Люди дела: 3aлaтaть пpoбoины. Чтo ждeт poccийcкий pынoк кибepзaщиты

B ближaйшиe пять лeт poccийcкий pынoк кибepбeзoпacнocти пpeдпoлoжитeльнo выpacтeт co 185,9 дo 469 млpд pyблeй, тo ecть в 2,5 paзa, выяcнили экcпepты Цeнтpa cтpaтeгичecкиx paзpaбoтoк (ЦCP). Cвязaнo этo пpeждe вceгo c pocтoм чиcлa кибepaтaк нa poccийcкyю инфpacтpyктypy, yxoдoм из Poccии зaпaдныx вeндopoв и мepaми гocyдapcтвeннoй пoддepжки. Oднaкo мнoгиx cлoжнocтeй нe избeжaть, к пpимepy, кaдpoвыx. Kpoмe тoгo, пpиxoдитcя peшaть нeпpocтыe тexнoлoгичecкиe пpoблeмы в cвязи c «выпaдeниeм» импopтныx элeмeнтoв cиcтeм зaщиты.


Эксперты отмечают, что, несмотря на остроту нынешней ситуации, неправильно считать, будто о проблеме защиты данных активно заговорили только в этом году. Компании прекрасно осознавали и продолжают осознавать ценность кибербезопасности. Они готовы платить за качественные решения, поэтому рынок активно развивается.

«С 2008 по 2013 год тема кибербезопасности медленно, но верно набирает популярность. В этот период были сделаны первые попытки актуализировать утвержденную еще в 2000 году Доктрину информационной безопасности. На государственном уровне начинается разработка стратегии кибербезопасности», – рассказывает Максим Антонов, руководитель практики IT/Digital-компании Cornerstone. После 2014 года, напоминает он, проблемы обеспечения кибербезопасности выходят на прикладной уровень. Начинается заметный набор специалистов в области ИБ, особенно в госкорпорациях и в компаниях с госучастием. «Актуальность кибербезопасности возрастает и с усилением тренда на цифровизацию бизнеса, – продолжает Антонов. – С 2018 года российские компании начинают массово запускать проекты цифровой трансформации». «Тогда все всерьез стали задумываться над тем, как выстраивать IT-инфраструктуру, чтобы не только ничего не ломалось, но и не утекало», – вспоминает Алексей Дрозд, начальник отдела информационной безопасности компании «СёрчИнформ».

Однако самую большую актуальность тема приобрела после февраля 2022 года за счет внешнеполитического фактора, единодушно признают эксперты. По данным Kaspersky MDR, количество киберинцидентов в российских компаниях за первые пять месяцев 2022 года увеличилось более чем на треть по сравнению с аналогичным периодом 2021 года. Атаки, по словам Марины Усовой, руководителя управления корпоративных продаж Лаборатории Касперского, стали агрессивнее: если раньше основной целью злоумышленников была финансовая нажива, то сейчас они просто стремятся нанести максимальный ущерб. «Характер атак изменился, – соглашается Александр Бочкин, основатель и гендиректор IT-компании „Инфомаксимум“. – Они стали более целевые, сложные и структурированные. Группы активистов действуют по четко проработанным инструкциям. Их цель – создать хаос, слить данные, прервать отлаженные рабочие процессы».

Чтo бyдeт дaльшe «Актуальность темы кибербезопасности возрастает с каждым годом по мере усложнения ландшафта киберугроз, – продолжает Усова. – В 2021 году наши специалисты обнаруживали в среднем 380 тыс. новых вредоносных файлов в день по всему миру, что на 5,7% больше по сравнению с предыдущим годом. И эта цифра стабильно растет». «Снижение числа киберугроз в обозримой перспективе не предполагается. Оно может происходить эпизодически под влиянием каких-то факторов, – рассуждает Дрозд. – Например, после введения санкций стало сложнее выводить деньги с банковских счетов, но мошенники пересобирают схемы, и это постоянная игра наперегонки». В ближайшие годы интерес к теме кибербезопасности не упадет. Этому способствуют новые указы и поправки в законопроектах, убежден Дрозд. Предполагается масштабная перестройка IT-инфраструктуры и отделов информационной безопасности, отмечает он. Характер атак изменился. Они стали более целевые, сложные и структурированные


Дeфицит cпeциaлиcтoв По словам Антонова, со стороны бизнеса в разы вырос запрос на поиск профессионалов по кибербезопасности, поскольку многие компании стали выделять блоки ИБ из IT, формируя отдельные департаменты. Толчком к этому стал вступивший в силу указ президента РФ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», согласно которому многие компании обязаны теперь создавать подразделения по информационной безопасности. Еще один документ – постановление правительства РФ №1272 – предписывает, чтобы в определенном перечне организаций и в органах власти у руководителя отдела по информационной безопасности были заместители.

Всплеск востребованности специалистов на рынке ИБ обусловлен также тем, что у российских производителей средств защиты информации в разы возрос спрос на их продукцию, говорит Анатолий Курюмов, гендиректор компании «Ракета» (работает в сегменте бизнес-тревела). Но проблема в том, что в России профессионалов в этой области можно пересчитать по пальцам.

«По данным наших исследований, в 2020 году подразделения по защите информации не было в 60% российских компаний, – говорит Дрозд. – В 2021 году треть частных организаций заявляла об острой нехватке кадров в этой сфере, более половины госкомпаний также нуждались в профессионалах и средствах информационной безопасности». По его словам, такая ситуация сложилась потому, что организаций, готовых вкладываться в безопасность, было мало, и специалисты, как следствие, не видели перспектив развития в этом направлении.

«Нам известны случаи, когда поиски специалистов в департаменты по ИБ затягивались на два месяца», – замечает Курюмов. «Текущий спрос на специалистов по кибербезопасности рынок труда удовлетворить не в силах. Мы ощущаем дефицит на уровне 30% от реальных потребностей бизнеса, – говорит Антонов. – Главная причина – невысокая популярность темы кибербезопасности по сравнению с разработкой или инфраструктурой, а соответственно и уровень зарплат в данной сфере ниже. Даже те, кто обучался в университете по программе информационной безопасности, предпочитает переучиваться и развиваться в более востребованных направлениях. Рост спроса на специалистов в сфере ИБ произошел в моменте и очень резко, когда практически никто к этому не был готов».

Kaк peшaют вoпpoc кaдpoв «Запрос на таланты в ИБ велик и постоянно растет, – признает Усова из Лаборатории Касперского. – Несмотря на общий интерес к IT-сфере, образовательная система не всегда поспевает за растущими потребностями рынка. Больше всего ощущается нехватка специалистов экспертного уровня. Junior- и middle-специалисты в целом есть, а продвинутых экспертов не так много. К тому же в целом наблюдается дефицит специалистов в сфере исследований в области ИБ или, например, вирусного анализа». По ее словам, многие компании сами активно участвуют в процессе подготовки специалистов: интегрируют стажировки и курсы в процесс обучения в вузах, стремятся предоставлять выпускникам рабочие места. В Лаборатории Касперского, к примеру, много сотрудников в области ИБ, которые пришли на стажировку и перешли в штат после ее окончания, говорит Усова.Сейчас актуально создавать отечественные аналоги всех иностранных решений.


Kaкиe peшeния ceйчac aктyaльны Если анализировать наиболее частые инциденты, то для защиты внешнего периметра актуальны решения от DDoS-атак (атак на IT-инфраструктуру и клиентские сервисы, что в результате приводит к их отказу, временной недоступности). Также необходимы различные системы обнаружения вторжений, системы для управления уязвимостями, замечает Дрозд. Высок спрос и на SIEM-системы, которые позволяют агрегировать информацию по всей IT-инфраструктуре, выявлять ложные атаки, а также понимать – в одно действие идет атака или нет. Для защиты от внутренних угроз актуальны DLP- и DCAP-системы, продолжает эксперт. Первые защищают организацию от утечек данных, а вторые помогают обнаружить критические для бизнеса данные и выявить, кто имеет к ним доступ и как их использует. «За последние месяцы было несколько больших сливов баз пользователей у Яндекса, СДЭК, Почты России, Сбера, отсюда высокий спрос на DLP-решения», – соглашается Антонов. «Сейчас актуально создавать отечественные аналоги всех иностранных решений, – говорит Курюмов. – Данная проблема достаточно остро стоит в области межсетевого экранирования, защиты веб-приложений и защиты почты».

«Для государственных компаний и крупного бизнеса одно из приоритетных направлений сегодня – построение собственных ситуационных центров управления информационной безопасностью (SOC), – утверждает Антонов. – Это комплексный подход для автоматизации процессов, связанных с управлением инцидентами в области информационной безопасности».

«Кибератакам теперь подвержены компании практически из всех сфер экономики независимо от их размера, – замечает Усова. – И ландшафт киберугроз представлен полной палитрой: сложные целевые атаки, DDoS, социальная инженерия, шифровальщики. Поэтому для защиты бизнеса актуальна вся линейка решений: системы противодействия целевым атакам, защита от целевых атак, противодействие DDoS-­атакам, SIEM-системы, образовательные сервисы в сфере ИБ, управляемая киберзащита, решения для промышленной кибербезопасности, сервисы Threat Intelligence, услуги по расследованию кибер­инцидентов».

Kaкиe poccийcкиe peшeния ecть нa pынкe На отечественном рынке немало решений для информационной безопасности – антивирусное ПО, системы IDS/IPS, SOC-системы, DLP-, DCAP-, SIEM-решения и другие, перечисляет Дрозд. «В каталоге совместимости российского программного обеспечения собран перечень иностранных систем, которые можно заменить российскими, – рассказывает он. – Из этого списка видно, что особого дефицита по какому-то классу защитных решений в России нет».

В области межсетевого экранирования лидирующие позиции занимает компания UserGate, а в области защиты почты основной игрок рынка – Лаборатория Касперского, отмечает Курюмов.

Kaк пpaвильнo внeдpять Многие программы по информационной безопасности – сложные комплексные продукты. Их обязательно нужно тестировать, учитывая конкретные задачи, инфраструктуру и даже квалификацию ИБ-специалиста, уточняет Дрозд: «Важно разворачивать тест максимально широко, чтобы понять реальные потребности ПО к „железу“ и увидеть, насколько приемлемую нагрузку оно дает, иначе это способно стать неприятным открытием уже в процессе „боевой“ эксплуатации. Кроме того, вы увидите функциональные ограничения, выявите то, что вендор забыл сказать во время продажи. Что для корректной работы, скажем, нужно докупить какой-то компонент. Программа также может конфликтовать с другими элементами IT-инфраструктуры. Если не выявить эти моменты на этапе теста, в лучшем случае клиенту придется дополнительно потратиться, а в худшем он просто не сможет пользоваться купленным продуктом. Разум­нее всего брать на тест несколько решений, чтобы найти действительно „свою“ систему».

«Можно выделить два способа обес­печения информационной безопасности – business continuity, то есть непрерывность бизнеса, и защиту информации, – рассуждает Андрей Кельманзон, управляющий партнер сегмента „Аутсорсинг и сервисы“ компании IBS. – Если говорить о первом, то небольшим организациям обычно нет смысла разрабатывать и внедрять специальные планы по обеспечению непрерывности, а вот для крупного бизнеса даже час простоя чреват серьезными убытками. Второй способ – защита информации –предполагает полное закрытие внутреннего информационного периметра, то есть ограничение к доступу в зависимости от типа данных, критериев их использования и т. д. В текущей геополитической ситуации этот способ приобретает особую актуальность». Любой подход к обеспечению информационной безопасности должен осуществляться исходя из задач и внешней модели угроз, то есть после определения, что может случиться и как это повлияет на бизнес, продолжает эксперт: «Например, экономическая информация в этом смысле никак не отличается от любой другой. Как правило, сети соединений защищены, трафик, передаваемый по каналам, зашифрован. А если компании по каким-то причинам все же нужно обезопасить именно эту информацию, то необходимо выделить ее в некотором потоке данных, передаваемых через носители каналов связи. Технический уровень такой задачи сложный, но решаемый. Также следует иметь в виду, что угрозы больше связаны с людьми, чем с каналом или техническими решениями. Поэтому к вопросам обеспечения безопасности данных надо подключать внутренние службы безопасности, HR-отделы и другие структуры, работающие с кадрами».

Следует иметь в виду, что угрозы кибербезопасности больше связаны с людьми, чем с каналом или техническими решениями«Учитывая возросшее число атак, их сложность и многовекторность, один из главных принципов информационной безопасности сегодня – комплексная защита всей IT-инфраструктуры, – замечает Усова. – Современный комплексный подход предполагает в том числе высокую степень синхронизации всех защитных решений и удобное управление системой кибербезопасности. Реализовать такой подход позволяют современные XDR-решения, которые содержат набор всех необходимых продуктов для защиты от самых сложных атак». Вопрос построения комплексной системы кибербезопасности особенно актуален в свете ухода иностранных поставщиков решений из России. «Их продукты перестали работать либо стали неэффективны из-за отсутствия обновлений и поддержки. В результате некоторые компании вынуждены срочно искать замену „выпавшим“ решениям и перестраивать систему защиты, выбирая поставщиков, которые могут обеспечить стабильную работу своих продуктов и, как следствие, способствовать устойчивости бизнеса компании», – заключает Усова.