Последние месяцы государственные, промышленные и другие структуры в России живут под постоянным гнётом киберугроз. Увеличилось количество атак, а также их мощность и изощрённость. Урал не стал исключением: ежемесячно число угроз растёт на 15–20 процентов. О том, что изменилось на рынке информационной безопасности (ИБ), что ещё изменится и какие есть финансовые, кадровые и административные барьеры на пути этих изменений, «Октагон.Урал» поговорил с директором по работе с заказчиками компании «Ростелеком-Солар» Станиславом Лукьяненко.
– Как ландшафт киберугроз и их количество изменились с 24 февраля? Какие новые методы и схемы появились?
– 24 февраля стало переломным моментом для информационной безопасности, некой отсечкой к старту массовых кибератак из-за рубежа. Месяц к месяцу (февраль – март, март – апрель) в среднем рост идёт на 15–20 процентов что по России в целом, что по Уралу. Первыми начались DDoS-атаки – их можно очень дёшево заказать на чёрном рынке и легко реализовать: мало кто использует средства защиты от них, и не у всех есть оборудование, которое может выдержать такого рода угрозы.
В первую очередь атакуют госучреждения, промышленные предприятия и организации финансовой отрасли. Атаки становятся разноплановыми и многоэтапными, более изощрёнными, технологичными, что позволяет части из них всё-таки достигать результатов.
– Но все эти сферы должны быть наиболее защищены, согласно закону о безопасности критической информационной инфраструктуры. Разве нет?
– Закон обязывает некоторые организации провести обследование и категорирование и после этого в зависимости от категории выстроить систему информационной безопасности. Это требует специалистов и денег.
Компаний очень много, и регуляторы не всегда успевают дойти до каждой – следят в первую очередь за стратегически важными. Есть организации, которые пользуются этим обстоятельством и не делают ничего или делают не должным образом. Думаю, сейчас все ощутят необходимость этих мер и уже не регулятор будет заставлять защищаться, а злоумышленники.
– К чему приводят успешные атаки?
– Пока всё ограничивалось остановкой бизнес-процессов, репутационными издержками и прямыми финансовыми убытками. Например, средний ущерб от успешной атаки с применением шифровальщика составляет 10 миллионов рублей, при этом суммы существенно разнятся в зависимости от масштаба компании, типа бизнеса, скорости его восстановления и так далее. Общие прямые убытки от атаки складываются из стоимости простоя сотрудников (а это ФОТ, помноженный на время простоя), недополученной бизнесом выгоды и цены мероприятий по расследованию и ликвидации последствий инцидента. Например, 10 минут простоя веб-сайта крупного ретейлера в высокий сезон оборачиваются убытком в размере 8 миллионов рублей. За час это уже около 50 миллионов. А ведь за последнее время случались простои, длившиеся часы и даже дни.
Атаки
– Как изменились цели злоумышленников? Сместился ли фокус с монетизации и продажи данных на их публикацию и нанесение вреда?
– Сейчас основная задача атакующих – дестабилизировать ситуацию в нашей стране, в том числе через взлом отраслевых сервисов и предприятий. Это госуслуги, промышленные системы и так далее.
«В большинстве случаев у хакеров сегодня действительно есть мотивация достичь цели без получения прибыли, но задача максимально навредить и заработать на этом тоже никуда не делась».
– Все эти утечки баз данных, которые в последнее время произошли, с чем они связаны?
– Это, на мой взгляд, слабые развитие и зрелость в области информационной безопасности на предприятиях. Например, у промышленных предприятий какая основная задача? Промышленность. Чтобы у них конвейер работал, турбины. Какая информационная безопасность? Построить новый конвейер или турбину по перекачке газа намного эффективнее и ощутимее в финансовой части. Потратишь ты 10 миллионов рублей на информационную безопасность – как ты ощутишь это? Никак. Отсюда и подход к реализации этих направлений: мы тратимся больше на что-то измеримое для бизнеса. Поэтому атаки эти проходят.
Защита
– Как в новых реалиях изменилась работа служб информационной безопасности? Как изменилась потребность в ИБ-решениях?
– Работа у многих стала круглосуточной. Люди, которые работают в области IT, ИБ, отвечают за непрерывность бизнес-процессов и должны быть всегда доступны. Когда заказчик сталкивается с проблемами в работе инфраструктуры, специалист собирается, идёт на работу и устраняет проблемы, будь это хоть в три часа ночи. А так как сейчас идёт огромная волна и атак, и различных проблем с замещением инфраструктуры, эта работа становится постоянной, без выходных. Коллеги молодцы, держатся и остаются на рубежах кибербезопасности.
– А что с кадрами? Нехватка сильно сказывается?
– У нас всегда сохранялась нехватка квалифицированных специалистов, и она постоянно растёт, потому что информационная безопасность обновляется каждый день, и, чтобы квалификацию поддерживать, необходимо постоянно обучаться, работать со средствами защиты, с новыми технологиями.
У многих заказчиков этих специалистов нет либо их квалификации недостаточно. Например, человек работает только с каким-нибудь координатором для шифрования каналов связи и больше ни в какие ИБ-направления не двигается. Он может быть хорошим специалистом в этой сфере, но в остальных – нет. Или бывает, что штат развит и заказчик вкладывается в развитие своих специалистов. Но таких людей, естественно, перекупают другие компании.
«У многих позиция: нас же не атакуют, зачем нам это покупать? И когда их уже сломали, они приходят к нам и говорят: “Нам надо срочно”».Фото: Михаил Терещенко/ТАСС
– Есть же модель, по которой ИБ-системы предоставляются как услуга, и собственный штат компаниям иметь не обязательно?
– Действительно, из-за нехватки мощностей и средств сейчас многие переходят на сервисы. У нас очень развито это направление. Сервисная модель помогает решить проблему не только кадрового голода, но и финансов: заключая контракт, ты можешь прогнозировать, сколько потребуется денег на следующий год, на последующие годы. Стоимость фиксированная, и ты не переживаешь, что завтра что-то выйдет из строя – это ложится на наших специалистов. Более того, у нас ушли одни специалисты – появились новые.
Сервисы – это всегда актуальная безопасность, потому что, если компания купила средства защиты, обновлять и настраивать их нужно постоянно. А у многих они, как правило, стоят и пылью покрываются. Работает и работает. Мы всё-таки взаимодействуем с производителями, регуляторами, всегда знаем актуальные угрозы и как правильно настроить всё и где-то что-то докрутить, чтобы это работало правильно.
– Если говорить про бюджетные учреждения: вот условная больница где-нибудь в области, даже она сейчас может подвергнуться кибератаке. Они могут себе позволить какую-то киберзащиту?
«В ограниченном составе, не всегда, особенно если мы говорим про область. Финансирование достаточно ограниченное, и не всегда есть специалисты, которые могут установить и настроить системы. Проблемы там есть разнообразные, и, как правило, безопасность таких учреждений достаточно низкая».
– Сервисную модель они тоже не могут себе позволить?
– Сервисная модель раньше была для многих заказчиков непонятной. Сейчас к ней начинают привыкать, на неё переходить и находить бюджеты, но пока с этим всё равно тяжело, независимо от того, большое это предприятие или маленькое.
– В чём проблема?
– Многие до сих пор пока не почувствуют эффект, не купят. Есть продукты, например DLP-система, которая предотвращает утечку конфиденциальной информации на предприятиях и выявляет мошеннические схемы. Большая часть угроз идёт от сотрудников, специально или нет. Эта система детектирует угрозы и позволяет с ними работать. Когда мы проводим пилоты, выясняется, что кто-то информацию сливает, саботаж проводит внутри компании или в области закупок проводит непонятные схемы. И это действует: ты приходишь к руководителю, говоришь: «Вот, держи». То же самое с анализом защищённости, тестом на проникновение, периметральной защитой или Anti-DDoS. У многих позиция: нас же не атакуют, зачем нам это покупать? И когда их уже сломали, они приходят к нам и говорят: «Нам надо срочно». Таких заказчиков сейчас набирается достаточное количество и образуется очередь, поэтому нужно заблаговременно и поэтапно выстраивать систему.
Дефицит и импортозамещение
– Многие вендоры программного обеспечения приостановили работу или обновление в РФ. Насколько это опасно?
– Ни для кого не секрет, что большую часть рынка IT и ИБ занимали иностранные продукты. Они крутые, развитые, технологичные, красивые. Если обновления отключают, то потенциально есть уязвимости, которые может эксплуатировать злоумышленник.
Сейчас государство пытается поддерживать наши предприятия, которые начинают производить замещающие продукты, но нужно время, чтобы набрать ресурсы, темпы, выйти в производство необходимого качества и объёма.
«Есть у нас отечественные решения, но их не так много, и полностью они не могут заменить функционал, который был. По моим оценкам, до 2025 года перейти на всё отечественное – очень спортивная и интересная цель».
– По части ИБ-решений есть дефицит?
– Решения у нас есть, но нехватка в части железа ощущается. Кристаллы, память остались в азиатских странах, с поставками сейчас проблематично. Топовые производители с нашего рынка ушли, заместить нашими памятью, кристаллами, микропроцессорами очень тяжело. Они есть, но они не могут конкурировать с тем, что было. Плюс на фоне текущих событий у всех производителей выросла стоимость, и если раньше закладывали 1 миллион рублей на приобретение железа, то сейчас нужно 2 миллиона. Хотя это, наверное, не проблема, а возможность: у тебя нехватка кадров, бюджета, ПО – насколько специалист по информационной безопасности сможет вырасти в таких условиях?
– Говорят, что опенсорсное ПО – это всё, что нам осталось. Как вы считаете?
– Я к этому всегда осторожно отношусь и в большей степени не доверяю. Вроде бы это быстро и бесплатно, но кто его знает, какие там недекларированные возможности заложены. Используя опенсорсное решение по анализу защищённости инфраструктуры, как знать, что этот отчёт куда-то на сторону не уйдёт?
Перспективы
– Раз иностранные компании ушли, конкуренция на ИБ-рынке снизилась. Ударит ли это по качеству продуктов и услуг?
– Скорее всего, нет.
«Будет концентрация на крупных игроках рынка ИБ, но конкуренция всё равно останется, перевод заказчиков на наши решения стратегически стоит».
Мы всё-таки коммерческая компания, и нам нужно приложить усилия в развитии ПО и взаимодействии с коллегами по рынку. Это будет стимулировать всегда.
– Каковы перспективы на рынке ИБ в целом?
– Нас ждёт рост зрелости компаний в части ИБ, будет разворот и финансирование информационной безопасности для государственных и промышленных структур. Рынок IT и ИБ получил хороший стимул для развития отечественных продуктов, и мы наконец достигнем собственных высот в производстве части компонентов.