После начала февральских событий российские организации подверглись беспрецедентным по своим масштабам и интенсивности кибератакам. На этом фоне иностранные вендоры решений по кибербезопасности начали объявлять об уходе или приостановке деятельности на территории России, а президент Российской Федерации указом № 250 запретил российским организациям использовать средства защиты информации, произведенные в недружественных государствах либо подконтрольными или аффилированными с ними организациями.
Автор: Максим Степченков, совладелец компании RuSIEM
Эти три фактора обусловили резкий рост спроса на услуги российских компаний по информационной безопасности, а также решения отечественных разработчиков. Многие российские компании – организации финансового и промышленного секторов, телекома, ретейла и логистики оказались совершенно не готовы к ситуации, когда защищаться надо, но больше нечем.
По данным фонда "Центр стратегических разработок" (ЦСР), к 2026 г. российский рынок кибербезопасности может вырасти с 186 млрд до 469 млрд руб. с учетом влияния геополитических факторов. Без их влияния рост может оказаться двойным – до 370 млрд руб. Усиление госрегулирования и уход западных компаний делают ИТ- и ИБ-сектор, по сути, новой нефтью как с точки зрения снижения рисков нарушения непрерывности работы организаций, так и с позиции потенциального экспорта решений.
С 1 января 2025 г. использовать иностранное программное обеспечение на значимых объектах критической информационной инфраструктуры (КИИ) будет нельзя. Успеют ли субъекты КИИ уложиться в отведенное время? С одной стороны, сложные системы, которые внедряются в течение нескольких лет, сейчас будут замещаться более простыми, но в то же время справляющимися с нагрузками. Здесь срок замещения равен сроку внедрения "с нуля" – значит, успеют.
С другой стороны, далеко не у всего ПО есть отечественные аналоги. Новые решения могут разрабатываться не один год, что критично не только для бизнеса, но и для государства. Нам повезло – мы одними из первых поняли, что системы класса SIEM должны будут импортозамещаться. Однако многим организациям придется в последний момент сталкиваться с сырыми или с недостаточно апробированными решениями.
Таким заказчикам придется создавать тестовые стенды, исследовать ПО, чтобы убедиться в его работоспособности, обучать персонал им пользоваться. Небольшая компания справится, а вот организации с десятью, двадцатью, тридцатью тысячами сотрудников и отстроенными процессами будет очень непросто.
А представьте, если во время атаки на компанию перестанет работать установленное в ней импортное оборудование и ПО? Мы вернемся в каменный век. Вероятность такого совпадения невелика, но все равно нужно это иметь в виду.
Нельзя путать импортозамещение со сменой лейблов. Некоторые организации хитрят: берут западную продукцию, наносят на нее наклейку – и теперь это российский сервер. Но с программными решениями ситуация немного тяжелее. Иногда российский продукт создается на базе зарубежных решений Open Source – это законно. А псевдороссийский продукт, конечно, позволит какое-то время формально выполнять требования регулятора, но где гарантия, что Минкомсвязи России не исключит его из реестра? Подобные примеры уже есть.
В нашей стране разработаны и производятся средства защиты информации, которые соответствуют требованиям законодательства и регуляторов – ФСТЭК и ФСБ России. Большое количество государственных и коммерческих структур уже приобрело их, "потому что нужно". Однако эти решения созданы в условиях отсутствия конкуренции. На мой взгляд, задача государства, помимо заботы о безопасности, – создавать условия для развития рынка. Если умрет конкуренция, то мы будем все время жаловаться на отсутствие хороших российских решений.
Если говорить о решениях, не предназначенных для обеспечения соблюдения нормативных требований, то в этой сфере игроков намного больше. Российские "большие" производители постоянно выводят на рынок новые продукты, и конкурировать с этими компаниями очень сложно.
Как стартапу выйти на рынок, кто пустит его в свою организацию? Для заказчика принять у себя стартап – это риск. "У нас нет ресурсов, мы не готовы быть полигоном и тратить на это время, и вообще не факт, что нам придется импортозамещаться". Поэтому не открою здесь Америку: государство должно помогать стартапам, частному бизнесу. Стартапы должны получать инвестиции и возможность эксплуатировать решения хотя бы в тестовых средах.
Наряду с этим государственное финансирование – это тоже риск. Если вы хотите получить 20 млн, то самый простой способ – это сперва вложить собственные 20 млн, чтобы в результате получилось 40. Но если в течение полутора лет вы не начали продажи и вышли на безубыточность, то деньги все равно нужно будет вернуть. Где логика? Откуда у стартапа свободные 20 млн руб., если он сам пришел за этими деньгами?
При этом крупный бизнес спокойно получает инвестиции и укрепляет свое доминирующее положение на рынке, не создавая при этом принципиально ничего нового. А зачем? К счастью, ситуация начала меняться. Сегодня в информационную безопасность пришел бизнес с инвестициями, но для коренного перелома государство все же должно облегчить процесс получения финансирования и грантов именно стартапами, а не крупными компаниями.
Посмотрим на пример класса решений SIEM. Система управления событиями ИБ – это "головной мозг" и источник Big Data в информационной безопасности. SIEM-решение изначально считается тяжелым, поэтому мы как разработчики стремимся максимально его упростить. И все равно вручную, без специалистов, внедрить его очень сложно.
Также и везде: импортозамещение проще там, где есть собственные сильные службы ИБ и соответствующие ресурсы. Крупные компании могут себе позволить развернуть 3–6 стендов для тестирования. А вот малому и среднему бизнесу очень тяжело. Приходится доверять отзывам других заказчиков, сарафанному радио и, к сожалению, маркетинговым материалам.
Как известно, скупой платит дважды. Поэтому нужно в первую очередь тесно взаимодействовать с бизнесом: составить дорожную карту, понять, какие системы придется замещать, что уже есть на рынке, либо заказать частную разработку. Существуют и активно функционируют отраслевые сообщества, которые составляют единую дорожную карту для своей специфики, выбирают единого исполнителя и разрабатывают универсальное решение.
Второе, что имеет ключевое значение, – это персонал. Риски настолько велики, что необходимо найти грамотных специалистов, разбирающихся в технических аспектах, и не бояться им довериться.
Выбирая производителя, я бы ориентировался на потребности бизнеса, экспертизу и возможности своих служб ИТ и ИБ. А дальше последовательность очень простая: расставить приоритеты, составить дорожную карту, собрать обратную связь с участников рынка и после этого начать процедуру импортозамещения.
На месте заказчика, стал бы я "замещаться", если законодательство меня не обязывает это сделать? Наверное, да, если есть свободные ресурсы. Скорее всего, даже попробовал бы протестировать новое решение интересного стартапа.