BIS Journal №4(47)2022

11 ноября, 2022

SOC в пейзаже кибервойны. На вопросы BIS Journal отвечает Игорь Ляпунов

О ПЕЙЗАЖЕ

— Пейзаж рынка информационной безопасности сегодня – это не столько картина в раме – застывшая и неподвижная, сколько голограмма живого неба с постоянно бегущими и меняющими очертания облаками. Можете ли вы зафиксировать эту картину перед SOC-форумом. Что изменилось за последние год-два? Например, в 2020 году вы говорили, что ситуацию на рынке определяют Ростелеком, Сбербанк и Ростех, но в этом году подули другие ветры?

— Да, прямо сейчас рынок ИБ стоит на пороге глобальных перемен. Как и любой рынок, превращающийся из небольшого, нишевого в быстрорастущий, нас ждёт структурная перестройка. И она уже началась. Первое – идёт серьёзное укрупнение игроков. Сейчас нас ждут большие сделки по слияниям и поглощениям. Второе – ушли иностранные вендоры, всегда игравшие большую роль и определявшие ландшафт. Теперь их нет, и этот вакуум начнёт быстро и серьезно заполняться. Третье – глобально меняется спрос, профиль спроса и потребления на рынке. Компании, зарабатывавшие сугубо на комплаенсе, сейчас уходят с рынка и со временем исчезнут. Останутся только те, кто может давать действительно классный продукт, полноценные сервисы.

Сейчас рынок ИБ проходит тот же путь, что и IT-рынок 10-15 лет назад. Одни игроки, в основном мелкие, уходят, а новые, существенно более крупные, остаются, и между ними начинается битва за технологичность. А у технологичности есть рычаг – объём инвестиций, вкладываемый в рынок технологий. За счёт этого динамика рынка ИБ сейчас кардинально поменяется. Если раньше рынок рос на 10-12% в год, в 2022 году в силу известных обстоятельств рост приостановился, зато 2023-24 годы станут золотыми для рынка ИБ.

— Какими были последние два года для рынка и для «Ростелеком-Солар» в отношении объемов выручки?

— В 2021 году мы вышли на показатель 12 млрд. рублей с ростом 47%.

Мы осознаем, что являемся одним из системообразующих игроков рынка ИБ. Во-первых, потому что «Ростелеком» играет ключевую роль на рынке IT и во многом определяет на нем правила.

Во-вторых, мы инвестируем больше всех в рынок ИБ – более 22 млрд руб., что, конечно, серьезно на него влияет.

В-третьих, в фокусе внимания «Ростелеком-Солар» всегда было и будет обеспечение настоящей безопасности на основе полноценной сервисной модели. Сегодня кибербезопасность востребована как никогда, в режиме «здесь и сейчас». И никаких других способов её получить, кроме как в виде аутсорсинга, когда вместе упакованы экспертиза, технологии и человеческий ресурс, не существует. Только такая сервисная модель может дать заказчику за две недели состояние защищённости. Мы, в отличие от большинства, это можем, что и определяет наше лидерство на рынке. Не зря многие называют нас «стандартом де-факто».  

— Как на вашей компании и на рынке в целом сказались события 2022 года (рывок в сторону отечественных решений, уход ряда конкурентов, новые угрозы и т. д. и т. п.)?

— Доминирующим фактором сегодня является, конечно, колоссальная волна кибератак. По сути – это развёрнутая против России кибервойна. Это ключевое. Из этого вырастает спрос на информационную безопасность в двух плоскостях. В одной идет процесс переосмысления подходов к обеспечению ИБ. Стало понятно, что важны не только и даже не столько технологии. Ключ к защищённости сегодня – это высокий уровень системы управления и менеджмента. Это правильно выстроенная архитектура безопасности, инфраструктура, безопасные IT-системы. И всё вместе это складывается в систему киберустойчивости бизнеса. На такой комплексный подход сейчас большой спрос.

Другая плоскость – это консалтинг, когда нас приглашают не подрядчиком, а скорее идеологом, архитектором всей системы ИБ. На это тоже большой спрос.

— А ситуация с импортозамещением?

— Да, иностранные вендоры ушли и тем самым освободили часть рынка. Конечно, их никто сразу не заменит. Да, российские решения стали покупать несколько больше, но ненамного. Например, доля NGFW на рынке порядка 20 млрд руб., но хорошего отечественного файервола нового поколения не существует и заменить его нечем. В 2022 году импортозамещение еще не является драйвером рынка, а вот в 2023-24 уже появятся вполне рабочие технологии. То есть эта высвободившаяся ниша заполнится, но не сейчас, а на горизонте двух-трёх лет.

— Интерес к каким продуктам и услугам на рынке сейчас наиболее высоки? С чем это связано? Какие ваши решения и услуги востребованы, а какие нет?

— Как я уже сказал, в первую очередь это сервисы и сервисные модели. С конца февраля мы получили удвоение, если не больше, клиентской базы, подключенной к нашим сервисам. И как-то очень быстро был преодолен барьер недоверия к аутсорсингу, видно, за отсутствием альтернативы.  

А второе – это, конечно, технологии выявления и предотвращения кибератак. Плюс набирает новую силу тема DLP – защита от утечек, контроль сотрудников. Потому что уровень внутренних угроз тоже вырос.

— «РТК-Солар» активно участвует в поиске и развитии новых технологий кибербезопасности. Какие технологические ниши сейчас наиболее интересны, и как скоро они появятся на российском рынке?

— Если заглянуть чуть дальше, на 2-3 года вперед, то потребности рынка определяет, конечно, дефицит технологий сетевой безопасности. Второе, чем мы плотно занимаемся, – это выявление атак на ранних стадиях. И третье – это всё, что касается безопасной разработки: выстраивание как циклов безопасной разработки, так и инструментов.

— Вы не раз говорили о смене парадигмы информационной безопасности, но это была скорее констатация процесса, а в этом году все настойчивее звучат слова о необходимости создания концепции «Информационная безопасность 2.0» — документа, фиксирующего принципиальные изменения в отрасли. Так ли это? Что это за концепция? Кто за ней стоит? К каким изменениям это может привести?

— Парадигма не меняется. ИБ по-прежнему защищает инфраструктуры, бизнес-процессы, людей, что в этом нового? Важно не путать лозунги и маркетинговые тезисы с реальной жизнью.

Если говорить о действительно новом в сфере ИБ, я бы выделил два подхода. Первый: кибербезопасность сегодня – это в первую очередь не технологии, а система менеджмента, вписанная в общую систему управления компании. Второй: киберустойчивость – для бизнеса, а не наоборот. Когда мы встаем на точку зрения бизнеса, то начинаем понимать, что ему без разницы из-за чего остановились бизнес-процессы – пожар, аппаратный сбой, ошибка в ПО, кибератака... В любой сфере важна устойчивость, а в сфере ИБ – это киберустойчивость. Бизнесу важна не столько причина киберинцидента, сколько скорость восстановления информационной системы и соответственно бизнес-процессов.

Да, ИБ эволюционирует. Десять лет назад мы все строили крепости с высокими стенами. И это было главным для нас. Пять лет назад мы поняли, что невзламываемых систем не бывает, кто-нибудь через «забор» перелезет. И стали считать, что главным является быстрый мониторинг, выявление атаки до нанесения значимого ущерба. Сегодня мы делаем третий шаг, что, понятно, не исключает первых двух. Что будет завтра – посмотрим, но сегодня ключевое – это время восстановления. Это то, на что направлены киберучения, планы реагирования и т.д. И это то, что я вкладываю в понятие киберустойчивости. Только такая сборка, когда мы имеем защищенную инфраструктуру, быстрый мониторинг выявления кибератак и отработанные процедуры восстановления, минимизирующие ущерб. Все это даёт бизнесу состояние такой динамической устойчивости – защищённости и минимизации ущерба.

— О темной стороне. Там дуют те же ветры, но идут другие процессы. Какие? Возможно, и там грядут принципиальные изменения, качественные скачки, новые ориентиры, цели и средства? А может, уже произошли?

— Россия словно получила от темной стороны черную метку. Похоже, все хакеры мира пытаются поразить нашу инфраструктуру и, конечно, проверить в деле своё оружие. Это и неспециалисты-«сочувствующие», и профессиональные группировки. На нас отрабатываются очень современные, передовые способы атак. Даже те, которыми пользуется киберармия Украины, только на первый взгляд выглядят просто, но под капотом там очень высокие технологии. Вот оно – соревнование брони и снаряда. Конечно, в нём совершенствуются обе стороны.

И еще один важный момент: специалисты по кибернападению прямо сейчас готовятся, обучаются тысячами. Но эта кибервойна рано или поздно закончится, а обученные специалисты в огромном количестве останутся. Возникает вопрос: куда они направят свои умения? И как дальше будет использоваться этот темный, достаточно мощный потенциал? Вопрос тревожный, и теперь уже не столько для России, сколько для всего мира.

 

НЕПОСРЕДСТВЕННО SOC

— Опираясь на данные, которые вы собираете как крупнейший провайдер сервисов SOC, какие угрозы и проблемы с кибербезопасностью можно выделить в российских организациях? Какова ситуация в различных отраслях?

— Последние полгода большую часть проблем мы видим не в отсутствии каких бы то ни было средств защиты, а в целом в процессах управления IT. Например, сейчас основной вектор атак идет через подрядчиков: хакеры взламывают IT-компании и через них проникают дальше – непосредственно на целевые объекты.

Почему такие атаки успешны? Потому что IT-подрядчики имеют прямой неперсонифицированный доступ к системам заказчиков. Когда мы проводим анализ и выстраиваем систему, то вычищаем сотни активных, но ненужных учётных записей администраторов. Инвентаризация периметра, сервисов, управление изменениями – это разгребание авгиевых конюшен, которое сейчас является одним из ключевых моментов. Качество IT, зрелость IT-процессов сегодня определяет и уровень информационной безопасности.

— Насколько вырос в последнее время спрос российских компаний на услуги SOC? 

— С начала года больше, чем в два раза.  

— Получается, у вас очередь образовалась?

— В первые два месяца СВО, в марте-апреле, очередь была. Сейчас мы, конечно, увеличили свои мощности и в части инфраструктуры, и в части кадров, и теперь вполне справляемся.

— Какие изменения произошли в теме SOC за прошедший год? С чем столкнулись SOC в прошлом году и в этом? Какие компоненты/моменты/функции пришлось пересмотреть и почему? Какие новые решения в SOC появились?

— Ну, это набор тем для отдельной конференции. И на SOC-форуме, конечно, мы всё это будем обсуждать. Для меня сейчас очень важным является всё, что связано с ранним выявлением атак. Мы запустили на опорной сети «Ростелекома» систему раннего выявления кибератак, не ставя при этом ничего на площадку заказчика. Дело в том, что через сеть «Ростелекома» проходит 60-70% всего российского трафика. Мы расставили по всей сети сенсоры и боты, которые позволяют по аномалиям в трафике выявлять признаки компрометации, атак, идущих на наших заказчиков. Это, конечно, предельно быстрое оповещение. Совместно с другими сервисами, такими как анализ даркнета, такой подход даёт колоссальный эффект.

— Что ваша компания представит рынку на SOC-Форуме 2022? О чём будете рассказывать, каким опытом делиться?

— Для SOC-Форума мы подготовили целую программу. Понятно, что восьмимесячный опыт противодействия кибервойне уникален. В последнее время я много встречаюсь с коллегами из разных стран. У них у всех один вопрос: как вы это сделали? Как выдержали такое давление, как выстояли? И вот этот опыт именно практического противодействия сегодня очень важен и востребован. На SOC-Форуме мы сделаем акцент на практике защиты: как мы выявляем атаки, проникновения, как восстанавливаемся… Будем говорить именно о практическом опыте текущей кибервойны.

— Чем для вашей компании полезно участие в SOC-Форуме? Какие темы для вас наиболее актуальны?

— SOC-Форум – это отличное мероприятие, где всегда собираются лучшие эксперты отрасли. Так как кибербезопасность – это бурно развивающаяся дисциплина, то, конечно, в ней все рождается здесь и сейчас, на кончиках пальцев. И тут крайне важно неспешное человеческое общение профессионалов. SOC-форум – эпицентр такого общения. Живой обмен мнениями, лучшими практиками, что получилось, что не получилось... Я лично в первую очередь ожидаю, что этот большой слет специалистов, так же, как и в прошлые годы, даст синергетический эффект, усилит потенциал отрасли.

— Успевает ли развитие ИБ (и SOC, в частности) за киберпреступниками, законодательством и глобальной цифровизацией? Почему? Что нужно еще сделать?

— Цифровизация движется наиболее быстрыми темпами, это запрос бизнеса, который, понятно, является катализатором, драйвером развития ИБ. Следом с небольшим отставанием – киберугрозы, хакеры. Третьим номером уже кибербезопасность. По идее она должна бежать в ногу с цифровизацией, но так не бывает, кибербезопасность всегда немного отстает от цифровых темпов развития. И вот цифровизация бежит первой и иногда спотыкается о киберриски. Тогда она притормаживает, чтобы дождаться зрелого обеспечения безопасности.

Ну, и последним эшелоном, и это правильно, движется регуляторика. Она и не может бежать впереди паровоза, ведь ее задача – реагировать на изменения макроландшафта. Хотя сейчас, конечно, темпы нашей регуляторики очень высокие. Мы должны относиться к этой регуляторике, как к некой консервативной силе, которая задаёт систему координат. И эта система сейчас на высоком уровне.

— Как должен выглядеть идеальный SOC? Чего не хватает для его создания?

— Идеального SOC быть не может. Если он идеальный, значит, оторвался от земли, превратился в сияние чистого разума. Для SOC главное – скорость выявления и адаптации к новым атакам, постоянное развитие.

А если говорить, чего не хватает, то, конечно, сейчас это кадры. Безусловно, необходимы изменения на всех уровнях подготовки, и здесь есть две цели. Первая – повышение скорости подготовки специалистов, то, что называется time-to-market. Сейчас time-to-market специалиста по безопасности – 6 лет, это очень много. Нужно научиться готовить специалистов за 1,5-2 года. Для этого на первый план должно выйти среднее специальное образование. Второе – это практикоориентированность образования. Кибербезопасность – это в первую очередь не теоретическая наука, а практические навыки и актуализация знаний.

— Как вы решаете проблему кадрового дефицита у себя в компании?

— Во-первых, мы работаем с вузами, делаем вместе с ними интенсивы по практической кибербезопасности., Большую роль тут играет наш давний партнер «Сириус» – образовательный центр и университет, который создаёт действительно новую модель образования в сфере кибербезопасности в России. Второе – это наш Национальный киберполигон – большая площадка для практической подготовки специалистов. На его базе мы делаем много образовательных интенсивов, курсов для специалистов.

— Спасибо! Удачи на SOC-Форуме!

 

Вопросы задавал Игорь Некрасов.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам
26.03.2024
Банки попросили не вводить оборотные штрафы за утечки. Опять
26.03.2024
Фейк — он и в Африке фейк. Что хакеры ищут на чёрном континенте

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных