Очень непростой 2014 г. остался позади, и теперь самое время оценить основные события и тенденции, имевшие место на российском рынке информационной безопасности (ИБ), а также обозначившиеся в этой области проблемы, которые предстоит решать в ближайшем будущем. Для этого мы пригласили к участию в данном обзоре экспертов в области ИБ, представляющих как поставщиков ИБ-решений, так и заказчиков.

Наследуемые тренды

Среди тенденций, наметившихся в прошлом году в сфере ИБ, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет» Валентин Крохин выделяет две, на его взгляд, наиболее важные. Первая заключается в том, что проблематика ИБ начала напрямую влиять на бизнес-процессы столь сильно, что и бизнес, и государство стали гораздо внимательнее относиться к ИБ. Как важное проявление этой тенденции он отмечает начало создания новых центров реагирования на ИБ-инциденты (CERT), в том числе отраслевых, наряду с расширением спектра функций уже существующих при одновременном росте активности регуляторов. Вторую из выделенных г-ном Крохиным тенденций — импортозамещение — единодушно отмечают все наши эксперты.

По мнению заместителя генерального директора компании «Аладдин Р.Д.» Алексея Сабанова, декларированный российскими властями курс на импортозамещение поделил российских разработчиков, использующих в той или иной степени импортные компоненты, на два лагеря: лукавые кричат, что они и сами российские, и делают «чисто» отечественные системы; честные упорно трудятся над созданием продуктовых линеек, содержащих все меньше зависимых от иностранных поставок элементов, а работа эта, как он предполагает, продолжится долгие годы.

Напомним, что импортозамещение — вынужденная мера в ответ на экономические и политические санкции против России со стороны некоторых стран с развитой экономикой. Менеджер по развитию бизнеса компании «Информзащита» Олег Сафрошкин подчеркивает, что если та или иная российская структура, государственная или частная, попадает в санкционный список, то многие североамериканские и западноевропейские поставщики не смогут с ней работать, что отразится на поддержке и возможности эффективно использовать закупленные продукты. Такая структура также рискует испытать на себе инициацию программно-аппаратных закладок для несанкционированного доступа в корпоративную инфраструктуру.

Санкции, по мнению начальника управления безопасности информационных технологий «СМП Банка», эксперта ассоциации BISA Павла Головлева, остро обозначили ту проблему, на которую аналитики указывали уже давно: реальные связанные с санкциями риски для бизнеса лежат в плоскости, которая, если и попадает в поле зрения регуляторов, то остается для них все-таки terra incognita в силу бизнесового характера этих рисков. Нужно учитывать, что импортные технологии и продукты слишком сильно проникли в нашу жизнь (а в область ИБ особенно), поскольку у нас никто не занимался на государственном уровне реальной информационной безопасностью, ориентированной на потребности бизнеса.

Большинству специалистов, по мнению эксперта ассоциации BISA Кирилла Мартыненко, сегодня ясно, что некоторые импортные решения и продукты пока просто нечем заменить, однако, как он полагает, можно надеяться, что уже в 2015 году сложившаяся ситуация приведет к появлению принципиально новых российских разработок.

Вместе с тем региональный директор McAfee в России и СНГ Павел Эйгес не склонен считать, что компании, не попавшие в санкционные списки, а таковых подавляющее большинство, оценивают санкционные риски настолько высоко, что готовы направить свои существенно ограниченные в настоящее время ресурсы на превентивное импортозамещение. По его мнению, единственный объективный фактор, подталкивающий российские компании искать сегодня замену некоторым импортным товарам и решениям, — это значительный ценовой рост из-за повышения курса доллара и евро к рублю.

Следующим по важности после стратегии импортозамещения трендом, наследуемым от прошедшего года, ведущий аналитик отдела развития компании «Доктор Веб» Вячеслав Медведев признает рост опыта российского государства в фильтрации Интернета. Он отмечает постепенное понимание со стороны ответственных структур того, что и как нужно фильтровать в Интернете: если на начало 2014 г. фильтрация по сути дела была фикцией (все желающие обходили ее без особых проблем), то к концу года наметился реальный интерес к запрету анонимайзеров, сети TOR и подобных технологий.

Руководитель отдела информационной безопасности компании IBS Platformix Джабраил Матиев считает, что вследствие разоблачений Эдварда Сноудена заметно снизилось доверие пользователей к программному и аппаратному обеспечению. Появился даже специальный термин, характеризующий сегодняшний день как «постсноуденовская эпоха».

Непростая экономическая обстановка в стране, по наблюдениям г-на Сафрошкина, активизировала рынок ИБ-аутсорсинга: сегодня многие компании, по его мнению, всерьез задумываются о возможности передачи части непрофильных для них функций (к которым следует относить и задачи ИБ) на аутсорсинг.

Изменения ландшафта ИБ- угроз

Г-н Сабанов рассматривает прошедший 2014-й как год начала освобождения от иллюзий в оценке общего фона вокруг российских ИБ-разработок, ИБ-услуг и ИБ-регулирования. По его мнению, былого спокойствия и ощущения мира уже нет, и в ближайшее время нам его не вернуть, иллюзии того, что вокруг нас только друзья, исчезли — из экономической и политической областей противостояние перешло и в область информационную, и на фоне этих противостояний разгораются кибервойны.

В кибервойнах, отмечает г-н Матиев, участвуют спецслужбы противоборствующих стран; киберакции проводятся на высочайшем технологическом уровне и высококвалифицированными специалистами. Противостоять таким воздействиям самостоятельно отдельные компании просто не в состоянии — для этого требуется активное участие государства с его ресурсами.

Главные отличия российского ландшафта ИБ-угроз от общемирового г-н Сабанов увязывает с более резко проявленным в нашей стране экономическим кризисом, с принятыми в отношении России экономическими и политическими санкциями, с вынужденными ответными мерами руководства России, в частности упомянутым импортозамещением.

Эксперты отмечают существенное усложнение киберкриминального фона, что выражается, с одной стороны, в увеличении количества сложных таргетированных атак, с другой — широком использовании сложных технологий в массовых атаках. Так, ощутимый ущерб в прошлом году компаниям различного профиля (в основном не ИКТ) принесли вирусы-шифровальщики, которые стали заметно совершеннее; DDOS-атаки продолжали наращивать свою мощь темпами, опережающими возможности методов противодействия.

По словам Павла Эйгеса, рост количества угроз превысил порог «одна новая угроза в секунду», сложность угроз позволяет проводить атаки «ниже уровня радара» большинства корпоративных ИБ-систем. И эти изменения только набирают темп. Кроме того, он считает 2014-й годом, когда «тема ИБ стала по-настоящему публичной и коснулась не только крупных компаний, но и огромного числа обычных людей (утечки из облачных сервисов, публикации баз паролей и т. п.)». «Я думаю, что в ближайшие год-два нас ждет уже не количественный, но качественный скачок — переход в реальность Internet of Things (IoT) перевернет наше понимание как самого Интернета, так и безопасности в Интернете», — говорит г-н Эйгес.

Отдельно он также отмечает второе рождение фишинговых атак, которые выступают как один из самых эффективных каналов доставки Zero-day зловредов: «Такие атаки, как мы видели в прошлому году, выявили абсолютную беспомощность традиционных антивирусных и антиспам-фильтров на email-шлюзах». Подобная ситуация, по мнению эксперта, требует пересмотра заказчиками стратегии защиты корпоративного email-трафика.

Как наиболее распространенные из числа внешних угроз г-н Крохин выделяет рост атак на онлайн-сервисы и мобильные приложения, прежде всего банковские, а из числа внутренних угроз — взрывной рост инсайдерского мошенничества, прежде всего в розничной торговле, по большей части связанный с низкой лояльностью персонала.

К реальным новым угрозам, на которые в России стали обращать внимание, г-н Медведев относит возможность отключения от иностранных ИКТ-сервисов. Он также отмечает, что заметная часть клиентов, использующих локально устанавливаемое ПО, не исключает возможность в условиях санкций перехода на пиратские копии.

К санкциям как таковым г-н Медведев относится скептически, оценивая их в большей степени как пугало, поскольку не запрещены поставки процессоров, модулей памяти, жестких дисков, а у разработчиков, использующих API к иностранным продуктам, нет ограничений на работу с компаниями и регионами, попавшими в черные списки, и т. д. Однако перекрытие всех действующих (пока) лазеек вполне реально, считает он, поскольку большая часть компаний-поставщиков так или иначе не захочет портить свою репутацию за пределами России из-за нарушения санкций.

Набирающий обороты ИКТ-аутсорсинг, считает г-н Сафрошкин, тоже таит в себе свои риски ИБ: перенос части вычислительной инфраструктуры в арендованный ЦОД или в облако провайдера ставит задачу по защите информации в недоверенной инфраструктуре, а передача обслуживания всей ИКТ-инфраструктуры или отдельных ее компонентов на аутсорсинг предполагает налаживание контроля системных администраторов аутсорсера.

По мнению г-на Головлева, виды ИБ-угроз не меняются, и новые техники атак появляются редко. Зато меняются способы реализации угроз, и, конечно, сами компании меняются, очень часто подставляя под угрозу образующиеся в ходе изменений незащищенные места. Поэтому он призывает всегда видеть за неким общим ландшафтом ИБ-угроз те конкретные угрозы, которые актуальны для данной конкретной структуры, строить свои модели угроз, свои стратегии и тактики защиты. Например, предупреждает он, в наступившем году много людей сменит место работы, а это повлечет за собой увеличение числа утечек информации, снижение уровня защиты и увеличение числа сбоев и ошибок, и к этому следует подготовиться.

Г-н Мартыненко отмечает технологическое усложнение атак на банкоматы. От физического взлома и кражи денежных средств, как из сейфов, злоумышленники перешли к использованию высокоразвитых вредоносных программ, которые доставляются до цели в том числе и при помощи сотрудников сервисных компаний, обслуживающих банкоматы. Согласно его наблюдениям в разы увеличилось количество попыток мошенничества, связанного с интернет-платежами. Тренд при этом остался прежний — все чаще атаке подвергаются юридические, а не физические лица, что связано с объемом денежных средств, на которые нацеливаются мошенники.

В силу специфики таргетированных атак универсального решения для защиты от них не существует. Поэтому, как заметил г-н Матиев, повысилось значение комплексного аналитического подхода к защите информации, интерес к таким решениям, как SIEM. Из-за роста числа утечек данных по-прежнему в тренде, по его мнению, решения класса DLP. Распространение облачных технологий актуализирует спрос на решения по защите виртуализированных сред.

Регулирование ИБ-рынка в 2014 г.

Действия регуляторов в области ИБ всегда были острой проблемой для участников ИБ-рынка — одни ждали новаций от регуляторов с большой настороженностью, опасаясь помех в налаженных процессах, другие — как света путеводной звезды во тьме непонятных угроз, третьи — как возможности решить ИБ-задачи формальным соответствием.

Ситуация, однако, как отмечают эксперты, меняется к лучшему. По мнению г-на Крохина, регуляторы в 2014 г. дали участникам ИБ-рынка надежду на то, что их деятельность направлена на решение реальных проблем отрасли, а не на производство большого числа документов и инициатив, зачастую существующих отдельно от практики. Планы регуляторов по выпуску документов и изменению регламентов показывают, что качество работы регуляторов растет и можно ожидать появления действительно полезных документов, прежде всего формата руководящих документов на большое количество представленных на рынке средств защиты информации.

«Регулятивные требования мы считаем исключительно важным элементом ИБ ландшафта России ,так как они позволяют выйти во многих технологических и индустриальных нишах на некий разумно необходимый уровень безопасности, противостоять некому минимальному набору угроз, — отмечает г-н Эйгес. — Это позволяет говорить о том, что действия регуляторов сами по себе поднимают уровень безопасности в целом. Это очень и очень позитивная тенденция».

Утверждая, что в сфере регулирования ИБ сегодня доминируют два закона — «Об электронной подписи» (63-ФЗ) и «О защите персональных данных» (152-ФЗ), г-н Сабанов отмечает, что подзаконные акты к ним становятся все более проработанными и реалистичными (хотя на самом деле специалисты ожидали этих самых качеств от самих законов). В немалой мере этому, как он считает, способствует то, что регуляторы стали чаще советоваться с участниками рынка.

Положительные процессы, развивающиеся во ФСТЭК России, благодаря которым эта служба становится все более динамичной и соответствующей современным реалиям, отмечает г-н Головлев.

Иллюзии возможности кулуарного сотворения необходимых рынку документов и рекомендаций, надеется г-н Сабанов, канули в Лету. Сегодняшняя обстановка должна, полагает он, сплотить всех основных участников рынка. Если регуляторы, крупные заказчики, разработчики и поставщики сплотятся и начнут сообща конструктивно вырабатывать необходимые для регулирования рынка документы, это будет сплав, подобный дамасской стали, считает он.

Проработанность и законченность, по мнению г-на Сабанова, наиболее видна в документах, относящихся к закону «О персональных данных». Что же касается давно назревших изменений в 63-ФЗ, то, по его словам, они готовятся, но пока обсуждаемые проекты изменений не отвечают в полной мере требованиям сегодняшнего дня. В частности, по-прежнему не уделяется должного внимания регулированию назревших проблем безопасной организации процессов идентификации и аутентификации участников удалённого электронного взаимодействия, по-прежнему игнорируется задача использования устройств, безопасно генерирующих закрытые ключи, так называемых устройств с неизвлекаемыми закрытыми ключами. Несмотря на то что такие устройства были рекомендованы соответствующей директивой использования электронной подписи ещё в 1999 г., а в принятом в 2014-м положении ЕС 910/2014 закреплены в качестве необходимого условия доверенного применения квалифицированной электронной подписи, у нас продолжается игнорирование таких устройств.

В ряду наиболее актуальных вопросов, ждущих своих ответов кроме упомянутых г-н Сабанов называет обеспечение юридической значимости электронных документов, интероперабельность средств электронной подписи (не только в части ее создания, но и в части проверки), создание пространства доверия к электронным документам с правовыми последствиями, регулирование безопасности облачных вычислений...

Курс на импортозамещение и введение в действие закона о запрете обработки персональных данных (ПДн) граждан РФ за пределами страны (ФЗ РФ от 21 июля 2014 г. № 242-ФЗ), отмечает г-н Матиев, вызвали в сообществе специалистов оживленные дискуссии о возможности их реализации. Определенные трудности исполнения вызывает прежде всего неоднозначность его трактовки различными участниками рынка, а также недостаточное количество времени для его исполнения: требование о необходимости хранения ПДн в пределах Российской Федерации вступает в действие с 1 сентября 2015 г.

Главный эксперт отдела информационной безопасности управления службы безопасности RU-CENTER Group, эксперт ассоциации BISA Сергей Воронецкий называет закон № 242-ФЗ «темной лошадкой», поскольку сложно оценить, каким будет его реальное исполнение, в том числе и в части контроля исполнения, и как он отразится на бизнесе различных компаний.

С технологической точки зрения в 2015 г. самым сложным в следовании стратегии импортозамещения, по мнению г-на Матиева, будет подбор аналогов иностранным решениям. Он отмечает, что к таким резким перестройкам готовы не все сегменты рынка. Поэтому (в зависимости от изменения политической ситуации в стране) можно предполагать принятие каких-нибудь дополнительных мер и регуляторных решений относительно использования нероссийских средств защиты.

Немаловажное значение для рынка ИБ, отмечает г-н Матиев, имел выход в свет приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

Для банков, по мнению г-на Мартыненко, одним из важнейших событий года стал выход обновленной редакции стандарта Банка России СТО БР ИББС. По его оценкам, документ стал более структурированным и теперь, по сути выполняя требования только этого стандарта, любой российский банк уже будет иметь достойную систему ИБ.

Г-н Мартыненко обращает внимание на то, что один из разделов стандарта посвящен требованиям к наличию функционала DLP (напрямую класс систем в стандарте не указан, что отрадно). Он считает, что Банк России тем самым закрепил один из трендов 2014 г. — активизацию борьбы с утечками данных, количество и ущербы от которых заметно возросли.

Вступление с 16 марта 2015 г. в силу требований обновленного положения 382-П Банка России, полагает г-н Мартыненко, безусловно повлияет на некоторые критичные бизнес-процессы банков, и банки уже сейчас должны быть к этому готовы. В первую очередь это запрет на эмиссию расчетных и кредитных карт, содержащих только магнитную полосу: после 1 июля 2015 г. все карты должны содержать микропроцессор. Обновленный пункт 2.3 положения 382-П потребует применения в банках систем предотвращения мошенничества.

Существенным минусом, по мнению г-на Медведева, стало изменение правил сертификации продуктов безопасности. Если раньше заявитель указывал лишь системные требования, и сертифицированные продукты в результате могли защищать любое ПО, подпадающее под них, то теперь нужно указывать конкретные операционные системы, на которые защита распространяется. Получается, что сертификация средств защиты для ОС Windows 20xx и Windows 20xx R2 теперь оплачивается отдельно, так же как и под варианты поставки (Standard, Enterprise...).

С учетом того что сертификация под каждую такую версию ОС стоит отдельных денег, компании-заявители не могут предоставить своим клиентам защиту под все используемые ими программные платформы из-за выходящей за рамки разумного стоимости сертификации. К тому же сертификации длятся не менее чем по полгода (а обычно и долее), и к моменту получения сертификата новая версия средства защиты не может быть использована для защиты новейших систем, т. е. сразу после получения сертификата нужно запускать процесс инспекционного контроля, а это еще три (минимум) месяца. Г-н Медведев вовсе не заявляет о том, что не нужно заботиться об отсутствии уязвимостей, однако заботу эту он предлагает реализовывать не путем создания трудностей для компаний, реально заботящихся о своей безопасности.

На ту же проблему, но несколько в ином ключе, указывает и Павел Эйгес: «Вынужден констатировать, что сроки проведения сертификационных процедур как внутри вендоров, так и внутри тестовых лабораторий и органов по сертификации, „помноженные“ на частоту выхода новых версий ИБ продуктов, с одной стороны, и скорость появления на рынке новых типов угроз, с другой, не позволяют говорить даже о паритете противостоящих сторон — у киберпреступников есть очевидное временное преимущество на российском рынке, ведь их вредоносный код сертификацию не проходит и может обновляться сколь угодно быстро».

Прогнозы изменений

Эксперты ожидают как неизбежности сокращения ИБ-бюджетов, уменьшения объемов или замораживания закупок ИБ-продуктов и проектов по развитию и модернизации систем ИБ, фокусирования заказчиков на поддержании уже существующих систем защиты.

Одновременно эксперты довольно оптимистичны в общей оценке уровня ИБ российских компаний, хотя, считает г-н Воронецкий, их готовность противостоять актуальным ИБ-угрозам будет ниже, чем в предыдущие годы (возможно, исключением станут представители ИКТ- и финансового сегментов). Причины этого снижения, по его мнению, заключаются в том, что у нас по-прежнему не принято заниматься системным анализом рисков ИБ (вместо этого практикуется традиционный подход, выражающийся в обеспечении базового уровня безопасности плюс проведение ИБ-мероприятий, зависящих от специфики конкретных бизнес-систем), а также в том, что инвестиционный подход финансирования ИБ все еще непопулярен в стране.

Оценивая готовность российских компаний противостоять современным угрозам, г-н Крохин отмечает сильную неоднородность в различных сегментах корпоративной ИБ: в сфере «классической» инфраструктурной ИБ (VPN, межсетевые экраны, антивирусная защита шлюзов и конечных точек и т. п.) дела обстоят относительно хорошо; несколько хуже ситуация в части защиты веб-сервисов и мобильных приложений; совсем плохо положение с безопасностью при реализации программ BYOD — компании еще не осознали всю степень угроз этого направления; низкая ИБ-готовность в АСУ ТП (и эта проблема только усугубляется).

В банковском секторе, по мнению г-на Мартыненко, необходимо будет заниматься развитием функционала DLP и предотвращением мошенничества (в русле выполнения требований новой редакции отраслевого стандарта), развивать направление защиты банкоматов и платежных терминалов (чтобы снизить ущербы от явно участившихся атак на эти устройства) и, конечно, строить защиту от таргетированных атак (как главного общего современного ИБ-зла).

Свои самые большие ожидания в 2015 году г-н Эйгес связывает с решениями по обмену контекстуальной информацией об уязвимостях и угрозах между модулями корпоративных ИБ-систем в режиме близком к реальному времени.

По мнению же г-на Воронецкого, вряд ли в ближайшее время появятся технологии, способные резко изменить положение дел в области ИБ. Однако он уже сейчас готов предложить разработчикам направление для поиска технологических ИБ-новаций: по его мнению, сегодня очень не хватает мощных, желательно распределенных средств борьбы с DDOS-атаками.

Г-н Крохин считает, что ожидания скорейших улучшений в защите от DDoS-атак в наступившем году небеспочвенны. Он также предполагает, что произойдут позитивные изменения в области автоматизации процессов расследований инцидентов, в расширении функционалов Web Application Firewall и «песочниц». Произойдет резкий скачок в развитии отечественных средств ИБ в целом, в том числе и по показателям качества функционирования.

Из актуальных технологических проблем помимо тех, на которые указывают другие эксперты, г-н Сабанов выделяет ИБ-задачи, порожденные реальным переход к облачным вычислениям, проблемы обеспечения ИБ в классе решений «умные вещи и сооружения» и при применении 3D-принтеров.

Г-н Сабанов полагает, что пришло время создания комплексных многорубежных систем защиты информационных ресурсов с применением современных технологий. Он выражает уверенность в том, что российские специалисты в области ИБ докажут на деле, что их долголетний труд по созданию систем защиты информации поможет выдержать напор внешних и внутренних атак.

По мнению г-на Сабанова, пришло время сосредоточиться на проблемах совместимости и интероперабельности создаваемых систем защиты информации, для чего, считает он, придётся внести некоторые изменения в статус стандартов. Сегодня, напоминает он, российские стандарты согласно закону «О техническом регулировании» (184-ФЗ) носят необязательный характер и, видимо, пришло время пересмотреть это положение.

Главные же проблемы в области ИБ, отмечает г-н Головлев, связаны не с технологиями, а по-прежнему с людьми. Он советует вендорам и интеграторам, особенно в пору, когда участники рынка переходят на режим экономии, спуститься с небес на землю и помогать заказчикам и клиентам решать конкретные практические задачи за адекватные деньги, а не предлагать неоправданно дорогие продукты для решения задач «на перспективу и для общего улучшения состояния ИБ».

Подавляющее число российских компаний, согласно наблюдениям г-на Медведева, имеют слабое представление о современных ИБ-угрозах, а также о том, как от них защищаться. Так, большинство из них до сих пор уверено, что проблему пропуска вирусов всегда можно решить заменой одного антивируса на другой. Поэтому более важной, чем технологические, он считает проблему информирования.

С учетом того, что в России так и не созданы национальные центры анализа угроз и информирования о них, мало вероятно повышение уровня информированности, в том числе (к большому сожалению) и лиц, принимающих решения, о современных угрозах и методах защиты от них, считает г-н Медведев. Поэтому, увы, российские компании будут защищаться привычными (читай, консервативными) методами даже там, где можно существенно сократить расходы, изменив схему защиты.

Версия для печати (без изображений)