— Какие ключевые изменения в векторах атак злоумышленников вы наблюдали в 2022 году?
— События после февраля 2022 года коренным образом повлияли на направленность хакерских атак. Если до этого злоумышленники чаще всего преследовали меркантильные цели, то в этот период их основной задачей стал вывод из строя критически важных систем. Именно тогда российский бизнес и государственные организации столкнулись с беспрецедентной по мощности волной DDoS-атак (массированных атак на IT-инфраструктуру, направленных на нарушение ее работоспособности. — РБК Тренды). Но, как правило, они действовали с помощью давно знакомых инструментов. Поэтому системная работа и грамотный подход к обеспечению безопасности, которого придерживались российские предприятия, в том числе с помощью поставщиков ИБ-услуг, не позволили хакерам нанести существенный вред. Можно сказать, что с этой первой волной атак российская экономика справилась достойно.
— Помимо DDoS-атак были еще утечки и взломы. К ним отрасль была настолько же хорошо подготовлена?
— Все зависело от конкретной организации, ее опыта противодействия киберугрозам и уровня цифровой зрелости. Те компании, которые до этого регулярно сталкивались с высокой хакерской активностью — финансовые организации, телеком и другие — обладали более сильным иммунитетом. Те же, кто встретился с этим впервые, оказались готовы меньше. Но как минимум крупный бизнес еще со времен пандемии начал практиковать риск-ориентированный подход к кибербезопасности, актуализировать стратегии ИБ, выстраивать комплексную защиту IT-инфраструктуры с помощью современных средств. Могу сказать, что большинство российских компаний оказались неплохо подготовлены к противодействию кибератакам.
— В таком случае изменилось ли что-то кардинально в построении моделей угроз и расчете рисков в 2022 году?
— Как я уже сказал, в подавляющем большинстве случаев методы и инструменты злоумышленников не стали неприятным открытием. Все они были известны, хотя масштаб и интенсивность атак действительно возросли кратно. И эта тенденция сохраняется уже не первый год. Перефразируя известное правило — 20% затрат на ИБ дают нам гарантию защиты от 80% киберугроз. В эти 20% затрат входят главным образом цифровая гигиена и дисциплина сотрудников, которые в компаниях обязательно надо воспитывать. Оставшаяся часть угроз закрывается с помощью грамотно внедренных современных СЗИ (средств защиты информации. — РБК Тренды) и компетенций профессиональных подразделений. Это правило было актуально и до 2022 года.
— Какие отрасли оказались наиболее защищенными, а какие — наиболее атакуемыми?
— Наиболее защищенными оказались те, кто уже имеет опыт защиты своих ресурсов. Наиболее атакуемыми, очевидно, были самые привлекательные цели для злоумышленников с точки зрения ценности данных, а также бизнес, растущий опережающими темпами, например электронная коммерция. Компании, чья деятельность строится на онлайн-платформах, более привлекательны для атак. Как всегда, в фокусе киберпреступников были крупные банки, телеком-компании, госсектор — поскольку это критическая инфраструктура, и к ней приковано внимание государства. Мотивы атак ясны: хищение данных, блокировка критичных систем.
Последствия санкций и импортозамещение
— Как уход западных вендоров (поставщиков софта) отразился на отрасли ИБ и ваших заказчиках?
— Первое время, конечно, у всех был шок. Системы, которые заказчики дорабатывали и все глубже интегрировали у себя десятки лет, в один момент оказались без техподдержки и перспектив развития. Самый сильный негативный фактор заключается в том, что в эти зарубежные решения вкладывались значительные деньги.
Но в уходе иностранных вендоров есть и положительный момент: теперь все бюджеты заказчиков на ИБ стали доступными для российских игроков.
Индустрия информационной безопасности в России по некоторым классам решений уже состоявшаяся и зрелая, а также конкурентоспособная на глобальном рынке. Высвободившиеся деньги логично будет направить как крупным разработчикам, так и более нишевым или небольшим игрокам. Это создаст новый уровень конкуренции и в итоге позитивно скажется на качественном развитии отрасли, даст новые возможности российскому рынку. Таким образом, за два-три года мы сможем целиком перейти на отечественные решения, «прокачаем» все наши продукты до мирового уровня.
Сегодня мы учитываем, что далеко не все зарубежные решения полностью прекратили функционировать в стране, даже если их разработчики свернули бизнес. Мы продолжаем оказывать услуги техподдержки и сопровождения такого софта, параллельно рассматривая им альтернативу. Процесс идет успешно, и некоторые заказчики уже переходят на отечественный софт. Мы используем опыт и экспертизу, накопленные при работе с импортными решениями, чтобы помогать разработчикам развивать свои продукты.
— Стоит ли заказчикам покупать нелегальное оборудование в условиях ухода поставщиков, через параллельный импорт?
— Я бы не стал говорить о «легальности» или «нелегальности» этого подхода. Здесь дело совершенно в другом. Главная задача нашего бизнеса под санкционным давлением — любыми средствами обеспечить непрерывность своего бизнеса и защищенность данных. Приостановка деятельности крупнейших компаний негативно повлияет на экономику страны. Это понимают и на государственном уровне. Если параллельный импорт для отдельных игроков рынка стал пока что самым целесообразным или единственно возможным вариантом поддержания бизнеса, то нужно им пользоваться.
На уровне долгосрочной стратегии, разумеется, компании должны смотреть на импортозамещение. Доверие к используемым СЗИ становится принципиальным фактором. Мы не можем заставить заказчиков переходить на отечественное программное обеспечение, но говорим о том, что строить стратегию развития ИБ на импортных решениях сегодня не очень дальновидно. Тем более, что к 2025 году компании, владеющие значимыми объектами критической информационной инфраструктуры (КИИ), обязаны будут перейти на российские альтернативы зарубежных решений (в соответствии с указом президента от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ». — РБК Тренды).
Состояние российского рынка кибербезопасности
— На российском рынке ИБ появляются новые имена или активизируются игроки, ранее находившиеся в тени западных гигантов. Насколько качественной альтернативой зарубежным решениям становятся продукты отечественных вендоров?
— Новым решениям на первых порах зачастую не хватает функциональности. Возможно, для замены функциональности одного зарубежного решения сегодня нужно будет использовать несколько отечественных. Вторая проблема — неготовность некоторых российских разработок к промышленным нагрузкам. Это связано с тем, что наши вендоры раньше не имели доступа к инфраструктуре крупных заказчиков и не задавались целью адаптировать свои решения к высоким нагрузкам. Сегодня разработчики кардинально меняют подход к замыслу и архитектуре своих продуктов, получают обратную связь от якорных заказчиков и в соответствии с актуальными запросами очень быстро дорабатывают свои решения.
В любом случае — чем больше игроков на рынке, тем выше конкуренция. Например, в Израиле, на родине многих ИТ-стартапов, решений в области кибербеза на порядок больше, чем у нас, но никто не говорит об их низком качестве. У нас уже есть конкурентоспособные решения, в том числе и у молодых компаний. Крупные заказчики принимают их на вооружение, хотя у них есть опыт эксплуатации передового софта.
Есть направления, по которым Россия отстает. С этой точки зрения 2023 год будет особенно интересным для узкой ниши межсетевых экранов нового поколения (NGFW; элементы сети, которые фильтруют трафик в соответствии с заданными правилами безопасности и обладают рядом дополнительных возможностей. — РБК Тренды). На подобные решения крупные заказчики традиционно тратят много средств, так как это важный элемент IT-инфраструктуры. Я думаю, в этой нише мы скоро увидим не менее десятка вендоров, которые будут бороться за лидерство.
— Справедливо ли мнение о том, что в некоторых направлениях инфобеза в России сегодня своих альтернативных решений не существует или они неконкурентоспособны?
— Рынок ИБ очень большой и разнообразный. Безусловно, у наших разработчиков есть и свои сильные стороны (антивирусы, DLP-системы и многое другое), и слабые. У заказчиков есть выбор: можно критиковать, ничего не предлагая, а можно, например, принять факт этого технологического отставания и инвестировать в развивающееся направление вместе с вендором. Безусловно, российские решения проходят стремительный этап развития. То, на что у западных коллег ушло 20–30 лет, нам нужно сделать за 3–5 лет.
Еще одно важное обстоятельство — доступность аппаратных платформ (процессоров и других элементов систем, архитектура которых обеспечит запуск определенного семейства решений. — РБК Тренды) и предсказуемость сроков их поставки. Если у западных компаний срок поставки микроэлектронных компонентов ограничивается, условно говоря, двумя месяцами, то у российских он достигает полугода и более. Поэтому не все разработчики межсетевых экранов смогут в 2023 году продемонстрировать темпы роста, которыми потенциально обладает рынок.
Дефицит IT-специалистов
— Отразился ли отъезд IT-специалистов на работе Angara Security? Есть ли у вас сегодня кадровый дефицит?
— Бизнес компании не пострадал, но дефицит кадров есть. Количество открытых вакансий у нас составляет 10% от общей численности сотрудников. Спрос на наше направление высокий, но рост компании сдерживается из-за хронической нехватки специалистов. Я бы даже назвал это дефицитом не кадров, а экспертизы. Каждая компания хочет привлечь экспертов, и гонка за ними усилилась. Думаю, пройдет определенное время, прежде чем ситуация изменится. Ускорить этот процесс и снизить кадровый голод в какой-то мере смогут автоматизация и роботизация, которые возьмут на себя рутинный труд. В Angara Security на эти технологии смотрят очень пристально и уже применяют их.
— Многие компании «взращивают» внутри себя кадры. Другие хантят. Как вы решаете эту задачу?
— Мы работаем с несколькими российскими вузами в Москве и Рязани, где читаем авторские курсы по ИБ. Талантливые студенты также проходят через наш акселератор. По итогам последней стажировки 10 из 14 человек остались работать в компании. Также нам не хватает специалистов в области продаж. В 2022 году Angara запустила экспериментальный акселератор для сотрудников этого отдела.
— Каковы минимальные требования к кандидатам?
— Для разных категорий сотрудников требования отличаются. Глубина погружения в нюансы операционных систем важна для пентестеров (тестировщиков уязвимости IT-инфраструктуры, которые имитируют хакерские атаки. — РБК Тренды) и тех, кто обеспечивает защиту приложений. Более привлекательны для работодателя специалисты с выработанными soft skills: если человек ответственный, увлеченный, готов к развитию, то это приоритетный кандидат, в которого компания будет вкладываться. Для наилучшей адаптации сотрудников у нас есть институт наставничества, который обеспечивает передачу знаний.
Перспективы рынка информационной безопасности
— Какие классы средств защиты информации, помимо межсетевых экранов, будут показывать рост?
— Это будут средства, нацеленные на защиту инфраструктуры, центров обработки данных и пользовательских данных. В меньшей степени будет расти рынок средств защиты от несанкционированного доступа и криптомаршрутизаторов (комплексов криптографической защиты трафика данных). В целом, поставщикам нужно искать ниши, которые в рамках цифровой трансформации высвобождаются от иностранных компаний.
— Каковы ваши ожидания от 2023 года?
— Мы готовимся к самым разным сценариям. Импортозамещение сохранится как растущий тренд, и это не ожидание, а очевидная реальность. Госструктуры уже несколько лет активно вовлечены в этот процесс, а для многих коммерческих компаний путь к импортонезависимости только начинается.
Мой первый прогноз заключается в том, что российский IT-бизнес будет двигаться от идеологии импортозамещения отдельных IT-продуктов в сторону формирования российских платформ, которые смогут заместить целые стеки импортного ПО.
Для перехода необходима экспертиза интеграции продуктов в единую систему, что, как следствие, увеличит роль и возможности интеграторов.
Второе — не исключаю возвращения на отечественный рынок зарубежных вендоров, хотя бы частичного. Третье — локальный рынок будет становиться более конкурентным. Многие вендоры и интеграторы будут уходить в сторону сервисов и модели предоставления услуг по подписке. В 2022 году мы увидели кратный рост таких услуг и будем развивать их сами. Производители ПО будут брать на себя роль дистрибьюторов.
Еще одно ожидание — рост консолидации рынка и компаний с госучастием. Но важно, чтобы сохранялся баланс между коммерческими и государственными подрядчиками, так как это влияет на качество конечных услуг.
К сожалению, наши аналитики прогнозируют также рост числа атак как минимум на 50% по сравнению с 2022 годом, а количества утечек — на 70%. Скажется фактор переходного периода: с одной стороны, отсутствие обновлений западного ПО у заказчиков, с другой — нехватка экспертизы в области отечественного ПО.
Решающим фактором для развития рынка ИБ в 2023 году станет внимание регуляторов к тому, что происходит в нашей отрасли. В России сегодня именно государство формирует спрос на решения и услуги в сфере инфобеза.
— Что вы могли бы порекомендовать вашим заказчикам, а также ИБ-специалистам в 2023 году?
— Пользователям решений ИБ стоит помнить о том, что уровень информационной безопасности выступает сегодня важным конкурентным преимуществом. Своевременные инвестиции в ИБ станут залогом роста бизнеса. Также рекомендую больше внимания уделять привлечению и удержанию кадров с сильными компетенциями.
Сейчас важно постоянно развиваться и улавливать более широкие тренды, чем только в ИБ. Глобальные технологические инновации и высокая скорость проникновения «цифры» в нашу жизнь стремительно меняют и нас самих, и обстоятельства, в которых мы находимся.
17.02.2023