RuSEIM
Публикации

Российский рынок ИБ глазами вендора

Интернет-портал it-world.com

Экспертная статья Максима Степченкова, совладельца компании RuSIEM

За последние полтора года понятие об информационной безопасности в России принципиально изменилось, а риски для компаний ощутимо возросли.

О том, какова ситуация на отечественном рынке сегодня, насколько активно идет процесс импортозамещения в ИТ-сфере, как изменились угрозы для компаний, и о кадровом голоде рассказал совладелец компании RuSIEM Максим Степченков.

Начиная с 2022 года многие зарубежные ИT-компании, в том числе из сферы кибербезопасности, ушли с рынка. В целом рынок российских решений ИБ всегда был впереди остальных отраслей с точки зрения импортонезависимости. Так что радикальных сдвигов здесь не случилось. Произошло замещение определенных продуктов западных производителей российскими, сам набор решений при этом практически не изменился. То, что рекомендовали компании год-два назад, они рекомендуют и сейчас, только акцент сместился в сторону более быстрого принятия решений, более оперативного запуска средств защиты информации и более комплексного подхода.

Сработало в том числе правильное технологическое позиционирование RuSIEM. Согласно нашим внутренним опросам, для 42% новых клиентов наш продукт стал «входным билетом» к применению SIEM-систем для обеспечения информационной безопасности. Конечно, внешние обстоятельства так или иначе повлияли на бизнес не только нашей компании, но и других разработчиков SIEM-систем. Один из важнейших факторов — постепенное усиление регуляторного давления, из-за которого утечки и взломы обходятся компаниям все дороже. Соответственно, растет востребованность SIEM-систем как класса продуктов.

Если же попытаться описать общее положение на рынке сегодня, то я бы оценил как его вакханалию. Я, конечно, пытаюсь отшутиться, но в каком-то смысле так и есть. Люди почувствовали, что имеется огромная свободная ниша, и побежали ее занимать: создадим еще множество новых межсетевых экранов, столько же SIEM и остальных продуктов и у нас все купят.
К счастью, заказчик не настолько глуп, он все-таки проводит тестирование, проверку. Но тем не менее можно говорить о подрыве рынка. Заказчики начинают тестировать одно, другое, третье решение, и у них складывается ощущение, что все российские разработки — это… ну, не очень, будем говорить так.
Что с этим можно было бы сделать? Устанавливать критерии качества, требовать обязательную сертификацию — неправильно. Будучи сторонником поддержки малого и среднего бизнеса, я всегда говорил, что мы должны поддерживать небольшие компании. С одной стороны, стоило бы оказывать поддержку каждому стартапу, потому что из каждого может вырасти что-то хорошее. С другой — один или несколько неудачных стартапов могут испортить отношение ко всему рынку. Требовать от компаний проходить тестирование после того, как они уже внедрили решения в десяти компаниях? Стартапу сложно набрать эти десять компаний. Требовать наличия сертификации тоже очень тяжело.
Поэтому я считаю, что в рамках крупных государственных организаций и инициатив было бы полезно не просто давать гранты на развитие проектов, но и выделять полигонные площадки для тестирования и получения оценок. Желательно, чтобы мы получали от какого-то ведомства — независимого, никем не ангажированного, — контроль качества в сфере ИТ, который выдавал бы оценки по некоему ГОСТу и говорил: система прошла тестирование, можно пилотировать у заказчиков. Пока этого не произойдет, отношение к российскому рынку останется негативным.

О переходе на отечественные ИТ-решения и процессе импортозамещения

С 1 января 2025 года использовать иностранное программное обеспечение на значимых объектах критической информационной инфраструктуры (КИИ) будет нельзя. Успеют ли госкомпании, а особенно субъекты КИИ, уложиться в отведенное время? С одной стороны, сложные системы, которые внедряются в течение нескольких лет, сейчас будут замещаться более простыми, но в то же время справляющимися с нагрузками. Здесь срок замещения равен сроку внедрения с нуля — значит, успеют.
С другой стороны, далеко не у всего ПО есть отечественные аналоги. Новые решения могут разрабатываться не один год, что критично не только для бизнеса, но и для государства. Нам повезло — мы одними из первых поняли, что системы класса SIEM должны будут импортозамещаться. Однако многим организациям придется в последний момент сталкиваться с сырыми или с недостаточно апробированными решениями.
Такие заказчики будут вынуждены создавать тестовые стенды, исследовать ПО, чтобы убедиться в его работоспособности, обучать персонал им пользоваться. Небольшая компания справится, а вот организации, где 10, 20, 30 тысяч сотрудников и отстроены процессы, будет очень непросто.
А представьте, если во время атаки на компанию перестанет работать установленное в ней импортное оборудование и ПО? Мы вернемся в каменный век. Вероятность такого совпадения невелика, но все равно нужно это иметь в виду.
Ситуация в регионах осложнена нехваткой ресурсов и необходимых знаний. Понимая эти особенности, с 2022 года мы сделали упор на региональные проекты, коих стало в десятки раз больше.

Новые риски для организаций: какие основные угрозы существуют сегодня

Если в 2021 году мы могли говорить о том, что основная цель атак — это компании финансового сектора и ретейла, а прочие рискуют меньше, то в прошлом году акцент сместился в сторону госсегмента, объектов критической информационной инфраструктуры, СМИ и всего, что связано с охраной важных объектов.
По большому счету основные угрозы не изменились — нарушения конфиденциальности данных, доступа к ним. Но принципиально поменялось следующее: раньше компании из государственного или коммерческого сектора атаковали зарубежные хакеры, сегодня атакуют кибервойска. Если раньше мы могли рассчитывать на поддержку со стороны правоохранительных органов других стран, то сегодня это фактически невозможно, ведь зачастую эти нападения спонсируются самими государствами, в результате чего утрачено доверие к западным средствам ИБ. Еще одно существенное событие — отключилось большое количество западных средств защиты информации.
Я повторяю одну и ту же фразу каждый год, а в прошлом году она стала еще более актуальной: «Неуловимого Джо давно нет». Атакуют всех. Если раньше мы говорили о цели выманить побольше денег, то сейчас атакуют просто для того, чтобы отключить систему. Любой компании, неважно, есть у нее деньги или нет.

О необходимости инвестиций в кибербезопасность

Самый популярный запрос звучит сейчас так: «У нас ничего нет. Сделайте так, чтобы у нас все было правильно». Но если серьезно, то запросы самые разные. Начиная от «нас взломали, помогите!» и заканчивая «мы не доверяем нашим сотрудникам».
Естественно, основной объем запросов поступает на мониторинг событий информационной безопасности. Основной наш продукт — RuSIEM — дает понимание о происходящем внутри инфраструктуры, позволяет вычислить злоумышленника до того момента, когда он причинит реальный ущерб, и принять необходимые меры, чтобы купировать инцидент. Другими словами, компаниям интересны возможности, которые предлагают SIEM-системы. Рост интереса к SIEM со стороны малого и среднего бизнеса — еще одна тенденция, которую мы зафиксировали в 2022 году. С нашей точки зрения, необходимость в мониторинге и реагировании на инциденты становится базовой потребностью для компаний, где кибербезопасности уделяют должное внимание. Без скидок на масштаб бизнеса.
Растет число обращений, связанных с потребностью отслеживания состояния инфраструктуры для обеспечения ее бесперебойного функционирования. Поток запросов настолько плотный, что мы решились на выпуск специализированного продукта RuSIEM Monitoring. И тем самым поспособствовали заказчикам в решении задачи доступности инфраструктуры.

Об основных сложностях в процессе перехода на отечественные решения и как с ними справиться

Нельзя путать импортозамещение со сменой лейблов. Некоторые организации хитрят: они берут западную продукцию, на нее наносят наклейку, — и теперь это российский сервер. С ПО немного тяжелее. Иногда российский продукт создается на базе зарубежных решений Open Source. Это законно. А псевдороссийский продукт, конечно, позволяет какое-то время формально выполнить требования регулятора, но где гарантия, что Минкомсвязи России не исключит его из реестра? Подобные примеры уже есть.
Скупой платит дважды. Поэтому здесь нужно в первую очередь тесно взаимодействовать с бизнесом. Составить дорожную карту, понять, какие системы придется замещать, что уже есть на рынке, — либо заказать частную разработку. Также есть отраслевые сообщества, которые составляют единую дорожную карту, выбирают единого исполнителя и разрабатывают универсальное решение.

О нехватке высококвалифицированных ИT-специалистов

Кадровый вопрос всегда актуальный и комплексный. Его решение в какой-то степени зависит от состояния рынка труда, однако именно эта зависимость открывает новые возможности для организаций, намеревающихся развивать и наращивать свой продуктовый портфель. Первым делом имеет смысл повысить зарплаты специалистам информационной безопасности по крайней мере до уровня «классических» айтишников, чтобы подняться над медианным уровнем вознаграждения. Причем, если это сделать на опережение, есть шанс собрать с рынка грамотных специалистов раньше, чем это сделает кто-то другой.
Важно не просто выращивать ИБ-специалистов внутри организации, а показать им траектории их профессионального и зарплатного роста, чтобы мотивировать оставаться с конкретной компанией так долго, как это будет им интересно.