Это не санкции, а кибервойна: как обновилась сфера информационной безопасности в России

После введения санкций и с ростом количества кибератак бизнес находится в новых реалиях повышенных киберрисков, к которым в полной мере ещё предстоит адаптироваться, — говорит Алексей Винниченко, руководитель отдела информационной безопасности компании “Цифроматика”. — 2022 год многим дал понять, что формальный подход к обеспечению ИБ не может защитить бизнес от реальных угроз. С проблемами столкнулась большая часть бизнеса, использующая западные решения для построения ИТ-инфраструктур и защиты внешнего периметра».

«Ни одно решение по ИБ от вендора из недружественных стран не может считаться безопасным, — считает Сергей Табулин, директор по продуктам и технологиям компании Axoft. — Это не санкции, а кибервойна, хотя большинство атак на инфраструктуру российских заказчиков пока проводится в основном непрофессионалами. В 2022 году у нескольких крупных российских заказчиков были серьёзные инциденты в сфере ИБ, освещавшиеся в прессе. Большая часть инцидентов связана с утечками персональных данных граждан РФ и данных юрлиц».

Информационная безопасность на пике кризиса 2022 года

В сфере ИБ, как правило, использовались продукты компаний Microsoft, Cisco, WMware, Oracle, Fortinet. С наибольшими сложностями столкнулся бизнес, который использовал решения, интегрированные в бизнес-процессы компаний, а также специализированные отраслевые решения, построенные на базе инфраструктурных продуктов иностранных вендоров. Зачастую такие решения не имеют поддержки отечественных решений, и попытка их импортозамещения может грозить заменой большей части используемого оборудования, а также изменением бизнес-процессов компаний. К зоне риска можно отнести организации, для которых существует термин «субъект КИИ» — субъект критической информационной инфраструктуры. Это госорганы, банки, финансовые организации, некоторые предприятия промышленной сферы, клиники, перевозчики.

«С учётом значительного количества сетевых атак весной 2022 года в первую очередь возник вопрос замены решений по сетевой безопасности, стоящих на защите внешнего периметра компаний: межсетевых экранов, средств обнаружения вторжений и фильтрации трафика, — комментирует Дмитрий Артеменков, руководитель центра информационной безопасности RAMAX Group. — По сути, эти решения — первый эшелон защиты, который необходимо было закрывать прежде всего. Далее по цепочке следуют решения внутри периметра организации (такие как антивирусная защита и средства контроля доступа к системам), а также средства аналитики событий информационной безопасности. Сейчас остро стоит вопрос замены систем виртуализации и операционных систем».

«Необходимость оперативной внеплановой замены импортных решений наложилась на экспоненциальный рост числа и опасности кибератак, а также на ставший уже традиционным дефицит кадров, к которым стали предъявляться новые требования в части работы с отечественными средствами защиты информации», — отмечает генеральный директор Security Vision Руслан Рахметов.

«После прекращения поддержки иностранных решений в сфере информационной безопасности, отзыва лицензий и прекращения поставок произошёл существенный пересмотр стратегии кибербезопасности — вплоть до временной остановки подразделений соответствующих служб компаний, отвечающих за кибербезопасность», — рассказывает директор компании СVA Technologies Владимир Чуянов. По его словам, традиционно клиенты среднего и крупного бизнеса в России использовали средства предотвращения вторжений класса NG IDS (система обнаружения угроз нового поколения) от иностранных компаний Fortinet, PaloAlto, CheckPoint, средства защищённого периметра инфраструктуры — VPN ряда других иностранных производителей, средства расследований и интеграции XDR, DRC от PaloAlto.

Узкие места российской информационной безопасности

«Мы можем сказать, что внедрение замещающих продуктов в настоящий момент ведётся, но пока ни одна компания в России не предоставляет исчерпывающий перечень решений с применением инновационных технологий в силу различных причин, — говорит Чуянов. — Среди них — отсутствие конкуренции, узкоспециализированность компаний в разработке аппаратных или программных средств кибербезопасности».

«Альтернативам международным инструментам стали продукты российских вендоров, таких как Positive Technologies, Kaspersky, QRator и т.д., и open source-решения, — поясняет Андрей Рамазанов, руководитель направления ИБ-практики ИТ-Инфраструктуры и Информационной безопасности Axenix. — Некоторые из российских продуктов ИБ пока не поддерживают российские дистрибутивы ОС, либо не полностью с ними совместимы. Мы видим различные подходы к выбору решений ИБ, в зависимости от сфер, в которых работают компании. Например, компании, не имеющие регуляторных ограничений на использование только сертифицированного ПО, выбирают open source-решения и MSSP-услуги. Некоторые из наших клиентов, изначально перешедшие на решения российских вендоров, были вынуждены от них отказаться. Причина — высокая стоимость и отсутствие заявленной производительности и поддержки. Мы видим возможности для дальнейшего усовершенствования российских инструментов для соответствия требованиям бизнеса, но этот путь может занять не один год».

«Есть два класса крайне востребованных решений, которые практически полностью пропали с российского рынка, — рассказывает Фёдор Трифонов, директор пресэйлов отдела “Развитие ИТ-продуктов” Группы Т1. — Первый — это продукты по поиску и анализу уязвимостей. Сейчас в стране есть только одно решение данного класса, и оно не сертифицировано ФСТЭК, хотя и создано российскими разработчиками. Второй — межсетевые экраны. В связи с резким уходом западных производителей в этом сегменте образовалась большая брешь, и её ещё только предстоит заполнить отечественным разработчикам».

«Благодаря тому что “облака” не успели войти в моду у российского бизнеса, ситуация не стала критичной, — отмечает руководитель отдела продвижения продуктов компании “Код безопасности” Павел Коростелев. — Больше проблем принесло то, что ушедшие вендоры перестали давать информацию об актуальных угрозах для тех устройств, которые остались в России. В итоге, чтобы загрузить эту информацию и обновить политики безопасности, заказчикам приходилось устраивать дополнительные “приседания”».

«Особенно остро отток зарубежных вендоров ощутили на себе компании малого и среднего бизнеса, — считает руководитель отдела аналитики “СёрчИнформ” Алексей Парфентьев. — Они чаще пользовались подписками на иностранные продукты и не изучали, какие продукты предлагают отечественные вендоры, в отличие от крупных предпринимателей, давно знакомых с российскими решениями. Теперь бизнес стал гораздо больше интересоваться отечественным ПО. Хотя закон не требует от частных компаний, которые не относятся к КИИ, перехода на российские системы, они рассматривают отечественные ИТ-продукты, чтобы не оказаться в зависимости от неработающего иностранного софта».

Этапы адаптации российского рынка

«Тренд перехода на отечественное ПО и оборудование был задан в 2020 году, когда появился проект указа президента РФ, фиксирующий сроки перехода для компаний – субъектов КИИ, — рассказывает Алексей Морозков, старший руководитель группы Центра управления кибербезопасностью ICL Services. — Критичного влияния текущая ситуация не оказала, так как большинство крупных компаний начали переход на отечественное ПО задолго до февраля 2022 года. Но определённо некоторые проблемы это всё же создало: наши производители не сразу смогли закрыть существующие потребности бизнеса».

Указами президента №166 от 30.03.2022 года и №250 от 01.05.2022 года было установлено, что процессы импортозамещения необходимо завершить к 2025 году, вследствие чего определяющими для этого процесса, как ожидается, станут 2023-2024 года, в которые будут завершены пилотные мероприятия и выбраны конкретные решения.

«Многие из российских продуктов в сфере информационной безопасности присутствуют на рынке уже не первый год, но их широкому применению до санкций мешала определённая инертность заказчиков в части перехода с существующих и работающих импортных систем, а также недостаточная маркетинговая поддержка российских разработок, особенно в сравнении с западными софтверными гигантами, — говорит Руслан Рахметов. — Но можно констатировать, что отрасль кибербезопасности с честью выдержала испытания: кратно увеличившийся спрос заказчиков на отечественные защитные решения был удовлетворён, были реализованы масштабные проекты по импортозамещению. Растёт спрос на коммерческие SOC-центры, на услуги провайдеров MSSP, на проекты по консалтингу, внедрению, технической поддержке, заказной разработке ПО».

«К сожалению, на текущий момент по ряду инструментов альтернатив не существует либо уровень их зрелости не соответствует ожидаемому, — считает Андрей Рамазанов. — Дополнительно стоит отметить тот факт, что ввиду отсутствия конкуренции на рынке российские поставщики повысили цены на свои продукты и услуги (иногда несколько раз за прошедший год), что приводит к необходимости увеличения и перераспределения бюджетов в сторону ИБ. В этом случае гораздо более дешёвой альтернативой является использование MSSP-сервисов “под ключ”, чем приобретение лицензии на продукты российских ИБ-вендоров».

Инфраструктура ждёт решений

«Если проводить оценку по сегментам, то лучше всего справился сегмент программных средств защиты информации, — считает главный специалист отдела комплексных систем защиты информации “Газинформсервис” Дмитрий Овчинников. — Чуть хуже сработал сегмент аппаратных средств. Но это связано с нарушением логистических цепочек и скромными возможностями отечественного производства. Основной угрозой для ИБ являются недостаточные мощности производства собственных аппаратных средств: плат, процессоров и микроэлектроники. Но это больше вопрос к смежным отраслям, а не к области информационной безопасности».

«Нельзя сказать, что уход с рынка ИБ западных компаний оставил нас без всего, — отмечает Кирилл Уголев, руководитель направления информационной безопасности TEGRUS. — В России есть своя школа и практика защиты информации, свои производители средств защиты информации, уникальные продукты и многое другое. Кроме того, открылись новые перспективы. Стало больше появляться решений от производителей дружественных нам стран, которые также решили попробовать занять освободившиеся ниши».

«Остаются вопросы относительно западных решений, которым не было найдено достойной замены — обеспечение внешней безопасности и решения для прогнозирования возможных внешних угроз, — рассуждает директор по развитию бизнеса mClouds Александр Иванников. — По замещению некоторых зарубежных продуктов мы наблюдаем, что на российском рынке присутствуют всего один-два поставщика, то есть конкуренция небольшая. Это сказывается и на качестве решений. Есть ожидания по расширению рынка предложений сферы ИБ».

«Сейчас рынок находится в пограничном состоянии, когда понятно, что на иностранной инфраструктуре работать уже нельзя, а новой российской пока ещё нет, — говорит Павел Коростелев. — Поэтому многие заказчики планируют переход на новые решения только к 2024-2025 годам. Когда это случится, мы увидим полностью другую ИТ-инфраструктуру, но сейчас непонятно, как она будет выглядеть и как именно её защищать».