Контакты
Подписка 2025

Интерес к SIEM со стороны малого и среднего бизнеса – закономерная тенденция

Максим Степченков, 10/11/23

За последние полтора года понятие об информационной безопасности в России принципиально изменилось, а риски для компаний ощутимо возросли. О том, какова ситуация на отечественном рынке сегодня, насколько активно идет процесс импортозамещения в ИТ-сфере, как изменились угрозы для компаний, и о кадровом голоде рассказал совладелец компании RuSIEM Максим Степченков.

ris1-Nov-10-2023-12-56-06-6661-PM

– Начиная с 2022 г. многие зарубежные ИТ-компании, в том числе из сферы кибербезопасности, ушли с рынка. Как на вас сказался исход иностранных брендов – в чем вы выиграли, а в чем проиграли?

– В целом рынок российских решений ИБ всегда был впереди остальных отраслей с точки зрения импортонезависимости. Так что радикальных сдвигов на этом рынке не случилось. Произошло замещение определенных продуктов западных производителей российскими, но сам набор решений при этом практически не изменился. То, что рекомендовали компании год-два назад, они рекомендуют и сейчас, только акцент сместился в сторону более быстрого принятия решений, более оперативного запуска средств защиты информации и более комплексного подхода.

Наша компания показала более чем двукратный рост по итогам 2022 г. за счет увеличения спроса на продукт в несколько раз, а также планомерной реализации намеченных ранее проектов. Но неправильно утверждать, что этот рост обусловлен исключительно фактором импортозамещения. В сегменте продуктов информационной безопасности традиционно сильны отечественные разработчики.

Сработало в том числе правильное технологическое позиционирование RuSIEM. Согласно нашим внутренним опросам, для 42% новых клиентов наш продукт стал входным билетом на применение SIEM-систем для обеспечения информационной безопасности. Конечно, внешние обстоятельства так или иначе повлияли на бизнес не только нашей компании, но и других разработчиков SIEM. Один из важнейших факторов – постепенное усиление регуляторного давления, из-за которого утечки и взломы обходятся компаниям все дороже. Соответственно, растет востребованность SIEM как класса продуктов.

– Какова ситуация на рынке сегодня: насколько высока конкуренция, есть ли свободные ниши?

– Ситуацию на рынке сегодня я бы оценил как вакханалию. Я, конечно, пытаюсь отшутиться, но в каком-то смысле так и есть. Люди почувствовали, что есть огромные свободные ниши, и побежали их занимать: создадим еще множество новых межсетевых экранов, SIEM и других продуктов, и у нас всё купят.

К счастью, заказчик не настолько линеен, он все-таки проводит тестирование, проверку, пилотирование. Но тем не менее можно говорить о подрыве рынка. Заказчики начинают тестировать одно, другое, третье решение, и у них складывается ощущение, что все российские разработки безнадежно отстали от аналогичных иностранных решений.

Что с этим можно было бы сделать? Устанавливать критерии качества, требовать обязательную сертификацию – неправильно. Будучи сторонником поддержки малого и среднего бизнеса, я всегда говорил, что мы должны поддерживать небольшие компании. С одной стороны, стоило бы поддерживать каждый стартап, потому что из каждого может вырасти что-то хорошее. С другой – один или несколько неудачных стартапов могут испортить отношение к всему рынку. Требовать от компаний проходить тестирование после того, как они уже внедрили решения в десяти компаниях? Стартапу сложно набрать эти десять компаний. Требовать наличия сертификации тоже очень тяжело.

Поэтому я считаю, что в рамках крупных государственных организаций и инициатив было бы полезно не просто давать гранты на развитие проектов, но и выделять полигонные площадки для тестирования и получения оценок. Желательно, чтобы мы получали от какого-либо ведомства, независимого, никем не ангажированного, контроль качества в сфере ИТ, который выдавал бы оценки по определенному ГОСТу и говорил: система прошла тестирование, можно пилотировать у заказчиков. Пока этого не произойдет, отношение заказчиков к российскому рынку останется сложным.

– К 2025 г. все госкомпании должны перейти на отечественные ИТ-решения. Насколько активно сейчас идет процесс импортозамещения в регионах?

– С 1 января 2025 г. использовать иностранное программное обеспечение на значимых объектах критической информационной инфраструктуры будет нельзя. Успеют ли госкомпании, а особенно субъекты КИИ, уложиться в отведенное время? С одной стороны, сложные системы, которые внедряются в течение нескольких лет, сейчас будут замещаться более простыми, но в то же время справляющимися с нагрузками. Здесь срок замещения равен сроку внедрения с нуля – значит, успеют.

С другой стороны, далеко не у всего ПО есть отечественные аналоги. Новые решения могут разрабатываться не один год, и такой срок критичен не только для бизнеса, но и для государства. Нам повезло – мы одними из первых поняли, что системы класса SIEM должны будут импортозамещаться. Однако многим организациям придется в последний момент сталкиваться с сырыми или с недостаточно апробированными решениями.

Таким заказчикам придется создавать тестовые стенды, исследовать ПО, чтобы убедиться в его работоспособности, обучать персонал им пользоваться. Небольшая компания справится, а вот организациям, где работают десятки тысяч сотрудников и отстроены процессы, будет очень непросто.

А представьте, если во время атаки на компанию перестанет работать установленное в ней импортное оборудование и ПО? Мы вернемся в каменный век. Вероятность такого совпадения невелика, но все равно этот риск нужно учитывать.

Ситуация в регионах осложнена нехваткой ресурсов и необходимых знаний. Понимая эти особенности, с 2022 г. мы сделали упор на региональные проекты, коих стало в десятки раз больше.

– Осознал ли бизнес необходимость инвестиций в кибербезопасность?

– Если в 2021 г. мы могли говорить о том, что основная цель атак – это компании финансового сектора и ретейла, а прочие рискуют меньше, то в прошлом году акцент сместился в сторону госсегмента, объектов критической информационной инфраструктуры, СМИ и всего, что связано с охраной важных объектов.

Сейчас атака идет в первую очередь на организации, где можно получить информацию, которая может пригодиться врагу. Фактически хакеры враждебных стран используются как кибервойска, чтобы получить эту информацию.

Самый популярный запрос звучит сейчас так: "У нас ничего нет. Сделайте так, чтобы у нас все было правильно". А если серьезно, то запросы самые разные, начиная от "Нас взломали, помогите!" и заканчивая "Мы не доверяем нашим сотрудникам".

Естественно, основной объем запросов поступает на мониторинг событий информационной безопасности. Основной наш продукт RuSIEM дает понимание о происходящем внутри инфраструктуры, позволяет вычислить злоумышленника до момента, когда он причинит реальный ущерб, и принять необходимые меры, чтобы купировать инцидент. Рост интереса к SIEM со стороны малого и среднего бизнеса – еще одна тенденция, которую мы зафиксировали в 2022 г. С нашей точки зрения, необходимость в мониторинге и реагировании на инциденты становится базовой потребностью для компаний, где кибербезопасности уделяют должное внимание. Без скидок на масштаб бизнеса.

Растет также число обращений, связанных с потребностью отслеживания состояния инфраструктуры для обеспечения ее бесперебойного функционирования. Поток запросов настолько плотный, что мы решились на выпуск специализированного продукта RuSIEM Monitoring и тем самым поспособствовали заказчикам в решении задачи доступности инфраструктуры.

– Кто сейчас более активен в плане усиления защиты, бизнес или госсектор?

– Если раньше приходилось тратить немало усилий на объяснение важности защиты, то в нынешних условиях вопросы обеспечения информационной безопасности и непрерывности бизнеса стали первостепенными для заказчиков любого уровня и отраслевого сегмента. Если говорить об активности, то самыми активными являются все-таки организации банковского сегмента и структуры КИИ.

– Как за последние полтора года изменились риски для организаций, какие основные угрозы существуют сегодня?

– Изменения связаны с двумя ключевыми датами: 24 февраля и 21 сентября 2022 г. После 24 февраля понятие о кибербезопасности в России изменилось принципиально. Если раньше мы всем миром боролись против киберпреступников, то теперь киберпреступники стали кибервойсками – официально, не скрываясь и не таясь. Предположим, есть некая преступная группировка в недружественной нам стране, которая занималась тем, что выманивала деньги у коммерческих структур. За это они рисковали попасть в тюрьму, поскольку спецслужбы разных стран сообща с ними боролись. Теперь совместной борьбы не стало. Напротив, за взлом российских организаций, будь то коммерческие или госструктуры, могут даже заплатить.

Второе большое изменение произошло 21 сентября. Если в начале весны 2022 г. мы наблюдали первую волну оттока людей и компаний, то вторая, осенняя, была значительно больше. Многие специалисты живут за рубежом, работают на российских разработчиков и могут иметь доступ к системам, критическим с точки зрения информационной безопасности.

Помимо этого, многие игроки просто ушли с российского рынка, оставив здесь только небольшую долю своего бизнеса.

Я повторяю одну и ту же фразу каждый год, а в прошлом году она стала еще более актуальной: атакуют всех. Если раньше мы говорили о цели выманить побольше денег, то сейчас атакуют просто для того, чтобы отключить систему. Любой компании, неважно, есть у нее деньги или нет. Если это госструктура, целей может быть несколько: нарушение конфиденциальности, разрушение недоступности систем. То есть добавился политический момент.

– Каковы основные сложности, с которыми сталкиваются компании в процессе перехода на отечественные решения, и как с ними справиться?

– Нельзя путать импортозамещение со сменой лейблов. Некоторые организации хитрят: берут западную продукцию, на нее наносят наклейку – и теперь это российский сервер. С ПО немного тяжелее. Иногда российский продукт создается на базе зарубежных решений Open Source. Это законно. А псевдороссийский продукт, конечно, позволяет какое-то время формально выполнить требования регулятора, но где гарантия, что Минцифры России не исключит его из реестра? Подобные примеры уже есть.

Скупой платит дважды. Поэтому нужно в первую очередь тесно взаимодействовать с бизнесом: составить дорожную карту, понять, какие системы придется замещать, что уже есть на рынке, либо заказать частную разработку. Есть отраслевые сообщества, которые составляют единую дорожную карту, выбирают единого исполнителя и разрабатывают универсальное решение.

– Эксперты рынка отмечают, что высококвалифицированных ИТ-специалистов не хватало всегда. Сегодня ситуация обострилась?

– Кадровый вопрос всегда актуальный и комплексный. Его решение с точки зрения любой компании в какойто степени зависит от состояния рынка труда, однако именно эта зависимость открывает новые возможности для организаций, намеревающихся развивать и наращивать свой продуктовый портфель. Первым делом имеет смысл повысить зарплаты специалистам информационной безопасности по крайней мере до уровня классических айтишников, чтобы подняться над медианным уровнем вознаграждения. Причем если это сделать на опережение, есть шанс собрать с рынка грамотных специалистов раньше, чем это сделает кто-то другой.

Важно не просто выращивать ИБ-специалистов внутри организации, а показать им траектории их профессионального и зарплатного роста, чтобы мотивировать оставаться с конкретной компанией так долго, как это будет им интересно.

Темы:ИмпортозамещениеSIEMRuSIEmЖурнал "Информационная безопасность" №4, 2023

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Российский TDIR – уже реальность
    Дмитрий Чеботарев, менеджер по развитию UserGate SIEM
    TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.
  • RuSIEM в 2024 году: новый веб-интерфейс и неизменная архитектура
    Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM
    Уже более 10 лет команда RuSIEM занимается созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени. В 2024 г. разработчики обновили интерфейс флагманского продукта – SIEM-системы RuSIEM. Что именно сделало нашу систему еще более понятной и простой в использовании и можно ли в ней по-прежнему создать новое правило корреляции всего за несколько минут, читайте в этой статье.
  • От NG SIEM к платформам
    Дмитрий Пудов, заместитель генерального директора и основатель NGR Softlab
    Системы SIEM являются одним из инструментов в центрах мониторинга кибербезопасности (SOC). Качественная интеграция множества решений в одну ИТ-инфраструктуру является дорогостоящей и сложной задачей. Как и многие другие классы решений, SIEM стали трансформироваться и дополняться функциями других систем, с которыми они обычно интегрируются. Такие обогащенные продукты называют NG SIEM (Next Generation SIEM), причем набор дополнительных функций каждый вендор определяет самостоятельно.
  • Расчет инсталляции и возможностей SIEM на скорости 500 тысяч EPS
    Вадим Порошин, руководитель отдела поддержки продаж Пангео Радар
    Важность импортозамещения решений в области информационной безопасности для предприятий критической инфраструктуры и крупного бизнеса сложно переоценить. Причем требования к функциональности и производительности, которые заказчики предъявляют к российским системам, соответствуют мировому уровню.
  • Зачем SIEM-системе машинное обучение: реальные сценарии использования
    Почему хорошая SIEM не может обойтись без машинного обучения? Какие модели уже применяются в реальных продуктах? И что ждет этот симбиоз в будущем?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...