Лояльные регуляторы и «всесильное» импортозамещение: ИБ-тенденции и проблемы глазами системного интегратора
Информационная безопасность требует открытости — так что мы следуем заветам Керкгоффса и продолжаем приглашать представителей компаний, которые прежде не давали интервью, чтобы обсудить их взгляд на киберугрозы и тенденции в российском кибербезе.
Сегодня в Блог Бастион заглянул Кирилл Уголев, руководитель дивизиона информационной безопасности TEGRUS — одного из лидеров российского рынка системной интеграции. Он рассказал, с какими проблемами в части защиты информации сталкивается интегратор, какие ошибки допускает бизнес, насколько жестко действуют надзорные органы, стоит ли отказываться от зарубежных технологий в свете импортозамещения.
Привет, Хабр! Прежде чем начать, оговорюсь: я работаю в классическом IT-интеграторе, который занимается большими инфраструктурными проектами для самых разных компаний. Мы оснащаем и заводы для тяжелой промышленности, и ЦОДы для финтехов. Это дает довольно разносторонний опыт и возможность понаблюдать со стороны за тем, как обстоят дела с кибербезопасностью на этапах, когда во многих компаниях о ней еще даже не задумываются.
Типичная ситуация: возводится офисное здание или ЦОД. В большинстве случаев генподрядчиком выступает застройщик без специальных лицензий и опыта в кибербезопасности. Такие вопросы просто отдадут на субподряд, и случится это с большой вероятностью под конец проекта, когда все, включая IT-инфраструктуру, спроектировано или даже построено. На носу пусконаладочные работы, а у генподрядчика на руках нет ничего, не говоря уже о внятной модели угроз. Вместо того чтобы одобрительно покивать головой, приходится тормозить проект, многое переделывать и разъяснять риски и нюансы.
Например, вендоры часто размахивают, словно знаменем, абстрактной сертификацией ФСТЭК, не уточняя «классовой принадлежности» своих инструментов. Все они сертифицируются по определенным классам и типам, что нужно учитывать при защите информации соответствующих категорий. Нельзя просто взять и внедрить первое попавшееся СЗИ и спать спокойно.
К сожалению, некоторые генподрядчики наивно полагают, будто их лицензий и навыков достаточно для того, чтобы разобраться в таких моментах и разработать (собрать) весь объект, включая ИБ-инфраструктуру. Специализированные «околостроительные» компании в их глазах воспринимаются исключительно как исполнители этого «гениального» плана, и особых требований в части информационной безопасности к ним не предъявляется.
В то же время заказчик зачастую не в состоянии оценить качество предложенных решений. Хорошо, если у него в штате есть хотя бы один ИБ-специалист, причем его также могут привлечь к работе лишь на финальной стадии проекта. Тогда мы смотрим друг на друга сочувствующими глазами и начинаем вместе ломать »прекрасные архитектурные решения», разработанные и утвержденные ГИПом. Все сводится к тому, чтобы с минимальными потерями учесть базовые необходимые регуляторные требования. О каких-то более эффективных подходах речи уже не идет.
Да и в дальнейшем отношение к ИБ не сильно меняется. Многие вспоминают о защите информации, только если прилетит штраф, реализуется одна из информационных угроз или начнутся DDOS-атаки. Наглядные примеры — эпидемии вирусов-шифровальщиков. Ряд компаний озаботился киберзащитой, лишь понеся серьезные потери.
Столь реактивной позиции придерживаются даже некоторые организации, для которых клиентские и прочие данные — «священный Грааль». Не уберег — можешь смело хоронить бизнес.
Во многом сложившаяся ситуация объясняется низким уровнем зрелости в плане ИБ части компаний. Если нет соответствующих профильных сотрудников и структур — некому разъяснить руководству бизнеса соответствующие риски, следовательно необходимой реакции также не последует.
Лояльный регулятор — низкая информационная безопасность
Можно возразить, что топ-менеджмент редко забывает и действительно заботится о комплаенсе. Только, на мой взгляд, ФСТЭК России осуществляет недостаточный технический контроль по некоторым направлениям деятельности (в части защиты персональных данных или конфиденциальной информации).
Возьмем для примера профили защиты информации. ФСТЭК регламентирует их лишь для ряда решений: средств межсетевого экранирования, доверенной загрузки, обнаружения вторжений, вычислительной техники. Однако подобных профилей по DLP, SIEM и другим широко применяемым СЗИ на текущий момент не разработано. Остается верить, что «лучшее, конечно, впереди». Когда бизнес повсеместно внедрит упомянутый минимум, вполне могут появиться дополнительные профили защиты, но пока все по-старому.
Выделяется финансовый сектор. Там особые требования по информационной безопасности, зафиксированные в целом комплексе нормативных актов (ГОСТ Р 57580.1, ГОСТ Р 57580.4 и ряд Положений Банка России). Их можно взять на вооружение и в других направлениях деятельности и отраслях. Центробанк в рамках проводимых проверок жестко контролирует техническую сторону вопроса и не делает поблажек.
Или вспомним обеспечение кибербезопасности в критической информационной инфраструктуре РФ (КИИ). Так, с 1 января 2025 года вступит в силу указ президента № 250, который обяжет все предприятия-объекты КИИ иметь в штате топ-менеджера уровня замдиректора для курирования ИБ-направления. По нашему опыту, такого сотрудника не помешало бы завести в большинстве организаций.
Указ утвердит и новые требования по применяемым средствам защиты: межсетевым экранам, антивирусам, системам сбора и корреляции событий и т. д.
Словом, государство уделяет большое внимание обеспечению информационной безопасности в стране, но делает это точечно, фокусируясь на особо чувствительных и критичных областях. В то время как в других продолжаются массовые утечки персональных данных, DDOS- и фишинговые атаки.
Об импортозамещении с холодной головой
Как видно, за последние несколько лет регуляторные требования в среднем «по больнице» не сильно изменились. А есть ли сдвиги на рынке СЗИ в свете импортозамещения?
Ситуация немного стабилизировалась, стало понятно, какие игроки ретировались, а кто уже вряд ли покинет нашу страну. Примерно ясно и то, как действуют в сложившихся условиях государство и вендоры. Самое время порассуждать обо всем с холодной головой.
Начнем с хорошего
Определенное снижение «цифровой обороноспособности» в связи с уходом иностранных вендоров и ростом цен не привело к Армагеддону. Новых эпидемий шифровальщиков не случилось, критическая инфраструктура работает.
Отдадим должное и отечественным поставщикам, которые предлагают собственные SIEM-системы, антивирусные средства, межсетевые экраны и прочие СЗИ последнего поколения взамен зарубежным продуктам. Зародился в стране и рынок отечественных «песочниц». Конечно, новые разработки имеют соответствующие «детские» болезни, но сильные стороны у них также имеются.
Есть у нас и технологические козыри в рукаве. Лишь в России выделяются в особый класс решений средства защиты от несанкционированного доступа. Какие-то из них успели неплохо себя зарекомендовать и вызвали интерес за рубежом. Отдельные компании экспериментируют с машинным обучением, например, распознаванием вторжений в корпоративные сети, анализом поведения и многим другим.
Вселяет оптимизм и вышеупомянутый Указ № 250. Если новые регуляторные требования простимулируют бизнес повышать свою цифровую безопасность и увеличат спрос на определенные типы ИБ-решений, это придаст рынку дополнительный импульс.
Технологии догоняют, рынок сужается, цены растут
Технологическое отставание российских ИБ-продуктов до сих пор до конца не ликвидировано, и их явно недостаточно, чтобы покрыть имеющийся спрос. Сложилась парадоксальная ситуация: по большому счету, в стране осталось несколько полноценных вендоров и десятки системных интеграторов. И если раньше был выбор, то теперь по целым классам решений есть всего пара-тройка вариантов.
Конкуренция разработчиков за конечного покупателя ослабла. Зато повысилась важность компетенций интеграторов, их погруженности в продукты. Такое положение дел, возможно, и сыграло кому-то на руку, но оно не выгодно бизнесу и тормозит развитие отечественных технологий.
Другой негативный фактор — рост цен на отечественные ИБ-продукты. Одни подорожали на 30, 40, 50%, какие-то — вовсе в несколько раз. В результате некоторые компании оказались куда уязвимее чисто по финансовым причинам.
Встали в полный рост в контексте импортозамещения и трудности с сертификацией. После ухода зарубежных поставщиков в стране резко уменьшилось число сертифицированных ИБ-решений. А с введением ФСТЭК-ом такого понятия, как уровень доверия к ПО, новым цифровым продуктам стало куда сложнее получить нужные для использования разрешительные документы. В итоге нехватка допущенных к применению СЗИ остро ощущается как ИТ-интеграторами, так и бизнесом.
Не исчезла никуда и давняя проблема затянутой сертификации по линии наших регуляторов. Мы пытаемся найти компромиссные варианты в процессе обновления СЗИ у клиентов, в отдельных случаях допускаем применение средств защиты с истекшим сертификатом, если все еще оказывается официальная поддержка от производителя. Бывает и так, что приходится устанавливать не самую последнюю версию продукта, поскольку лишь на нее имеется актуальная разрешительная документация. Это палка о двух концах: сертифицированный релиз проверен и точно соответствует заявленным характеристикам, зато свежий — может обладать более продвинутыми и надежными механизмами защиты.
Понятно, что требовать от лабораторий и регуляторов быстрее «штамповать» сертификаты на новые средства защиты неправильно. Чтобы минимизировать риски, любое решение нужно тщательно и долго исследовать. Все же не помешал бы какой-то способ оптимизировать и хотя бы немного ускорить данный процесс.
Импортозаместить (,) нельзя (,) использовать зарубежные ИБ-решения
Даже в описанных сложившихся условиях некоторые зарубежные вендоры до сих пор представлены на российском рынке. Доступны кое-какие импортные антивирусы, межсетевые экраны, средства предотвращения вторжений (IPS). И регулятор не рубит с плеча. При острой необходимости можно обратиться в специальную отраслевую комиссию и попытаться согласовать закупки иностранных СЗИ.
Правда, здесь мы снова натыкаемся на сложности с сертификацией. Высоким уровнем доверия западные продукты ФСТЭК не балует, а значит их допустимо применять лишь для решения базовых задач.
Но как же санкционные риски? Сегодня зарубежный вендор представлен в нашей стране, а завтра «гипс снимают, клиент уезжает», и все российские пользователи остаются с носом. Сперва отметим, что мы как системный интегратор стараемся поддерживать собственными силами внедренные решения, даже когда их поставщики больше не работают в России. Если же взглянуть на проблему шире, то следует задуматься вот о чем: так ли ненадежны доступные иностранные поставщики, и насколько безоговорочно стоит доверять отечественным.
Начнем с первого момента. Думается, что мировые разработчики, которые не покинули Россию, скорее всего успели понести львиную долю сопутствующих потерь. Получили штрафы, столкнулись с препонами и т. д. и т. п. Остались самые заинтересованные в нашем рынке. Их уже сложно чем-то напугать.
В то же время отечественное — не значит без рисков. У нас много молодых компаний. Они могут не выдержать конкуренции или быть куплены иностранцами. Подобные сделки возможны даже теперь.
На ум приходит именно такой кейс из нашей практики. Хотя речь идет не об отечественном поставщике, но из дружественной нам страны. Мы уже начали внедрять его решение, развернули инсталляцию. И тут, словно гром среди ясного неба, прогремело известие о приобретении вендора западным брендом. Пришлось приостанавливать проект и искать другие варианты реализации.
Переходя от бизнес-рисков к чисто техническим угрозам, условная маркировка «Сделано в России» не гарантирует отсутствия бэкдоров, которые позже могут быть использованы или проданы «заинтересованным лицам». Это уже ближе к теориям заговоров, но нельзя списывать со счетов и возможность промышленного шпионажа на международном уровне. Компрометация СЗИ выглядит заманчиво для любых спецслужб. Единственными, хотя тоже не стопроцентными гарантиями остаются сертификация программного обеспечения по линии ФСТЭК и/или ФСБ России (в рамках нее выполняется тестирование исходного кода ПО на наличие уязвимостей), а также специальные проверки и исследования поставляемого оборудования. Но и они не панацея от всех бед.
Выходит, риски при использовании отечественных и оставшихся импортных СЗИ во многом схожи. Бизнесу для защиты информации лучше ориентироваться на технологические возможности конкретных ИБ-решений и наличие разрешительной документации, а не на страну происхождения.
Вместо заключения: как быть в сложившихся условиях
Очевидно, что перед всей отраслью по-прежнему стоят серьезные вызовы. И в первую очередь мы должны научиться подготавливать новые кадры. В стране мало опытных специалистов по информационной безопасности: выпускники профильных вузов совершенно не приспособлены к действиям в реальных рабочих условиях. Маститым же специалистам приходится одновременно подстраиваться самим под резко изменившийся рынок и «натаскивать» новичков на «боевых» кейсах.
Вместе с тем важно повысить значимость и статус ИБ-направления внутри компаний. Соответствующие профильные топ-менеджеры и подразделения нужны не только предприятиям критической инфраструктуры, но и многим другим организациям, где защита информации имеет значение.
Необходимо также просвещать и информировать менеджмент и рядовых сотрудников. Причем здесь все средства хороши — и курсы в сети, и консультации, и цифровые учения.
Касательно комплексных инфраструктурных проектов повторюсь: не стоит откладывать решение вопросов защиты информации в долгий ящик. Иначе бизнес и привлеченный ИБ-подрядчик рискуют в него сыграть тем, что придется в последний момент перекраивать готовую IT-архитектуру в соответствии с требованиями по кибербезопасности. Сейчас, когда масса привычных и хорошо известных решений сошли со сцены, а бизнес пребывает в тени неопределенности, значимость грамотного и своевременного проектирования систем защиты информации трудно переоценить.
