Рынок ИБ в России вырос, но этого никто не заметил

· В 2019 году запланированные бюджеты увеличились в среднем на 20%, то есть рынок вырос. Однако это формальный рост: если оценивать его с точки зрения денег, реально потраченных и заработанных участниками рынка, то общая планка практически не превышает показатели прошлого года. Причина неисполнения бюджетов в большинстве случаев состоит в необходимости проходить конкурсные процедуры: компании просто не успевают закупить те средства защиты, которые запланированы или необходимы.

· Смена парадигмы: ability to detect уже здесь

· В последние пару лет мы отмечали, что парадигма обеспечения информационной безопасности начала меняться и все больше компаний приходят к понимаю, что построение защиты, которую нельзя сломать, — утопично по своей сути. Львиная доля систем либо уже взломана, либо может оказаться взломанной, и главная задача любой системы безопасности — максимально быстро обнаружить атаку и атакующего в системе, сократить окно его возможностей настолько, чтобы он не успел нанести непоправимый вред (то есть сегодня речь идет о так называемой ability to detect). В связи с этим наблюдается рост востребованности высокоинтеллектуальных средств защиты, позволяющих решать задачи по своевременному выявлению атак и инцидентов. В частности, речь идет о системах класса security information and event management (SIEM), network traffic analysis (NTA), комплексных antiAPT решениях. По итогам года мы наблюдаем почти трехкратный рост интереса к технологиям такого типа.

· Технологии vs. люди

· Компании, которые ставят перед собой цель реально защитить себя в киберпространстве, сегодня сталкиваются с тотальным дефицитом кадров. Не хватает специалистов, которые имеют достаточный уровень компетенций, чтобы обеспечить высокий уровень ability to detect (то есть глубоко погружены в специфику бизнеса защищаемых компаний, следят за трендами защиты и нападения, разбираются в новейших технологиях и их уязвимостях). Мы видим, что все более востребованы специалисты, обладающие сразу несколькими компетенциями: речь может идти о совмещении знаний в области data science и кибербезопасности, глубокой отраслевой специфики (скажем, АСУ ТП) и информационной безопасности и т. п. Бизнес в итоге осознает, что у него нет необходимого количества специалистов такого уровня, и обычно приходит к аутсорсингу или аутстаффингу, а в редких случаях даже вынужден самостоятельно обучать кадры, которых мало на рынке.

· Регуляторы драйвят

· Задачи реальной безопасности все чаще находят отражение в инициативах регуляторов: на практическую безопасность нацелены последние требования, стандарты и нормативы Центробанка, ФСБ, ФСТЭК. В частности, в 2019 году ключевые изменения произошли в законодательстве в области защиты объектов критической информационной инфраструктуры (КИИ), а также в нормативных документах Центробанка и ФСБ. Самое важное в КИИ — новые методические документы, которые определяют порядок взаимодействия субъектов КИИ с НКЦКИ (Национальный координационный центр по компьютерным инцидентам). В них разъясняется, о каких инцидентах сообщать, какую информации передавать, в какой срок.

· Появилось понятие средств ГосСОПКА, сформулированное в приказах ФСБ № 196, 281, 282. В них описаны инструменты, которые должен использовать центр ГосСОПКА. Кроме того, были опубликованы конкретные требования к субъектам ГосСОПКА, и это уже не рекомендации, а обязательные для исполнения документы. Начала складываться практика привлечения к ответственности по ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей»), но пока только по поводу очевидных вещей: наказывают за атаки на субъекты КИИ и за серьезные нарушения должностных инструкций.

· В следующем году также ожидается проработка изменений закона № 187-ФЗ, в котором будут скорректированы неоднозначные термины и формулировки. Разрабатываются и методические документы ФСТЭК по анализу угроз в информационных системах: будем надеяться, что в предстоящем году они будут утверждены.

· Не менее интересные изменения ожидаются в нормативных документах Центробанка: в следующем году вступят в силу три положения для платежных сервисов. Главный вывод: с 1 января 2020 года финансовые организации должны использовать софт, у которого есть либо сертификат ФСТЭК, либо свидетельство о прохождении анализа уязвимостей. Мы не ожидаем, что разработчики банковского ПО начнут массово проводить сертификацию своих решений, так как из всего объема сертификационных испытаний фактически требуется только проведение анализа уязвимостей и недекларированных возможностей. Это традиционная услуга, востребованная кредитными организациями с высоким уровнем зрелости, но теперь она становится обязательной для всех финансовых организаций. Отдельно стоит отметить, что процедура анализа уязвимостей, на которую ссылаются нормативные документы Центробанка, требует, чтобы разработчики ПО проводили такой анализ самостоятельно, в рамках жизненного цикла разработки своих продуктов.

· Уже сегодня это подхлестнуло рынок Application Security. Вендоры банковского ПО начали заказывать услуги анализа защищенности и выстраивать процесс защищенного жизненного цикла. Для самописного ПО банки активно заказывают статический и динамический анализ кода. Если раньше такие услуги интересовали в основном энтузиастов из финтех-компаний, то сейчас они необходимы всем финансовым организациям без исключения.

· Анализ защищенности достаточно дорог, исполнителей мало, и за них уже сейчас приходится конкурировать. В последние месяцы спрос вырос так резко, что предложение не успевает. Эксперты крупной компании в сфере ИБ (таких на российском рынке четыре-пять) могут сделать за год 30–50 анализов защищенности, а у каждого банка из первой десятки подобных приложений может быть 15–20. И эти приложения регулярно обновляются, что требует дополнительных проверок на уязвимости. Если у организации много приложений и она часто выпускает обновления, выгоднее будет построить у себя процесс безопасной разработки.

· Для производителей финансового ПО прохождение анализа уязвимостей становится конкурентным преимуществом. Уже сейчас многие разработчики банковского ПО говорят о заключении договоров с ведущими компаниями в сфере ИБ на работы по анализу исходного кода. Мы ожидаем, что в течение ближайших двух-трех лет выстраивание доказуемого цикла безопасной разработки станет для вендоров банкового ПО мейнстримом.

· Чтобы убрать неопределенность и расплывчатость в требованиях к анализу защищенности, в этом году технический комитет Центробанка (ТК № 122) разработал проект методического документа «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций», где подробно расписывается, как именно нужно проводить анализ уязвимостей приложений. Для России это первый опыт обязательного нормативного документа, подобная конкретизация была только в системе сертификации. Профиль защиты — обязательный документ, он предназначен для открытого рынка, и этому документу придется соответствовать. Не исключено, что примеру Центробанка последуют другие ведомства.

· Нельзя не отметить и появление закона о «суверенном интернете»: это первый случай, когда федеральный закон обязывает коммерческие компании (в данном случае — операторов связи) проводить киберучения. Раньше никто не обязывал компании в такой форме оценивать, насколько система способна противодействовать атакующим. Аналогичное требования к владельцам значимых объектов КИИ появилось в нормативных документах ФСБ (владельцы значимых объектов КИИ обязаны составлять планы реагирования на инциденты и отрабатывать их в ходе учений). Если раньше киберучения проводились в организациях с высоким уровнем зрелости, то в ближайшие два-три года они будут проводиться в очень многих компаниях: эти требования касаются всех операторов КИИ