Круглый стол: «Лаборатория Касперского», Positive Technologies, R-Vision, Group-IB, UserGate и «Гарда Технологии» об изменениях в ИБ-отрасли

«Угрозы сейчас развиваются быстрее, чем подходы к защите информации.»

Дмитрий Волков

Максим Филиппов: Первое, с чем столкнулась индустрия, — острая необходимость импортозамещения, быстрой и последовательной замены иностранных решений. Вендоры покидали рынок по-разному: чьи-то продукты просто перестали работать, другие поставили на стоп обновления, третьи отключили техподдержку. В связи с их уходом освободился сегмент объемом примерно в 80 млрд рублей.

Второй момент — рост киберпреступности и общей агрессивности киберсреды. Эксперты отмечают взрывное увеличение угроз за последние полгода — их стало в десятки раз больше. По нашим данным, только в первом квартале 2022 г. число атак выросло на 14,8% по сравнению с 4-м кварталом 2021-го. Чаще всего нападениям подвергались государственные и медицинские учреждения, промышленные предприятия. Есть и изменения — в пятерке самых атакуемых отраслей оказались СМИ. Также выросло число атак без привязки к отрасли экономики — с 18 до 23%. Во второй половине квартала проводились множественные атаки на веб-ресурсы — их доля выросла до 22% (по сравнению с 13% в прошлом квартале). Увеличился процент атак, связанных с компрометацией и подбором учетных данных пользователей. В основном они проводились на веб-ресурсы и аккаунты компаний в соцсетях. Что важно: сегодня хакеры атакуют даже те отрасли, которые прежде их не интересовали, к примеру, те же медиа. 

«В связи с уходом зарубежных вендоров освободился сегмент рынка объемом примерно в 80 млрд рублей.»

Максим Филиппов

Александр Бондаренко: Откровений не будет, основная перемена очевидна — уход западных производителей. И все это на фоне роста количества атак. Причем зачастую хакеров мотивирует уже не финансовая выгода, а политические или личные убеждения. Так было и раньше, просто в конце февраля хакеры всех мастей резко «нажали на газ», и этот процесс стремительно ускорился.

«В конце февраля хакеры всех мастей резко «нажали на газ», и количество атак стремительно возросло.»

Александр Бондаренко

Дмитрий Курашев: Не буду спорить, атаки правда стали более направленными, многоходовыми и сложными, поэтому риски растут. Чтобы этому противостоять, бизнесу нужно не просто использовать средства защиты, а пересмотреть саму концепцию информационной безопасности. Во-первых, проанализировать «используемость» ИБ-решений и проверить, что через пару месяцев они не превратятся в кирпичи. Во-вторых, переходить на сервисы, которые не полностью контролируются западными странами. Плюс остаются риски, связанные с Open Source, но о них я уже говорил. 

Михаил Савельев: Мы наблюдали массированные волны DDoS, фишинга и других не очень сложных атак в сочетании с отключением обновлений зарубежных средств защиты и прочего ПО. Что могло незаметно пройти под таким «прикрытием», можно только предполагать. Нельзя сбрасывать со счетов возможность массового проникновения злоумышленников в наши инфраструктуры для разведки или нанесения сокрушительного удара в любой момент. Под прикрытием политическими мотивами наверняка активизировались и криминальные группировки. В этой ситуации необходимо предельно внимательно относиться к любым аномалиям в информационных системах. 

«Нельзя сбрасывать со счетов возможность массового проникновения злоумышленников в наши инфраструктуры для разведки или нанесения сокрушительного удара в определенный момент.»

Михаил Савельев

Иван Вассунов: Целевые атаки — действительно серьезная проблема. И речь не только про APT и группировки, которые считаются связанными со спецслужбами других государств. Рынок киберпреступности в последние годы заметно эволюционировал, на нем выделились специализированные роли, к примеру, брокеры доступа, продающие данные для проникновения в сети организаций. Такой доступ покупают другие злоумышленники, например, распространяющие шифровальщиков. Это в разы упрощает и ускоряет проведение атак для них.

Не так давно мы опубликовали подробное исследование по техникам и тактикам, которые используют группировки с шифровальщиками. Материал с набором рекомендаций и правил обнаружения позволит организациям лучше подготовиться к возможным атакам. Причем число инцидентов продолжает расти. По данным Kaspersky Security Network, во II квартале 2022 г. количество российских пользователей наших B2B-решений, у которых были обнаружены шифровальщики, выросло почти вдвое по сравнению с I кварталом.

Помимо финансово мотивированных киберпреступников, к атакам на российские организации присоединилось множество хакерских групп и различных хактивистов. Атакам подверглись и те компании, которые считали, что они не интересны злоумышленникам. Так, согласно данным Kaspersky Managed Detection and Response, за первые пять месяцев 2022 года количество атак на СМИ увеличилось в три раза, а на государственный сектор — в 10 раз. 

В качестве векторов атаки применялись как эксплуатация уязвимостей в сетевых сервисах и приложениях, так и излюбленные злоумышленниками письма с вредоносными вложениями. Только недавно мы сообщали о рассылках от имени сотрудников различных министерств, целью которых были российские государственные организации и ведомства.

Александр Бондаренко: APT расшифровывается как Advanced Persistent Threat — целевая продолжительная атака. Все происходящее сейчас отлично укладывается в этот термин. Российские компании атакуют по разным причинам, в том числе политическим. К примеру, известны случаи, когда сотрудники компаний получали письма от злоумышленников примерно следующего содержания: «Если сочувствуете народу соседнего государства, сообщите нам свои учетные данные для подключения к инфраструктуре компании, а все остальное мы сделаем сами». Понятно, что в ходе расследования факт передачи учетных записей и, фактически, соучастия в преступлении, скорее всего, раскрылся бы, но такие ситуации в любом случае серьезно осложняют ландшафт текущих угроз.

Что касается методов и технологий нападения, ничего принципиально нового не появилось. Это просто массированная атака всеми возможными методами.

«Сотрудники российских компаний получали письма от злоумышленников примерно следующего содержания: «Если сочувствуете народу соседнего государства, сообщите нам свой логин и пароль, а все остальное мы сделаем сами».»

Александр Бондаренко

Максим Филиппов: Сейчас вероятность APT кратно возрастает из-за пристального внимания хакеров к RU-сегменту интернета. К сожалению, Россия стала легальной целью для злоумышленников со всего мира. Хакеры постоянно находятся в поиске лазеек, объединяются и делятся находками, что повышает риски взлома.

Мы фиксируем повышенную активность некоторых групп, которые традиционно атакуют российские компании. Причем хакеры применяют как классические методы атак (фишинг), так и новые. Например, эксплуатируют свежие уязвимости Microsoft Office. В основном речь идет об уже известных нам группировках, однако встречаются и новые. Например, одна такая команда эффективно использовала социальную инженерию в фишинге. Группа зарегистрировала домен, очень похожий на ресурс атакуемой компании из авиационной отрасли, и проводила с него рассылку по партнерам жертвы. На самом домене располагались полная копия оригинального сайта и вредоносная страница, на которую вела ссылка в письме. Попадая туда, пользователь видел текст, который мотивировал скачать и запустить вредоносный файл. Атака была хорошо спланирована и оказалась успешной — один из сотрудников все же попался на фишинг. К счастью, хакерам не удалось ее развить, поскольку действия злоумышленников выявили средства защиты.

Дмитрий Волков: APT-атаки участились, но это только цветочки. Как говорилось в старом хорроре: «Плохо было в пятницу 13-го, но еще хуже будет в субботу 14-го». Злоумышленники уже ломают сети, но к активным действиям пока не перешли — ждут определенного момента. Это отличный шанс для всей отрасли: нужно готовиться прямо сейчас, не терять времени и не строить долгие планы. Главная особенность APT в том, что в большинстве случаев они незаметны. Среднестатистические хакеры, у которых не так уж много компетенций, средств и технических возможностей, уже успешно атакуют российские компании. Понемногу сливают данные, взламывают инфраструктуру, вносят изменения в конфигурацию устройств. При этом я уверен, что если более опытным злоумышленникам поступит поручение начать настоящий хаос на российских предприятиях и объектах КИИ, он немедленно начнется. Надеюсь, это все же не случится.

Александр Бондаренко: APT расшифровывается как Advanced Persistent Threat — целевая продолжительная атака. Все происходящее сейчас отлично укладывается в этот термин. Российские компании атакуют по разным причинам, в том числе политическим. К примеру, известны случаи, когда сотрудники компаний получали письма от злоумышленников примерно следующего содержания: «Если сочувствуете народу соседнего государства, сообщите нам свои учетные данные для подключения к инфраструктуре компании, а все остальное мы сделаем сами». Понятно, что в ходе расследования факт передачи учетных записей и, фактически, соучастия в преступлении, скорее всего, раскрылся бы, но такие ситуации в любом случае серьезно осложняют ландшафт текущих угроз.

Что касается методов и технологий нападения, ничего принципиально нового не появилось. Это просто массированная атака всеми возможными методами.

Александр Бондаренко: В определенный момент наши заказчики переключились на тушение локальных пожаров, особенно в части сетевой безопасности и SIEM, где серьезную долю рынка занимали зарубежные решения. К примеру, в области SOAR (Security Orchestration, Automation and Response) западных продуктов было не более 20%, поэтому уход вендоров не выглядел чем-то столь драматичным. 

Однако экстренно создавать аналоги зарубежных решений мне кажется неправильным. Качественные технологии кибербезопасности, особенно для крупных заказчиков, разрабатываются на протяжении длительного времени и требуют больших инвестиций. Если разрабатывать тот же SIEM с нуля… Скажем так, два года — это невероятно оптимистичный срок. Причем на выходе получится просто приемлемый продукт. Но за эти два года заказчики наверняка закроют свои потребности за счет решений других производителей или Open Source. Таким образом, наша продуктовая стратегия в свете последних событий не изменилась.

Иван Вассунов: В первую очередь потребовалось срочно закрыть ниши, которые остались после ухода иностранных игроков: SIEM, сетевой sandbox, решение для защиты почтовых систем и веб-трафика. Мы усилили эти направления в нашем продуктовом портфеле дополнительными инвестициями и ресурсами. Тем компаниям, которые столкнулись с проблемами планового обновления межсетевых экранов следующего поколения (NGFW), «Лаборатория Касперского» помогает поддерживать их в эффективном режиме благодаря поставкам данных об угрозах (дата-фидов) прямо в NGFW. Кроме того, мы запустили линейку решений Kaspersky Symphony, воплощающую системный подход к защите. 

Дмитрий Курашев: Не могу сказать, что весной мы делали что-то кардинально новое. Все, что мы разрабатываем и выпускаем, создается не меньше 10 лет, просто в марте–апреле заказчики намного пристальнее посмотрели на наши продукты. После ухода западных вендоров освободилось много ниш, но хорошие решения делаются долго. Мы не собираемся разрабатывать продукты за месяц и срочно занимать свободные места. План развития нашей экосистемы совершенно не изменился. 

Но перемены все же есть. Например, кратно увеличилась нагрузка на поддержку, потому что появилось громадное число новых пользователей. Кроме того, мы оперативно перенесли в Россию все технические ресурсы, которые хостились за рубежом. Это была сложная задача, которая заняла несколько недель. Также мы стали активнее предлагать UserGate по подписке. Раньше это направление развивалось медленно, соревноваться с зарубежными провайдерами было тяжело. Весной конкуренция снизилась, спрос на него начал расти.

«После ухода западных вендоров освободилось много ниш, но хорошие решения делаются долго. Мы не собираемся разрабатывать продукты за месяц и срочно занимать свободные места.»

Дмитрий Курашев

Максим Филиппов: Мы получаем множество обращений за помощью, лицензиями на наши продукты, консультациями и расследованием инцидентов. Почти все клиенты сообщают, что находятся под атакой. К примеру, только за март мы получили примерно столько же обращений за сервисами защиты, сколько за треть прошлого года. С точки зрения продуктов наибольшее число запросов приходится на оперативную поставку PT Application Firewall. Это объясняется тем, что продукт можно быстро развернуть, при этом в части защиты периметра он эффективен и против более серьезных атак, нежели банальные DDoS. Следом по частоте запросов идет система анализа трафика, предназначенная для выявления хакерских атак. Третья строчка в топе — SIEM-система, выявляющая инциденты в реальном времени. 

Михаил Савельев: В моменте подскочил спрос на системы защиты от DDoS. Причем со стороны как атакуемых организаций, которых интересовали локальные средства очистки «Скаут», так и провайдеров ИТ-услуг, приобретающих «Периметр». Также после волны утечек вырос спрос на средства защиты баз данных и NTA-решение «Монитор».

Дмитрий Волков: В последние месяцы мы действительно наблюдали повышенный спрос на решения по кибербезопасности со стороны финансовых учреждений, промышленных предприятий и ритейла. После ухода из России крупных американских и европейских вендоров компании в первую очередь оперативно меняли комплексы для защиты от целевых атак, анализаторы трафика, песочницы и агенты на рабочих станциях пользователей. В комплексе эти решения способны обеспечить защиту периметра от широкого спектра киберугроз. В качестве ответа на этот запрос в июне мы представили Group-IB Unified Risk Platform — единую платформу решений и сервисов для защиты от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Учитывая функционал «швейцарского ножа», Unified Risk Platform не имеет аналогов ни в России, ни за рубежом. 

Дмитрий Волков: Возможно, мы были готовы к нынешней ситуации лучше остальных, потому что нам не пришлось вообще ничего менять. Большая часть продуктов Group-IB может предоставляться в виде облачных сервисов (облачная инфраструктура для клиентов из России находится в РФ), так что мы не завязаны на поставки оборудования. Там, где железо необходимо, помогают партнеры. Да, работать стало чуть сложнее, потому что сроки поставок выросли, но это все еще решаемый вопрос. Если говорить о международном бизнесе, нынешняя ситуация никак на него не повлияла.

Дмитрий Курашев: Некоторые из наших зарубежных заказчиков банально не могут оплатить подписки, но мы ищем способы решения проблемы. С логистическими цепочками тоже разбираемся — все просто становится сложнее, дольше и дороже. Я думаю, что предметно анализировать эти процессы можно будет в конце года, когда ситуация станет яснее.

Что касается международных продаж: весной к нам стали чаще обращаться западные компании, в том числе из Великобритании и Франции. Дело в том, что российские подразделения зарубежных организаций в новых условиях должны пользоваться только отечественными продуктами. Соответственно, к нам пошли запросы из головных офисов, расположенных в Европе. 

Михаил Савельев: У нас партнерские отношения с производителем ИТ-оборудования Yadro — мы входим в один большой холдинг («Гарда Технологии» — часть «ИКС Холдинг» — прим. ред.). Поэтому доступ к необходимым аппаратным решениям у нас есть. Но отмечу, что многие клиенты при заключении контрактов стали просить гарантию, что железо будет поставлено к определенной дате. 

«Многие клиенты при заключении контрактов стали просить гарантию, что железо будет поставлено к определенной дате.»

Михаил Савельев

Иван Вассунов: Из-за сложностей с железом мы фокусируемся на том, чтобы решения «Лаборатории Касперского» могли работать на разных «хостингах». На оборудовании заказчиков, выделенных мощностях дата-центров или виртуальной инфраструктуре отечественных облачных провайдеров. Кроме того, многие российские компании переходят на Linux, поэтому мы ускорили часть роадмапа, чтобы наши Linux-продукты догнали Windows-платформы. 

Александр Бондаренко: Для нас этот вопрос лежит в двух плоскостях. Первая связана с клиентами, у которых большие сложности с железом. Из-за этого некоторые наши проекты приостановлены. Мы начинаем тестировать совместимость решений R-Vision с российскими процессорами, но пока это не мейнстрим. О таком подходе среди наших заказчиков задумываются единицы. 

Вторая плоскость связана с нами как с вендором. Зачастую в процессе работы мы так или иначе использовали зарубежные ИТ-инструменты. Таск-трекинговые системы, решения для управления кодом и проектирования интерфейсов, CI/CD-инструменты, мессенджеры. В большинстве случаев мы уже перешли на отечественные аналоги, и этот переход не был безболезненным.

Максим Филиппов: Мы нивелировали санкционные риски еще в прошлом году. Перестроили бизнес-процессы, обеспечили независимость от импортных компонентов. Этот опыт помог нам практически не заметить стресса, который испытал в этом году весь рынок. 

Что касается планов развития за рубежом, все регионы, которые мы выбрали в качестве фокусных (рынки стран Ближнего Востока, Юго-Восточной Азии и Южной Америки) доступны для российских решений и сейчас. Поэтому кардинально планы мы не меняем.

Михаил Савельев: Отечественные средства защиты традиционно считались «догоняющими» западные, хотя в некоторых областях мы предлагаем более передовые и производительные решения. Если сравнивать продукты не по отдельным «фичам», а по соответствию реальным потребностям заказчиков, можно с уверенностью сказать, что наши решения не отстают от зарубежных. Не вдаваясь в конкретику: наш продукт «Гарда БД» позволяет решать те же задачи, что и ушедшая Imperva. А система защиты от DDoS «Периметр», мягко говоря, не уступает «Arbor DDoS Protection Solutions». 

Александр Бондаренко: Если речь о большой компании, под нее нужно дорабатывать любые продукты — и отечественные, и западные. При этом зарубежные вендоры могут закрывать потребность клиента в конкретной фиче пару лет. А российские (особенно если это вендор средних размеров) реагируют гораздо быстрее. За счет этой гибкости мы, кстати, зачастую обходили иностранных конкурентов.

Иван Вассунов: Ответ сильно зависит от домена безопасности: сетевой, индустриальный, защита конечных точек или почты. Некоторые российские продукты точно не уступают иностранным, но в части сетевой и облачной безопасности отечественные вендоры пока отстают. Большинство наших продуктов по праву считаются конкурентными не только на российском, но и на международном рынке. Например, решения класса EDR и Threat Intelligence признаны одними из лучших в своих классах. Они получили признание международных аналитических агентств и протестированы независимыми лабораториями.

Дмитрий Волков: Здесь есть две проблемы. Первая — российские компании начали выводить на рынок сырые продукты, чтобы быстрее захватить освободившиеся ниши. Вторая — вынужденная изоляция. Для развития рынка нужна конкуренция с сильными игроками, иначе стимулов делать хороший продукт становится меньше.

Многие российские компании делают качественный софт, хотя некоторые направления все-таки нужно улучшать. Но давайте откровенно: зачастую заказчики сравнивают два продукта и выбирают тот, где шире функционал, а потом не пользуются большей частью возможностей. Важно, чтобы российские решения удовлетворяли реальным потребностям заказчиков, а не предоставляли набор фич.

Дмитрий Курашев: Согласен с тем, что зарубежные продукты тоже нуждаются в доработке — под нужды больших компаний необходимо допиливать любые системы. Но не стоит говорить «отечественные решения» — каждое нужно рассматривать отдельно. На рынке есть и хорошие, и крайне недобросовестные компании. Как подавляющее большинство российских вендоров создают свои продукты? Чаще всего неизвестная компания берет открытый код и силами двух разработчиков за пару месяцев меняет интерфейс системы. Продукт продается под видом российского, а на самом деле это открытый код с GitHub. Зачастую контрибуции связаны с локализацией, а в большинстве случаев там нет вообще ничего уникального. Такие кейсы подрывают веру в «отечественные решения», поэтому я против обобщений. 

Максим Филиппов: Указ Президента РФ от 1 мая 2022 г. определяет четкий срок — январь 2025 г., — когда в российских компаниях не должно остаться ИБ-решений из недружественных стран. Времени мало, но это реально. Безусловно, это вызов, и нам как отрасли нужно будет сильно измениться. Но у нас уже есть необходимый потенциал. Нужно понимать: Россия — одна из трех стран в мире, которая может построить собственную кибербезопасность и закрыть все ИБ-задачи собственными силами, стеком продуктов и технологий. 

Что касается необходимости доработки отечественных решений, здесь нужно говорить конкретными кейсами. Обсуждать потребности каждого клиента, обоснованность доработки и функциональные возможности продуктов. Мы часто видим запросы на функционал, которые обоснованы исключительно привычкой «делать именно так». За годы присутствия в инфраструктуре продукты (независимо от происхождения) формируют зависимость и привыкание. Причем и к интерфейсу, и к способам решения конкретных задач. И здесь важно понимать, что мы не хотим копировать системы западных производителей. Мы будем делать свои продукты, и точно будем делать их по-своему. К примеру, клиент привык, что ручка переключения коробки передач находится чуть ниже правого колена. А мы сделали ее на руле, и на самом деле так удобнее — вам просто нужно привыкнуть.

«Зачастую заказчики сравнивают два продукта и выбирают тот, где шире функционал, а потом не пользуются большей частью возможностей.»

Дмитрий Волков

Михаил Савельев: Это сложный вопрос, потому что мы не знаем, как политика повлияет на общественные организации. Спорт, к примеру, вроде должен быть вне политики, но FIFA выкинула российские футбольные команды из соревнований. Не останемся ли мы в какой-то момент без доступа к репозиториям? А что внутри массива кода, который там находится? Все эти нюансы, как минимум, нуждаются в проверке. А как максимум, нужно наращивать собственные компетенции для независимой разработки софта. 

Нам однозначно нужно двигаться в сторону суверенитета: разворачивать репозитории в России и обеспечивать прозрачность и доступность кода для анализа.

Александр Бондаренко: В головах многих людей живет тезис: «Open Source — это бесплатно». Но крупным заказчикам также важна поддержка решения. Поэтому они готовы платить за Red Hat, который по сути Open Source, но с саппортом. Так что платить придется в любом случае, неважно, открытый у вас код или закрытый. Ключевое отличие в том, что открытый код можно переписать под себя. Но при этом возникает вопрос: сколько отечественных компаний готовы развивать экспертизу для разработки ИБ-инструментов своими силами? Зачастую у некоторых из них не хватает ресурсов, даже чтобы закрыть потребности в части бизнес-решений. Можно, конечно, собрать отдельную команду ИБ-разработчиков: я видел такие кейсы, но редко — их можно пересчитать по пальцам. Если не планируете обтачивать Open Source самостоятельно, не имеет значения, возьмете вы решение с открытым кодом или коробочный продукт. Доработкой все равно будет заниматься другая компания.

Иван Вассунов: Массовый переход на Open Source несет скрытую угрозу. Установка решений из недоверенных источников ведет к рискам, связанным с закладками и работоспособностью этих систем. Ситуация улучшится, когда в России появится доверенный репозиторий с кодом/пакетами. При этом переход части рынка на решения с открытым кодом неизбежен, но большинство организаций смогут использовать только сертифицированные в России продукты, а ИБ-вендоры должны будут обеспечить безопасность Open Source: защищать от атак, задействующих решения на открытом коде, отслеживать уязвимости в них и т. д.

Максим Филиппов: Согласно статистике Red Hat, в США доля разработок с открытым кодом составляет 23%, в Китае — 10%, а в России — менее 1%. В целом тренд по использованию Open Source нарастает, но у нас он пока на стадии развития. У вендоров есть архаичные страхи, что код украдут, а Enterprise считает открытое ПО ненадежным. По большому счету, не так важно, Open Source у вас или проприетарное решение — оба могут быть некачественными. Open Source — это свойство бизнес-модели, которое никак не влияет на характеристики продукта.

Дмитрий Волков: Что касается вопроса компрометации открытого кода, мне кажется, проблема преувеличена. Не стоит забывать, что инфраструктуру коммерческого производителя тоже можно взломать и добавить в код бэкдор.

«Open Source — это свойство бизнес-модели, которое никак не влияет на характеристики продукта.»

Максим Филиппов

Дмитрий Волков: В ближайшее время голод обострится, потому что, по нашим данным, специалисты, которые уехали весной, в Россию не вернулись. Хороший выход — отдать часть задач на аутсорсинг. Но большинство российских компаний (и это меня удивляет) до сих пор не могут смириться с простой мыслью: экспертов на рынке не хватает. Вместо перехода на аутсорсинг они двигаются в обратную сторону и «прячут» все внутри компании. Это ментальная проблема, и в ближайшее время нам предстоит ее решать. Своих сил на все не хватит — это тупиковый путь.

Дмитрий Курашев: Кто-то и правда уезжает, но я бы не сказал, что это значительная часть специалистов. Мы ожидаем, что в ближайшее время на рынке появится много сотрудников из зарубежных компаний, ушедших из России. Сейчас они в фазе ожидания: часть вендоров официально не объявили о закрытии офисов, кого-то отправили в неоплачиваемый отпуск, кого-то уволили с 6-месячным парашютом. Думаю, в обозримом будущем число свободных senior-специалистов вырастет.

Добавлю, что сейчас на рынок выйдет множество людей, которые умеют работать с зарубежными решениями: сейлы, эксперты техподдержки, пресейл-специалисты, тренеры. Им нужно будет переучиваться, и здесь важно создать систему, которая поможет им стать полезными для бизнеса. 

Иван Вассунов: Я бы разделял рынки ИБ-специалистов и разработчиков. Нам, как ИБ-вендору, интересен последний, потому что нам нужно обеспечивать продуктовые роадмапы ресурсами. С начала года в этой части рынка стало больше людей, готовых сменить место работы. Если говорить про кадры именно в ИБ, дефицит уже ощущается. Не хватает широкого пула специалистов — от экспертов по мониторингу и реагированию до исследователей угроз. Более того, регуляторы провоцируют кадровый голод, потому что требуют от компаний усиления ИБ. Это автоматически ведет к расширению штата либо к необходимости пользоваться сервисами защиты от провайдеров и интеграторов — MDR и Managed SOC. В любом случае спрос на ИБ-экспертов вырастет, повысится важность обучения молодых специалистов. Это, в свою очередь, повлечет спрос на профессиональные ИБ-тренинги, а также на образовательные платформы для штатных сотрудников — для повышения их киберграмотности.

«Регуляторы провоцируют кадровый голод, потому что требуют от компаний усиления ИБ. Это автоматически ведет к расширению штата организаций.»

Иван Вассунов

Александр Бондаренко: Радикально в ситуации с кадрами ничего не изменилось, но в определенный момент рынок получил глоток воздуха за счет сотрудников, покинувших иностранных игроков. Так, несколько высококлассных специалистов из зарубежных компаний присоединились и к нашей команде. Но кажется, это ненадолго — скоро людей снова будет не хватать. При этом я не думаю, что спрос на специалистов по кибербезу резко вырастет. Борьба за таланты велась и до февраля этого года, местами даже достаточно ожесточенно. Может быть, сейчас все, наоборот, станет проще, потому что в гонке не будут участвовать зарубежные игроки с огромными бюджетами и зарплатами выше рынка. К тому же российские безопасники понимают, что устроиться на работу за рубежом не так-то просто. Это программисты пишут на универсальном языке, а ИБ-специалисту нужно выучить язык, стандарты, законодательные акты и нюансы рынка страны, куда он хочет релоцироваться.

Михаил Савельев: Нехватка ИБ-специалистов, которую уже давно оценивают как кадровую катастрофу, будет увеличиваться и приведет к удорожанию кадров. Особенно в условиях, когда они вдвойне необходимы. К сожалению, некоторую лепту в это вносит косность системы образования, которая продолжает делать упор на нормативку — просто в силу того, что реальные эксперты не могут и не успевают преподавать. Кроме того, в ситуации экстренного импортозамещения, которое наблюдается не только в ИБ, отрасли придется сражаться за каждого разработчика. 

Максим Филиппов: На рынке заметно явное расслоение. Крупные коммерческие компании, у которых остро стоит вопрос формирования ИБ-служб и SOC, выходят на рынок с новыми зарплатными условиями (в среднем з/п на 30% выше, чем в аналогичном периоде 2021 года). И ожидаемо, что все хантят людей друг у друга. Госкомпании, которые не менее заинтересованы в грамотных безопасниках, не могут так манипулировать зарплатными вилками, поэтому отстают в гонке за экспертизой. По большей части они вынуждены ориентироваться на начинающих специалистов, которых будут доучивать, либо брать «бумажных» экспертов.

Иван Вассунов: Есть тактические задачи, которые буквально горят. Помимо закрытия дыр, которые возникли из-за ухода западных игроков, заказчикам важно выполнять требования регуляторов — ФЗ № 187, приказ ФСТЭК № 239 и другие новые нормативы. К стратегии стоит переходить после того, как будут потушены пожары и компания будет уверена, что может защититься от актуальных угроз. Стратегически необходимо обеспечить комплексную защиту, построенную целиком на отечественных решениях, закрыв сценарии защиты под все векторы атак. Также необходимо нивелировать проблему нехватки ИБ-специалистов, сфокусировавшись на автоматизации ИБ-операций и повышении экспертизы команд.

Дмитрий Курашев: Соглашусь, сейчас важно устранить критичные угрозы: обеспечить безопасность ресурсов и проверить возможность отключения имеющихся продуктов. Мне кажется, на всех зарубежных ИБ-сервисах можно поставить крест. Грубо говоря, YouTube в России работает только по милости Google, от нас в этой ситуации ничего не зависит. Поэтому в первую очередь важно обезопасить себя от отключения всего, что могут отключить. Стратегией можно заниматься в более стабильной ситуации. Недавно нас привлекали к проекту, рассчитанному на 2025 год, и для меня это выглядит нелепо, ведь все вводные изменятся еще много раз.

Михаил Савельев: Компаниям нужно правильно расставить приоритеты, достичь взаимопонимания с ИТ-подразделениями и сконцентрироваться на мерах, которые позволят эффективно противодействовать кибератакам: взять под контроль потоки данных, соблюдать кибергигиену, повышать осведомленность сотрудников, проработать планы обеспечения непрерывности бизнеса.

Максим Филиппов: Чтобы бизнес не остановился, компаниям нужно предпринять ряд оперативных мер. Во-первых, проверить реальную защищенность организации и всех систем. Во-вторых, провести ретроспективное расследование на предмет старых взломов. В-третьих, заменить ключевые зарубежные средства защиты на конкурентоспособные отечественные (особенно это касается продуктов для защиты периметра и систем центров мониторинга ИБ). 

Что еще нужно сделать? Перевести обновление всего зарубежного ПО в ручной режим; отключить встроенные технологические учетные записи; создать резервные копии всех данных, особенно из облаков; усилить защиту и мониторинг критичных компонентов инфраструктуры; проверить весь сетевой периметр; остановить неиспользуемые сервисы и включить усиленную защиту (Anti-DDoS, Captcha, Web Application Firewall); взять под контроль сетевые соединения и отсекать те, которые могут быть опасны; уведомлять сотрудников об угрозах, в первую очередь ориентироваться на фишинг; принудительно сменить пароли всех учетных записей с соблюдением всех правил.

Александр Бондаренко: Россия — одна из немногих стран, где есть собственная сильная ИБ-отрасль. Поэтому я не думаю, что нужно делать какие-то революционные стратегические шаги. Процесс импортозамещения идет с 2014 года, все виды атак давно известны, компании постепенно развиваются. Единственная серьезная проблема — нехватка молодой крови. За последние пять лет у нас появилось столько же ИБ-компаний, сколько на американском рынке возникает за пару месяцев. Видимо, это историческая особенность: в России хорошо растут слоны, которые закрывают сразу много направлений. Новые прорывные идеи, как правило, появляются в стартапах, поэтому важно, чтобы они возникали как можно чаще.

Дмитрий Волков: Да, емкость российского ИБ-рынка не так велика, много вендоров здесь просто не выживет. А чем больше появляется разных административных барьеров — реестров и требований, — тем сложнее рождаться тем самым стартапам с прорывными идеями.

«YouTube в России работает только по милости Google, от нас в этой ситуации ничего не зависит.»

Дмитрий Курашев

Александр Бондаренко: Мне кажется, на роль ИБ сильнее повлияла пандемия, которая ускорила глобальную цифровизацию. Это был мощный сдвиг, который продолжается до сих пор. С другой стороны, предполагаю, что уход западных вендоров из России заставит другие страны задуматься. Нельзя зависеть от технологий, которые производятся в одном государстве. 

Михаил Савельев: Я бы не сказал, что роль ИБ изменилась, скорее, к бизнесу пришло осознание в ее необходимости. Кроме того, информационная безопасность наконец-то начала входить в число первостепенных вопросов и задач, возникающих при планировании новых процессов, сервисов и приложений.

Иван Вассунов: Сейчас роль безопасности критична. От производителей требуется реальная защита и снижение рисков, а не только по старинке «помочь достичь высоких показателей MTTR и MTTA». Нам нужно двигаться к полной кибериммунности и разрабатывать системы с врожденной защищенностью. Мы ждем, что кибериммунное будущее наступит уже через 2–4 года.

Дмитрий Курашев: Раньше ИБ была глобальной, а теперь идет обратный процесс. Каждое решение в первую очередь должно быть безопасным в конкретном регионе, а не во всем мире. Думаю, ИБ-комплексы будут создаваться с учетом особенностей определенной страны и региона. Деглобализация во всей красе.

Максим Филиппов: Этот год подстегнул всех озаботиться кибербезопасностью. И государство, и коммерческие компании, которые пока не попадают под регуляторные требования, уже строят планы по поддержке и развитию ИБ. Мы получаем очень много запросов от госсектора, сильно атакуют медицину и СМИ. В целом, под активным прессингом находятся компании, которые обрабатывают большой объем персональных данных россиян. 

Очевидно, что статус и значимость кибербезопасности существенно выросли. Сейчас ИБ попадает в зону внимания первых лиц: все убедились, к чему может привести ее отсутствие.

«Нам нужно двигаться к полной кибериммунности и разрабатывать системы с врожденной защищенностью.»

Иван Вассунов