Рынку кибербезопасности в России прогнозируют небывалый взлет

Минцифры планирует финансово поддержать разработку отечественных решений в сфере ИБ. Фото: Пресс-служба Positive Technologies

Всем нужна защита

Российский рынок информационной безопасности растет ежегодно на 15-20 процентов. На конец 2020 года его совокупный объем, по оценке аналитиков, превысил 140 миллиардов рублей.

Исследование PwC, проведенное в конце прошлого года, показало, что 65 процентов российских компаний ожидали роста расходов на кибербезопасность и в 2022-м. Однако реальность может превзойти самые смелые ожидания, ведь с конца февраля на госструктуры, компании, организации обрушилась беспрецедентная по масштабам волна кибератак.

"В прошлом году темпы прироста российского рынка кибербезопасности оценивали в 25 процентов. В условиях резко увеличившегося спроса он может вырасти на 50-100 процентов, - прогнозирует аналитик ФГ "Финам" Леонид Делицын. - Стало ясно, что ИТ-безопасность в сегодняшних условиях является одним из ключевых элементов национальной безопасности. Это обеспечивает спрос на услуги компаний отрасли со стороны государства".

По словам эксперта, в продуктах для информационной безопасности сейчас особенно нуждаются оборонный, энергетический, сырьевой и финансовый секторы. Там фактически идет оборона от кибернаступательных действий. В случае же связи и электронной коммерции информационная безопасность уже является внутренней, неотъемлемой частью этого бизнеса. К этому же идут и банки, отмечает Леонид Делицын.

"С конца февраля российские организации подверглись беспрецедентной по масштабам волне кибератак. Хакеры атакуют буквально все: ВПК и ТЭК, госучреждения и банки, СМИ и ИT-сферу. В этих новых реалиях резко возрос запрос на cервисы и продукты нашей компании, разрабатывающей решения в области информационной безопасности, - рассказал "РГ" директор по продажам и развитию бизнеса Positive Technologies Максим Филиппов. - Число запросов от клиентов на наши сервисы всего за три недели сравнимо с третью заказов за весь прошлый год. Схожая картина и в количестве запросов на оперативную поставку наших продуктов - межсетевого экрана уровня приложений (PT Application Firewall), PT Network Attack Discovery - системы анализа трафика, MaxPatrol SIEM - системы выявления инцидентов в режиме реального времени, песочницы (PT Sandbox)".

"В марте мы отметили всплеск спроса на ИБ-решения в классах Web Application Firewall (WAF), Anti-DDoS, межсетевых экранов нового поколения NGFW/UTM, DLP-защиты, SIEM-систем, - рассказал "РГ" генеральный директор Axoft Global Вячеслав Бархатов. - А вот в апреле основной запрос был на инфраструктурные направления - системы виртуализации, ОС, офисные пакеты и коммуникационное ПО".

По словам гендиректора, изменения сегодня наблюдаются не только на рынке ИБ, но и в ИТ-ландшафте в целом. Спрос на отечественные решения существенно вырос, поэтому с одной стороны, для многих разработчиков появилось "окно возможностей", с другой - значительно выросла нагрузка на команды, что влияет на скорость обработки запросов.

"Стоит отметить, что российский ИБ-сегмент достаточно зрелый, в нем работает много серьезных игроков с большой историей, опытом, ресурсами и сильными решениями, - отмечает Вячеслав Бархатов. - На данный момент мы наблюдаем, как многие вендоры оперативно расширяют штат, вкладывают дополнительные средства в разработку инструментов или доработку функционала. А также готовы поддерживать на безвозмездной основе компании, которые попали под атаку, или предоставляют ПО, когда иностранный софт больше не работает, при наличии собственного железа".

По словам Максима Филиппова, происходит практически полный исход иностранных вендоров из российского сегмента ИБ, а объем высвобождающегося рынка стремится к 80 миллиардам рублей. На этом фоне рынок кардинально перестраивается: от всех клиентов поступает запрос на реальный результат и защиту от недопустимых событий. При этом информационная безопасность стала приоритетом первых лиц компаний.

Гудбай, Америка

Уход целого ряда зарубежных разработчиков ПО действительно стал одним из главных событий для российского рынка кибербезопасности в этом году. Вендоры из других стран предоставляли софт, программно-аппаратные комплексы, а также услуги по проектированию, внедрению и т.д. К примеру, на рынке было более 100 продуктов в области информационной безопасности американского производства.

В списке иностранных разработчиков ПО, остановивших продажи и поддержку своих продуктов, несколько десятков компаний, включая Microsoft, Oracle, Cisco, Avast, Symantec и др. Как только зарубежные вендоры стали заявлять о своем уходе, в Минцифры России предложили срочно обсудить условия поэтапной передачи российским ИТ-компаниям технической поддержки компонентов информационных систем и объектов инфраструктуры, нарушения в работе которых могут привести к серьезным сбоям в системах жизнеобеспечения. При этом министерство выразило готовность оказать необходимую помощь в налаживании такого взаимодействия.

"От западного программного обеспечения сейчас освобождается весь корпоративный рынок, - отмечает Леонид Делицын. - При этом российские решения есть везде. Но поскольку глобальный рынок на порядок больше, значительно старше и компаний там в десятки раз больше, там активно продвигались такие комплексные решения, на которые наши корпорации пока не предъявляли спрос".

"Уход зарубежных вендоров создает предпосылки, чтобы российские компании увеличивали свои доли на рынке и свои показатели, - отмечает инвестиционный стратег УК "Арикапитал" Сергей Суверов. - К примеру, компания Positive Technologies по результатам первого квартала нарастила продажи примерно в три раза. Помимо общего роста востребованности средств защиты это произошло в том числе за счет освобождения ниши западных конкурентов, а также за счет ожидаемого роста самого рынка".

По словам Вячеслава Бархатова, для крупных российских игроков мало что изменилось. Такие компании, как Positive Technologies или "Лаборатория Касперского" давно успешно работают в направлении импортозамещения. Совсем другая ситуация у нишевых поставщиков. К примеру, если раньше они работали с госсектором, то теперь на них обращают внимание и коммерческие компании, поэтому приходится серьезно наращивать производственные мощности и человеческие ресурсы.

"Рынок ИБ в России достаточно развит, есть вполне зрелые продукты по ключевым классам - защита конечных точек, антивирусы, защита веб-приложений, защита от DDoS-атак, - отмечает эксперт. - Некоторое ПО иностранных вендоров нужно замещать не одним конкретным российским решением, а несколькими. Это также повод пересмотреть набор необходимого функционала, ведь многие покупали западный софт с огромным набором функционала, но использовали всего лишь его треть. Конечно, есть классы, для которых пока нет аналогов на российском рынке, например, защита контейнеров и облачных сред. Но это может быть хорошей возможностью для компаний, которые планируют расширить свои линейки".

При этом отечественные разработчики смогут рассчитывать и на помощь государства. Минцифры России предложило распространить меры господдержки на ИБ-специалистов и добавить ОКВЭД 74.90.9 (деятельность в области защиты информации) в перечень видов деятельности, на которые будут распространяться льготы. Это позволит ИБ-компаниям и их сотрудникам пользоваться всеми мерами поддержки, ранее представленными Минцифры РФ.

Критически важные объекты

Государство принимает активные меры для повышения уровня кибербезопасности и ускоренного перехода госструктур и частного бизнеса на отечественные программные продукты. Президент России Владимир Путин 1 мая подписал Указ "О дополнительных мерах по обеспечению информационной безопасности РФ". Согласно этому документу, главам регионов, ведомств, стратегических предприятий поручено создать структурное подразделение для обеспечения информационной безопасности, в том числе для обнаружения, предупреждения и ликвидации последствий компьютерных атак. Ранее другим указом президента госзаказчикам запретили закупать без согласования иностранное ПО (в том числе в составе программно-аппаратных комплексов) для использования на объектах критической информационной инфраструктуры (КИИ). А с 1 января 2025 года на этих объектах вообще нельзя будет использовать иностранный софт.

По действующему законодательству к объектам критической информационной инфраструктуры в России относятся информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, ТЭК, оборонной, ракетно-космической, металлургической промышленности, банковском секторе и др.

По данным Федеральной службы по техническому и экспортному контролю (ФСТЭК), в России насчитывается около 50 тысяч объектов КИИ, из которых около 10 тысяч отнесены к особо значимым. При этом в 55 процентах систем и сетей не применяются требуемые средства защиты от компьютерных атак.

Между тем российские объекты КИИ всегда были зоной повышенного внимания хакеров. Так, по словам генерального директора "Ростелеком-Солар" Игоря Ляпунова, абсолютное большинство (92 процента) попыток профессиональных кибератак, проведенных в России в 2021 году, было направлено именно на объекты КИИ. Чаще всего внимание хакеров с высокой квалификацией привлекали госорганизации, предприятия энергетики, промышленности и военно-промышленного комплекса.

Результативная кибербезопасность

В условиях участившихся кибератак особенную значимость получают принципы результативной информационной безопасности, которые предусматривают выстраивание защиты таким образом, чтобы недопустимые для каждого бизнеса, отрасли (или даже государства) события были невозможными. И некоторые российские разработчики предлагают технологии, которые позволят достичь этого результата с минимумом экспертизы и усилий со стороны специалистов на стороне компании. К примеру, один из метапродуктов Positive Technologies - MaxPatrol O2 - позволяет автоматически обнаружить и остановить хакера до того, как будет нанесен неприемлемый для компании ущерб, и сделать это можно в прямом смысле слова силами одного человека.

"На фоне сложной геополитической обстановки мы прогнозируем увеличение количества атак, поэтому рекомендуем компаниям перейти от типовых процессов ИБ к принципам результативной безопасности, - говорит аналитик исследовательской группы Positive Technologies Яна Юракова. - Мы настоятельно рекомендуем компаниям сконцентрироваться на защите ключевых и целевых активов и точек проникновения во внутреннюю сеть. Также следует обратить внимание на организацию процесса управления уязвимостями в компании".

Важную роль в концепции результативной безопасности играют практические киберучения, которые позволяют проверить эффективность системы защиты. Ведь реальный результат можно оценить только путем моделирования действий злоумышленников на киберучениях.

Крупнейшие открытые киберучения - The Standoff - проходят сегодня и завтра, 18 и 19 мая, на площадке ежегодного Международного форума по практической кибербезопасности Positive Hack Days. PHDays традиционно собирает всех, кто так или иначе связан с информационной безопасностью: от представителей отрасли, экспертов и лидеров мнений до молодых ученых и журналистов. Среди посещавших ранее форум хедлайнеров - легендарный криптограф Брюс Шнайер, один из разработчиков USB-эмулятора FaceDancer Трэвис Гудспид, соавтор концепции криптографии с открытым ключом Уитфилд Диффи.

В этот раз для проведения The Standoff создан макет небольшого государства, включающий в себя ключевые отрасли и свойственные им бизнес-процессы. Парализовать жизнь этого государства, найдя слабые места в защите виртуальных компаний из разных отраслей экономики, пробуют 157 "белых хакеров". А пять команд защитников отслеживают перемещения атакующих внутри инфраструктуры, изучают техники и тактики злоумышленников, чтобы в дальнейшем эффективно предотвращать подобные события в реальном мире.

The Standoff проводится не впервые, и, к примеру, в мае прошлого года атакующим на киберполигоне удалось реализовать 33 недопустимых события - больше половины запланированных. Они смогли сократить добычу нефти на 90 процентов, уронить контейнер в порту и полностью обесточить все предприятия, воссозданные в рамках киберполигона. В этот раз атакующие попробуют реализовать 100 недопустимых событий. На киберполигоне представлены три основные отрасли: энергетика, нефтяная промышленность и черная металлургия, а также сервисные сектора: ЖКХ, банковская и транспортная системы. Организаторы хотят показать взаимозависимость отраслей экономики, когда даже незначительное влияние на одну из систем может иметь непредсказуемые последствия для другой, казалось бы не связанной с первой.

"Этот эффект бабочки каждый сможет наблюдать в реальном времени, что и делает киберучения The Standoff актуальными как никогда. Знать, нарушение работы каких систем и объектов может привести к недопустимым последствиям, - одна из главных целей киберучений", - говорит руководитель продукта The Standoff Ярослав Бабин.

Кстати, недавно Минцифры России решило поддержать "белых хакеров" и предложило профессиональному сообществу обсудить новую инициативу прямой финансовой поддержки проведения пентестов (анализ системы на наличие уязвимостей) и Bug Bounty. В рамках оперативного штаба по обеспечению информационной безопасности крупным компаниям предлагается протестировать технологию и механику внедрения данных инициатив. А министерство готово софинансировать пилотные проекты. По мнению экспертов в области информационной безопасности, развитие программ Bug Bounty, в рамках которых "белые хакеры" смогут искать критические уязвимости в российском ПО и зарабатывать на этом, играет для практического развития идей результативной безопасности ничуть не меньшую роль, чем те же киберучения.

В целом российский рынок кибербезопасности ждет активное развитие и появление новых программных продуктов. Уход иностранных вендоров придал дополнительный импульс российским компаниям, отмечают эксперты. Разработкой технологий занимаются уже не только вендоры, но и интеграторы, у которых есть собственные лаборатории и центры разработки. Сложившаяся ситуация стимулирует всех игроков на рынке создавать собственные решения.