Интерес к SIEM со стороны малого и среднего бизнеса – закономерная тенденция
Максим Степченков, 10/11/23
За последние полтора года понятие об информационной безопасности в России принципиально изменилось, а риски для компаний ощутимо возросли. О том, какова ситуация на отечественном рынке сегодня, насколько активно идет процесс импортозамещения в ИТ-сфере, как изменились угрозы для компаний, и о кадровом голоде рассказал совладелец компании RuSIEM Максим Степченков.
– Начиная с 2022 г. многие зарубежные ИТ-компании, в том числе из сферы кибербезопасности, ушли с рынка. Как на вас сказался исход иностранных брендов – в чем вы выиграли, а в чем проиграли?
– В целом рынок российских решений ИБ всегда был впереди остальных отраслей с точки зрения импортонезависимости. Так что радикальных сдвигов на этом рынке не случилось. Произошло замещение определенных продуктов западных производителей российскими, но сам набор решений при этом практически не изменился. То, что рекомендовали компании год-два назад, они рекомендуют и сейчас, только акцент сместился в сторону более быстрого принятия решений, более оперативного запуска средств защиты информации и более комплексного подхода.
Наша компания показала более чем двукратный рост по итогам 2022 г. за счет увеличения спроса на продукт в несколько раз, а также планомерной реализации намеченных ранее проектов. Но неправильно утверждать, что этот рост обусловлен исключительно фактором импортозамещения. В сегменте продуктов информационной безопасности традиционно сильны отечественные разработчики.
Сработало в том числе правильное технологическое позиционирование RuSIEM. Согласно нашим внутренним опросам, для 42% новых клиентов наш продукт стал входным билетом на применение SIEM-систем для обеспечения информационной безопасности. Конечно, внешние обстоятельства так или иначе повлияли на бизнес не только нашей компании, но и других разработчиков SIEM. Один из важнейших факторов – постепенное усиление регуляторного давления, из-за которого утечки и взломы обходятся компаниям все дороже. Соответственно, растет востребованность SIEM как класса продуктов.
– Какова ситуация на рынке сегодня: насколько высока конкуренция, есть ли свободные ниши?
– Ситуацию на рынке сегодня я бы оценил как вакханалию. Я, конечно, пытаюсь отшутиться, но в каком-то смысле так и есть. Люди почувствовали, что есть огромные свободные ниши, и побежали их занимать: создадим еще множество новых межсетевых экранов, SIEM и других продуктов, и у нас всё купят.
К счастью, заказчик не настолько линеен, он все-таки проводит тестирование, проверку, пилотирование. Но тем не менее можно говорить о подрыве рынка. Заказчики начинают тестировать одно, другое, третье решение, и у них складывается ощущение, что все российские разработки безнадежно отстали от аналогичных иностранных решений.
Что с этим можно было бы сделать? Устанавливать критерии качества, требовать обязательную сертификацию – неправильно. Будучи сторонником поддержки малого и среднего бизнеса, я всегда говорил, что мы должны поддерживать небольшие компании. С одной стороны, стоило бы поддерживать каждый стартап, потому что из каждого может вырасти что-то хорошее. С другой – один или несколько неудачных стартапов могут испортить отношение к всему рынку. Требовать от компаний проходить тестирование после того, как они уже внедрили решения в десяти компаниях? Стартапу сложно набрать эти десять компаний. Требовать наличия сертификации тоже очень тяжело.
Поэтому я считаю, что в рамках крупных государственных организаций и инициатив было бы полезно не просто давать гранты на развитие проектов, но и выделять полигонные площадки для тестирования и получения оценок. Желательно, чтобы мы получали от какого-либо ведомства, независимого, никем не ангажированного, контроль качества в сфере ИТ, который выдавал бы оценки по определенному ГОСТу и говорил: система прошла тестирование, можно пилотировать у заказчиков. Пока этого не произойдет, отношение заказчиков к российскому рынку останется сложным.
– К 2025 г. все госкомпании должны перейти на отечественные ИТ-решения. Насколько активно сейчас идет процесс импортозамещения в регионах?
– С 1 января 2025 г. использовать иностранное программное обеспечение на значимых объектах критической информационной инфраструктуры будет нельзя. Успеют ли госкомпании, а особенно субъекты КИИ, уложиться в отведенное время? С одной стороны, сложные системы, которые внедряются в течение нескольких лет, сейчас будут замещаться более простыми, но в то же время справляющимися с нагрузками. Здесь срок замещения равен сроку внедрения с нуля – значит, успеют.
С другой стороны, далеко не у всего ПО есть отечественные аналоги. Новые решения могут разрабатываться не один год, и такой срок критичен не только для бизнеса, но и для государства. Нам повезло – мы одними из первых поняли, что системы класса SIEM должны будут импортозамещаться. Однако многим организациям придется в последний момент сталкиваться с сырыми или с недостаточно апробированными решениями.
Таким заказчикам придется создавать тестовые стенды, исследовать ПО, чтобы убедиться в его работоспособности, обучать персонал им пользоваться. Небольшая компания справится, а вот организациям, где работают десятки тысяч сотрудников и отстроены процессы, будет очень непросто.
А представьте, если во время атаки на компанию перестанет работать установленное в ней импортное оборудование и ПО? Мы вернемся в каменный век. Вероятность такого совпадения невелика, но все равно этот риск нужно учитывать.
Ситуация в регионах осложнена нехваткой ресурсов и необходимых знаний. Понимая эти особенности, с 2022 г. мы сделали упор на региональные проекты, коих стало в десятки раз больше.
– Осознал ли бизнес необходимость инвестиций в кибербезопасность?
– Если в 2021 г. мы могли говорить о том, что основная цель атак – это компании финансового сектора и ретейла, а прочие рискуют меньше, то в прошлом году акцент сместился в сторону госсегмента, объектов критической информационной инфраструктуры, СМИ и всего, что связано с охраной важных объектов.
Сейчас атака идет в первую очередь на организации, где можно получить информацию, которая может пригодиться врагу. Фактически хакеры враждебных стран используются как кибервойска, чтобы получить эту информацию.
Самый популярный запрос звучит сейчас так: "У нас ничего нет. Сделайте так, чтобы у нас все было правильно". А если серьезно, то запросы самые разные, начиная от "Нас взломали, помогите!" и заканчивая "Мы не доверяем нашим сотрудникам".
Естественно, основной объем запросов поступает на мониторинг событий информационной безопасности. Основной наш продукт RuSIEM дает понимание о происходящем внутри инфраструктуры, позволяет вычислить злоумышленника до момента, когда он причинит реальный ущерб, и принять необходимые меры, чтобы купировать инцидент. Рост интереса к SIEM со стороны малого и среднего бизнеса – еще одна тенденция, которую мы зафиксировали в 2022 г. С нашей точки зрения, необходимость в мониторинге и реагировании на инциденты становится базовой потребностью для компаний, где кибербезопасности уделяют должное внимание. Без скидок на масштаб бизнеса.
Растет также число обращений, связанных с потребностью отслеживания состояния инфраструктуры для обеспечения ее бесперебойного функционирования. Поток запросов настолько плотный, что мы решились на выпуск специализированного продукта RuSIEM Monitoring и тем самым поспособствовали заказчикам в решении задачи доступности инфраструктуры.
– Кто сейчас более активен в плане усиления защиты, бизнес или госсектор?
– Если раньше приходилось тратить немало усилий на объяснение важности защиты, то в нынешних условиях вопросы обеспечения информационной безопасности и непрерывности бизнеса стали первостепенными для заказчиков любого уровня и отраслевого сегмента. Если говорить об активности, то самыми активными являются все-таки организации банковского сегмента и структуры КИИ.
– Как за последние полтора года изменились риски для организаций, какие основные угрозы существуют сегодня?
– Изменения связаны с двумя ключевыми датами: 24 февраля и 21 сентября 2022 г. После 24 февраля понятие о кибербезопасности в России изменилось принципиально. Если раньше мы всем миром боролись против киберпреступников, то теперь киберпреступники стали кибервойсками – официально, не скрываясь и не таясь. Предположим, есть некая преступная группировка в недружественной нам стране, которая занималась тем, что выманивала деньги у коммерческих структур. За это они рисковали попасть в тюрьму, поскольку спецслужбы разных стран сообща с ними боролись. Теперь совместной борьбы не стало. Напротив, за взлом российских организаций, будь то коммерческие или госструктуры, могут даже заплатить.
Второе большое изменение произошло 21 сентября. Если в начале весны 2022 г. мы наблюдали первую волну оттока людей и компаний, то вторая, осенняя, была значительно больше. Многие специалисты живут за рубежом, работают на российских разработчиков и могут иметь доступ к системам, критическим с точки зрения информационной безопасности.
Помимо этого, многие игроки просто ушли с российского рынка, оставив здесь только небольшую долю своего бизнеса.
Я повторяю одну и ту же фразу каждый год, а в прошлом году она стала еще более актуальной: атакуют всех. Если раньше мы говорили о цели выманить побольше денег, то сейчас атакуют просто для того, чтобы отключить систему. Любой компании, неважно, есть у нее деньги или нет. Если это госструктура, целей может быть несколько: нарушение конфиденциальности, разрушение недоступности систем. То есть добавился политический момент.
– Каковы основные сложности, с которыми сталкиваются компании в процессе перехода на отечественные решения, и как с ними справиться?
– Нельзя путать импортозамещение со сменой лейблов. Некоторые организации хитрят: берут западную продукцию, на нее наносят наклейку – и теперь это российский сервер. С ПО немного тяжелее. Иногда российский продукт создается на базе зарубежных решений Open Source. Это законно. А псевдороссийский продукт, конечно, позволяет какое-то время формально выполнить требования регулятора, но где гарантия, что Минцифры России не исключит его из реестра? Подобные примеры уже есть.
Скупой платит дважды. Поэтому нужно в первую очередь тесно взаимодействовать с бизнесом: составить дорожную карту, понять, какие системы придется замещать, что уже есть на рынке, либо заказать частную разработку. Есть отраслевые сообщества, которые составляют единую дорожную карту, выбирают единого исполнителя и разрабатывают универсальное решение.
– Эксперты рынка отмечают, что высококвалифицированных ИТ-специалистов не хватало всегда. Сегодня ситуация обострилась?
– Кадровый вопрос всегда актуальный и комплексный. Его решение с точки зрения любой компании в какойто степени зависит от состояния рынка труда, однако именно эта зависимость открывает новые возможности для организаций, намеревающихся развивать и наращивать свой продуктовый портфель. Первым делом имеет смысл повысить зарплаты специалистам информационной безопасности по крайней мере до уровня классических айтишников, чтобы подняться над медианным уровнем вознаграждения. Причем если это сделать на опережение, есть шанс собрать с рынка грамотных специалистов раньше, чем это сделает кто-то другой.
Важно не просто выращивать ИБ-специалистов внутри организации, а показать им траектории их профессионального и зарплатного роста, чтобы мотивировать оставаться с конкретной компанией так долго, как это будет им интересно.