CNews: Что стало ключевым драйвером рынка информационной безопасности в 2021 году?

Андрей Чапчаев: Ключевыми факторами развития российского рынка ИБ последние годы были и остаются: импортозамещение, защита КИИ и изменение законодательства в области информационной безопасности, изменение требований регуляторов рынка. Прошедший год не стал исключением. Благодаря этому у компании «ИнфоТеКС» за последнее время появилось много новых заказчиков, а с ними пришли и новые профессиональные вызовы. Мы попробовали свои продукты и решения на инфраструктурах, ранее защищаемых преимущественно зарубежными средствами защиты информации, либо на инфраструктурах, предъявляющих специфические требования к средствам защиты информации, например, в промышленных сетях и системах связи и управления. Было проведено много разнообразных тестов, получена обратная связь. Сейчас эти новые знания и опыт легли в основу планов развития наших продуктов.

CNews: С какими проблемами столкнулся рынок информационной безопасности в 2021 году?

Андрей Чапчаев: Во-первых, ощутимой проблемой стала доступность «железа», которое используется при создании и производстве программно-аппаратных комплексов (ПАКов) для защиты информации. Пандемия в целом крайне отрицательно повлияла на мировой рынок полупроводников, их недостаток сильно ощущался и в России. Пострадали многие проекты российских разработчиков процессоров, на которые у нас всех были большие надежды и планы. Конечно, поставщики и производители аппаратных платформ искали варианты решения этих проблем. Все это сказалось на сроках поставки и стоимости доступных платформ, вследствие чего мы тоже вынуждены были поднимать цены на свои конечные продукты — ПАКи.

Во-вторых, усилился разрыв между ожиданиями заказчиков, регуляторов и возможностями разработчиков СЗИ. Безусловно, уровень угроз ИБ в современных условиях растет, необходимо ускоряться в темпах развития СЗИ, усиливать требования безопасности к ним и к системам, где они применяются. Однако разработка новых версий СЗИ, их сертификация — это все достаточно сложные и затратные по времени процессы. К тому же упомянутые выше изменения в требованиях регуляторов привели к усложнению методик сертификационных испытаний, что также увеличивает время появления на рынке новых сертифицированных версий продуктов. Далеко не всегда можно ускориться только за счет увеличения финансирования работ. Многое зависит от наличия человеческого ресурса (про это скажу отдельно). В итоге получается, что вписанные в требования и законы сроки перехода на российские ИБ продукты не исполняются, переносятся, вызывая часто подобие паники у всех ответственных участников этих процессов, либо формальные отписки, что точно не повышает уровень безопасности ИС. Также не выполняются ожидания заказчиков уровня «ваш продукт должен делать все то же самое, что и этот продукт известного зарубежного вендора, не функцией меньше».

Стоит сразу отметить, что 2022 год внес много поправок в описанную выше ситуацию. По направлению защиты КИИ требования регулятора ужесточились и конкретизировались. Ранее считавшиеся теоретическими риски и угрозы информационной безопасности стали реальностью, с которыми столкнулись практически все российские владельцы информационных ресурсов. При этом между всеми участниками процессов: регуляторами, разработчиками, интеграторами и заказчиками, — стало происходить больше конструктивных диалогов в поиске пусть не идеальных, но работающих решений. Сейчас продолжается дальнейшее осмысление возможностей и путей развития российского рынка ИБ.

Третья проблема, которая в 2021 году только усилилась, — это проблема кадров. Катастрофически не хватает специалистов, способных грамотно эксплуатировать СЗИ на объектах внедрения. Были сложности и у разработчиков. Болезненно ощущается нехватка опытных разработчиков, архитекторов, аналитиков, талантливых проактивных менеджеров. Крупные и финансово обеспеченные участники рынка цинично хантили лучших специалистов у более мелких компаний, и с одной стороны, это законы рынка, но с другой стороны специалист — не робот, с ходу включиться в работу и начать выдавать максимальный результат он не может. В итоге страдает как потерявшая ресурс сторона, так и его получившая — сроки реализации продуктовых и внедренческих проектов сдвигаются, заказчики недовольны.

В «ИнфоТеКС» для решения проблемы кадров уже несколько лет подряд развивается стажировочная программа для молодых специалистов. В нее могут попасть студенты профильных специальностей старших курсов вузов, этот проект действует в рамках «ИнфоТеКС Академии». В 2021 году мы приняли на работу более 70 перспективных сотрудников, это отличный результат. Также мы продолжаем расширять свою программу взаимодействия с образовательными учреждениями разных уровней в целях подготовки специалистов — администраторов наших продуктов.

CNews: В какую сторону движется рынок информационной безопасности сейчас?

Андрей Чапчаев: Рынок, пусть даже и такой специфический, как рынок ИБ, — понятие широкое. Имеет смысл разделить его как минимум на рынок средств защиты информации и рынок услуг по информационной безопасности.

Главный общий тренд, который я бы поставил на первое место — это комплексирование функций средств защиты. Разные типы средств защиты информации соединяются в одном продукте. Заказчик хочет универсальное СЗИ со всеми нужными ему функциями, с удобным централизованным управлением. Это касается как сетевых СЗИ, так и хостовых: ПАКов и ПО. Тому есть объективные причины — один продукт проще изучить и эксплуатировать, он дешевле набора разных СЗИ, а еще можно одним продуктом закрыть целый ряд требований регуляторов. Тренд этот не уникален для России, зарубежный рынок не первый год движется в этом направлении. Суть одна, названия могут быть разными — NGFW, UTM и т.д.

Для нас, российских разработчиков, на этом пути возникает ряд сложностей. Это и вышеупомянутая ограниченная доступность аппаратных платформ, а для того же NGFW они должны быть более производительными и сложными, чем для ПАКов, реализующих отдельные функции защиты. И также доступность специализированных баз знаний и обработчиков данных: базы сигнатуры атак, движков DPI, наборы данных для тестирования сетевых экранов. Еще в 2021 году мы имели возможность выбирать лучшее между зарубежными и российскими поставщиками таких баз и механизмов. Конечно, с оглядкой на возможность подтверждения их уровня доверия. В 2022 году мы должны рассчитывать только на свои силы. Уверен, что мы справимся с этими сложностями, но это займет какое-то продолжительное время.

Еще один важный вектор движения в развитии СЗИ — это усилия российских разработчиков по унификации и стандартизации протоколов обработки информации, управления и мониторинга. Для некоторых типов СЗИ, например, TLS-шлюзов, уже достигнуты серьезные успехи. Есть стандартизованный протокол TLS ГОСТ и его реализация у ведущих российских разработчиков, включая «ИнфоТекС». Для других типов СЗИ такие работы только начинаются. Но заказчик уже требует интероперабельности для СЗИ разных разработчиков, об этом задумываются регуляторы, поэтому в дальнейшем развитии этого направления у меня сомнений нет.

Особняком стоят средства криптографической защиты (далее — СКЗИ, прим. редакции). Далеко не всегда нужно и полезно объединять их с другими типами СЗИ. Или, можно сказать, в любом универсальном СЗИ есть функции СКЗИ, но не любое СКЗИ должно содержать в себе какие-либо другие функции защиты информации. Отрадно, что здесь у России нет значимых проблем с доступными решениями в силу наличия собственной криптографической школы и наличия на рынке сильных компаний-разработчиков СКЗИ. Так, например, «ИнфоТеКС» предлагает на сегодняшний день весь спектр СКЗИ для защиты информации, не содержащей сведений, составляющих государственную тайну: от криптобиблиотек для любых операционных систем и аппаратных архитектур до комплексов квантового распределения криптографических ключей.

Если вернуться к другой части рынка — сфере услуг по ИБ, то 2021 год стал, по моему мнению, очень важным для отрасли. Обсуждения в наших профессиональных кругах и требования регуляторов о необходимости не только применять превентивные меры защиты в виде тех или иных СЗИ, но и реализовывать меры регулярной оценки защищенности информационных систем и ее отдельно взятых элементов, перешли в реальную плоскость. Ситуация, когда один раз аттестовал защищенную ИС и потом как минимум 3 года не задумываешься ни о чем, уходит в прошлое. Организации стали активнее заказывать проведение пентестов, задумываться о подключении к центрам мониторинга защищенности (SOC) или создании собственных центров. Бизнесу стало проще принимать решения о реализации тех или иных мер защиты своих систем, когда ему демонстрируют реальные уязвимости.

В завершение обсуждения перспектив развития рынка ИБ хочу еще раз вернуться к вопросу подготовки кадров. Мало найти хороших специалистов и обеспечить их конкурентной зарплатой, их еще надо постоянно обучать, чтобы они могли защищать свои информационные системы в соответствии с актуальными угрозами ИБ. Как это сделать, не отправляя каждый раз ценных сотрудников на курсы переподготовки с отрывом от работы, и как гарантировать качество полученных знаний и навыков? Так в 2020-2021 гг. в России стало активно развиваться направление киберучений и киберполигонов — программ проверки фактического опыта специалистов по отражению кибератак и симуляторов информационных систем, где специалист может попробовать себя в роли атакующего и защищающего ИС. Компания «Перспективный мониторинг», входящая в ГК «ИнфоТеКС», уже несколько лет развивает и предлагает на рынке свой продукт — учебно-тренировочную платформу Ampire, на которой любой заказчик может построить свой киберполигон и регулярно отрабатывать действия своих ИБ-специалистов по отражению и расследованию компьютерных атак. Только таким комплексным подходом — внедрением современных СЗИ и мониторингом защищенности силами регулярно проходящих киберучения специалистов — можно в современных условиях обеспечить высокий уровень защищенности информационных систем любой сложности.

Простой комбинацией известных методов защиты информации получить новое качество нельзя. Нужны принципиально новые идеи, механизмы анализа данных и их защиты. Я бы здесь выделил два перспективных направления, в которых именно научные достижения являются определяющими — методы машинного обучения и квантовая криптография.

Методы машинного обучения или, говоря современным языком, искусственный интеллект, позволяет при современном уровне развития вычислительной техники обрабатывать реально значимые объемы информации в режиме реального времени, снимая с человека-аналитика работу по выявлению в потоке данных нетривиальных последовательностей — паттернов, похожих в том или ином смысле на тестовые образцы. Самый понятный сейчас пример — это системы распознавания отпечатков пальцев или лиц в смартфонах, системах видеонаблюдения. В информационной безопасности искусственный интеллект используется при реализации модулей анализа данных, способных выявлять сетевые и хостовые компьютерные атаки, которые пропускают сигнатурные методы. Также ИИ сейчас начинают активно применять в анализе защищенности ИС в целом и ее отдельных элементов, пробуя заменять им ручные и полуавтоматические системы анализа.

В настоящее время почти у каждого российского разработчика есть продукт, использующий механизмы ИИ. У «ИнфоТеКС» это ViPNet TIAS — программно-аппаратный комплекс, предназначенный для автоматического выявления инцидентов безопасности на основе анализа первичных событий, получаемых от систем обнаружения компьютерных атак, межсетевых экранов, хостовых СЗИ. Такой комплекс сильно разгружает эксперта-аналитика от рутинных задач по анализу первичных событий и дает ему возможность сосредоточиться на выявлении и предотвращении сложных целенаправленных атак. Сможет ли ИИ в перспективе заменить собой все остальные СЗИ? Однозначно, нет. Но стать серьезным помощником в обеспечении высокого уровня защищенности, в том числе от неизвестных атак — конечно.

Второе направление — квантовая криптография. В отличие от ИИ это пока еще не широко известное публике направление защиты информации. Кстати, правильнее называтьего «квантовым распределением ключей» (КРК). Под «квантовой криптографией» обычно понимают комплекс из системы КРК и классических СКЗИ, которые являются потребителями ключей, выработанных в КРК. Другими словами, в «квантовой криптографии» криптография обычная, ключи обычные (симметричные), а вот метод выработки этих ключей — новый, основанный на законах квантовой физики и оптики. И эти фундаментальные законы говорят нам, что перехватить информацию в квантовом канале незаметно не получится, так устроена природа.

Бытует мнение, что КРК придумали исключительно для защиты от квантовых компьютеров, которые умеют очень эффективно взламывать классические криптоалгоритмы (асимметричные получается взламывать лучше, симметричные — хуже). Поэтому пока доступного и мощного квантового компьютера не сделали, КРК не нужны. Это не совсем так. В первую очередь КРК решают проблему надежного распределения ключей шифрования. Если исключено участие человека, который должен разнести и установить ключи на СКЗИ, то нет и пресловутого человеческого фактора угрозы информационной безопасности. В системах КРК ключи не передаются по квантовому каналу или каналу связи между двумя СКЗИ, а за счет «квантовой магии» вырабатываются одинаковыми на двух концах квантового канала. Далее они загружаются в рядом размещенные СКЗИ, которые затем шифруют данные пользователя на этих ключах обычным способом. КРК умеют вырабатывать такие парные «квантовые» ключи достаточно быстро. В продуктах «ИнфоТеКС» скорость достигает 1 ключа (256 бит) в минуту. И вот здесь проявляется свойство КРК противостоять атакам квантового компьютера. С подобной скоростью смены ключей шифрования и при использовании симметричного алгоритма шифрования квантовому компьютеру даже в отдаленной перспективе не получится взламывать подобные системы защиты. Но все же основное практическое свойство систем КРК на сегодня — это защита от компрометации ключей шифрования.

Замечу, что не следует идеализировать возможности КРК. Теория звучит отлично, но в практической реализации всегда возникает много нюансов. Сейчас уже существует отдельный класс атак именно на системы КРК, связанный с особенностями реализации оптических схем и протоколов синхронизации квантовых элементов системы. Поэтому очень важно уделять внимание не только заявляемым производителями систем КРК цифрам, но и тому, какие меры безопасности они реализовали в своих изделиях и как они были проверены.

CNews: Кто станет первым коммерческим заказчиком квантовых систем защиты информации?

Андрей Чапчаев: Пока еще рано говорить о возможности внедрения квантовых систем у массового заказчика. Квантово-криптографические комплексы продолжают оставаться малодоступными по сравнению с другими не квантовыми СЗИ. Это связано с инновационным характером таких систем. Комплектующие дорого стоят, и пока используются только импортные. Производятся подобные комплексы в малых объемах. Еще нужно отметить, что существующие технические решения не позволяют надежно строить квантовый канал на реальных, а не лабораторных оптических линиях связи длиннее 100 км. Для увеличения длины каналов используются так называемые доверенные узлы — посредники. По сути, приходится строить последовательный каскад квантовых каналов, придумывать протоколы распределения квантовых ключей в таких каскадах. Это ощутимо сказывается на стоимости всей системы в целом. Поэтому первыми заказчиками таких систем станут государственные структуры и государственные корпорации, которые, собственно, и являются активными драйверами этой темы в России.

Но уже есть примеры реализации опытных квантовых сетей в России. «ИнфоТеКС» является одним из пионеров этого направления защиты информации. В 2021 году мы представили широкой общественности Университетскую квантовую сеть. Это наша совместная разработка с экспертами Центра квантовых технологий МГУ имени М.В. Ломоносова. Коллеги отвечали за всю научную составляющую работы, за разработку прототипов элементов системы. «ИнфоТеКС» вместе с лабораторией СФБ Лаб занимались разработкой опытных образцов элементов КРК, доработкой своих СКЗИ для взаимодействия с КРК, проводили тематические исследования криптографических свойств полученной системы.

В настоящий момент «ИнфоТеКС» тестирует свои квантово-криптографические системы на сетях конечных заказчиков, у нас уже есть проект коммерческого внедрения.

CNews: Новые угрозы повлекут за собой создание новых технологий защиты информации?

Андрей Чапчаев: Да, конечно. Меняется уровень нарушителя. Он повысился. Увеличились масштабы компьютерных атак. И вместе с этим продолжается внедрение цифровых технологий и решений во все отрасли народного хозяйства. Выше я уже рассказал о перспективах применения в СЗИ методов машинного обучения и квантовых технологий для противодействия новым угрозам. Здесь же хочу обратить внимание на целый отдельный класс информационных систем — промышленные информационные системы и интернет вещей (IoT). Многие из таких систем подпадают под требования защиты КИИ. Но для них далеко не всегда применимы обычные корпоративные СЗИ и подходы по защите информации. Поэтому несколько лет назад на российском рынке ИБ стали появляться специализированные продукты для защиты информации в специфических условиях промышленных информационных систем. Часто они являются новыми модификациями известных типов СЗИ: промышленные межсетевые экраны, системы обнаружения компьютерных атак и т.д. Есть такие продукты и у «ИнфоТеКС»: промышленный межсетевой экран и СКЗИ ViPNet Coordinator IG. Но среди рассматриваемых промышленных систем много таких, где не используется стек протоколов TCP/IP, либо условия применения таковы, что в принципе невозможно решить задачу защиты информации наложенными СЗИ. В этом случае остается только встраивать механизмы защиты непосредственно в конечное промышленное оборудование. Основной тренд здесь — это интеграция криптографических механизмов для защиты канала управления и телеметрии, обновления встроенного ПО в промышленном оборудовании. Такой подход является более сложным для реализации, потому что требуется участие разработчика промышленного оборудования или устройств связи, зато заказчик получает оборудование для своей промышленной системы с уже интегрированными механизмами защиты информации и гарантиями работоспособности. «ИнфоТеКС» более 6 лет ведет разработку специализированного решения криптографической защиты информации для промышленных систем ViPNet SIES. Это именно решение, т.е. комплекс продуктов: система управления, серверное обеспечение, промышленные криптомодули. Разработчику промышленного оборудования не требуется разбираться в тонкостях реализации СКЗИ и становиться лицензиатом ФСБ России. На решение ViPNet SIES получены сертификаты ФСБ на СКЗИ класса КС3, уже есть ряд успешно реализованных проектов с нашими технологическими партнерами. Разработан и стандартизован криптографический протокол для промышленных систем CRISP, не имеющий аналогов в России и за рубежом, он применяется в ViPNet SIES. Таким образом, решение является открытым для наших коллег-разработчиков СКЗИ. Мы же уверены, что именно такой новый подход для защиты информации в ранее практически не защищенных промышленных системах позволит сделать эти системы более надежными и кибербезопасными, а нам всем с вами — спать спокойно.