реестр отечественного ПО и имеет лицензию ФСТЭК, что с учетом импортозамещения может стать полноценным аналогом ушедших решений.
Мы стараемся поддерживать отечественного производителя. С оптимизмом смотрим вперед. В конце концов, если не мы, то кто? В стране достаточно большое количество компаний, которые работают не покладая рук на благо импортозамещения и безопасности страны.
В настоящий момент с приходом нового руководства в департамент информационной безопасности Sitronics Group мы также прорабатываем совместный проект по развитию и масштабированию решений Makves.
Мы можем говорить и про "Код безопасности", про "Инфотекс", UserGate, "Касперский", Positive Technologies – их продукты сейчас нужны. Да, это недешево. Но давайте говорить откровенно: если бы мы сравнивали с импортными продуктами, то еще неизвестно, что было бы дороже.
– Как обстоят дела с государственными грантами в этой сфере?
– Я знаю несколько случаев, когда люди действительно получали гранты на разработку. Если "идешь на грант", подразумевается, что у тебя уже есть описание продукта, есть некоторые подтверждающие документы о том, что этот продукт кто-то готов рассматривать в качестве потенциальной покупки. Мне тоже бывает интересно посмотреть, что может появиться на рынке. Интересно внести свой вклад в разработку, донести свои чаяния, нужды и проблемы до разработчиков, потому что на этом этапе они их точно отработают. На интересные и востребованные проекты деньги действительно выделяются, и это не единичные случаи.