Новая ИБ-реальность (часть первая)

Дата: 21.04.2022. Автор: CISOCLUB. Категории: Главное по информационной безопасности, Статьи по информационной безопасности
ИБ (Информационная безопасность): новая реальность (часть 1)

Импортозамещение ПО в органах власти, в госкомпаниях, в крупных российских промышленных организациях – это актуальная тема, но она появилась не месяц и даже не год назад. Нормативные акты, которые регулировали и/или продолжают регулировать процедуры импортозамещения ПО в России, власти страны начали принимать ещё в 2015-18 годах. Одним из первых и основных стал закон создании реестра отечественного программного обеспечения (2015 г.).

Импортозамещение ПО в госсекторе регулируется законодательными нормативными актами Российской Федерации, в соответствии с которыми к 2024 г. доля отечественного софта в государственных структурах должна превышать 90%, а в госкомпаниях – 70%. А ведь ещё в 2014 г. доля иностранного софта, используемого в России, составляла около 90%.

Наталья Касперская, глава ГК InfoWatch и председатель правления «Отечественного софта», уверена, что уже сейчас надо прикладывать все необходимые усилия для разработки качественного российского ПО взамен иностранных аналогов. Благодаря этому и мерам поддержки ИТ-отрасли импортозамещение ПО в России пойдёт быстрыми темпами, по мнению Касперской.

А по словам Вадима Жилина, главы IT-департамента банка «Держава», говорить о полном переходе отечественных финансовых учреждений на преимущественное использование отечественного софта можно будет только через 5-6 лет.

При этом в середине февраля 2022 года вышла новость о том, что Генпрокуратура будет контролировать импортозамещение, ИИ, защиту данных в России – по распоряжению генпрокурора Игоря Краснова было создано и уже успешно функционирует в рамках ведомства специальное подразделение по защите информации, которое теперь надзирает за всеми масштабными государственными проектами по цифровизации.

В конце марта 2022 года Максут Шадаев, глава Минцифры РФ, во время своего выступления на заседании комитета информационной политике в Госдуме рассказал, что министерство крайне заинтересовано в обеспечении ускоренного импортозамещения ПО в России.

Одной из основных тем в сфере импортозамещения в прошедшие недели стало то, что президент РФ Владимир Путин распорядился создать комиссию СБ РФ по обеспечению суверенитета в сфере ИТ-инфраструктуры, главой которой станет Дмитрий Медведев.

Редакция CISOCLUB пообщалась с Алексеем Лукацким во время недавно прошедшего XV Межотраслевого Форума CISO FORUM 2022. Он отметил, что в ближайшее время стоит ожидать изменений в регуляторных актах в сфере ИБ, потому что, как минимум, есть 166-й указ президента РФ об импортозамещении в государственных заказчиках, которые имеют значимые объекты КИИ – им было запрещено с 1 апреля приобретать иностранное ПО, в том числе и в области информационной безопасности.

«166-й указ президента РФ достаточно сильно повлияет на сам рынок, и, как следствие, внесёт определенные изменения в нормативную базу ФСТЭК и, в меньшей степени, ФСБ, поскольку эти изменения потребуют учёта в том же 17-м приказе и в приказе, например, 55-м, по сертификации. Скорее всего, будет описано, что такого рода решения нельзя будет принимать на сертификацию, если они не будут применяться в российских государственных заказчиках. Это первое ключевое направление, связанное с необходимостью разработки порядка импортозамещения в госзаказчиках, в том числе и по вопросам информационной безопасности», – подчеркнул эксперт.

Небольшое видеоинтервью с Алексеем Лукацким и другими экспертами, посетившими XV Межотраслевой Форум CISO FORUM 2022, вы можете посмотреть на нашем YouTube-канале.

Редакция CISOCLUB поговорила с экспертами о влиянии на российскую ИБ-отрасль ухода иностранных вендоров с рынка, об актуальных угрозах для бизнеса, о возможностях отказа от использования иностранного ПО, «железа» и Open Source, о выборе российских аналогов популярных средств защиты данных, о незаменимых на данный момент зарубежных решениях.

На наши вопросы ответили:

  • Мария Зализняк, руководитель отдела развития продуктов, InfoWatch ARMA.
  • Антон Петров, гендиректор Тионикс, исполнительный директор «Базис».
  • Евгений Царев, управляющий RTM Group.
  • Алексей Антонов, управляющий партнер Swordfish Security.
  • Дмитрий Волков, CEO Group-IB; команда Group-IB.
  • Игорь Алексеев, директор по развитию продукта Интернет Контроль Сервер.
  • Команда Staffcop.
  • Дмитрий Хомутов, директор, «Айдеко».
  • Максим Головлев, технический директор компании iTPROTECT.
  • Антон Кузьмин, руководитель центра предотвращения киберугроз CyberART ГК Innostage.
  • Юрий Бутузов, руководитель отдела средств защиты информации ГК Innostage.
  • Антон Головатый, директор по продажам IT Task.
  • Сергей Тимошенко, коммерческий директор EveryTag.
  • Александр Корзников, технический директор EveryTag.
  • Владимир Арышев, менеджер по развитию решений, УЦСБ.
  • Дарья Орешкина, директор по развитию бизнеса, Web Control.
  • Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft.
  • Александр Щетинин, CEO, Xello.
  • Иван Чернов, менеджер по развитию, UserGate.
  • Артур Салахутдинов, руководитель направления MSSP, UserGate.
  • Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ».
  • Иван Мелехин, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита».

1. Какие изменения претерпела отрасль ИБ из-за ухода зарубежных игроков: нарушения цепочек поставок и прочие проблемы?

Мария Зализняк, руководитель отдела развития продуктов, InfoWatch ARMA:

ИБ (Информационная безопасность): новая реальность (часть 1)
Мария Зализняк, руководитель отдела развития продуктов, InfoWatch ARMA

«В первую очередь, остановка нормальной работы оборудования зарубежных вендоров на ряде предприятий. Например, у некоторых заводов, попавших в санкционные списки, были прекращены обновления межсетевых экранов, а на некоторых предприятиях пропала возможность управления оборудованием. Таким образом, возросли риски атак.

Ряд зарубежных вендоров заявили о приостановке продления текущих лицензий, активации токенов, поддержки и предоставления обновлений.

Аккаунты сотрудников, проходивших обучение в CISCO networking academy были заблокированы. Это мы почувствовали в том числе и на себе.

Из-за нехватки запасов аппаратных платформ (железа на которых вендоры ПО могут развернуть свой софт) на складах дистрибьюторов значительно увеличился срок поставки средств защиты информации с нескольких месяцев до года. Для некоторых позиций оборудования это означает что, выбрав и заказав его сегодня, высока вероятность, что получите вы его только в 2023 году.

Стоимость аппаратных платформ увеличилась и меняется непредсказуемо и очень быстро».

Петров Антон Валериевич, гендиректор Тионикс, исполнительный директор «Базис»:

ИБ (Информационная безопасность): новая реальность (часть 1)
Петров Антон Валериевич, гендиректор Тионикс, исполнительный директор «Базис»

«Про цепочки поставок неоднократно уже многие говорили, хочу подсветить другой аспект – обнажилась проблема профессионального подхода к ИБ: у тех у кого внедрение продуктов ИБ велось методологически верно – больших проблем не наблюдалось, те, кто покупал ИБ как товар, получили ряд проблем с «окирпичиванием» оборудования и рисками ИБ. Работайте с профессионалами».

Евгений Царев, управляющий RTM Group:

ИБ (Информационная безопасность): новая реальность (часть 1)
Евгений Царев, управляющий RTM Group

«Зарубежные игроки ушли поспешно из России, большинство даже не позаботилось о том, чтобы выполнить обязательства перед партнерами. Часть оборудования и ПО потеряла поддержку, а подписки вовсе были остановлены. Т.е. даже оплаченные решения больше не работают.

По части новых продуктов, дистрибуторы просто не могут разместить заказ. Некоторые вендоры ссылаются на логистические проблемы, другие же вообще никаких объяснений не дают.

Все это резко переориентировало заказчиков на покупку отечественных решений (в тех сегментах, где есть альтернативны). Тут важно отметить, что по продуктам ИБ, все ключевые классы решений имеют отечественные аналоги, поэтому ничего катастрофического не произошло. Однако переоснащение естественным образом стало дороже, и обнаружилась локальная нехватка «железных» решений. На фоне прекращения поддержки и подписок, произошло то, чего раньше никогда не было, а именно не только новые проекты резко переключились на отечественные решения, но также появилась острая необходимость срочно менять то, что перестало работать. Сложно стало комплектующими для серверного оборудования, на которых развернуты некоторые решения, но эта проблема активно решается».

Алексей Антонов, управляющий партнер Swordfish Security:

ИБ (Информационная безопасность): новая реальность (часть 1)
Алексей Антонов, управляющий партнер Swordfish Security

«За последние недели произошли существенные изменения. Многие игроки ушли с рынка, некоторые остались. Но в целом отношение к зарубежным производителям уже подорвано, заказчики очень неохотно рассматривают приобретение их продуктов – только в том случае, если нет российской альтернативы.

Если говорить о сфере безопасности приложений, то здесь ощущается острая нехватка отечественных аналогов решений, связанных с динамическим анализом, анализом контейнерных сред, решений по анализу сторонних библиотек. Сейчас многие пытаются сделать что-то на базе Open Source, но это не совсем масштабируемая практика, и в большом нагруженном секторе Enterprise будет требовать много ресурсов на поддержание.

Сейчас идет процесс активного создания российских решений, но ему нужно время, чтобы сделать достойные продукты. И пока что заказчики будут закрывать свои задачи дополнительным перерасходом ресурсов на поддержание тех или иных практик, то есть посредством инженеров и аналитиков. Многие заказчики уже тестируют на себе какие-то новые решения разработчиков. И такой подход оперативно позволит закрыть потребности первых и помочь разработчикам создавать действительно необходимые инструменты, которые сразу же будут востребованы».

Group-IB:

«В последние месяцы мы, действительно, наблюдаем повышенный спрос со стороны финансовых учреждений, промышленных предприятий на решения кибербезопасности. После ухода из РФ крупных американских и европейских вендоров компании в первую очередь оперативно меняют комплексы для защиты от целевых атак, анализаторы трафика, «песочницы» и агенты на рабочих станциях пользователей, которые в комплексе  способны  обеспечить защиту периметра от широкого спектра киберугроз, среди которых программы-шифровальщики, эксплойты, банковские трояны, шпионы, бэкдоры.

Кроме того, мы отмечаем повышенный интерес финансового сектора к данным Threat Intelligence (Киберразведка) — клиенты хотят узнавать о готовящихся кибератаках превентивно, оперативно получать индикаторы компрометации и фиды, чтобы защититься.

Из-за активности хактивистов востребована защита веб-приложения и веб-сайты от атак вредоносных ботов — с их помощью злоумышленники отправляют многочисленные запросы к  веб-страницам сайтов и «кладут» их (так называемый DDoS на уровне L7). Мы разработали решение по защите от вредоносных ботов Preventive Proxy и оно на 100% отсекает такие атаки».

Алексеев Игорь Вадимович, директор по развитию продукта Интернет Контроль Сервер:

ИБ (Информационная безопасность): новая реальность (часть 1)
Алексеев Игорь Вадимович, директор по развитию продукта Интернет Контроль Сервер

«Для меня очевидна полная потеря доверия к зарубежным системам в области ИБ. В этой отрасли доверие и уверенность в том, что партнер будет с тобой вне зависимости от обстоятельств, тем более таких ветренных как политика особенно важно. И я думаю, что даже когда бывшие партнеры попробуют вернуться, для нас будет очень сложно их принять.

Таким образом, упор вынужденно делается на отечественных вендоров, среди которых есть немало и неплохих, хотя справедливости ради нужно отметить, что если программные решения, хоть и основаны на мировых Open Source проектах, все же значительно опережают в уровне технологий аппаратные решения, привязанные к отечественной или «незападной» элементной базе».

Команда Staffcop:

«В первую очередь, хотелось бы сказать, что текущие санкции и уход многих игроков с российского рынка ИБ-решений — это однозначно плохо, для всех нас, как клиентов, так и местных производителей ИБ-решений. Но определенный позитивный эффект мы получили. Судите сами:

  • С рынка ушли многие иностранные ИБ-компании, показав свои истинные ценности. И это шанс для переосмысления и актуализации своей стратегии ИБ и поиска новых надежных партнеров. В это тяжелое для всех время мы готовы приложить максимум помощи для вас.
  • Конечно же, следствием предыдущего пункта стал рост спроса на отечественный софт. И государственные и коммерческие компании, осознали важность импортозамещения. Вы платили «иностранцам» хорошие деньги и в одночасье всего этого не стало. Но и нашей стране тоже есть, что предложить. Наши компании наконец-то смогут доказать, что стереотип «иностранное лучше, чем российское» далеко не всегда обоснован.

С другой стороны, это дает нам шанс развиваться в том направлении, которое ранее занимали иностранные мастодонты. Ведь задачи у пользователей остались прежние и добавились новые, а не все наши продукты пробовали закрыть подобные задач следуя принципу – «а зачем?».

Хомутов Дмитрий Сергеевич, директор, «Айдеко»:

ИБ (Информационная безопасность): новая реальность (часть 1)
Хомутов Дмитрий Сергеевич, директор, «Айдеко»

«На рынке, к которому имеет отношение Айдеко, межсетевых экранов нового поколения — изменения кардинальные. Уход Fortinet/Cisco, прекращение действия сертификатов ФСТЭК привело к необходимости поиска новых решений множеством организаций. С помощью российских средств напрямую повторить решения зарубежных энтерпрайз-вендоров пока очень сложно».

Максим Головлев, технический директор компании iTPROTECT:

ИБ (Информационная безопасность): новая реальность (часть 1)
Максим Головлев, технический директор компании iTPROTECT

«Сложившаяся ситуация с санкциями привела к приостановке или уходу с рынка большей части иностранных производителей оборудования и софта, как в области информационной безопасности, так и ИТ целом. Что, в свою очередь, повлияло на оставшихся игроков рынка и привело к росту стоимости их продуктов.  Также с приостановкой деятельности иностранных вендоров в России, заказчики столкнулись с ограничениями и отключением поддержки иностранных ИБ-инструментов, доступа к базам знаний (личным кабинетам), обновлениям модулей и сигнатур. Облачные решения и сервисы по подписке также в большинстве своем стали недоступны.

Все это зачастую (хотя и не всегда, поэтому важно отталкиваться от потребностей — кому-то из заказчиков что-то можно заменить сейчас, а остальное — чуть позже) ведет к необходимости замены иностранных систем, при этом зачастую у заказчиков не хватает компетенций (людей и необходимых знаний) для оперативного подбора решений, проработки архитектуры и внедрения новых систем. Чаще всего, у заказчиков нет и понимания, на что именно менять импортные продукты в инфраструктуре, и какие из них сейчас доступны. Мы это видим, так как в iTPROTECT усилился поток запросов на консультацию по подбору решений на замену или анализу рисков по использованию европейских или американских систем, особенно в том случае, если возможности заменить их оперативно – нет».

Антон Головатый, директор по продажам IT Task:

«Прежде всего, произошли кардинальные изменения с точки зрения ландшафта игроков данного рынка. С уходом ряда зарубежных компаний, дополнительный интерес получили аналоги среди отечественных разработчиков. Также получили возможность выхода на рынок некоторые зарубежные игроки из нейтральных или дружественных стран, даже несмотря на оставшиеся логистические и финансовые проблемы.

Изменился взгляд на модель поставки программного обеспечения, а именно – многие компании стали обращать внимание на модель лицензирования. С высокой вероятностью, подписки в ближайшее время еще будут вызывать негативную реакцию, если они предлагаются зарубежными компаниями. Связано такое отношение прежде всего с тем, что «больнее» всего прочувствовали уход компаний, у которых покупались продукты по указанной модели лицензирования. В один момент их софт просто был дистанционно отключен, а компании-клиенты лишены рабочего решения.

В итоге сейчас в отрасли имеется объективная проблема с развитием существующих ИБ-инфраструктур у многих коммерческих или около государственных корпораций, где требуется внимательный пересмотр производителей решений в ближайшее время.

В дополнение к этому подверглись изменениям и текущие условия поставки решений ИБ. Излишняя волатильность курса иностранных валют полностью реализовала валютный риск для всех участников цепочки поставок, что привело к дополнительным условиям в договорах в виде фиксаций курса или изменений условий оплаты в сторону полной предоплаты».

Сергей Тимошенко, Коммерческий директор EveryTag:

ИБ (Информационная безопасность): новая реальность (часть 1)
Сергей Тимошенко, Коммерческий директор EveryTag

«Основная проблема заказчиков, с которой они столкнулись — это невозможность продолжать работу с частью ПО. Компании были вынуждены срочно искать альтернативу для сохранения работоспособности организации. Кроме этого, возник дефицит “железа” и угроза, что его резервы не будут восполнены в ближайшее время. Переход по программе импортозамещения на отечественное ПО и «железо» проблематично осуществить одномоментно».

Арышев Владимир Сергеевич, менеджер по развитию решений, УЦСБ:

«Здесь стоит рассмотреть несколько аспектов:

А) Технологический аспект

Так сложилось в IT-сфере, что, к сожалению, мировые технологические лидеры находятся за пределами нашей страны, а отечественные производители выступают в роли «догоняющих» и не могут в данный момент предоставить весь необходимый функционал для обеспечения комплексной безопасности. Кроме того, многие отечественные решения изначально были нацелены на закрытие потребности соответствия регуляторам, поэтому имеют весьма ограниченный функционал с далеко не самыми гибкими возможностями и удобными средствами управления.

В ситуации, когда зарубежные компании прекратили продажу и обслуживание своих решений, вполне закономерно, что бизнес обратил пристальное внимание к российским производителям, к функционалу и качеству их решений. Несмотря на то, что уже приобретенные продукты в большинстве сохранили полную / частичную функциональность, важным фактором обеспечения безопасности является наличие качественного технического обслуживания и постоянно обновляемых «подписочных» сервисов: обновление сигнатур, баз, использование облачного интеллекта и пр., в чем нам, к сожалению, было отказано.

И здесь реакция российских производителей оказалась разной: ряд компаний признает недостаточность функционала и обещает ускорить процесс разработки, другие компании заняли позицию «бери что дают». Поэтому при анализе решений стоит обращать внимание на их road map – что и когда компания планирует внедрить в свои продукты.

Б) Ценовой аспект

Многие зарубежные производители предоставляли наилучшее соотношение цена / качество в нормальных конкурентных условиях. Сейчас же предложение резко сократилось и, что логично, стоимость доступных к заказу продуктов существенно увеличилась. Причем выросла не только стоимость аппаратных платформ (что можно объяснить ростом курса валюты и логистикой), но и программных решений. У многих заказчиков бюджет не был рассчитан на такой рост, поэтому приходится либо откладывать реализацию проектов, либо искать другие варианты».

Орешкина Дарья, Директор по развитию бизнеса, Web Control:

ИБ (Информационная безопасность): новая реальность (часть 1)
Орешкина Дарья, Директор по развитию бизнеса, Web Control

«С уходом зарубежных вендоров, их решения перестали стоять на страже безопасности российских компаний. Какое-то ПО уже есть на замену на рынке, но многое заказчики предпочитают писать самостоятельно или делать на заказ. И тут возникает дилемма – с одной стороны, не хочется опять зависеть от сторонних производителей, в том числе открытого кода, с другой стороны, хочется сократить издержки и ускорить релиз, использовать уже готовый открытый код, но с большой осторожностью. Мы сейчас наблюдаем высокую активность, связанную с построением DevSecOps в компаниях, в том числе для разработки собственных безопасных решений для информационной безопасности».

Чернов Иван, менеджер по развитию, UserGate:

ИБ (Информационная безопасность): новая реальность (часть 1)
Чернов Иван, менеджер по развитию, UserGate

«Нарушено и так хрупкое доверие к зарубежным средствам защиты и его не восстановить. Отечественный рынок же в свою очередь и не делал попыток выпускать что-то зрелое и нужное — наши производители пытаются выпустить «похожий» продукт и приучить к нему заказчика, а, в свою очередь, от конечных пользователей запроса на создание работоспособного инструмента не поступало поскольку находились в самоуспокоенном состоянии и продолжали закрыв глаза эксплуатировать привычные американские продукты. Отечественным же производителям всегда проще было взять условно-бесплатный продукт, раскрасить в свои цвета и «дотянуть» до минимально допустимых требований.

Вот потому «Импортозамещение» – слово, набившее оскомину в последние дни. В действительности, сейчас этот процесс из вялотекущего перешел в разряд экстренных, и заказчик оголтело бегает по рынку, хотя и понимает, что искать по-прежнему нечего. Ситуацию спасает то, что на рынке все же есть редкие компании, которые планомерно работали над совершенствованием технологи и расширением функций своих продуктов и решений.

Для производителя сейчас самое главное – обеспечить качественный сервис и поддержку текущим и новым заказчикам и партнёрам, в том числе обучать работе с продуктами, помогать организовать бесшовную по возможности миграцию с решений, от которых они вынуждены отказаться».

Алексей Дрозд, Начальник отдела информационной безопасности «СёрчИнформ»:

ИБ (Информационная безопасность): новая реальность (часть 1)
Алексей Дрозд, Начальник отдела информационной безопасности «СёрчИнформ»

«Сразу оговорюсь: я буду говорить о внутренних угрозах, здесь могу привести четкие цифры, высказать мотивированное мнение.

Теперь к ответу на вопрос. Изменения в обозримой перспективе очевидны: заказчики в экстренном порядке переезжают с сервисов, которые не просто ушли с рынка, а отозвали ключи от лицензий, превратив ПО в «кирпич». Так поступила, например, компания Fortinet.

В нашем сегменте рынка ПО для защиты от внутренних угроз почти ничего не изменится, потому что российские решения в некоторых классах ПО занимают более 90% рынка. Например, в классе DLP-продуктов западных систем ничтожно мало закупается в РФ. На рынке SIEM-систем все хуже – около 60% заказчиков использовало иностранное ПО. Но его есть чем заменить — есть «СёрчИнформ SIEM», есть коллеги из MaxPatrol, RuSIEM. Разница в функционале западных и отечественных систем есть, но она не критически велика».

2. Какие угрозы представляют наибольшую опасность для бизнеса сегодня? На что обратить внимание в первую очередь? Как защитить бизнес и репутацию компании?

Петров Антон Валериевич, гендиректор Тионикс, исполнительный директор «Базис»:

«Риски технологической независимости, о которых я рассказываю последние лет 5 неожиданно наступили. Мой совет – вместо того, чтобы обходить санкции и придумывать способы как все же использовать западные технологии, начните готовить свою службу эксплуатации и ИБ к работе без западных вендоров. Сейчас ещё можно сделать это относительно планово и относительно комфортно.

Замена вендоров из кремниевой долины на российские технологии все равно будет сложной, но сейчас вы можете сделать это планово, ступенчато и контролируя процесс. Чтобы защитить бизнес и его непрерывность в идеале: научите свою команду работать без внешней поддержки, без использования закрытых стандартов и технологий. Ну или хотя бы нужно лечь головой в эту сторону и немного туда ползти».

Евгений Царев, управляющий RTM Group:

«Сегодня для компаний, как никогда, возросла значимость грамотного обеспечения ИБ. И те организации, которые вкладывались в это направление, сегодня не имеют больших проблем, все под контролем. Сейчас наблюдается растущее количество атак на ресурсы бизнеса и государства в России. В ход идет все, включая эксплуатацию обнаруживаемых уязвимостей, DDoS-атаки, шифровальщики, методы социальной инженерии.

Задача иностранных группировок – вывести из строя, нарушить функционирование российских информационных систем. И в данном случае перед всеми нами стоит задача не допустить нарушения процессов, продолжить развивать бизнес. Конечно, выросли и репутационные риски. Ведь когда ресурс компании подвергается взлому, когда размещаются провокационная информация, это наносит ущерб, и репутационный, и финансовый. Если организация предоставляет услуги, особенно платные, то нарушение ее работы, как это было в случае с атакой на интернет-магазин Wildberries, влечет за собой огромные убытки.

Для того, чтобы защитить бизнес и репутацию, необходимо уделять особое внимание защищенности ресурсов компании, своевременному обновлению используемых продуктов, осуществлению грамотных настроек, обучению персонала работе в кризис. Всем этим важно не пренебрегать сегодня».

Алексей Антонов, управляющий партнер Swordfish Security:

«Сейчас уникальная ситуация для цифрового рынка, а особенно для цифрового рынка РФ. Прежде всего, ландшафт угроз растет постоянно, потому что все компании идут в глобальную цифровизацию. Это порождает сотни новых процессов, сотни новых продуктов, как внешних, так и внутренних, ведет к ошеломительному росту инфраструктуры. И, конечно же, предоставляет реализовать более широкую площадь атаки, разнообразные векторы.

Помимо этого, Россия вообще за последние недели превратилась в полигон, на котором можно ломать все, что вздумается. Весь внешний мир не имеет ничего против этого, наоборот, действия хакерских группировок поощряются. Это хорошо видно по показателям: количество атак от нескольких раз в месяц выросло до сотен тысяч в неделю, в день. У всех на слуху кейсы с успешными взломами новостных агентств, сайтов госструктур, судов и так далее. А потому надо принять как данность, что киберзащита активов сегодня во много раз более важна, чем месяц назад.

Причем необходимо бороться не с конкретными угрозами или уязвимостями, которые появляются, нужно работать превентивно, грамотно выстраивать весь процесс, который в своей архитектуре предусматривает различные активности и практики, помогающие на разных уровнях находить и компенсировать различные проблемы и дефекты».

Group-IB:

ИБ (Информационная безопасность): новая реальность (часть 1)
Дмитрий Волков, CEO Group-IB

Команда Group-IB: «В 2021 году, по данным Group-IB, в России было зафиксировано почти в 4 раза больше атак на объекты КИИ, чем в 2020 году и их количество на фоне сложившейся геополитической ситуации можем значительно вырасти. За три недели — с 17 февраля по 10 марта — количество вредоносных почтовых рассылок в России выросло в два раза по сравнению с тремя неделями ранее: чаще всего рассылают шпионское ПО (72%), бэкдоры (131%), загрузчики (325%).

После 24 февраля специалисты Лаборатории цифровой криминалистики Group-IB фиксируют практически трехкратный рост атак программ-вымогателей, которые используются как для получения выкупа, так и с целью уничтожения важной информации, то есть саботажа».

Дмитрий Волков, CEO Group-IB: «Киберриски выросли не только потому, что некоторые ИБ-компании ушли из России, но и еще из-за двух довольно опасных тенденций: возросло количество кибератак, в том числе с целью шпионажа или саботажа, а традиционный киберкриминал, пользуясь ситуацией, стал вести себя еще более агрессивно».

Мария Зализняк, руководитель отдела развития продуктов, InfoWatch ARMA:

«Векторы угроз не меняются уже на протяжении нескольких лет. Сейчас мы видим, как увеличилось количество кибератак, и угрозы, которые мы считали маловероятными, стали реальными. Речь идет об уходе иностранных разработчиков СЗИ с российского рынка с последующим отключением обновлений, а в некоторых случаях и самих средств защиты.

Увеличился риск утечки конфиденциальной информации, в том числе персональных данных, что приводит к угрозам потери данных предприятий и финансовому мошенничеству.

Также стоит отметить увеличение риска вывода из строя инфраструктуры предприятия за счет увеличения числа целевых атак на предприятия. Увеличился риск, который предприятие может понести от случайных нецелевых атак. Это происходит за счет активизации хакерских атак.

На данный момент следует обратить особое внимание на работоспособность имеющихся СЗИ. В начале марта наша команда разработала рекомендации по усилению защиты объектов КИИ от киберугроз».

Алексеев Игорь Вадимович, директор по развитию продукта Интернет Контроль Сервер:

«Целенаправленные хакерские атаки, широкое распространение методов социальной инженерии, что и раньше наблюдалось, конечно, но далеко не в таких масштабах как сейчас».

Команда Staffcop:

«Для нас, как поставщика DLP решений для бизнеса, угрозы никак не поменялись с прошлого года – основная угроза идет изнутри, от сотрудников предприятия. И главная задача – это не дать утечь конфиденциальной информации. Сотрудники могут быть подставными (работать на конкурента); могут хотеть начать свое дело, но не с нуля, а уже имея пул клиентов и поставщиков; могут мстить за какие-то свои обиды (не важно настоящие или надуманные). Поэтому, необходимо обращать внимание на следующие вещи:

  • Контроль информационных потоков компании. Вы должны знать и четко контролировать куда, кто и что сообщает. И, конечно же, каким способом. Только имея полное представление и четко создав конкретные правила обращения с конфиденциальной информацией, вы сможете избежать утечки.
  • Контроль бизнес-процессов. Ни для кого не секрет, что чем эффективнее работает компания, тем устойчивей её позиция на рынке. Кроме того, эффективность открывает возможности для роста. Поэтому важен анализ того, как устроены бизнес-процессы, их переформатирование, по необходимости, а также создание новых.
  • Контроль сотрудников. Это всегда больная тема для работодателей – необходимо вести учёт действий сотрудников, чтобы иметь возможность предотвращения инцидентов информационной безопасности или снизить риски их появления – допущенных как по невнимательности, так и по халатности. Кроме того, учет действий сотрудников позволяет выявлять нелояльных, выгоревших, и иных сотрудников, кто делает свою работу из рук вон плохо. Эффективные бизнес-процессы с сотрудниками, которые проводят много времени, впитывая различную негативную повестку из соцсетей, впрочем, как и с любой иной непродуктивной активностью, не построишь».

Хомутов Дмитрий Сергеевич, директор, «Айдеко»:

«Наибольшее распространение получили массированные атаки на внешний периметр организаций, DDoS сайтов и DNS-хостингов, взломы всего, что содержат уязвимости. Если раньше использование устаревшего серверного ПО или средств защиты часто «сходили с рук», то сейчас отечественные компании получили своеобразный «бесплатный тест на проникновение». Нужно как можно скорее первым обнаружить уязвимости и закрыть их».

Максим Головлев, технический директор компании iTPROTECT:

«Сейчас публикуется большое количество уязвимостей, также по статистике мы наблюдаем большое количество DDoS-атак, атак на веб-сервисы, с использованием программ шифровальщиков и фишинговых атак. В целом, атаки остались теми же, но количество попыток существенно увеличилось. Например, нам удалось столкнуться с достаточно типичными атаками, использующими уязвимости, которые были опубликованы несколько лет назад».

Антон Кузьмин, руководитель центра предотвращения киберугроз CyberART ГК Innostage:

ИБ (Информационная безопасность): новая реальность (часть 1)
Антон Кузьмин, руководитель центра предотвращения киберугроз CyberART ГК Innostage

«Защита бизнеса и репутации – это не разовая задача и быстрых побед в этом вопросе нет. Их необходимо было решать еще до наступления кризиса. Однако если в компании никогда ранее не занимались вопросами обеспечения безопасности, советуем начать с базовых задач – анализа сетевого периметра и инфраструктуры.

Чтобы четко определить вероятность компрометации сетевого периметра, необходимо:

1. Провести инвентаризацию сервисов на внешнем сетевом периметре (веб-приложения, сервисы удаленного доступа). Один из вариантов — выполнить автоматизированное сканирование периметра внешних IP-адресов на предмет наличия уязвимостей. На основании этого можно получить перечень открытых портов и уязвимостей.

2. Неиспользуемые и лишние сервисы лучше исключить или сократить их количество.

3. Внедрить дополнительные меры по защите сервисов. Например, ограничить по количеству запросов к сервису с одного внешнего IP-адреса, двухфакторная аутентификация, внедрение решений WAF и Anti DDoS.

4. По возможности исключить использование зарубежных облачных сервисов.

5. Сделать резервную копию всех важных данных, хранящихся на зарубежных облачных сервисах. И важно провести элементарную беседу с персоналом – о фишинговых письмах, нестандартном поведении информационных систем.

С точки зрения инфраструктуры важно:

  • Настроить резервное копирование критичной информации, с хранением на носителе, недоступном для АРМ пользователей организации и возможностью восстановления данных из резервной копии.
  • Отключить автоматическое обновление ПО и оборудования иностранного производителя.
  • Отключить взаимодействие с серверами проверки лицензий на право использования дополнительных функциональных возможностей программного обеспечения указанного оборудования.
  • Провести инвентаризацию привилегированных учетных записей, заблокировать неиспользуемые. Заблокировать неактивные более 14 дней учетные записи пользователей во всех системах, проводить разблокировку по факту обращения пользователя.
  • Исключить или минимизировать внешние взаимодействия тестовых сред, информационных систем, не являющихся необходимыми для функционирования основных процессов.
  • Исключить возможность использования пользователями и администраторами простых паролей.
  • Усилить контроль при работе с подрядными организациями, поставщиками и дочерними структурами

Все эти меры краткосрочно помогут закрыть «явные дыры» информационной безопасности. Но важно понять, защита бизнеса – это сложный и трудоемкий процесс. У нас, как в медицине – главное, профилактика. ИБ нужно заниматься системно и проходить всю цепочку – от понимания объекта до контроля и трансформации ИТ под условия защищенности. Если в одной инфраструктуре в прямом доступе лежит база с критичными системами, то с высокой долей вероятности при компрометации этого пользователя данные утекут».

Антон Головатый, директор по продажам IT Task:

«В первую очередь, стоит обратить внимание на возможное снижение уровня защиты периметра организации и ключевых бизнес-сервисов в связи с уходом зарубежных компаний и отключения их решений в РФ. Необходимо произвести заново оценку рисков ИБ и оперативно решить вопрос с наиболее уязвимыми сегментами инфраструктуры.

Дополнительно стоит отметить и изменившийся фокус у кибератак. Ранее атаки проводились прежде всего с целью заработка. Сейчас же атаки направлены на остановку ключевых правительственных сервисов, СМИ, сервисов дистанционного обслуживания крупных корпораций и т.д. Целью является желание навредить, деньги отошли на второй план. Соответственно целью атаки может стать любая компания, заметная на рынке РФ, а не только привычный всем финансовый сектор.

По этой причине стоит усилить направление безопасности по противодействию неизвестным угрозам за счет внедрения решений классов anti-APT и Threat Intelligence.

В условиях повышенного внимания со стороны иностранных кибергруппировок (в том числе, и проправительственных), именно решения данных классов смогут обеспечить необходимый уровень безопасности и, как следствие, снижение уровня риска взлома и остановки критических бизнес-сервисов».

Сергей Тимошенко, Коммерческий директор EveryTag:

«По нашему мнению, для компании очень важно двигаться вперед и развиваться. Однако сейчас основной ориентир — это сохранение работоспособности организации в максимальном приближении к устоявшейся ранее инфраструктуре. Невозможность использования привычного ПО — вот основная проблема. Поиск аналогов отечественного производства и внедрение их в существующую инфраструктуру задача подразделений ИТ и ИБ. Цель компании уйти от зависимости от иностранного ПО. Даже если сейчас иностранная компания продолжает работу в РФ, нет гарантий, что завтра или через неделю эта ситуация не изменится.

Важным критерием любого ПО и “железа” является его стоимость. Западное ПО всегда было ориентировано на курс доллара, поэтому прогнозировать его стоимость сейчас крайне сложно. Отечественное ПО имеет более прогнозируемую стоимость,” — Сергей Тимошенко, Коммерческий директор EveryTag».

Арышев Владимир Сергеевич, менеджер по развитию решений, УЦСБ:

ИБ (Информационная безопасность): новая реальность (часть 1)
Арышев Владимир, менеджер по развитию решений, УЦСБ

«В первую очередь – снижение уровня защищенности организации, благодаря чему злоумышленникам может быть значительно проще обойти средства защиты. Нужно обратить особое внимание на текущую ситуацию и проанализировать, какие из существующих средств защиты работают в полной мере, а какие требуется заменить либо усилить дополнительными мерами. Необходимо восстановить требуемый уровень защищенности и, вполне вероятно, это потребует дополнительных затрат.

Также стоит обратить внимание на стабильность работы средств защиты. В условиях ограничения технического сопровождения зарубежными производителями, необходимо спланировать действия на случай отказа решения – вариантами могут быть ЗИП для аппаратных решений (если он уже есть или все еще возможно приобрести), регулярное резервное копирование, другое резервное решение, которое может быть быстро введено в эксплуатацию в случае выхода из строя основного, и даже полная замена решения. Здесь все зависит от влияния на бизнес используемых средств безопасности: если влияние критично, то и меры должны быть применены радикальные».

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft:

ИБ (Информационная безопасность): новая реальность (часть 1)
Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft

«Я не думаю, что текущая ситуация как-то серьезно поменяла актуальный ландшафт угроз-2022. Напомню, основные угрозы – это вымогатели и шифровальщики. Единственное, в моменте добавились не преследующие коммерческих целей спорадические атаки на российские ресурсы. Следует больше уделять внимание защите КИИ, так как потенциальная атака может привести к очень серьезным последствиям. Для защиты бизнеса нужно обеспечить безопасность, в первую очередь, ключевых бизнес-процессов и ключевых ресурсов, в том числе – данных».

Щетинин Александр Вячеславович, CEO, Xello:

ИБ (Информационная безопасность): новая реальность (часть 1)
Щетинин Александр Вячеславович, CEO, Xello

«Если говорить о крупном бизнесе, то особое внимание стоит уделить целенаправленным кибератакам (далее — APT). APT-атака характеризуется направленностью на конкретный объект (страна, отрасль, компания), наличием технических и финансовых ресурсов у злоумышленников, а также доведением атаки до конечного результата. За последнее время их интенсивность значительно возросла, что подтверждается кейсами: сбой работы Wildberries, атака шифровальщика на Мираторг, сбой электронного документооборота в Росавиации.

Цель APT-атаки — проникновение в корпоративную сеть, которое ведет к возникновению деструктивных последствий для инфраструктуры компании: вывод из строя критически важных информационных систем, уничтожение данных, негативное влияние на экономические показатели страны.

В текущих условиях, когда возможностей для реализации кибератаки становится только больше, необходимо сместить фокус внимания на раннее выявление аномальных действий в корпоративной сети (внезапное увеличение объема операций с базами данных, подозрительное поведение привилегированных учетных записей, неожиданные входы в систему)».

Салахутдинов Артур, руководитель направления MSSP, UserGate:

ИБ (Информационная безопасность): новая реальность (часть 1)
Салахутдинов Артур, руководитель направления MSSP, UserGate

«Угрозы прежние – тут ничего за последние 5 лет не поменялось. Надо внимательно читать нормативную базу и скрупулезно исполнять эти разумные требования, балансируя между скоростью бизнеса и безопасностью».

Алексей Дрозд, Начальник отдела информационной безопасности «СёрчИнформ»:

«Я бы обратил внимание на активизацию инсайдеров. Считаю это серьёзной угрозой, потому что человек уже внутри, не нужно преодолевать периметры защиты. При этом в контексте последних событий в мотивы инсайдера стремительно врывается идеологическая составляющая. За примером далеко ходить не надо – слив информации, связанной с шифровальщиком Conti. «Партнёр» начал сливать переписку и исходный код по идеологическим побуждениям.

Второй момент – самое критичное – на ходу перестраивать защиту. Т.е. у компании было какое-то количество ПО. Для его защиты применялось какое-то количество ИБ-решений. В нынешних условиях происходит замена и защищаемого ПО (а это новые уязвимости, которые нужно изучать и закрывать), и защищающего ПО. Вот это большая проблема, потому что она зависит не только от ИБ. Это слаженная работа ИТ- и ИБ-департаментов, которые должны все это запускать и думать, как защитить и при этом не конфликтовать между собой»

Иван Мелехин, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

ИБ (Информационная безопасность): новая реальность (часть 1)
Иван Мелехин, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»

«Сегодня для бизнеса наибольшую опасность представляют следующие угрозы: DDoS атаки на инфраструктуру, атаки шифровальщиков для остановки работы, кража данных, в первую очередь почтовой переписки,  атаки через ПО и библиотеки, в первую очередь Open source, отказ оборудования\средств защиты как по причине ухода вендора, так и по причине невозможности ремонта при отсутствии тех. поддержки.

Защиту бизнеса и репутации можно разнести на стратегический и тактический уровень. На стратегическом уровне, самой эффективной защитой бизнеса и репутации является создание условий, при которых предпосылки для массовых атак на российский бизнес исчезнут. На тактическом уровне, необходимо как можно скорее обеспечить себя сервисами защиты от DDoS атак, мониторинга и реагирования на киберинциденты, обеспечить приемлемый уровень функционирования СЗИ, в том числе и за счет импортозамещающих решений.

Все это возможно достаточно быстро реализовать по сервисной модели. С точки зрения защиты репутации очень важно иметь готовую PR стратегию на случай инцидентов, разработанную профессионалами. К сожалению, как мы видим по последнему нескончаемому потоку информации о взломах и утечках, ни средствами защиты, ни грамотным PR многие не озаботились заранее».

3. От какого западного ПО и «железа» в отрасли ИБ стоит отказываться в первую очередь?

Петров Антон Валериевич, гендиректор Тионикс, исполнительный директор «Базис»:

«Отказаться нужно не от конкретного вендора, а от модели мышления, подразумевающей доверие западным вендорам. оставлять вендорский доступ к оборудованию, прошивкам, обновлению ПО, логам, серверам безопасности, внедрять обновления, сигнатуры, прошивки «на лету и день в день» очень дискуссионная идея, которая кажется мне на 100% ошибочной в настоящее время».

Мария Зализняк, руководитель отдела развития продуктов, InfoWatch ARMA:

«Прямо сейчас мы видим, что отказываются от межсетевых экранов и антивирусного программного обеспечения. В порядке убывания запросов сейчас мы наблюдаем активный переход по следующим средствам:

  • — средства сетевой безопасности (например, межсетевые экраны, СОВ);
  • — системы антивирусной защиты.

Объем замены межсетевых экранов связан со многими факторами: большой процент иностранных решений, четкое понимание задач и необходимости у пользователей, просто большой объем внедрений, некоторая простота отключения по сравнению со средствами, не имеющими доступа с сеть Интернет.

Важно, что всем этим решениям есть замена у отечественных производителей».

Евгений Царев, управляющий RTM Group:

«Мы все должны понять, что ситуация, в которой оказался рынок, не временная. Нам не просто нужно «переждать» какое-то время, чтобы опять вернуться к решениям иностранных поставщиков. Лучше вовсе отказаться от них, поскольку в любой кризисной ситуации весь этот кошмар может повториться. Мы должны ориентироваться на то, чтобы максимально заменить ушедших вендоров ПО и железа. Со вторым, конечно, сложнее, поскольку ресурсов для создания по-настоящему конкурентоспособных решений у нас пока так и нет. Но в том, что касается ПО, особенно в таких важных сферах, как финансы, нефтегазовый сектор, госсектор, образование, телекоммуникации, мы совершенно точно должны по максимуму избавляться от иностранных разработок.

Сейчас у нас в стране уже есть наработки по программным продуктам, но нужно больше вкладываться в это направление, а властям – активнее его поддерживать. Ведь для того, чтобы создать мощные конкурентоспособные решения, необходимы серьезные ресурсы».

Алексей Антонов, управляющий партнер Swordfish Security:

«Отказ от того или иного ПО — это все-таки вынужденная мера, к которой стоит прибегать только в крайней ситуации. Такое действие неизбежно повлечет за собой дополнительные затраты для организации и изменения, не всегда положительные.

Финансовому сектору, а также промышленности и госструктурам сейчас настоятельно рекомендуют импортозамещать все ключевые системы. Это было бы неплохо, однако в полном объеме сделать это сейчас не получится. Некоторые продукты российские вендоры просто не готовы заместить оперативно, а ждать несколько месяцев нет возможности. Каждый сейчас пытается по-своему выходить из ситуации. Кто-то настроен до последнего использовать решения иностранных вендоров, пока есть возможность, кто-то уже разрабатывает своими силами или заказал у российских производителей необходимые продукты».

Алексеев Игорь, директор по развитию продукта Интернет Контроль Сервер:

«Системы NGFW, UTM, даже если они локализованы в РФ, но имеют западные корни представляют собой существенную опасность. Меньше всего опасности представляет собой неспециализированное железо общего назначения».

Команда Staffcop:

«Нужно быть внимательнее с программным обеспечением, работоспособность которого сильно зависима от другого лицензионного ПО и/или дорогостоящего уникального оборудования. А также важно отметить сервисы и функции облачного хранения, которые используют внешние мощности, расположенные за рубежом. Ведь в случае чего, вы можете потерять доступ к данным».

Хомутов Дмитрий, директор, «Айдеко»:

«В первую очередь это устройства, находящиеся на границе локальной сети и интернета, т.к. они первая, самая очевидная, цель для нападающих. На втором месте — все открытые в интернет сервисы — веб-сервера, DNS, другие. Нужно планировать замену всего ПО и аппаратных комплексов, обслуживающих данные сервисы».

Максим Головлев, технический директор компании iTPROTECT:

«Стоит отказываться от оборудования, которое сейчас невозможно обновить, как на уровне «прошивки», так и на уровне баз, например, нет актуальных баз сигнатур. Также стоит отказаться от систем по подписке, будь то облачные сервисы или решения, развернутые в собственной инфраструктуре с ограниченным сроком действия.

Также придется отказаться от всего иностранного ПО субъектам КИИ – медицина, банки, промышленность – им запрещено это на уровне указа Президента РФ.

Но с учетом всех этих нюансов и необходимости отказа, позитивно, что многие российские производители сейчас предлагают акционные программы по замене текущих решений, льготные условия покупки и расширенные триальные лицензии для более плавного перехода».

Юрий Бутузов, руководитель отдела средств защиты информации ГК Innostage:

ИБ (Информационная безопасность): новая реальность (часть 1)
Юрий Бутузов, руководитель отдела средств защиты информации ГК Innostage

«В первую очередь, следует проводить экстренную замену оборудования и ПО, которое прекращает выполнять свои основные функции в следствии невозможности получения обновлений или истечения сроков действия сервисных контактов и лицензий».

Антон Головатый, директор по продажам IT Task:

«В этом вопросе стоит исходить прежде всего с позиции здравого смысла. Срочно менять то, что еще продолжает работать, пусть и с возможными ограничениями, только по причине геополитики – это путь к большим и, что важнее, нежелательным расходам, которых нужно избегать в условиях кризиса. Эффективнее будет вариант анализа работающих систем и их функционала, а далее попытка использования его в качестве временной базы для наращивания систем в тех сегментах инфраструктуры, которые пострадали больше всего.

Иными словами, не всегда стоит заменять неугодный NGFW от зарубежного вендора, если у него перестали работать сервисы по подписке. Наоборот, на данный момент его возможно стоит оставить, а вместо зарубежных обновлений закупить фиды от отечественных компаний. И подобных примеров достаточно много. За счет этого подхода будет возможно все же высвободить средства для замены именно тех решений, которые больше не могут быть использованы. К примеру, так произошло с большинством зарубежных сканеров уязвимостей.

Помимо экономии имеющихся ресурсов, подобный подход может помочь и выиграть время, столь необходимое для принятия взвешенного решения по замене. На все процессы, такие как проведение пилотов, подготовка новой схемы инфраструктуры и проведение закупок и внедрения, оно просто необходимо. В ином случае, есть риск принятия эмоционального решения, которое может создать проблемы в будущем при эксплуатации или масштабировании уже новой инфраструктуры».

Сергей Тимошенко, Коммерческий директор EveryTag:

«Трудно дать гарантии касательно западного ПО, особенно в отрасли ИБ. Вопрос, можно ли доверять такому ПО, каждая компания решает для себя самостоятельно. Кто-то готов принимать эти риски, кто-то категорически нет. ПО, находящееся в изолированном контуре Заказчика, без доступа производителя к нему, можно считать вполне надежным. Но возникает вопрос, как быть с технической поддержкой? Обновлениями? Это риск. Нет гарантий в том, что далее вы сможете получать привычный сервис.

Касательно “железа” вопрос даже не в том, стоит ли от него отказываться. Вопрос, скорее, осталась ли возможность его купить сейчас,” — Сергей Тимошенко, Коммерческий директор EveryTag».

Арышев Владимир, менеджер по развитию решений, УЦСБ:

«В первую очередь, стоит отказываться от тех решений, которые уже не могут обеспечить полноценную защиту. К примеру, на периметре корпоративной сети установлен шлюз безопасности, который обеспечивает не только межсетевое экранирование, но и глубокую проверку трафика: осуществляет предотвращение сетевых атак, проверку файлов на наличие вредоносного ПО (в т.ч. в песочнице), контроль приложений и пр. Практически весь этот функционал нуждается в регулярном обновлении сигнатур, баз и движков, некоторый же в принципе работает только в облаке (например, облачная песочница). Без регулярного обновления практически бесполезен и не обеспечивает актуальную защиту. Периметральный шлюз превращается в обычный межсетевой экран. Эта история касается и других средств защиты, таких, как Web Application Firewall, антивирусное ПО, защита от DDoS, антиспам решения и прочие. Такие решения стоит рассматривать к замене в первую очередь, особенно сейчас, в переходный период, когда всем известно, что существующие средства защиты не могут обеспечить адекватную защиту, а новые еще не внедрены».

Салахутдинов Артур, руководитель направления MSSP, UserGate:

«Как минимум, в части критичных сегментов, компаниям, которые продолжают пользоваться привычными зарубежными решениям рекомендуется дублировать защиту доверенными решениями».

Алексей Дрозд, Начальник отдела информационной безопасности «СёрчИнформ»:

«Здесь не нам решать, увы. То, что превратилось в тыкву, замещаем сейчас, дальше смотрим на то ПО, которому ты, условно, не хозяин. Это SaaS-решения, все срочные лицензии. Я бы отказывался от зарубежного ПО, которое «случись что» создает конкретную дыру в безопасности. Та же DLP, если будет «отключена», будет очень печально. Потому переходил бы на российское».

Иван Мелехин, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

«Вопрос стоит не в том, от какого отказаться, а в том, на что перейти. Было бы наивным полагать, что только с западным железом и ПО могут быть проблемы как с поставками и сопровождением, так и закладками и недокументированными возможностями. Замена железа и ПО это очень комплексный вопрос, который должен учитывать все — начиная от функциональности и производительности, заканчивая надежностью, безопасностью и возможностью получения его в нужных объемах с желаемым уровнем поддержки.

Также необходимо понимать, что заменить одномоментно все — невозможно. К тому же ПО относятся не только офисные пакеты и операционные системы, но и микропрограммы контроллеров, принтеров, сетевого оборудования, BIOS, компиляторы, средства разработки и отладки, средства виртуализации, библиотеки, облачные сервсиы0 и многое другое. Все это работает в тесном взаимодействии друг с другом и неосторожная замена одного компонента может привести к эффекту карточного домика».

4. Стоит отказываться от Open Source и обновлений из-за наличия уязвимостей в ПО?

Петров Антон Валериевич, гендиректор Тионикс, исполнительный директор «Базис»:

«От обновлений нельзя отказываться, их нужно правильно организовывать. Это касается не только Open source. Схему staging работы dev\test\prod A\ prod B придумали не вчера и сегодня вместе с концепцией infrastructure-as-a-code и devsecops она просто стала ещё актуальнее».

Евгений Царев, управляющий RTM Group:

«Вопрос не в том, стоит отказываться или нет, а в том, есть ли выбор? В ближайшее время на рынок выйдут новые решения на основе Open Source. Другое дело, что такой софт нужно обязательно дополнительно проверять и тестировать. Опыт поиска уязвимостей ПО в РФ есть, хотя специалистов немного, но они есть. Мы ожидаем рост спроса на пентест приложений и анализ исходного кода. Никому не нужно получить внутри своей инфраструктуры опасное приложение. За последний месяц у нас уже было 2 случая, когда в критичной информационной инфраструктуре сотрудники ИТ тестировали Open Source-приложения, в которых обнаруживали закладки. Вот эта ситуация очень опасная, благородное желание найти альтернативу приводит к серьезным инцидентам, если подходить к этому «спустя рукава». В обязательном порядке тестирование нужно проводить на стендах с обязательным пентестом и анализом кода. Полагаю, что в ближайшее время появятся соответствующие требования».

Алексей Антонов, управляющий партнер Swordfish Security:

«Вопрос не совсем правильный. Полностью отказаться от Open Source практически невозможно, потому что это колоссальный опыт миллионов разработчиков, который все активно используют. Не брать его в расчет – это то же самое, как если у вас служба такси, а вы решили перестать пользоваться автомобилями и заменили их на повозки, запряженные лошадьми. Долго, дорого, неэффективно.

Но уделять особое внимание уязвимостям следует. Ибо их количество не только не уменьшается, но и растет. По оценкам экспертов, сегодня 29% версий популярных проектов Open Source содержат хотя бы одну критическую уязвимость безопасности. Это действительно много. И это значит, что нужно работать с проблемами безопасности. Нужно выстраивать новые процессы для борьбы с уязвимостями, необходимо использовать различное ПО для анализа безопасности, нужно аллоцировать инженеров для ручного анализа различных библиотек, пока нет полноценных промышленных решений для работы с этим».

Алексеев Игорь, директор по развитию продукта Интернет Контроль Сервер:

«Однозначно нет. Иначе у нас совсем ничего не останется. Но подходить к открытому ПО теперь нужно с большей осторожностью. Уже были случаи внесения изменения в репозитории, приводящие к неправильному или вредоносному поведению кода. Хорошо, что он открытый и может быть проверен, хотя это, конечно, приличные трудозатраты».

Мария Зализняк, руководитель отдела развития продуктов, InfoWatch ARMA:

«Open Source несет в себе изначально уязвимости, так как нельзя проверить качество кода – часто отсутствует документация, а найти заложенную уязвимость будет крайне непросто. Именно поэтому использование Open Source решений возможно только специалистами, которые анализируют это решение на уязвимости, перебирают под себя и могут, в дальнейшем, поддерживать. Если в компании нет внутренних компетенций, а есть только администратор, то лучше от Open Source решений отказаться. В любом случае, при использовании Open Source решений необходимо обеспечивать дополнительные меры безопасности (регламентные/технические) в отношении Open Source решений.

Производители, использующие Open Source, обязаны устранять уязвимости. У такого производителя должен быть внедрен процесс безопасной разработки (SDL), и конечно, он проводит анализ исходного кода и занимается устранением уязвимостей в обязательном порядке. Кстати, разработчик ПО, решения которого прошли сертификацию у регулятора, должен у себя внедрить процесс безопасной разработки.

Если говорить про обновления, то сейчас лучше приостановить обновления текущих решений, если в них нет актуальных для предприятия уязвимостей, если это необходимо – внедрять песочницы и в них тестировать обновления».

Команда Staffcop:

«Как таковой Open Source не является чем-то ужасным. Это такое же программное обеспечение, как и любое другое – также создаваемое профессионалами, поддерживаемое обновлениями и справляется со своими функциями. В Open Source выявляются уязвимости – точно также, как и в любом другом ПО. Нужно смотреть что это именно за опенсорс – насколько там живое сообщество, зачастую не любая коммерческая организация может протестировать все варианты, какие может найти сообщество, поэтому вопрос отказа от Open Source – это прерогатива каждой отдельной компании».

Хомутов Дмитрий, директор, «Айдеко»:

«Нет. Проприетарное ПО подвержено тем же уязвимостям и злонамеренно внесенным «закладкам», просто их не видно и информация о них может не попасть в СМИ. Нужно лишь быть осторожным при обновлении свободного ПО, тестировать обновления в изолированной среде и мониторить информацию о используемом Open Source».

Юрий Бутузов, руководитель отдела средств защиты информации ГК Innostage:

«Это комплексный вопрос, на него нет однозначного ответа. Решение обновляться или нет зависит от ряда факторов. Любое обновление решает задачу в части добавления дополнительных функций или устраняет какую-то проблему в имеющихся недостатках. Понятно, что любое обновление может содержать свой набор уязвимостей как известных, так и не известных. 100% гарантий об их отсутствии никто не даст. Решение следует принимать, взвесив возможные плюсы от обновления (например, получение дополнительной функции) и риска, насколько может быть критично появление новых уязвимостей в используемой системе».

Александр Корзников, Технический директор EveryTag:

ИБ (Информационная безопасность): новая реальность (часть 1)
Александр Корзников, Технический директор EveryTag

«Ответ на этот вопрос мне кажется очевидным в свете текущей ситуации. Если у вас нет возможности пользоваться платным ПО, а задачи решать необходимо, и открытое ПО решает эти задачи, зачем отказываться от него? Если говорить про уязвимости, то, как показывает практика, в проприетарном программном обеспечении и даже аппаратном, уязвимости довольно регулярно обнаруживаются, любой вендор выпускает обновления. Причем существенная часть критичных обновлений будет касаться безопасности.

Другое дело, что производитель сам применит обновление автоматически или как минимум уведомит пользователя или администратора, в случае с Open Source заботиться об актуальности версии нужно самому. Обнаружение уязвимостей, анализ ПО и анализ текущих версий на предмет уязвимостей — это целая индустрия, и зарабатывают там явно не на анализе Open Source проектов. Так что с точки зрения уязвимостей, разницы между открытым и проприетарным ПО почти что нет.

Более того, любой Open Source проект вы можете самостоятельно проанализировать на предмет уязвимостей (конечно же при помощи технических средств), с проприетарным ПО так не получится, вам придется доверять производителю. Ответ на вопрос становится еще более очевидным, если мы вспомним, что Linux является Open Source проектом, Java (JRE/JDK) тоже является Open Source проектом. Да, и у того, и у другого есть коммерческие версии, но это не означает, что там не использован открытый исходный код. После этого, можно задуматься, кто готов отказаться от использования Linux или Java? Их ничем не заменить, объем инвестиций в оба этих проекта настолько колоссальный, что уход от них становится невозможным, даже при наличии альтернатив, которых, по факту, нет.

Подводя итог, отказываться от Open Source из-за уязвимостей точно не стоит, но следует подходить к выбору ПО разумно».

Арышев Владимир, менеджер по развитию решений, УЦСБ:

«Если рассматривать Open Source, то необходимо всесторонне проанализировать эффективность и последствия использования таких решений.

Open Source имеет открытый исходный код, который доступен к анализу всем и каждому. Это и плюс, и минус одновременно: с одной стороны, злоумышленник обладает детальными знаниями о продукте и его уязвимостях, с другой стороны, сообщество постепенно дорабатывает ПО и закрывает эти уязвимости.

И здесь есть первый риск, потому что Open Source – это бесплатное решение, то и время на закрытие уязвимостей не регламентировано. Это же относится и к регулярно обновляемому функционалу, например, сигнатурам – нет четкого понимания, когда выйдет сигнатура на новый экземпляр вредоносного ПО.

Второй риск – техническое сопровождение, а вернее его отсутствие (за исключением тех Open Source решений, где за дополнительную плату возможно его приобрести). В этом случае нужно ответить на вопрос – что я буду делать, когда с моей системой что-то случится. Нужен четкий план действий, особенно при наличии критичных для бизнеса сервисов.

Третий риск – умышленное внесение уязвимостей в ПО. О данном риске также следует помнить и принимать его во внимание».

Орешкина Дарья, Директор по развитию бизнеса, Web Control:

«Всегда нужно взвешивать риски – если использование open source с учётом затрат на обеспечение его безопасности является эффективным решением, то почему нет?».

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft:

«Отказываться от Open Source, однозначно, не нужно. Сейчас активно начинают смотреть и тестировать российские варианты защиты облачных сред, контейнеров и проверки Open Source. Замена ушедших западных решений Open Source-ПО будет расти. Плюс все крупные интеграторы так или иначе развивают DevOps/DevSecOps, и это направление с их помощью тоже будет активно идти вперед».

Салахутдинов Артур, руководитель направления MSSP, UserGate:

В отношении средств защиты – однозначное ДА. Функционал Open Source «из коробки», как показывает практика, достаточен для решения задач небольших предприятий, но не подходит для крупного Энтерпрайза из-за проблем стабильности и непредсказуемостью работы при масштабировании системы или росте инфраструктуры. Отсутствие гарантированной технической поддержки – серьезный риск при неполадках эксплуатируемых средств. Главная же проблема – наличие уязвимостей в Open Source.

Преимущество свободного ПО – синергетический вклад множества независимых разработчиков. Оно же слабое место – сложно контролировать добросовестность и безошибочность разработчиков сообщества. В проектах используются целые цепочки сторонних зависимостей и библиотек, для которых крайне сложно провести тщательный аудит безопасности. Более того, аудит просто невозможно провести без понимания внутренней логики и методологии программирования. ПО так же может стать вредоносным в результате хакерской атаки или планового обновления.

Однако полный отказ от обновления создает риски для эксплуатации zero-day уязвимостей. Таким образом, при использовании и эксплуатации продуктов на базе Open Source необходимо не только следовать принципам безопасной разработки (SDLC), заниматься Threat Hunting и проводить периодические тестирования безопасности приложений, что влечет дополнительные расходы на экспертизу опытных ИБ-специалистов или оплату услуг компаний, оказывающих подобные услуги.

Таким образом, Open-source в ИТ – мера возможная, но крайне нежелательная, если речь идет о средствах защиты информации. В любом случае отталкиваться нужно прежде всего от задач организации и функционального заказчика. Если вам необходимо настроить правила межсетевого экранирования на конкретной Linux-машине, iptables будет достаточно. Однако если задача шире, и необходимо, например, мигрировать с одного или нескольких NGFW, стоит задуматься о стабильном решении, предоставляющем техническую и консультационную поддержку на территории РФ».

Алексей Дрозд, Начальник отдела информационной безопасности «СёрчИнформ»:

«Нет. Нужно делать то, что знали всегда по отношению к Open Source – аудит. Слепое доверие к стороннему коду – риск».

Иван Мелехин, директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

«Отказ от обновлений — достаточно распространенная практика в настоящее время.  Но насколько мне известно, основной причиной потере функционала того или иного оборудования и ПО являются не обновления, а блокировка доступов к облачным сервисам, используемым оборудованием в своей работе.  С другой стороны, отказ от обновлений в среднесрочной перспективе может очень больно ударить по уровню защищенности, так как вендора обычно в рамках обновлений оперативно исправляют выявленные уязвимости. Поэтому, при решении оказаться от обновлений нужно очень тщательно продумать компенсирующие меры.

Open Source, на мой взгляд, несет больше рисков с точки зрения наличия закладок, так контролировать все комьюнити, разрабатывающее Open source решения невозможно. Также необходимо учитывать, что в Open Source решениях активно используются другие компоненты Open Source, так что получается очень разветвленная сеть компонент ПО, из которого состоит решение. По-хорошему, в условиях наличия открытых источников кода, необходимо проводить анализ ВСЕГО кода, всех библиотек и компонент, что может быть крайне трудозатратно».

5. По каким критериям стоит подбирать аналоги зарубежным средствам защиты информации?

Петров Антон Валериевич, гендиректор Тионикс, исполнительный директор «Базис»:

«Я смотрю в первую очередь на команду производственную: как быстро они умеют внедрять изменения, находить и исправлять ошибки. Готовы ли слушать и слышать потребности заказчика? Если вендор игнорирует потребности рынка это плохо. Если вендор занимается, по сути, проектным бизнесом и заказной разработкой это тоже плохо. Если вендор живет по модели продуктовой разработки, но при этом достаточно оперативно реагирует на запросы рынка и вносит изменения в роадмап, однако выпускает не кастомные сборки под конкретного клиента, а обновляет версии коробочного продукта и грамотно реализует техническую поддержку серийных изделий — это для меня очень хороший знак, таких нужно рассматривать в первую очередь».

Алексей Антонов, управляющий партнер Swordfish Security:

«Если честно, в ИБ-отрасли есть ряд продуктов, к которым невозможно подобрать аналоги. Просто потому, что на данный момент их нет или нет готовых, нужно ждать финального релиза.

Сейчас отрасль активно разрабатывает новые решения, и скоро они появятся. Но при выборе нужно исходить не из того, что было, подыскивая равнозначную замену, — стоит идти дальше своих требований. Необходимо проанализировать текущие процессы и потребности, сформировать задачи, и под них уже производить или искать решение. Почему так? Потому что нередко бывает, что, используя определенный софт, наши процессы подстраиваются под его возможности. И мы как-то подстраиваем их друг под друга: допиливаем ПО, адаптируем процессы, а потом приспосабливаемся и все уже вроде бы устраивает. Проходят годы, и мало кто помнит, почему все работает именно так.

А нужно не допиливать и приспосабливать, нужно сразу искать решение, закрывающее основные потребности и превосходящее их. Не просто сделать так, чтобы было «не хуже, чем раньше», а чтоб было гораздо лучше. Это не только поможет избежать лишних расходов и движений, но еще и позволит развиваться, расти, наращивать производительность и другие показатели, достигать новых целей. И если заказывать какие-то инструменты у сторонних разработчиков сейчас, нужно думать о будущем и развитии, а не смотреть в прошлое».

Алексеев Игорь, директор по развитию продукта Интернет Контроль Сервер:

«Широта функциональных возможностей, кластеризуемость, если не хватает полосы пропускания, удобство управления. В обще то критерии те же, как если бы вы просто выбирали ПО с нуля. Только перечень вариантов теперь ограничен».

Команда Staffcop:

«Компании – как люди, каждая со своими индивидуальными особенностями. Во главе каждой компании стоит человек или группа людей, каждый со своим видением развития. У каждой компании есть своя уникальная история становления и развития. В конце концов, каждая компания производит свой продукт, продвигает и развивает его по-своему.

Именно по причине подобной индивидуальности каждой компании нельзя дать универсальные рекомендации для всех компаний. Важно смотреть на задачи от бизнеса, возможности систем защиты, инфраструктурные особенности организации. Каждая компания решает, с помощью имеющегося ПО, какие-то свои, конкретные задачи. Соответственно, единственное что можно посоветовать по замене – это чтобы выбранное отечественное ПО также позволяло решать те же самые задачи».

Хомутов Дмитрий, директор, «Айдеко»:

«Необходимо составить список наиболее значимых функций, которые выполняло зарубежное средство именно у вас. А не вываливать на интеграторов и вендоров полный список возможностей зарубежного решения. Возможно, от чего-то не критичного придется отказаться. Нужно принять эту ситуацию».

Мария Зализняк, руководитель отдела развития продуктов, InfoWatch ARMA:

«Первое и самое простое — очертить круг задач, которые решались зарубежным ПО и какие из них наиболее критичны. После этого становится понятным, какие функции нужны, а какие являются избыточной нагрузкой.

Второе — проанализировать требования регулятора и составить шорт-лист из списка сертифицированных решений.

Третье – использовать возможность проведения пилотного проекта. В процессе пилотирования можно протестировать не только конкретные возможности отечественного аналога, но и убедиться лично, насколько слаженно и клиентоориентировано работает команда отечественного производителя. В конце концов, самое важное — это иметь надежное плечо и руки в лице своего поставщика СЗИ, на которые можно положиться в самых нетривиальных условиях.

Четвертое — наличие технической поддержки, удовлетворяющей критериям уровня сервиса.

Пятое — подтвержденные результаты тестирований о совместимости с производителями оборудования АСУ ТП, которое установлено на производстве».

Юрий Бутузов, руководитель отдела средств защиты информации ГК Innostage:

«Аналоги можно подбирать, отталкиваясь от следующих вводных:

  • возможность реализации тех же самых функций в том же объёме;
  • возможности производительности;
  • возможности интеграций с другими системами и на сколько они ранее использовались;
  • на сколько изменится процесс работы;
  • на сколько меняется архитектура системы и возникают ли дополнительные требования к окружению».

Антон Головатый, директор по продажам IT Task:

«Если не говорить о конкретных технических или финансовых параметрах, которые все равно будут обсуждаться в каждом конкретном случае отдельно, тогда стоит ориентироваться на следующие критерии:

Первым критерием является страна производства. В условиях нарастающего санкционного давления, наиболее безопасным будет использование отечественных решений. С другой стороны, здесь стоит проводить достаточно глубокий анализ этих аналогов на страны происхождения комплектующих или исключительного права на ПО. Иначе существует риск перехода на российский аналог, производство или использование которого может быть ограничено при дальнейшем введении новых санкций.

Тем не менее, далеко не все аналоги ключевых систем ИБ представлены в виде отечественных решений на данный момент. В таком случае стоит обратить внимание на решения из дружественных и нейтральных стран. При этом желательно смотреть на компании, которые не торгуются на бирже или чей ключевой рынок не является Европой или США. Тогда риск поддержки санкций с их стороны будет минимален, а значит есть уверенность в том, что использование их решений на территории РФ не будет ограничено самим производителем.

Второй критерий – зрелость и готовность решения. Многие ушедшие зарубежные компании были лидерами в своих нишах, с этим ничего не поделать. Поэтому найти полную замену будет крайне трудно или, может, даже и вовсе невозможно. Тем не менее, на нашем рынке достаточно аналогов, которые могут решить необходимую задачу пусть и с небольшими компромиссами. Прежде всего, в такой ситуации важно оценивать зрелость и готовность в части именно того функционала, который критичен, а не всего решения в целом.

Третий критерий – это перспектива развития решений. Здесь стоит обращать внимание на источник инвестиций у компании-производителя, а также на наличие уже крупных инсталляций и якорных компаний-клиентов. Такие компании с большей вероятностью продолжат вкладывать ресурсы в развитие собственных решений».

Александр Корзников, Технический директор EveryTag:

«Я считаю, что выбор ПО ничем не отличается от выбора аналога на замену. Первый и самый важный критерий — это то, насколько тот или иной продукт, или комплекс решает задачи. Если есть несколько альтернатив, так или иначе решающих стоящие перед нами задачи, только тогда имеет смысл переходить к другим критериям, в противном случае это теряет всякий смысл. Второй немаловажный фактор — это стоимость владения.

Зачастую расчет стоимости владения на горизонте 5 лет позволяет радикально поменять позиции рассматриваемых вариантов. На самом деле, все критерии выбора можно так или иначе уложить в эти две категории: функции и возможности попадают в первую, а надежность, устойчивость, стоимость, простота, производительность и вообще все остальные факторы попадут во вторую, в том числе географическая близость производителя к регулятору (стоит не забывать, что СЗИ область регулируемая)».

Арышев Владимир, менеджер по развитию решений, УЦСБ:

«Подбирать аналоги зарубежным средствам защиты информации необходимо в первую очередь по функциональности. В каждой компании выстроен определенный уровень защищенности, который базируется на функционале используемых средств защиты. При ограничении инструментария этот уровень падает и нуждается в восстановлении. При этом мы часто сталкиваемся с ситуацией, когда для замены функционала одного зарубежного решения приходится применять целый комплекс отечественных, которые будут дополнять друг друга, а в некоторых случаях даже интегрироваться друг с другом.

Приводя пример опять же из сетевой безопасности – отечественные шлюзы безопасности не имеют функционала песочницы, а он в современных реалиях играет важную роль – защищает от APT-атак и атак «нулевого дня». Но у некоторых продуктов есть возможность интегрироваться с песочницей другого производителя при помощи протокола ICAP и такой комплекс в какой-то степени уже способен заменить зарубежное решение.

Далее следует обратить внимание на стабильность работы продукта. Если продукт обладает большой функциональностью, но работает нестабильно, то пользы от такого функционала будет немного. В данном случае, лучше всего взять продукт на тест, лицензии на ПО для виртуальных машин производители готовы выдать на период от 1 до 3 месяцев бесплатно».

Орешкина Дарья, Директор по развитию бизнеса, Web Control:

«Никаких особых критериев, именно для российского ПО, нет. Сейчас на российском рынке присутствует какое-то количество зрелых продуктов и тех, что только начали развиваться. Российские производители умеют создавать интересные продукты и реализовывать изящные решения, многие сейчас демонстрируют адекватный роудмэп. Какого-то принципиального отличия, допустим, от того же израильского софта зачастую незаметно, поэтому при выборе отталкиваться нужно от решаемых задач и того функционала, который предоставляет продукт».

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft:

«Мы видим, что сейчас многие IT-компании уже разработали «карты аналогов». Наш сервис «Обновись» также успешно помогает определиться, какие в портфеле существуют альтернативы, как мигрировать и обеспечить слаженность работы нового ПО или железа с существующей инфраструктурой, получить план миграции и даже протестировать актуальные IT-технологии, развернутые в виртуальном пространстве «Демосфера» — там представлены российские решения по импортозамещению и информационной безопасности.

Если говорить конкретно об ИБ, то все варианты замены понятны и определены. Сейчас важно оперативно закрыть «дыры» в безопасности, которые появились из-за отключения иностранными вендорами функционала продуктов, в частности, это решения NGFW. И оперативно обезопасить свои внешние ресурсы решениями Anti-DDoS и WAF. Дальше нужно действовать в зависимости от поведения иностранного вендора: он может оставить поддержку решения, например, до окончания действия сроков лицензии на ПО, и это дает возможность без спешки определиться с наиболее оптимальной заменой. Российский ИБ-сегмент рынка зрелый, на нем работает много серьезных игроков с большой историей, опытом, ресурсами и сильными решениями. То есть заказчику есть из чего выбирать».

Чернов Иван, менеджер по развитию, UserGate:

«Сегодня — это всегда компромисс в большинстве случаев иначе такого вопроса даже не возникло бы. Конечный пользователь решений должен открыто спросить у производителя, кто является владельцем и архитектором разрабатываемого ПО, понимает ли разработчик логику взаимодействия элементов системы или хотя бы драйвера, что влияет на формирование значений в «своих» логах событий и как можно элементарно распарсить его значения; кто создает правила для системы обнаружения вторжений или подобного функционала, что произойдет со стабильностью при масштабировании системы в 2-3 раза, какие сторонние инструменты акселерации используются при виртуализации и насколько легитимно их использовать в текущей ситуации».

Алексей Дрозд, Начальник отдела информационной безопасности «СёрчИнформ»:

«Тут основной критерий – функциональность. Насколько российский аналог способен подхватить «знамя» предыдущего ПО? Остальное – это опциональные плюшки.

Понятно, что сейчас важнейший для многих критерий – цена, потому что бюджет на закупку был освоен и попробуй мотивируй, что снова нужно покупать, только теперь российское. Но радует то, что многие разработчики сейчас держат цены или предлагают существенные скидки заказчикам. Все понимают сложность ситуации».

6. Какие средства защиты информации западного производства невозможно заменить?

Петров Антон Валериевич, гендиректор Тионикс, исполнительный директор «Базис»:

«Нельзя заменить средства встроенные в процессоры на аппаратном уровне. Других жестких ограничений, считаю, что нет, есть разные объемы трудозатрат. Решение оправдано до тех пор, пока решение проблемы стоит дешевле чем стоимость самой проблемы для бизнеса».

Алексей Антонов, управляющий партнер Swordfish Security:

«Заменить можно все. Вопрос в том, сколько времени это займет (мощные офисные продукты на тысячи мест создаются несколько лет, например, в отличие от небольших приложений, которые можно сделать и за месяц), сколько средств на это потребуется, каким будет финальное качество продукта.

Специалисты, несмотря на массовый отток айтишников из страны, есть. А индустрия – это, прежде всего, люди. Наши эксперты в области кибербезопасности обладают уникальными знаниями, навыками и экспертизой, необходимыми как защиты, так и для проактивного противодействия злоумышленникам. И то, как они блестяще осуществляют отражение атак и поддерживают сложные системы в эти непростые времена, служит отличным подтверждением их компетенций.

Многие разработчики именно сейчас получили возможность проявить себя, создавая продукты высокого класса. И речь идет не только о замене и расширении бизнеса тех российских вендоров, кто уже есть на рынке (как, к примеру, Лаборатория Касперского, которая может сейчас забрать часть рынка, принадлежавшую NortonLiveLock и Avast, Eset). Также имеется в виду, что сейчас открыты возможности и для тех, кто готов создать российские продукты, аналогичные тем (и даже превосходящие их), что ушли из страны.

Если задать какую-то высокую цель и планку, отечественные специалисты способны очень на многое. Взять тот же Сбер и его айтишников, которые добились в прошлом году того, что Global Finance назвал Сбер лучшим розничным цифровым банком мира. А все потому, что была такая цель и даны были все ресурсы и возможности для этого. Так вот, если будут соответствующие ресурсы – финансовая поддержка от заказчиков, специальные программы от государства, — все получится».

Хомутов Дмитрий, директор, «Айдеко»:

«Именно рынок средств защиты информации в России развит достаточно хорошо. Больше проблем с прикладным специализированным ПО, замены которому часто просто нет. В части ПО средств защиты — есть практически все. Обратная ситуация с аппаратными платформами. Здесь совет может быть только один — изыскивать «железо», пока оно есть. Или виртуализировать сервисы, насколько позволяют существующие мощности».

Максим Головлев, технический директор компании iTPROTECT:

«На мой взгляд, на российском рынке информационной безопасности достаточно отечественных производителей, думаю, что это более 70%. То есть 70% ИБ-продуктов мы можем заменить российскими аналогами. Поэтому российский ИБ-рынок больше готов к текущей ситуации, нежели ИТ. При этом нужно учитывать, что разработчики решений, безусловно, следят за мировыми производителями, общими трендами и публикуемыми угрозами. Также нужно понимать, что есть российские ИБ-решения, такие как DLP или DCAP, которые сильно ориентированы на наш рынок с учетом специфики бизнеса, языка и т.д.

Но при этом есть ряд решений, которые на текущий момент проблематично заменить, например, облачные сервисы, решения класса CASB, WAS, NAC и т.д. Однако и тут российские производители не стоят на месте, и развивают как текущие продукты, добавляя новый функционал и модули, так и новые продукты и сервисы».

Юрий Бутузов, руководитель отдела средств защиты информации ГК Innostage:

«Сейчас нет возможности заменить СЗИ в высоконагруженных системах, от которых требуется высокий уровень доступности и надёжности. В целом, ограничены возможности по замене множества классов СЗИ решений – это защита почты, защита сетевого периметра, защита виртуальных и контейнерных сред и т. д.

Российские аналоги, безусловно, есть, но чаще всего они отстают от зарубежных решений в части реализуемых функций достаточно существенно. Заменяя сейчас одно на другое, мы теряем не только в возможности делать что-то, что ранее было само собой разумеющимся, но и перестаём видеть, а значит, лишаемся возможности реагировать на инциденты ИБ, которые ранее выявлялись».

Александр Корзников, Технический директор EveryTag:

«Я считаю, что отрасль СЗИ в России достаточно существенно развита, и по факту аналоги есть под все нужды. Единственные места, где мы можем наблюдать дефицит, это области, в которых требуется соблюдение не только российских регуляторных норм, но и иностранных. Но стоит отметить, что тут и у зарубежных СЗИ будут наблюдаться проблемы».

Арышев Владимир, менеджер по развитию решений, УЦСБ:

«На самом деле заменить можно практически все, за исключением некоторых «нишевых» решений (например, безопасность средств разработки), вопрос в том, насколько это можно сделать. Многие отечественные решения заявляют богатую функциональность и формально она реализована. Вот только вопрос – достаточно ли, чтобы опция присутствовала «для галочки», или от нее требуется реальная эффективность? И насколько качественно и стабильно она работает? Хорошим примером здесь служит «магический квадрант» Гартнера, где сравниваются определенные классы решений в части насколько хорошо они выполняют свои функции именно в рамках своего класса.

К сожалению, отечественных производителей там не так много, как хотелось бы. Поэтому при выборе решений стоит выполнить анализ продуктов российского рынка в части их реализации под требования соответствующего класса. И, конечно, тестировать решения перед покупкой на предмет того, будете ли вы удовлетворены его функциональностью и качеством реализации. От применяемого решения зависит уровень защищенности вашей организации».

Алексей Дрозд, Начальник отдела информационной безопасности «СёрчИнформ»:

«Сложно сказать. В сфере защитного ПО много достойных российских решений, в том числе известных во всем мире. Но есть проблемы в других отраслях. Например, банкам сложно уйти с СУБД Oracle, потому что даже самая проработанная база данных из России, хотя и справляется с банковскими задачами, но требует в три раза больше вычислительных мощностей.

Есть кастомизированное отраслевое ПО, которое годами дорабатывалось под конкретного заказчика. Вот его сложно и долго заменить.

В кулуарах говорят о ситуациях, когда одно западное решение, приходилось заменять пятью отечественными, чтобы закрыть весь функционал. Отсюда можно сделать вывод, что незаменимых нет, но на замену некоторых решений нужно много времени\сил\вычислительных мощностей\знаний».

Мария Зализняк, руководитель отдела развития продуктов, InfoWatch ARMA:

«К счастью, российский рынок СЗИ уже давно разрабатывает свои средства защиты для разного класса решений. Поэтому, отвечая на вопрос – все средства защиты информации иностранного производства можно заменить на отечественные. Посмотрите каталог совместимости российского ПО и выберите решение, подходящее вашей инфраструктуре предприятия».

Во второй части нашей статьи опрошенные эксперты рассказали нам о кибератаках и уязвимостях, о возможности перестройки ИБ-процессов для эффективного отражения атак, о необходимости защиты компании даже при отсутствии видимых киберугроз, о бюджетах компаний и клиентов в условиях «кибервойны», о перестройке закупочных процедур, о наиболее популярных ИБ-услугах. Специалисты также дали свои советы для CISO в условиях кибервойны.

Об авторе CISOCLUB

Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Читать все записи автора CISOCLUB

Добавить комментарий

Ваш адрес email не будет опубликован.