Подписаться
Читать в телеграм
«Сезон охоты на русские информсистемы»
Дата публикации:
18.10.2022
Посетителей:
748
Просмотров:
681
Время просмотра:
2.3
Почему кризис в первую очередь ударит по малому и среднему бизнесу?
Сколько лет понадобится, чтобы допилить отечественные ИБ-решения?
Почему деревянный софт — не главная проблема российского рынка?
Раньше атаки случались раз в полгода, теперь всех атакуют почти каждый день. С одной стороны, это новая реальность, с другой — ИБ-специалисты давно предупреждали о чем-то подобном: «Интернет, опасность цифровых сервисов, кругом враги…» Летом 2022 г. объяснять, что такое информационная безопасность, уже не нужно.
Главный тренд — импортозамещение, хотя мне больше нравится понятие «импортонезависимость». При импортозамещении (как я понимаю этот термин) компания полностью переходит на отечественные решения. Импортонезависимость же подразумевает, что зарубежные сервисы тоже используются, но в целом бизнес не может пострадать от обострения политической ситуации. Для отечественных ИБ-вендоров это большое окно возможностей, другой вопрос, смогут ли они им воспользоваться.
Я не понимаю надежд, которые все возлагают на китайский рынок. Китай соблюдает санкции против нас честнее всех в мире.
Парадокс: у крупных компаний все будет хорошо, а у небольших станет заметно хуже. Первые осознают важность информационной безопасности и готовы в нее инвестировать. А малые и средние компании, понимая стоимость ИБ, просто забивают на этот вопрос. Если не хватает денег на полноценную DDoS-защиту, зачем вообще ее покупать? Положат сайт, и черт с ним. Тем более, отдельных тарифов для этого сегмента клиентов у российских ИБ-компаний нет.
Главные угрозы исходят не от цифрового мира, а от физической реальности. Сейчас повсеместно используются DDoS и дефейсы, но в долгосрочной перспективе опаснее другое — нам не на чем будет запускать имеющиеся средства защиты. Если будет эскалация, кризис может усугубиться: самый простой пример «апокалипсиса» — резкое окирпичивание телефонов (пока крайне маловероятно). Некоторые эксперты считают реальной угрозу внедрения закладок от иностранных вендоров, но на данный момент она, как мне кажется, неактуальна. Рекомендациям в духе «не обновляйтесь» лучше не следовать. Я исхожу из тезиса, что все закладки, которые наши потенциальные противники хотели бы заложить, уже давно были заложены. С другой стороны, в решениях с открытым кодом такое вполне можно встретить уже сейчас, и вот здесь нужно быть начеку.
APT-атаки тоже случаются почти каждый день, и в ближайшее время их станет больше. Но ущерб будет не так страшен, как все предполагают. Главный риск в том, что компании, которые сейчас успешно отбиваются от таргетированных атак, привыкнут к новой реальности и расслабятся. Тогда-то их и вскроют.
Уже есть кейсы, когда российские компании заявляли о вредительских действиях зарубежным регуляторам и регистраторам, на что им приходил ответ: «Мы не рассматриваем заявления из России». Это опасный прецедент, потому что он позволяет любому хакеру безопасно работать по зоне ru. Если обосновывать свои поступки политическими убеждениями, максимум, что тебе скажут: «Ай-ай-ай, больше не попадайся». К тому же из-за отсутствия связей с зарубежными коллегами снижается качество нашей киберразведки.
Любой хакер может безопасно работать по зоне ru.
Деревянные решения будут допиливать два года
В России достаточно собственных средств ИБ-защиты. Но для компаний, которые плотно сидели на решениях западных вендоров, переход выльется в большие траты. Учитывая кризис, не очень понятно, откуда сейчас взять три годовых ИБ-бюджета.
Учитывая кризис, не очень понятно, откуда сейчас взять три годовых ИБ-бюджета.
90% отечественных решений нуждаются в доработке. Во-первых, у российских вендоров нет опыта работы с крупным Enterprise. Туда было сложно попасть с сырыми решениями, а когда рынок наших средств защиты стал зрелым, сегмент уже оккупировали западные вендоры. Во-вторых, отечественные средства защиты в части администрирования, UX и интерфейсов банально уступают зарубежным. В-третьих, существенная часть российского ИБ-рынка была ориентирована на госзаказчиков: там важны не функциональные фишки, а комплаенс, выполнение требований ФСТЭК, ФСБ и соответствие ГОСТ. Поэтому теперь, когда наши вендоры выходят на рынок со своими «деревянными» решениями (функциональными, не спорю, но деревянными!) и пытаются их продать, у участников это вызывает отторжение. Причем как у ИТ- и ИБ-сотрудников, так и у конечных пользователей.
Один российский производитель признался мне: «Мы и не знали, что бывают сети на 30 000 человек, у нас таких клиентов не было».
Качественные отечественные решения есть. Это антивирусы, системы XDR (Extended Detection and Response), анализаторы сетевого трафика, средства защиты от DDoS, сканеры безопасности. Еще у нас неплохие системы обнаружения вторжений и межсетевые экраны. Отечественные SIEM я бы тоже назвал хорошими, но любой SIEM нужно допиливать под запросы конкретного бизнеса. IdM-системы пока находятся в зачаточном состоянии, как и средства защиты мобильных устройств. Кроме того, у нас мало экосистем безопасности: построить моновендорный ландшафт не получится, придется общаться сразу с несколькими производителями и настраивать все вручную.
Основные проблемы связаны с аппаратной базой. С железом у нас все плохо, поэтому даже если будет софт, его просто не на чем будет запускать, и нет чипов, способных обрабатывать трафик.
Доработка российского софта (разработка, итерации, обратная связь) займет как минимум два года. За это время клиенты перестанут испытывать боль от использования отечественных решений. Но дальше, опять же, встанет вопрос: «На чем этот софт будет работать?». Если кризис продержится два года, имеющаяся в России аппаратная база сильно деградирует, в лучшем случае появится адекватная элементная база. Как решить эту проблему? Серый импорт через арабские и азиатские страны. Но позволить себе что-то подобное сможет только крупный бизнес.
Ждем рост зарплат
ИБ-кадры уезжают: кто-то по политическим причинам, кого-то релоцируют западные компании. Если людей еще не релоцировали, это не значит, что бизнес не занимается этим прямо сейчас. Может быть, человек уже потихоньку пакует вещи, продает активы и к концу года планирует жить в другой стране. Поэтому «дорогие» эксперты, от которых западные вендоры не готовы отказываться, сейчас стали еще дороже.
В то же время есть много ИБ-специалистов, которые по идеологическим причинам остаются в России — они хотят обеспечивать безопасность страны. Почему — не знаю (когда я учился на безопасника, с нами политработы никакой не проводили:) ), думаю, это флёр профессии. На рынке много специалистов, которые ушли из западных компаний, так что российским вендорам есть из кого выбирать. А вот бизнесу, учитывая надвигающийся экономический кризис, раздувать штат не хочется.
Сложность в том, что ИБ-отрасль регулярно пополнялась за счет ИТ-специалистов. Сейчас в ИТ идет отток персонала, снижается «кормовая база», соответственно, сокращается и количество будущих ИБ-экспертов. Разработчиков ИБ-решений точно не будет хватать, их уже не хватает даже в ИТ. А уровень джунов, которые в ближайшие два года будут выходить на рынок, скорее всего, упадет.
Каких именно ИБ-специалистов не хватает? Всех! Думаю, в ближайшее время никто не будет интересоваться бумажной безопасностью (хотя для выполнения некоторых принятых законов, наоборот, потребуется огромное количество «фиктивных» безопасников). Также в крупных компаниях сократится набор специалистов начального уровня, потому что бизнес решил затаиться — ждет стабилизации обстановки. Но осенью начнется новый виток битвы за таланты: офферы, контрофферы, удержания, а значит, и новый рост уровня зарплат.
Где искать кадры? Не знаю... Чтобы вузы начали готовить хороших, технически подкованных джунов, должно пройти лет пять. При этом вся ИБ-отрасль должна вкладываться в систему образования, по-хорошему, здесь необходима ассоциация вендоров. Но такого не будет, потому что все хотят решать исключительно свои кадровые проблемы — чтобы специалисты приходили в конкретную компанию, а не просто на рынок.
Недоверие к западным вендорам и полумонопольный рынок
Вернуться в мир, который существовал в начале февраля, мы не сможем. Крупный мультинациональный бизнес, изолировав российские активы, может попробовать выйти на международный рынок. Я знаю примеры, когда российские компании в марте продали права зарубежным дочкам: теперь они пользуются западным софтом и контрактами поддержки, а управляются из России. Но есть и те, кто просто сидит и ждет, «когда все закончится». Даже если все закончится завтра, прежнего доверия к западным вендорам уже не будет. Соответственно, не будет и такого количества зарубежных решений — моновендорных сетей, систем защиты и т. д. Чтобы поддерживать новую ИБ-архитектуру на российских решения, банально понадобится больше людей.
Один из ключевых вызовов, которые встанут перед отраслью, — эрозия знаний. ИБ всегда строилась на обмене данными о проблемах и уязвимостях. Сейчас людей травят за то, что они выступают на профильных конференциях и якобы защищают одну из сторон — это убивает желание обмениваться знаниями. Закрытое российское комьюнити начинает вариться в самом себе. Сейчас руководителям нужно прикладывать максимум усилий, чтобы выбивать для сотрудников возможность учиться по западным материалам. Важно поддерживать их насмотренность.
Нас ждет полумонопольный рынок. В ближайшие годы отрасль консолидируется, в каждой нише будет 2–3 доминирующих игрока, а новые компании практически перестанут появляться. Сможем ли мы с этим справиться и как решить эту проблему — пока непонятно.
Все идет к тому, что безопасность продолжит дорожать. Хотя вендоры обещали, что она будет дешеветь, почему-то этого не происходит. С острой фазой кризиса ИБ-отрасль уже справилась: умные машины не таранят дома, электростанции работают, промышленные компании тоже. Но сможем ли мы добиться отмены сезона охоты на русские информсистемы? Пока мировая кибербезопасность поставила нас вне закона.
С острой фазой кризиса ИБ-отрасль уже справилась: умные машины не таранят дома, электростанции работают, промышленные компании тоже.
