Информационная безопасность: итоги 2022 года

Итоги 2022 года в индустрии кибербезопасности подводит директор по стратегическому развитию компании Innostage Андрей Тимошенко.

Андрей ТимошенкоТермин «кибербезопасность» стал знаком не только специалистам. О ней активно говорят в прессе и даже в «светских» беседах. Думаю, что это не случайно. 2022 год радикально изменил ситуацию в индустрии информационной безопасности и сделал ее не только отраслевым явлением, но и значимым фактором в жизни государства. Явления в сфере ИБ, которые мы наблюдали в ушедшем году, актуальны для всех, — и отрасли, и бизнеса, и системы госуправления, и для обычных граждан.

Киберугрозы

В 2022 году произошли ощутимые изменения в глобальной среде киберпреступности в отношении РФ. Можно констатировать, что теперь мы имеем дело не с отдельными хакерскими группировками, а со сплоченным преступным киберсообществом со своей иерархией, которое действует против организаций нашей страны. Их участники сотрудничают друг с другом, тщательно планируют совместные действия и осуществляют нападения. Это позволяет киберпреступникам применять максимально широкий арсенал сложных технических средств и использовать результаты атак для последующих действий, к которым привлекаются иные группировки, специализирующиеся на том или ином типе хакерских активностей.

Можно говорить о том, что киберпреступное сообщество формирует своего рода военизированные структуры, подчиняющиеся единому командованию и действующие проактивно. Гораздо чаще стали использоваться бот-сети, в которых компьютеры «рядовых» участников передаются в управление лидерам группировок.

За прошедший год хакеры явно показывали специализацию на различных аспектах или типах атак. Это позволяет им организовать своего рода конвейер, когда одна группа, получив информацию в результате проникновения в периметр организации, передает ее другой группе, продолжающей нападение. В результате налаживается постоянное подключение к атакам новых участников, которые выполняют интересную и выгодную им часть работы и передают эстафету своим «коллегам».

О такой активности говорит увеличение числа инцидентов, в которых данные организаций-жертв уничтожаются и утрачиваются безвозвратно в результате взлома. Кроме того, все чаще хакеры стараются проводить компрометацию через третьих лиц, планомерно «перебирая» при попытках взлома крупной цели весь список ее контрагентов.

Еще одно важное изменение характера киберугроз — заметное расширение приоритетов в отраслях, интересующих хакеров. Помимо «традиционных» банков и производства, информационная безопасность которых была еще и сферой регулирования государственных органов, сегодня преступники активно атакуют крупные государственные компании с целью подрыва доверия путем компрометации и дальнейшей публикации данных, а также средства массовой информации, которые используются ими при организации информационных войн. Информационные атаки, распространение fake news – один из видов киберугроз, которые нацелены уже не только на отдельные организации или лица, а на все население страны. Они активно используются в политических целях и, скорее всего, их применение будет расширяться, поскольку они доказали свою эффективность.

Защита инфраструктур организаций

События этого года показали, что и во всей отрасли информационной безопасности, и в организации защиты предприятий и госучреждений существуют серьезные системные проблемы.

Подавляющее большинство зафиксированных киберинцидентов стали следствием неготовности систем защиты. Преступниками использовались такие банальные «дыры», как известные, но не закрытые уязвимости веб-сервисов, слабая парольная защита или теневые ИТ (ПО или устройства, не разрешенные к применению в компании, скрытно используемые сотрудниками для решения каких-либо задач или личных нужд, и неконтролируемые ИТ- и ИБ-службой).

При этом некоторые угрозы многими компаниями не воспринимались всерьез, но их игнорирование в итоге приводило к серьезным последствиям. Например, DDoS-атаки, которые изначально считались неопасными, надолго выводили из строя важные публичные сервисы организаций.

Сохраняется и такой недостаток ИБ в российских компаниях, как низкая скорость реагирования на инциденты. Происходит это из-за недостаточной подготовки кадров: на предприятии зачастую никто не знает, что делать в случае обнаружения хакерской атаки. Это явление связано с недостатком профильных специалистов или их компетенций.

Импортозамещение в сфере информационной безопасности

Уход с российского рынка большинства иностранных вендоров поставил многих заказчиков в тяжелое положение – они оказались без действенных средств защиты. Импортозамещение в сфере ИБ стало не просто необходимостью, а неотложной мерой. Важным следствием этих событий стал Указ Президента России №250, в соответствии с которым ряд организаций должны к 2025 году перейти полностью на российские решения.

В первом полугодии многие компании предпринимали экстренные меры для того, чтобы защитить свою инфраструктуру. Сегодня ситуация во многом стабилизировалась и переход на отечественные решения стал планомерным. Интересная деталь: некоторые заказчики предпочитают выбирать разработки не известных вендоров, а молодых компаний, отдавая им предпочтение из-за высокой скорости реакции, отзывчивости, готовности к доработке решений под конкретные запросы. Но, в любом случае, импортозамещение ИБ-решений будет продолжаться и даже нарастать, поскольку их разработка – процесс, мягко говоря, не быстрый и займет несколько лет. Более того, заметное влияние на импортозамещение ИБ-решений оказывает необходимость модернизации ИТ-инфраструктур в целом, в том числе по причине ухода иностранных ИТ-вендоров и их ИТ-продуктов или решений. В целом, организации не готовы сокращать бюджеты на переход на отечественные аналоги, понимая, насколько серьезны сейчас риски работы на иностранных ИТ- и ИБ-решениях.

Серьезной проблемой остается элементная база. Нехватка чипов и оборудования может помешать достижению целей по импортозамещению в ИБ. Для преодоления этих сложностей необходимо прорабатывать альтернативные каналы поставок и логистические цепочки. Полагаю, что эти меры могут оказаться действенными, — достаточно посмотреть на то, как автомобильный рынок насыщается продукцией китайского автопрома.

Неприятным явлением стало поведение некоторых заказчиков, которые завышают требования к отечественным решениям. Они ориентируются на функциональность западных аналогов и выдвигают условия, выполнить которые российские разработчики сегодня не могут. Таким предприятиям не останется иного выбора, нежели сфокусироваться на реально необходимой функциональности, отказавшись от избыточных на текущий момент требований. Заказчикам придется так или иначе умерить аппетиты, на время перейти на упрощенный функционал, а впоследствии активно взаимодействовать с вендором по доработке решений до необходимого уровня. При таком подходе работа по импортозамещению будет иметь успех.

Не могу не упомянуть и о рисках, связанных с тенденцией на консолидацию рынка, которая наметилась в последние месяцы. В долгосрочной перспективе доминирование на нем нескольких крупных компаний и даже монополизация некоторых сегментов могут привести к снижению качества ИБ-решений.

Потребности заказчиков

Сегодня главная проблема большинства организаций в области информационной безопасности – поиск средств для замены иностранных ИБ-решений на отечественные. Завершить этот процесс необходимо до 2025 года, и это совсем небольшой срок, в том числе и с точки зрения бюджетирования. Не могу говорить о ситуации на рынке в целом, но наши клиенты (а это – крупные предприятия, входящие в российский ТОП-200) резко увеличили затраты на информационную безопасность. Нельзя не отметить и еще одно важное изменение: теперь такие затраты они относят к критически важным, чего раньше не было.

Мы наблюдаем значительный рост спроса на услуги Центра противодействия киберугрозам (ЦПК или SOC, Security Operations Center). Он связан с нехваткой ИБ-специалистов и компетенций, а также с ростом количества кибератак, которые к тому же имеют тенденцию к усложнению. При этом заказчики ждут от ЦПК не просто средств защиты и услуг мониторинга безопасности, а комплексного обеспечения цифровой устойчивости. Значительно возросло число запросов на услуги по расследованию киберинцидентов и компьютерной криминалистике. Почти каждую неделю мы получаем их как от наших клиентов, так и от тех компаний, кто ими еще не является.

Резкий, но неравномерный рост спроса наблюдается во всех сегментах рынка информационной безопасности. Он расширяется вследствие новых вызовов. При этом усиление конкуренции сегодня обусловлено в первую очередь наличием у игроков ИБ-сегмента необходимых компетенций. Поэтому далеко не каждая компания сегодня в состоянии адекватно реагировать на потребности заказчиков из-за нехватки необходимых компетенций в том или ином направлении кибербезопасности.

Рынок труда

Дефицит кадров – непреходящая ситуация на рынке труда в ИБ-индустрии. Ни ВУЗы, ни меры регуляторов не в состоянии решить эту проблему системно и оперативно.

Государство расширило квоты приема на бюджетные места по направлению «Информационная безопасность». Но студентов еще предстоит обучить, да и качество выпускников едва ли соответствует потребностям: они часто не имеют ни практического опыта, ни необходимых навыков. Компаниям, которые их нанимают, приходится серьезно инвестировать в развитие молодых сотрудников, чтобы вырастить из них компетентных специалистов.

Недостаток квалифицированных кадров ощущают и государственные органы. Существуют курсы профессиональной подготовки по направлению «Информационная безопасность», но это не решение проблемы: ни один руководитель не в состоянии найти в своем графике 512 часов, необходимых для прохождения такой программы.

В этих условиях необходимо менять подход к обучению ИБ-специалистов. Сегодня требуется тесное сотрудничество профильных компаний с университетами. Мы, к примеру, участвуем в программе по созданию в Татарстане Межвузовского центра кибербезопасности. Он формируется на базе четырех опорных вузов республики, планируется, что впоследствии участвовать в нем смогут и другие университеты страны. Студенты вузов будут отвечать за оперативное реагирование центра на киберинциденты, а преподаватели – сопровождать и контролировать их деятельность. Innostage при этом помогает создавать платформу и готовит методологию работы, а в определенных ситуациях к работе центра будут подключаться наши специалисты. Участие в работе Межвузовского центра кибербезопасности позволит студентам получить практический опыт и знания в области информационной безопасности, мониторинга и реагирования на киберугрозы. Более того, в вузе они смогут предотвращать реальные кибератаки и за счет этого получать опыт и компетенции еще во время обучения.

Если же говорить о кадровой ситуации в отрасли в целом, то стоит заметить, что компетенция российских ИБ-специалистов продолжает расти. Этому способствует активность российских вендоров и интеграторов, которые все чаще организуют и проводят киберучения для тренировки практических навыков противодействия угрозам.

Отдельно нужно отметить востребованность рынком специалистов по оперативному реагированию на киберугрозы. Их недостаток ощущают многие провайдеры услуг ЦПК (SOC).

При этом сфера ИБ в меньшей степени пострадала от оттока специалистов за рубеж. В Европе и США наши «ибэшники» часто ассоциируются с русскими хакерами или шпионами, что совсем не способствует их востребованности.

Роль государства

В 2022 году роль государства в сфере информационной безопасности значительно усилилась. Помимо Указа Президента России № 250, ведется активная работа по определению подходов к анализу защищенности, критичных информационных активов и недопустимых для организаций событий.

Важную роль в этом процессе стало играть Министерство цифрового развития. Нужно отдать должное его работе – Минцифры стремится сделать информационную безопасность более понятной для представителей бизнеса и призывает ИБ-отрасль начать разговаривать с бизнесом на одном языке.

Также нужно отметить важную идею — выработать понятные, адекватные и объективные критерии оценки защищенности организаций, которые позволят проводить адекватную оценку защищенности и управлять ею.

Что ждать в 2023 году

Многие эксперты, оценивая ситуацию в сфере информационной безопасности, говорят о начавшейся кибервойне. Думаю, эта оценка чрезмерна несмотря на то, что кибератаки происходят и их атрибуция, показывающая связи с иностранными спецслужбами, доступна. Пока их активность ограничена мониторингом ситуации и организацией деятельности хакеров-активистов.

Основным инструментом в полномасштабной кибервойне станут так называемые zero-day (0-day) уязвимости, о которых точно знают либо соответствующие ИТ-вендоры, либо спецслужбы. Началом послужит массовая передача этой информации в распоряжение хакерского сообщества. Вот тогда и начнутся акты реального и масштабного кибертерроризма. При этом жертвами станут все, в том числе и иностранные компании, которые используют то же самое ПО и подвержены тем же рискам.

Такой прогноз сегодня многим представляется маловероятным. В отрасли ИБ начинает проявляться тенденция самоуспокоения, мол, ничего страшного не произошло даже в условиях кибершторма 2022 года. Для тех, кто придерживается такой точки зрения, у меня плохая новость: пока еще это были слабые, банальные атаки. В ближайшем будущем мы можем столкнуться с серьезнейшими киберинцидентами и куда более существенным ущербом. Поэтому необходимо готовиться к «переходу красных линий» с соответствующими последствиями и серьезнейшими сценариями развития событий.

Если мы сможем выстоять в этих условиях, обеспечим независимость страны от иностранного ПО и ИБ-решений, то наш опыт станет востребован и многими другими странами. Уже сегодня зарубежные эксперты внимательно изучают опыт России, которая справляется с санкциями и внешним давлением. В следующие годы это даст нашим компаниям возможность выйти на международные рынки в качестве ведущих игроков, в особенности учитывая репутационные промахи западных компаний.

Информационная безопасность развивается в тесной связи с отраслью ИТ. Цифровизация, промышленный интернет вещей, искусственный интеллект, робототехника, управление и анализ больших данных, дополненная и виртуальная реальность — все эти ИТ-тренды тесно связаны с безопасностью.

Увеличение (или даже сохранение на прежнем уровне) активности хакерского сообщества станет поводом для усиления регулирования сферы ИБ со стороны государства. Эта ситуация потребует повышенного внимания не только со стороны властей, но и руководства бизнес-структур, и, как следствие, увеличения финансирования ИБ-проектов. Если же, чудом, хакеры снизят свою активность и интенсивность нападений на организации нашей страны, хотя это крайне маловероятно, то не исключаю, что мы вернемся к прежнему отношению к информационной безопасности, когда она не рассматривалась как приоритетное направление деятельности.

В любом случае, в 2023 году мы станем свидетелями заметных изменений в структуре российского рынка ИБ. Понять его конфигурацию можно будет только на дистанции, но уже можно утверждать точно: бюджеты заказчиков перераспределяются в пользу отечественных продуктов. И это – важнейший позитивный фактор, который будет способствовать и развитию рынка, и повышению уровня российской отрасли информационной безопасности.

738
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.