«Переход компаний на «удаленку» повысил количество успешных кибератак»

CNews: В чем особенности текущей ситуации в сегменте ИТ и, соответственно, на рынке ИБ? Какие тренды создала пандемия, а какие лишь актуализировала?

Сергей Шерстобитов: Условия всеобщей цифровой трансформации в пандемию выявили проблемы безопасности корпоративных информационных систем: бизнес повысил приоритет защиты данных от несанкционированного доступа и других киберугроз, обнажилась потребность в непрерывности и доступности цифровых сервисов как основного рабочего инструмента. Назревшими вопросами в области ИБ компании признают обеспечение соответствия своих информационных систем регуляторным требованиям, а также автоматизацию бизнес-процессов и функций ИБ. Не менее важный тренд сегодня — работа с информационной безопасностью на системном уровне, в частности развитие направления DevSecOps, комплексных подходов к защите облачных и гибридных сред. Все большее число компаний приходит к сервисным моделям функций ИБ (MSS) как способу привлечения внешней экспертизы к решению своих проблем в этой области на постоянной основе.

Массовый переход компаний на удаленный режим работы способствовал размытию периметров, что заметно «пробило» общий уровень защищенности. Вдруг стала очевидной существенная уязвимость конечных устройств и, как следствие, возросло количество успешных атак, особенно вымогательских и DDoS. Киберпреступники почуяли запах больших денег и стремятся получить их во что бы то ни стало: совершенствуют тактики двойных вымогательств, придумывают новые схемы продажи похищенных данных.

Кроме того, 2021 год отмечен для российского бизнеса ростом целевых атак. В числе других наиболее дорогостоящих киберинцидентов — утечки данных из внутренних систем, вымогательства, связанные с атаками вредоносного ПО через домашние ПК и мобильные устройства сотрудников. Также в этом списке остаются внутренние нарушители и Supply-chain атаки — инциденты, совершаемые через менее защищенных партнеров, с которыми целевая компания взаимодействует на регулярной основе.

CNews: Как изменились вызовы со стороны киберпреступников, каковы новые тренды и можно ли говорить, что некоторые техники «выходят из моды»? Было ли влияние пандемии на эти процессы?

Сергей Шерстобитов: Эксперты фиксируют тенденцию роста использования уязвимостей в технологиях периметра и удаленного доступа, как, например, случилось с нашумевшей проблемой почтовых серверов Microsoft OWA или библиотеками Apache Log4j. Растет количество и качество различных инструментов, находящихся в открытом доступе, которые можно применять в злонамеренных активностях. Повысилась скорость применения злоумышленниками появляющихся новых уязвимостей — сейчас проходят считанные часы до того, как хакеры начинают использовать в реальных атаках уязвимости «нулевого дня».

Киберпреступность, конечно, не имеет национальности или географической принадлежности, но в разных странах все же прослеживаются определенные тренды. В России, ввиду частоты утечек персональных данных, распространены атаки с использованием социальной инженерии, а также DDoS-атаки и использование вымогательского ПО.

«На рынке ИТ и ИБ происходит укрупнение и консолидация»

CNews: Как меняются в зависимости от новых условий компании, специализирующиеся на ИБ?

Сергей Шерстобитов: Совсем недавно можно было предоставлять ограниченный набор услуг в кибербезопасности — внедрять, например, только межсетевые экраны или только песочницы. Сейчас полноценная компания в области ИБ должна обладать, помимо базовых инфраструктурных практик, традиционных для большинства интеграторов, еще и такими уникальными компетенциями, как экспертиза в нападении и в защите от атак (так называемые Red/Blue Team). И в этом смысле наша практика тестирования на проникновение позволяет все время быть в тренде и понимать, что и как могут использовать злоумышленники для взлома сетей наших заказчиков. А наши аналитики SOC как раз сконцентрированы на расследовании и предотвращении развития атак. И за счет подобной комбинации услуг по защите и нападению, а также обмена экспертизой между ними, мы и отличаемся от рынка.

CNews: Какие организационные форматы оказываются актуальными? Какие компетенции нужны и где их брать с нужной скоростью?

Сергей Шерстобитов: Что касается организационных форм, то сейчас на рынке ИТ и ИБ происходит укрупнение и консолидация. Этим он ничем не отличается от других отраслей. Одновременно с этим происходит некоторая сегрегация знаний и компетенций, и небольшие компании в стратегическом горизонте смогут остаться на рынке, обладая узкой дефицитной экспертизой в определенных областях. Она может быть востребована как клиентами напрямую, так и на субподряде у «маститых» участников рынка. Если такая «экзотическая» экспертиза становится критически необходимой, то либо ее надо создавать с нуля, что долго и рискованно, либо покупать существующие бизнесы/проектные команды. На мой взгляд, в ближайший год-два мы будем наблюдать череду слияний-поглощений.

Мы, как и все участники отрасли, ощущаем острый дефицит людей практически по всем направлениям. Но я бы не назвал это кадровым голодом, а скорее — супераппетитом к экспертизе. При этом больше внимания стало уделяться так называемым soft skills, тому, как человек умеет коммуницировать и обучаться, как он встраивается в команду. Hard skills, или профессиональные компетенции, отходят на второй план, поскольку их можно перенять у наставников. На это, безусловно, нужно время, но мы готовы его выделять, зная, что в результате получим сотрудника, который разделяет ценности компании, ее корпоративную культуру, на которого можно положиться и для которого не только деньги являются главным мотивирующим фактором.

Стратегически более правильно растить компетенции и кадры. И, насколько я вижу, сейчас многие компании следуют именно такому подходу.

CNews: Насколько важны интеграции глобальных и локальных компаний? Влияют ли на это требования импортозамещения? Что собой представляют сегодня «ИБ-интеграторы» и как они будут развиваться?

Сергей Шерстобитов: Кооперация, безусловно, важна, поскольку в процессе взаимодействия происходит обмен опытом. Чем больше технологий поступает на конкретный рынок, тем больше возможностей у него выбирать то, что действительно важно и полезно. Технологии, которые есть на Западе или на Востоке, могут быть принципиально не лучше, чем российские. Создание здоровой конкуренции и мер поддержки российских поставщиков и подрядчиков — правильное и вполне понятное движение. Но изоляция контрпродуктивна и точно не идет на пользу отечественной экономике.

Поcтавщики ИБ-услуг отходят от классических моделей и начинают у себя создавать дополнительные подразделения практической безопасности. Новые практики, такие как DevSecOps, Red Team или OSINT анализ бренда, будут появляться у тех игроков, которые нацелены на рост. Если компания работает с ограниченным кругом заказчиков и услуг и не стремится к развитию, то в текущей модели она может прожить несколько лет, не сильно вкладываясь в людей и в экспертизу. Но подобная стратегия естественным образом ограничивает качество предоставляемых такими компаниями продуктов и сервисов, а равно само время их существования.

По-прежнему многие организации считают, что выстраивать полноценную информационную безопасность on-premise — правильнее, чем обращаться к услугам сторонних компаний. Они стараются решать своими силами все задачи, существующие в ИБ. На мой взгляд, это не очень верно. Когда-нибудь информационная безопасность станет такой же commodities, как, например, сейчас бухгалтерское обслуживание. 20-30 лет назад отдать бухгалтерию на аутсорсинг казалось чем-то невообразимым, а главный бухгалтер был вторым по значимости человеком в любой компании после генерального директора. Сейчас ситуация драматически изменилась — есть немало веб-сервисов, которые готовы взять на себя весь бухгалтерский и налоговый учет. Требования, которые необходимы в рамках действующего законодательства, будут соблюдаться, и ответственность за это несет поставщик услуги. Так и в информационной безопасности: реализацию базовых функций и требований можно доверять сторонним поставщикам, просто к этому еще не все привыкли.

CNews: Чем на отраслевых рынках различаются подходы в плане информационной безопасности?

Сергей Шерстобитов: Есть несколько федеральных законов, которые должны соблюдаться абсолютно всеми игроками рынка, например, 152-ФЗ «О персональных данных», 187-ФЗ «О безопасности КИИ РФ». Также есть отраслевая регуляторика, в частности Центробанк, который накладывает определенные требования на банки, страховые компании, микрофинансовые организации и другие НФО. Этим организациям для сохранения лицензии необходимо соблюдать требования по информационной безопасности. Но есть другие отрасли, малый и средний бизнес, где такой жесткой регуляции нет. Там люди руководствуются либо неким собственным опытом, либо, что чаще, беспечно относятся к вопросам информационной безопасности.

У многих компаний сейчас происходит накопление опыта: в условиях цифрового общества и индустриальной революции, которую мы переживаем, становится понятно, что утечки и хищения информации будут происходить все чаще. Это будет создавать атмосферу, не очень комфортную для обычных людей, и они, конечно же, начнут на это реагировать.

Уже сейчас во всех отраслях востребованы услуги по обеспечению безопасности инфраструктуры и данных, защите конечных точек и критичных для бизнеса серверов. Кроме того, защита облачных сервисов, которые становятся нормой жизни для огромного количества компаний, защита среды виртуализации и разработки — это то, что интересно, то, что сейчас у наиболее продвинутых клиентов уже переходит в коммерческие проекты и будет иметь инерционный запас роста до тех пор, пока не будет тиражирован в 50-80% компаний-заказчиков. Это как коллективный иммунитет, который нужно всем выработать. Он необходим не только в борьбе с коронавирусом, но и с цифровыми угрозами.

CNews: В чем разница в ситуации с ИБ для корпоративного рынка и для сегмента SMB, и как в зависимости от этого варьируются предложения по обеспечению защиты?

Сергей Шерстобитов: Если крупный бизнес уже оценил стоимость своих информационных активов и готов инвестировать значительные суммы на решение задач ИБ, то компании SMB, финансово менее устойчивые, относятся к затратам на ИБ более сдержано. Некоторые строят системы защиты на условно бесплатных продуктах, на Open Source, что позже переходит в OpEx-расходы. Это может не давать такого результата как использование коммерческих решений, но однозначно культивирует хорошие привычки и развивает уровень зрелости информационной безопасности внутри компаний.

Сейчас, с одной стороны, обостряется борьба за крупный enterprise, с другой — точкой роста выступают как раз малый и средний бизнес, которые тоже начинают проявлять интерес к услугам ИБ. Задача поставщика — объяснить SMB понятным языком необходимость уделять безопасности должное внимание и предоставить им удобные доступные услуги. И тот, кто быстрее и проще донесет до малого и среднего бизнеса информацию о своих услугах в области информационной безопасности, обречен на серьезный рост. Именно поэтому мы сейчас в партнерстве с рядом крупных вендоров ищем новые модели доставки ценности до потребителя. В частности, развиваем свой SOC так, чтобы он отвечал потребностям не только крупных клиентов, но и среднего бизнеса, предоставляя ему понятные, четкие и масштабируемые услуги.

«Тренд на повышение приоритета ИБ для бизнеса»

CNews: Что ждет сегмент от государства? Какие действия властей могут смягчить ситуацию в области ИБ?

Сергей Шерстобитов: Все периоды роста сегмента ИБ так или иначе связаны с усилением регулирования со стороны государства. Как только оно повышает требования к защищенности, это служит драйвером спроса на ИБ-услуги. Важно понимать, что государство ужесточает требования к безопасности не ради своей прихоти, а в ответ на международные вызовы.

Сейчас мы являемся свидетелями процесса консолидации, укрупнения. Все, что касается ключевых секторов российской экономики, контролируется госкорпорациями: они перенаправляют на свои внутренние компании решение практически всего спектра задач. У них есть свои ИТ-и ИБ-специалисты, свои проектировщики и другие эксперты. В таких условиях снижается уровень обмена опытом и экспертизой, доступный ранее. И на мой взгляд, здесь может быть применена модель, при которой у крупных компаний и корпораций будут ограничения на использование инсорсеров. Это позволит существовать независимым игрокам рынка, которые могут предоставлять равнозначный уровень сервиса для любых потребителей, будь то крупная нефтяная компания или барбершоп, за релевантную цену.

Для обогащения экспертизы и создания более справедливых условий для роста такой подход был бы, пожалуй, более эффективен. Вопрос в том, что является приоритетом, — решение сиюминутных задач, более высокий уровень ИБ в моменте в конкретной организации или же перспектива более масштабного развития отрасли, создание условий для работы большего количества специалистов в России.

Культура обмена знаниями и опытом как между представителями отрасли, так и между государством и компаниями вышла на новый уровень. Тренд на повышение приоритета ИБ для бизнеса, открытое представление данных о киберинцидентах и активное сотрудничество с мировым сообществом в вопросах кибербезопасности однозначно будут способствовать повышению общего уровня защищенности цифрового пространства России.