Поиск новых решений в текущей киберреальности
Максим Степченков, 26/01/23
Зарубежные поставщики ИБ-решений приостановили или прекратили работу в России. На фоне этих событий вышел Указ Президента Российской Федерации No 166, в соответствии с которым с 1 января 2025 г. органам власти и компаниям с госучастием более 50% нельзя будет использовать иностранное ПО на значимых объектах КИИ.
Автор: Максим Степченков, совладелец компании RuSIEM
Изменения рынка информационной безопасности в условиях санкций: тенденции
Санкции повлияли на развитие импортозамещения в России. Весенний отток специалистов, как и последовавшее за этим их перераспределение в пользу крупных компаний, понизили возможности небольших вендоров в вопросах поддержки необходимых компетенций.
Популярность Open Source стала заметно меньше, так как выросли риски наличия программных закладок в таких решениях, а необходимость вылавливать их сводит на нет экономическую целесообразность использования открытого ПО.
Резко возрос масштаб и усилилась интенсивность кибератак на фоне потребности быстро заместить системы зарубежных поставщиков и частичного перераспределения бюджетов ИБ на более срочные задачи, обеспечивающие непрерывность основных производственных и бизнес-процессов.
Появилась необходимость защищаться, ужесточая контроль над расходами, стимулируя заказчиков оценивать риски, выстраивать стратегию и архитектуру информационной безопасности, а не "латать дыры" или брать не глядя все лучшее и передовое.
В крупных госкомпаниях и корпорациях появились внутренние ИБ-вендоры. Для рынка эта тенденция не очень хорошая, как и для самих компаний. В такой ситуации на первый план выходит простота интеграции решений с инфраструктурой компаний, которые относятся к холдингам в составе корпорации, а также стоимость и соответствие требованиям регуляторов, но о качестве этих решений заботятся в последнюю очередь.
К положительным изменениям на ИБ-рынке можно отнести высвобождение специалистов, ушедших из зарубежных компаний, с полезным для российских вендоров опытом работы.
Активное развитие отечественных систем дает возможность разработчикам выходить на зарубежные рынки, конкурируя с решениями ушедших из РФ вендоров: функционал тот же, а доверия к России больше, ведь зарубежные вендоры продемонстрировали всему миру свою политическую ангажированность.
Положительное влияние законодательных инициатив на развитие российского ИБ-рынка
Весной этого года Владимир Путин подписал ряд указов, которые способствуют созданию условий для повышения уровня информационной безопасности, а также ускоренного перехода госструктур и бизнеса на отечественные решения, а именно:
Весенний отток специалистов, как и последовавшее за этим их перераспределение в пользу крупных компаний, понизили возможности небольших вендоров в вопросах поддержки необходимых компетенций.
Активное развитие отечественных систем дает возможность разработчикам выходить на зарубежные рынки, конкурируя с решениями ушедших из РФ вендоров.
- главам регионов, ведомств, стратегических предприятий поручено создать структурные подразделения для обеспечения информационной безопасности и обнаружения, предупреждения и ликвидации последствий компьютерных атак;
- госзаказчикам запретили закупать без согласования иностранное ПО (в том числе в составе программно-аппаратных комплексов) для использования на объектах КИИ;
- с 1 января 2025 г. на объектах КИИ нельзя использовать иностранный софт.
По данным ФСТЭК России, в стране насчитывается около 50 тыс. объектов КИИ, из которых примерно 10 тыс. отнесены к особо значимым. Более чем в половине их систем и сетей не применяются необходимые средства защиты от компьютерных атак. При этом внимание высокопрофессиональных группировок злоумышленников в этом году чаще всего в качестве целей привлекали именно госорганизации, предприятия энергетики, промышленности и военно-промышленного комплекса – те самые субъекты КИИ.
Необходимость выстраивать защиту заранее стимулирует и рынок разработки, обеспечивая кастомизацию решений в зависимости от "портрета" и потребностей заказчика, давая дополнительный импульс развитию горизонтальных партнерских связей между вендорами и интеграторами. Все это увеличит разнообразие и качество решений.
Необходимо упомянуть о положительной и наиболее актуальной инициативе текущего года – введении оборотных штрафов за утечки информации.
Реакция заказчиков на уход западных ИБ-вендоров с российского рынка: поиск альтернатив
Чем более информирован заказчик о своих рисках, тем хуже он реагирует на все, что усложняет их минимизацию. Если забыть про эмоции, то становится очевидно, что задачи по импортозамещению пока что решаются с переменным успехом. Сказывается нехватка российских решений в сфере защиты контейнеров, облачных сред и средств безопасности для сред разработки. Есть секторы, где поставшиком отечественных решений является один-единственный российский разработчик, естественно в такой ситуации возникают вопросы к качеству его решений – отсутствие конкуренции не способствует развитию продуктов. Для ряда таких сервисов, как внешние решения для анализа угроз, ПО для балансировки нагрузок и резервного копирования, полноценных российских аналогов просто не существует.
Большие вызовы ожидают заказчиков и при замещении программно-аппаратных комплексов и сетевых устройств.
Процесс миграции заказчиков с западных ИБ-продуктов на российские: самые распространенные трудности
Финансирование и окупаемость
Если организация подпадает под требования по импортозамещению, то вопроса "зачем" не возникает: бюджет так или иначе находят или планируют на следующий период в рамках отведенного законодательством времени.
Иногда компания может выбирать, оставаться ли на работающем зарубежном ПО или переходить на российское, – в этом случае нужно комплексно оценить риски и принять решение исходя из того, что выглядит дешевле – ликвидация последствий инцидентов или замена решения на отечественное.
Сохранение текущего уровня зрелости процессов
Если этот параметр важен, то для перехода на отечественное лучше рассматривать продукт, поддерживающий целостную процессную модель.
Возможность и технология переноса массива данных, каталогов и архивов
В качестве первого варианта можно импортировать информацию частично либо изначально снять ограничения, которые продиктованы прежней архитектурой.
Инертность пользователей
Вопрос привычки, безусловно, важен. Если вы хотите убедить коллег перейти на российское СЗИ, то придется не только доказать его целесообразность, но и продемонстрировать удобство, а также относительную простоту вторичной интеграции.
Противостояние потоку возросшего числа кибератак на российские организации с учетом санкционной ситуации
В этом году в профессиональной среде все чаще стал звучать термин "результативная информационная безопасность". Он означает выстраивание защиты таким образом, чтобы недопустимые для каждого бизнеса, отрасли (или даже государства) события были невозможными. Для этого организациям необходимо концентрироваться на защите ключевых и целевых активов, точек проникновения во внутреннюю сеть, используя решения мониторинга и управления событиями ИБ в рамках внутренних SOC-центров или коммерческих. Чтобы обеспечить оперативное реагирование на инциденты, нужно разработать и внедрить политики информационной безопасности, регламенты реагирования и обеспечить организацию управления уязвимостями, а также проводить киберучения, ежегодно тестируя ИБ-систему.