Защитный занавес

Информационная безопасность

Рынок информбезопасности (ИБ) испытывает дефицит кадров, денег и возможностей. Но масштабные госпроекты это остановить не может

В феврале аналитический центр InfoWatch опубликовал итоги исследования, посвященного киберзащищенности фирм и госучреждений УрФО. Выводы не слишком радужные. В 2018 году уральские организации допустили на 30% больше утечек, чем в 2017-м. Страна в целом показала только 6%. 

Почти половина опрошенных InfoWatch респондентов из числа ИБ-специалистов и руководителей предприятий макрорегиона допускают вероятность того, что за последние три года в их компаниях случались утечки конфиденциальной информации. При этом 39% участников опроса признались, что их системы безопасности не полностью обеспечивают защиту от современных киберугроз.

Как и в целом по России, причиной 90% утечек стали действия (злонамеренные или неумышленные) собственных сотрудников организации. Причем в 16% случаев винов­никами оказались «привилегированные» пользователи (в 2017-м на их долю приходилось только 7% инцидентов). И это печальная новость. Очевидно, на Урале даже топ-менеджеры имеют туманное представление о защите данных.   

А тем временем на отечественном ИТ-рынке ИБ превращается в приоритет номер один. Яркое подтверждение тому — Владимир Путин, вставший летом 2018-го за трибуну на Международном конгрессе по кибербезопасности. Ничего подобного раньше не случалось.

— Наконец-то мы, 20 лет ковыряющиеся в непонятных штучках, добились того, что о нас стали говорить первые люди государства и компаний, — комментирует главный редактор BISA Олег Седов. — Это переломный момент. Обратной дороги не будет. 

Почему к ИБ обращено столь пристальное внимание, понятно: все ухудшающаяся внешнеполитическая ситуация перманентно множит число угроз и одновременно сокращает возможности использования западных решений. Защищать свою страну нам все чаще приходится с помощью своих же технологий.

Сами с собой

На первый взгляд, ничего плохого в этом нет. Внешняя изоляция приводит к тому, что внутри России для отечественных разработчиков формируется тепличная среда, инкубатор, предполагающий гарантированный спрос со стороны как минимум госорганов и госкомпаний. В теории в нем могут вылупиться немало новых фирм, пусть на начальном этапе с кривым и косым продуктом, но своих.

Однако одновременно надо отдавать себе отчет в том, что наш ИТ-рынок микроскопически мал. В лучшие годы (при долларе в 30 рублей) его доля в мире достигала 1,5%. Создать на таком масштабе действительно конкурентный продукт — утопия (просто не хватит прибыли, чтобы соревноваться с ребятами из Кремниевой долины). 

— Российские разработчики не существуют в вакууме, — рассуждает вице-президент Ростелекома по информбезопасности Игорь Ляпунов. — Они плоть от плоти нашего рынка. Что есть у западных компаний, чего нет у нас? Миллионов клиентов. У какой-нибудь Symantec количество user story, кейсов использования продукта в десятки, сотни, тысячи раз больше, чем у отечественных фирм. Сколько в среднем инсталляций у наших ИБ-продуктов? Тысяча, две, три. Это капля по сравнению с опытом зарубежных игроков. Что нам еще категорически не хватает, так это зрелого требовательного заказчика со сформулированными запросами, способного указать на потенциальные недостатки и точки роста, обладающего бюджетом, достаточным для поступательного развития продукта. Мы как-то проводили оценку и выяснили, что повышение качества разработки на 10 — 15% требует удвоения затрат.

Власть ситуацию, в которую она, мягко скажем, поместила ИБ-отрасль, осознает. На данный момент она придумала два варианта ее исправления. Первый — прямые госинвестиции в отечественный продукт. Они предусмотрены в программе «Цифровая экономика», но ориентированы в основном на поддержку софта. Логика в этом, безусловно, есть. «Железные» компетенции Россия давным-давно растеряла. Их восстановление требует на порядок (это не преувеличение) больше затрат, чем доведение до глобального уровня ПО. И отбиваться эти затраты будут не три, и не пять лет. «Закладки, недекларированные возможности — все эти риски мы прекрасно осознаем, — говорит президент InfoWatch Наталья Касперская. — Но имеем, что имеем».

Второй вариант борьбы с изоляцией — поддержка экспорта. ИТ-безопасники в голос говорят, что буквально за пару лет отношение к российским продуктам резко изменилось. «Мы и другие компании, конечно, пытаемся выйти за границу, но вы не представляете, с каким сопротивлением нам приходится сталкиваться», — сетует Игорь Ляпунов. 

— Выходить с российским продуктом в США или Европу сегодня может только сумасшедший, — развивает тему Наталья Касперская. — Мы видим, как на этих рынках «плющат» Лабораторию Касперского. Абсолютно незаслуженно и бездоказательно. Уровнь аргументов примерно такой — «мы считаем, что вы троянская программа, потому что вы троянская программа». И никакие попытки открыть код или показать производство ни к какому результату не приводят. Отечественным разработчикам надо перестать плевать против ветра. Мы, например, полностью ушли из Европы и переключились на Ближний Восток и Юго-Восточную Азию. Там тоже есть англосаксы, которые пытаются нас компрометировать, врут, заливают рынки деньгами. Но их лобби зачастую проигрывает потребности местных властей и компаний в альтернативных ИБ-решениях. Восток — та часть мира, которую Штаты все время пытаются взять под свой контроль. Но контролируемой она быть не желает. И российский продукт — это, по сути, ее единственный выход. Мы понимаем, что развитие ИТ-экспорта — процесс небыстрый. Два десятка лет Россия им фактически не занималась. А когда спохватилась, оказалось, что почти все места уже заняты западными конкурентами. Но это не значит, что мы должны опустить руки и смириться.    

Критическое творчество

Но вернемся к не слишком сознательным заказчикам. Недавний опрос аналитического центра Anti-Malware.ru показал: большинство российских компаний для обеспечения безопасности используют только антивирусы (88%) и инструменты защиты сетевого периметра (60%). Защита от целевых кибератак есть менее чем у 35% предприятий. При этом в 63% фирм на ИБ выделяется минимальный бюджет — до 500 тыс. рублей в год. Еще 12% опрошенных имеют годовой бюджет от 500 тысяч до 1 миллиона.

Более чем в половине российских компаний информационной безопасностью занимаются от одного до пяти человек. Часто это даже не выделенный специалист, а системный администратор или сам собственник бизнеса. Нередко в крупных организациях штат ИБ-департамента составляет не более двух-пяти человек, и тех нанимают для того, чтобы формально выполнить требования регуляторов.

Но численность — проблема второго порядка. На первом плане — недостаточность компетенций. ИТ-специалисты не успевают повышать квалификацию так быстро, как мутируют киберугрозы. Вузовские программы не способны угнаться за постоянно меняющейся реальностью, а тематических площадок, где можно было бы обменяться опытом, в регионах не так много.

И в этих не слишком благоприятных условиях компаниям в 2019-м придется решать одну из самых масштабных в истории российской кибербезопасности задач — защиты критической информационной инфраструктуры (КИИ). Закон (187-ФЗ), который этого требует, вступил в силу 1 января 2018 года. Он определил 13 сфер, где КИИ точно есть (среди них, например, гос­управление, горнодобывающая, химическая, металлургическая промышленность, ТЭК, здравоохранение, наука, финансы, связь). К середине февраля в управление ФСТЭК по УрФО поступили данные от 173 организаций, на территории которых функционировало более 1400 объектов критической инфраструктуры (больше всего их на Ямале).

Кроме того, документ определил основные этапы защиты: формирование комиссии по категорированию, определение перечня объектов КИИ и предоставление информации о них во ФСТЭК, категорирование объектов, обеспечение их безопасности в соответствии с требованиями ФСТЭК, ФСБ и Минкомсвязи. 

Внешне — все просто. Внутри — уйма вопросов. Уральские предприятия говорят, что находятся в постоянном контакте с ФСТЭК. Однако и это не всегда помогает.

— В состав нашего холдинга входит Уральский дизельмоторный завод, — рассказывает начальник отдела охраны и режима Группы Синара Олег Китаев. — Он выполняет оборонные заказы, но при этом в реестре предприятий ОПК не значится. Отсюда вопрос — попадаем ли мы под действие 187-ФЗ? Какими документами нам руководствоваться? Мы обратились во ФСТЭК, но однозначного ответа нам так и не дали. Тем не менее пилотный проект по защите КИИ мы начали реализовывать именно на этом предприятии.

К февралю первый этап в Синаре закрыли: создали рабочие группы и комиссию, разработали методрекомендации для предприятий холдинга, определили перечень критических объектов. Примерно на том же отрезке пути, по словам вице-президента по ИТ Сергея Шувалова, находится РМК: «Комиссия создана, издан приказ по группе, перечень объектов сформирован и отправлен во ФСТЭК».

Далее — самый творческий процесс — категорирование. Цимес в том, что выполнять его должны сами предприятия на основе параметров, утвержденных правительством.

— Последняя версия закона запретила нам привлекать к категорированию коммерческие ИБ-фирмы, что несколько осложнило работу, — замечает Сергей Шувалов. — Но осталась возможность сотрудничать с ведомственными компаниями, чем мы пользуемся. Для нас — это непрофильная деятельность, наша компетенция — плавить металл, а не защищать КИИ.  

— Категорирование — это во многом вопрос прагматизма, — добавляет Игорь Ляпунов. — Здесь важно найти баланс между защищенностью и затратами. Совершенно точно не надо впадать в крайности и присуждать всем объектам самую высокую первую категорию или (в попытке сэкономить) самую низкую третью. Во ФСТЭК вы это все равно ни за что не согласуете.       

Дополнительные материалы: