Защитный занавес
Информационная безопасность
Рынок информбезопасности (ИБ) испытывает дефицит кадров, денег и возможностей. Но масштабные госпроекты это остановить не может
В феврале аналитический центр InfoWatch опубликовал итоги исследования, посвященного киберзащищенности фирм и госучреждений УрФО. Выводы не слишком радужные. В 2018 году уральские организации допустили на 30% больше утечек, чем в 2017-м. Страна в целом показала только 6%.
Почти половина опрошенных InfoWatch респондентов из числа ИБ-специалистов и руководителей предприятий макрорегиона допускают вероятность того, что за последние три года в их компаниях случались утечки конфиденциальной информации. При этом 39% участников опроса признались, что их системы безопасности не полностью обеспечивают защиту от современных киберугроз.
Как и в целом по России, причиной 90% утечек стали действия (злонамеренные или неумышленные) собственных сотрудников организации. Причем в 16% случаев виновниками оказались «привилегированные» пользователи (в 2017-м на их долю приходилось только 7% инцидентов). И это печальная новость. Очевидно, на Урале даже топ-менеджеры имеют туманное представление о защите данных.
А тем временем на отечественном ИТ-рынке ИБ превращается в приоритет номер один. Яркое подтверждение тому — Владимир Путин, вставший летом 2018-го за трибуну на Международном конгрессе по кибербезопасности. Ничего подобного раньше не случалось.
— Наконец-то мы, 20 лет ковыряющиеся в непонятных штучках, добились того, что о нас стали говорить первые люди государства и компаний, — комментирует главный редактор BISA Олег Седов. — Это переломный момент. Обратной дороги не будет.
Почему к ИБ обращено столь пристальное внимание, понятно: все ухудшающаяся внешнеполитическая ситуация перманентно множит число угроз и одновременно сокращает возможности использования западных решений. Защищать свою страну нам все чаще приходится с помощью своих же технологий.
Сами с собой
На первый взгляд, ничего плохого в этом нет. Внешняя изоляция приводит к тому, что внутри России для отечественных разработчиков формируется тепличная среда, инкубатор, предполагающий гарантированный спрос со стороны как минимум госорганов и госкомпаний. В теории в нем могут вылупиться немало новых фирм, пусть на начальном этапе с кривым и косым продуктом, но своих.
Однако одновременно надо отдавать себе отчет в том, что наш ИТ-рынок микроскопически мал. В лучшие годы (при долларе в 30 рублей) его доля в мире достигала 1,5%. Создать на таком масштабе действительно конкурентный продукт — утопия (просто не хватит прибыли, чтобы соревноваться с ребятами из Кремниевой долины).
— Российские разработчики не существуют в вакууме, — рассуждает вице-президент Ростелекома по информбезопасности Игорь Ляпунов. — Они плоть от плоти нашего рынка. Что есть у западных компаний, чего нет у нас? Миллионов клиентов. У какой-нибудь Symantec количество user story, кейсов использования продукта в десятки, сотни, тысячи раз больше, чем у отечественных фирм. Сколько в среднем инсталляций у наших ИБ-продуктов? Тысяча, две, три. Это капля по сравнению с опытом зарубежных игроков. Что нам еще категорически не хватает, так это зрелого требовательного заказчика со сформулированными запросами, способного указать на потенциальные недостатки и точки роста, обладающего бюджетом, достаточным для поступательного развития продукта. Мы как-то проводили оценку и выяснили, что повышение качества разработки на 10 — 15% требует удвоения затрат.
Власть ситуацию, в которую она, мягко скажем, поместила ИБ-отрасль, осознает. На данный момент она придумала два варианта ее исправления. Первый — прямые госинвестиции в отечественный продукт. Они предусмотрены в программе «Цифровая экономика», но ориентированы в основном на поддержку софта. Логика в этом, безусловно, есть. «Железные» компетенции Россия давным-давно растеряла. Их восстановление требует на порядок (это не преувеличение) больше затрат, чем доведение до глобального уровня ПО. И отбиваться эти затраты будут не три, и не пять лет. «Закладки, недекларированные возможности — все эти риски мы прекрасно осознаем, — говорит президент InfoWatch Наталья Касперская. — Но имеем, что имеем».
Второй вариант борьбы с изоляцией — поддержка экспорта. ИТ-безопасники в голос говорят, что буквально за пару лет отношение к российским продуктам резко изменилось. «Мы и другие компании, конечно, пытаемся выйти за границу, но вы не представляете, с каким сопротивлением нам приходится сталкиваться», — сетует Игорь Ляпунов.
— Выходить с российским продуктом в США или Европу сегодня может только сумасшедший, — развивает тему Наталья Касперская. — Мы видим, как на этих рынках «плющат» Лабораторию Касперского. Абсолютно незаслуженно и бездоказательно. Уровнь аргументов примерно такой — «мы считаем, что вы троянская программа, потому что вы троянская программа». И никакие попытки открыть код или показать производство ни к какому результату не приводят. Отечественным разработчикам надо перестать плевать против ветра. Мы, например, полностью ушли из Европы и переключились на Ближний Восток и Юго-Восточную Азию. Там тоже есть англосаксы, которые пытаются нас компрометировать, врут, заливают рынки деньгами. Но их лобби зачастую проигрывает потребности местных властей и компаний в альтернативных ИБ-решениях. Восток — та часть мира, которую Штаты все время пытаются взять под свой контроль. Но контролируемой она быть не желает. И российский продукт — это, по сути, ее единственный выход. Мы понимаем, что развитие ИТ-экспорта — процесс небыстрый. Два десятка лет Россия им фактически не занималась. А когда спохватилась, оказалось, что почти все места уже заняты западными конкурентами. Но это не значит, что мы должны опустить руки и смириться.
Критическое творчество
Но вернемся к не слишком сознательным заказчикам. Недавний опрос аналитического центра Anti-Malware.ru показал: большинство российских компаний для обеспечения безопасности используют только антивирусы (88%) и инструменты защиты сетевого периметра (60%). Защита от целевых кибератак есть менее чем у 35% предприятий. При этом в 63% фирм на ИБ выделяется минимальный бюджет — до 500 тыс. рублей в год. Еще 12% опрошенных имеют годовой бюджет от 500 тысяч до 1 миллиона.
Более чем в половине российских компаний информационной безопасностью занимаются от одного до пяти человек. Часто это даже не выделенный специалист, а системный администратор или сам собственник бизнеса. Нередко в крупных организациях штат ИБ-департамента составляет не более двух-пяти человек, и тех нанимают для того, чтобы формально выполнить требования регуляторов.
Но численность — проблема второго порядка. На первом плане — недостаточность компетенций. ИТ-специалисты не успевают повышать квалификацию так быстро, как мутируют киберугрозы. Вузовские программы не способны угнаться за постоянно меняющейся реальностью, а тематических площадок, где можно было бы обменяться опытом, в регионах не так много.
И в этих не слишком благоприятных условиях компаниям в 2019-м придется решать одну из самых масштабных в истории российской кибербезопасности задач — защиты критической информационной инфраструктуры (КИИ). Закон (187-ФЗ), который этого требует, вступил в силу 1 января 2018 года. Он определил 13 сфер, где КИИ точно есть (среди них, например, госуправление, горнодобывающая, химическая, металлургическая промышленность, ТЭК, здравоохранение, наука, финансы, связь). К середине февраля в управление ФСТЭК по УрФО поступили данные от 173 организаций, на территории которых функционировало более 1400 объектов критической инфраструктуры (больше всего их на Ямале).
Кроме того, документ определил основные этапы защиты: формирование комиссии по категорированию, определение перечня объектов КИИ и предоставление информации о них во ФСТЭК, категорирование объектов, обеспечение их безопасности в соответствии с требованиями ФСТЭК, ФСБ и Минкомсвязи.
Внешне — все просто. Внутри — уйма вопросов. Уральские предприятия говорят, что находятся в постоянном контакте с ФСТЭК. Однако и это не всегда помогает.
— В состав нашего холдинга входит Уральский дизельмоторный завод, — рассказывает начальник отдела охраны и режима Группы Синара Олег Китаев. — Он выполняет оборонные заказы, но при этом в реестре предприятий ОПК не значится. Отсюда вопрос — попадаем ли мы под действие 187-ФЗ? Какими документами нам руководствоваться? Мы обратились во ФСТЭК, но однозначного ответа нам так и не дали. Тем не менее пилотный проект по защите КИИ мы начали реализовывать именно на этом предприятии.
К февралю первый этап в Синаре закрыли: создали рабочие группы и комиссию, разработали методрекомендации для предприятий холдинга, определили перечень критических объектов. Примерно на том же отрезке пути, по словам вице-президента по ИТ Сергея Шувалова, находится РМК: «Комиссия создана, издан приказ по группе, перечень объектов сформирован и отправлен во ФСТЭК».
Далее — самый творческий процесс — категорирование. Цимес в том, что выполнять его должны сами предприятия на основе параметров, утвержденных правительством.
— Последняя версия закона запретила нам привлекать к категорированию коммерческие ИБ-фирмы, что несколько осложнило работу, — замечает Сергей Шувалов. — Но осталась возможность сотрудничать с ведомственными компаниями, чем мы пользуемся. Для нас — это непрофильная деятельность, наша компетенция — плавить металл, а не защищать КИИ.
— Категорирование — это во многом вопрос прагматизма, — добавляет Игорь Ляпунов. — Здесь важно найти баланс между защищенностью и затратами. Совершенно точно не надо впадать в крайности и присуждать всем объектам самую высокую первую категорию или (в попытке сэкономить) самую низкую третью. Во ФСТЭК вы это все равно ни за что не согласуете.
Дополнительные материалы:
Кадры — гигантская проблема — утверждает вице-президент по ИБ Ростелекома Игорь Ляпунов — Постепенно в привлечении кадров мы смещаемся из Москвы в сторону регионов, открыли совместные программы с университетами Нижнего Новгорода, Самары, Хабаровска и Ростова-на-Дону. Только мы за последние полгода добрали 250 ИБ-специалистов. И это не были выпускники вузов. Почему? Потому что, во-первых, даже тех, кто окончил специализированные кафедры, невозможно сразу включить в практическую работу. Они умеют сессии сдавать и печатать. А во-вторых, их зарплатные ожидания начинаются со 150 тыс. рублей. Нынешние 15 — 16-летние — это совершенно другой мир. Они с одной стороны невероятно технологически вооружены. А с другой — имеют очень смутные представления о том, что такое хорошо и что такое плохо. Первое, что они сделали по приезду в ИТ-лагерь, начали ломать его ИТ-систему. Раньше парни, не поделившие что-то, ходили драться за гаражи, а теперь они воруют друг у друга страницы в соцсетях. Граница между белым и черным у этого поколения размыта. Безусловно, университеты ведут плотную работу по совершенствованию учебных программ. Но результат этого мы увидим лет через пять. |