Эксперты BIS SUMMIT 2024 обсудили вызовы и решения для пользователей средств ИБ

23.10.2024 |

Андрей Блинов.

Эксперты BIS SUMMIT 2024 обсудили вызовы и решения для пользователей средств ИБ

Источник: запись трансляции BIS SUMMIT 2024 в «ВК Видео»

На пути к технологическому суверенитету и выполнению требований указов Президента №166 и №250 российские предприятия вынуждены искать баланс между соответствием внедряемых решений регуляторным требованиям, их реальной эффективностью и перспективами развития ИТ-инфраструктуры. Этот процесс сопровождается барьерами в виде дефицита ИТ-специалистов и роста стоимости отечественных продуктов. На пленарной дискуссии «Диалог с ключевыми предприятиями», состоявшейся в рамках конференции BIS SUMMIT 2024, топ-менеджеры ведущих российских заказчиков обсудили текущую ситуацию с импортозамещением в сфере информационной безопасности, поделились собственным опытом, взглядом на актуальные вызовы и способы их преодоления.

От первых шагов до форсирования

Модератор пленарной дискуссии BIS SUMMIT, директор Департамента цифрового развития Торгово-промышленной палаты РФ Владимир Маслов в начале обсуждения отметил, что от ситуации с необходимостью выполнения указов Президента №166 и №250 определенную пользу получили и регуляторы, и российские вендоры. Основная же нагрузка от этих инициатив падает на те организации, которые являются конечными пользователями ПО и должны заниматься непосредственно импортозамещением своей ИТ-инфраструктуры – причем это как крупные госкорпорации, так и предприятия SMB. «Мы все разные, у всех своя специфика: финтех, авиация, медицина... У многих есть специализированное ПО, которому вообще не существует альтернативы – и это отдельная проблема. Но мы все теперь должны соответствовать определенным законам», – начал он.

С другой стороны, необходимость импортозамещения возникла далеко не вчера, и те организации, которые задумались об этом заранее, сегодня достигли существенных успехов.

Директор по цифровой трансформации НПП «Исток» имени А.И. Шокина Виталий Александров рассказал о том, что тренд на импортозамещение в его компании начался еще в 2014 году. Там планомерно заменяли решения, подгоняя инфраструктуру под российское ПО

«НПП «Исток» – лидер отрасли радиоэлектроники в России, у нас много технологического, специализированного и инженерного оборудования. Примерно до 2018-19 годов мы использовали набор ПО, который поставлялся и с «железом» и без «железа», смотрели, как работают партнеры и пытались перенимать их опыт, чтобы производство работало и развивалось. Уже тогда начали возникать проблемы, иностранный софт не всегда можно было купить. В 2019 году начали глобальный перевод. Указ №166 нас немного ускорил, а Указ №250 – глобально пересобрал, мы модернизировали ИТ- и ИБ-команды. Переводим всё, что можем – то, что фактически работает на различных российских операционных системах, СУБД. Мы выстроили сегменты, где российские решения полностью обеспечивают тот или иной функционал. Сформировали классификацию бизнес-функций и постепенно закрываем все области. С 2020 года мы находимся в режиме постоянного тестирования российских продуктов, сравнения их функциональности с иностранными, общаемся с вендорами, чтобы они дорабатывали те или иные функции, требуем дорожные карты», – отметил спикер.

Предприятие участвует в различных индустриальных центрах компетенций, чтобы отслеживать изменения на российском рынке ПО, так как в области сложного софта для конструкторов, технологов до сих пор аналогов не существует. Правда, это ПО не относится к значимым объектам, поэтому время на его замену еще есть.

Что касается средств информационной безопасности – по словам Виталия Александрова, около 98% ИБ-решений на предприятии – российского производства. «98% – потому, что даже российские средства информационной безопасности не всегда работают на российских операционных системах», – пояснил он.

Заместитель генерального директора по информационным технологиям «НПО Лавочкина» Григорий Галенко заметил, что долгое время на некоторых предприятиях вообще не задумывались об информационной безопасности, а из СЗИ у них в лучшем случае был установлен антивирус. После появления первой редакции закона «О персональных данных» на рынке создалась некоторая неразбериха, а также появилось большое количество недобросовестных исполнителей. Ситуацию помогла разрешить грамотная позиция регуляторов, их большая работа по развитию нормативной базы.

«Именно законы сподвигли отрасль информационной безопасности в России куда-то двигаться. Например, очень сильно вырос банк данных угроз ФСТЭК. Сейчас это великолепный ресурс, который можно использовать как карту развития и заказчикам, и вендорам. К сожалению, не все еще про нее знают, не все используют. Обычно мы читаем какие-то маркетинговые материалы, мало кто из вендоров рассказывает о том, какие реальные функции закрывает его программный продукт», – посетовал спикер.

Что касается Указа №250 – его первые пункты, касающиеся назначения ответственных, распределения ролей, выполнили все. Остался главный пункт, касающийся непосредственно применения сертифицированных средств. «Мы тоже с 2014 года занимаемся импортозамещением. Я хотел бы обратить внимание на то, что появилось много разработчиков систем безопасности, тех же фаерволов, но с сертифицированными ФСТЭК решениями пока всё печально. Существует буквально одно-два сертифицированных решения для защиты конкретного класса систем. Для нас как заказчиков очень важно понимать, когда вендор свой продукт внесет в классификатор ФСТЭК. Потому что одно дело – обычная информационная безопасность, когда компании могут сами решать, как защищаться, а другое дело – сертифицированные информационное системы», – прокомментировал Григорий Галенко.

Представитель Департамента безопасности и профилактики коррупционных правонарушений Госкорпорации «Ростех» Дамир Ишмаметов подтвердил, что в его компании так же начали задумываться об импортозамещении в 2014 году, когда начали вводиться первые санкции в отношении корпорации.

«Руководство центрального аппарата Госкорпорации «Ростех» поставило задачу заменить всю серверную и сетевую инфраструктуру, системное программное обеспечение и средства защиты информации. В 2015 году мы начали выполнять этот амбициозный проект и уже к 2016 году запустили новую инфраструктуру, построенную на доверенных средствах защиты информации. Тогда же мы провели аттестацию нашего ЦОД. А когда в 2022 году вышел Указ Президента №250, мы уже отталкивались от другого – поняли, что из тех СЗИ примерно двух десятков производителей, которые нами уже были закуплены, два необходимо заменить, потому что они не попадают под требования указа. В 2023 году мы заложили деньги на это, и последнее СЗИ, которое не отвечает требованиям, заменили в конце этого лета», – рассказал Дамир Ишмаметов.

Директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса «Московской биржи» Сергей Демидов указал на то, что формальное выполнение требований законодательства слабо решает задачу реального обеспечения безопасности. Указы, о которых идет речь, возникли после целого ряда беспрецедентных кибератак на разные сектора экономики. Биржа существует в тесном сотрудничестве с участниками финансового рынка и других отраслей, хорошо осознает потребности всех заказчиков.

«С одной стороны, цель роста экономики никто не отменял, и Россия, по крайней мере в финансовом секторе, – один из мировых лидеров по уровню цифровизации. С другой стороны, нельзя больше доверять зарубежным СЗИ. С третьей – безусловно, злоумышленники, которые атакуют нашу инфраструктуру, не ограничены в выборе инструментария атаки. А мы ограничены теми средствами, которые есть в реестре. Получается, что мы находимся в неравных условиях. Кроме того, честно скажем: если мы выполним все регуляторные требования, будет ли наша система более защищенной? Скорее всего, нет. Реальная защита – это вопрос не того, какие пункты документов выполнить, а как вы их выполняете: как прописали правила, корреляции, как настроено взаимодействие антивируса, SIEM, систем противодействия утечек и так далее», – уверен спикер.

По мнению Сергея Демидова, три указанных «противовеса» тянут предприятия в разные стороны, создавая проблемы, которые сегодня решить невозможно. Так, в условиях, когда высоконагруженные фаерволы появляются только за четыре месяца до максимально допустимой даты их внедрения, у заказчиков не остается времени на их качественное тестирование и выявление уязвимостей. «Никто не говорит о том, что мы не будем выполнять указы, но это похоже на известный мем про поездку на горящем велосипеде, когда всё вокруг пылает, но доехать нужно. В финансовом секторе есть специфика, связанная с высокой нагрузкой. Наши системы обрабатывают около 100000 транзакций в секунду, при этом в силу регуляторных требований мы не можем на определённых участках делать параллельные вычисления. В этой связи проблема становится еще более актуальной – и не только с точки зрения высоконагруженных фаерволов, но и, в том числе с точки зрения различных СУБД, элементов защиты СУБД, элементов анализа трафика», – добавил он.

Участники пленарной дискуссии «Диалог с ключевыми предприятиями» на BIS SUMMIT 2024
Источник: запись трансляции BIS SUMMIT 2024 в «ВК Видео»

Ценовая политика вендоров – один их главных сдерживающих факторов

Владимир Маслов напомнил, что не только госкорпорации и крупный бизнес вроде Сбера и ВТБ решают вопросы технологического суверенитета. Существует колоссальное количество малых и средних предприятий, которым тоже надо соответствовать Указу №250 и другим нормативным актам, а также обеспечить себе реальную кибербезопасность.

«Пока, к сожалению, они по своим финансовым показателям не всегда могут «потянуть» российские решения. Понятно, что вендоры нацелены в основном на взаимодействие с ключевыми заказчиками, с госсектором, где больше денег, а на широкий рынок не выходят. Мы разговаривали с Максутом Шадаевым, предлагали как-то стимулировать вендоров, чтобы они шли на рынок и выстраивали ценообразование в зависимости от организации-заказчика. Мы понимаем, что огромной корпорации нужно несколько больше, чем среднему ООО. Тем не менее сегмент SMB тоже должен соответствовать закону. Хотелось бы, чтобы вендоры смотрели и в их сторону», – поделился он.

Дамир Ишмаметов указал, что в «Ростехе» были выделены большие средства на исполнение 166 и 250 указов. В то же время в компании начали сталкиваться с некоторыми проблемами при проведении закупок: «Например, мы собираем коммерческие предложения на одну цену, а когда выходим на конкурс, падение происходит больше, чем на 50%. Это вызывает вопрос у наших же закупщиков, почему так собиралась НМЦ? При этом все исполнители проходят антикоррупционные проверки. Был также случай, когда на конкурс подали заявки три производителя «железа», все утверждали, что их оборудование выполняет одно очень нужное для нас требование, но при этом в документации это ни у кого не было прописано. Нам приходится продлевать конкурс, запрашивать официальную позицию вендоров», – рассказал спикер.

По словам Сергея Демидова, под действие 250 указа попали абсолютно все организации финансового сектора – в том числе, ломбарды, страховые и управляющие компании. Для того, чтобы разработчики средств защиты информации начали предлагать адекватные цены, им недостаточно внутреннего рынка и даже рынков стран СНГ, а когда откроются остальные зарубежные рынки – неизвестно.

«Кажется, что наш путь – в облака. Нужно и нам, и регуляторам подумать о том, чтобы можно было нормально работать в той модели, которую предлагают те же Google Cloud или Amazon. В этом случае заказчики просто приходят в готовую технологическую инфраструктуру, которая изначально защищена по всем требованиям. Мы еще не решили эту задачу но уже стоим на пороге понимания того, как она должна быть решена», – уверен он.

Кадры решают, но не всё

Крупные компании вкладываются в развитие кадрового потенциала отрасли ИБ, но этих усилий может оказаться недостаточно. Требуется кооперация и работа в сообществах – утверждают эксперты.

Виталий Александров рассказал, что НПП «Исток» с 2018 года взаимодействует с партнерским вузом – РТУ МИРЭА, в одном из филиалов которого на ИТ-факультете была полностью модернизирована программа подготовки специалистов с акцентом на актуальные направления, заложенные в «Цифровой экономике» (интернет вещей, искусственный интеллект, информационная безопасность), введена специальность «Цифровизация предприятий радиоэлектронной отрасли».

«Этот первый шаг, который мы сделали, уже дает неплохие результаты. Но специалистов всё равно не хватает, особенно в такой сложной отрасли, как кибербезопасность. Это люди, которые должны иметь особенно высокую осведомленность, разносторонние знания. Сейчас мы работаем с разным уровнем специалистов: от участия в конкурсах «КиберДрома» до открытия детского технопарка в городе Фрязино, которое состоится в следующем году. Там мы начнем работать с детьми с пятого класса. Там много направлений, и кибербезопасность вкупе с информационными технологиями будут внедрены в учебный процесс», – сказал он.

Виталий Александров посетовал на то, что многие российские вендоры неохотно взаимодействуют с заказчиками по вопросам совместного обучения кадров, предоставления вузам и учебным центрам лицензий на свое ПО, составления программ подготовки. Так, из примерно пятидесяти предложений о заключении партнерских соглашений, которые спикер отправлял вендорам, в реальные проекты воплотились только два.

Сергей Демидов добавил, что проблему дефицита кадров невозможно решить только за счет совершенствования вузовских программ: «Я анализировал структуру выпуска вузов, численность населения Российской Федерации, входящий поток мигрантов. Если коротко – математика не сходится, проблема заполнения вакансий, особенно в области ИБ, не решаема на горизонте ближайших десяти лет, даже если начинать не с вузов, а с детских садов. Мне кажется, решение в другом – нужно развивать сообщества. Работа в ассоциациях – это, в том числе, возможность проводить общие тестирования, использовать совместное оборудование, выстраивать совместный периметр защиты и так далее. Это всё достаточно сильно снижает нагрузку на персонал».

Второй способ нивелирования кадрового голода – технологии искусственного интеллекта. Сегодня они позволяют автоматизировать многие функции информационной безопасности, особенно типовые процессы и операции, связанные с обработкой больших объемов данных.