Новая реальность российской отрасли ИБ: основные итоги BIS Summit 2025

Критические направления ИБ под контролем государства

Президент ГК InfoWatch и председатель правления АРПП «Отечественный софт» Наталья Касперская как модератор пленарной сессии «Диалог с регулятором» напомнила, что с момента появления указов Президента России №166 и №250 прошло уже более трех лет. Она предложила представителям ведомств оценить, насколько за этот период изменился российский рынок ИТ/ИБ, как на него повлияло ужесточение регуляторных требований, каких успехов государству и разработчикам удалось достичь, что еще предстоит сделать.

Первый заместитель директора ФСТЭК России Виталий Лютиков отметил, что еще в прошлом году отечественные решения были представлены в каждой категории средств защиты информации. Несмотря на то, что продуктам отдельных направлений еще предстоит выйти на необходимый заказчикам уровень производительности и устойчивости, тенденция на рынке очевидна. В частности, активно развиваются российские системы EDR и SIEM, появляются решения класса NGFW. В отношении последних – три продукта уже получили сертификаты ФСТЭК, еще несколько заявок находятся в процессе рассмотрения. Ведомство совместно с экспертным сообществом разрабатывает методику подтверждения характеристик скорости и надежности NGFW. 

«В госсекторе доля отечественных СЗИ составляет уже примерно 95-98%, оставшийся небольшой процент – это, в первую очередь, зарубежные межсетевые экраны. В субъектах критической информационной инфраструктуры этот показатель находится пока в районе 82−83%, но тем не менее, за последний год здесь мы тоже наблюдаем положительную динамику», – сообщил Виталий Лютиков.

Участники пленарной сессии «Диалог с регулятором»
Фото: Андрей Блинов/ICT-Online.ru

Первый заместитель председателя Комитета Государственной Думы по информационной политике, информационным технологиям и связи Антон Ткачёв поделился наблюдением о том, что ужесточившееся регулирование в сфере кибербезопасности и защиты персональных данных повысило уровень ответственности предприятий. Например, если раньше некоторые из них закрывали глаза на утечки ПДн, поскольку за это им грозил только небольшой административный штраф, то сегодня каждый инцидент стал больно бить по карману бизнеса, возникли риски уголовного наказания. Это заставляет предприятия более тщательно анализировать свою инфраструктуру на предмет уязвимостей, активно взаимодействовать с разработчиками СЗИ и, в том числе, проводить дополнительные внутренние тестирования их продуктов.

«Безусловно, нынешнее законодательство, в том числе 166-й и 250-й указы Президента, создает технологическую безопасность нашего государства, в которой заинтересованы все стороны: регулятор, бизнес и разработчик. Результатом этого стали отсутствие громких утечек персональных данных, большой объем импортозамещения на объектах КИИ. Те предприниматели, которые ведут сегодня бизнес согласно закону, не ищут способов его обойти, в дальнейшем будут надежным партнером государства», – заявил Антон Ткачёв.

Также спикер высказал мнение, что существующих мер государственной поддержки в сфере ИБ достаточно, новых вводить не стоит, но нужно развивать старые: это, в частности, субсидии заказчикам на приобретение СЗИ, льготное кредитование программ цифровизации для МСП и промышленности, консультации со стороны регуляторов и индустриальных центров компетенций, ведение перечня рекомендованного отечественного программного обеспечения, поддержка разработчиков через гранты, налоговые льготы, упрощенные процедуры допуска к госзакупкам.

Директор ФГАУ «Цифровые индустриальные технологии» (экспертно-аналитического центра компетенций в сфере цифровизации промышленности, подведомственного Минпромторгу) Эдуард Шантаев поделился методиками оценки уровня цифровой зрелости промышленных предприятий, которые применяет министерство. Первая – это цифровой паспорт, сервис, реализованный на платформе ГИСП и предполагающий заполнение предприятием опросника, состоящего из более, чем 29 блоков по различным направлениям. Это дает возможность получить комплексную картину развития отрасли, проводить аналитику и корректировать стратегию цифровой трансформации промышленности. По оценке эксперта, общий уровень цифровой зрелости промышленности сегодня составляет примерно 44%, среди лидирующих отраслей – металлургия и химическая промышленность.

Кроме того, специалисты ФГАУ «Цифровые индустриальные технологии» проводят на территории промышленных предприятий выездные сессии, посвященные автоматизации конкретных бизнес-процессов или объекта в целом, предлагают проверенные, доступные на рынке решения, формируют реестр лучших практик. «Эти способы помогают Минпромторгу объективно оценивать уровень цифровой зрелости промышленных предприятий, и, как следствие, принимать решения о реализации мер государственной поддержки», – заключил Эдуард Шантаев.

Представитель Национального координационного центра по компьютерным инцидентам (НКЦКИ) Андрей Раевский рассказал о том, что его организация в рамках своих полномочий, предусмотренных указом №250, ведет постоянный мониторинг защищенности информационных ресурсов, подключенных к сети Интернет, выявляет угрозы в ИТ-инфраструктуре компаний, которые могут привести к утечкам данных, реализации внешних атак и другим инцидентам ИБ, выдает указания по их устранению. Пока не все организации, для которых актуальны требования указа, передали НКЦКИ свои сетевые реквизиты для проведения такого мониторинга, но его охват со временем увеличивается. В качестве мер воздействия на организации центр пока применяет только указания об устранении угроз информационной безопасности Российской Федерации, но в дальнейшем планируются и более серьезные шаги.

«Если мы видим, что выявленные нами угрозы критичны, то, согласно 250-му указу, мы выносим указание, в котором прописан срок устранения этих угроз. Иногда мы сталкиваемся с нежеланием организаций сотрудничать. В будущем мы рассмотрим возможность внесения изменений в КоАП, которые установят ответственность за халатное отношение к устранению угроз. Но для оценки целесообразности этого нам нужно наработать определенную практику», – пояснил Андрей Раевский.

Заместитель руководителя Федерального медико-биологического агентства (ФМБА России) Николай Лишин подтвердил, что регуляторные изменения заставили и организации, и самих производителей систем больше вкладываться в безопасность. Это особенно важно в автоматизации здравоохранения, где, помимо защиты общеупотребительных персональных данных, необходимо защищать еще и врачебную тайну. Поэтому ФМБА тесно сотрудничает с НКЦКИ и ФСТЭК при диагностике программных продуктов на наличие уязвимостей и построении защищенного цифрового контура здравоохранения.

Крупный бизнес готов к диалогу с государством и разработчиками

На пленарной сессии «Диалог с бизнесом» эксперты продолжили обсуждать выполнение указов Президента России №166 и №250, но уже с позиции коммерческих организаций. Во вступительном слове модератор сессии, директор Центра компетенций по импортозамещению в сфере ИКТ (АНО «ЦКИТ») Илья Массух отметил, что сроки вступления в силу указов так и не были продлены, хотя многие игроки рынка надеялись на такое развитие событий.

Участники пленарной сессии «Диалог с бизнесом»
Фото: Андрей Блинов/ICT-Online.ru

Директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса «Московской биржи» Сергей Демидов согласился с тем, что, несмотря на панические настроения у части бизнес-сообщества, вступление в силу указов прошло в целом достаточно спокойно, никакого коллапса не произошло. Однако останавливаться на этом нельзя, особенно на фоне эволюции кибератак и повышении рисков компаний как в России, так и за рубежом. Важно понимать, как дальше будет развиваться рынок, и совершенствовать системы.

«С точки зрения импортозамещения, кажется, еще не все решения найдены. Мы в рамках импортозамещения критически значимых объектов даже где-то сумели превзойти зарубежные продукты, но в целом количество существующих проблем пока еще достаточно серьезное, хотя их удается решать. Важно понимать, как будут развиваться российские ИТ-вендоры, потому что от них мы оказались сильно зависимы», – резюмировал спикер.

Заместитель директора департамента технологической независимости объектов АСУТП и КИИ, руководитель программ Госкорпорации «Росатом» Степан Клятецкий рассказал, что отрасль ядерной энергетики исторически находилась под особым контролем государства, и сегодня безопасность является ключевой ценностью «Росатома». Всё, что касается core-бизнеса Госкорпорации, построено на отечественных решениях. В общегражданском сегменте до определенного момента использовались и решения зарубежных вендоров, однако и здесь программа импортозамещения была запущена задолго до 2022 года. Кроме того, «Росатом» активно развивает собственный портфель цифровых продуктов, а с этого года проводит выездные поездки на предприятия, чтобы на практике оценить эффективность отечественных систем.

«У нас давно начат активный процесс перехода на отечественные решения. Раньше где-то была двойная нагрузка, когда российские продукты работали в тестовом режиме. Сейчас если взять, например, корпоративный сегмент, – сотрудник приходит на работу, ему уже выделяется рабочее место на отечественной операционной системе, с базовым набором отечественного программного обеспечения», – отметил он.

Руководитель дирекции информационной безопасности «Почты России» Роман Шапиро подтвердил, что выполнить требования указов Президента было гораздо проще тем организациям, которые заранее начали переход к импортозамещению, а также имеют собственные разработки в сфере автоматизации ключевых бизнес-функций. «Фактически всё программное обеспечение, которое мы используем для оказания услуг населению, – это собственная разработка компании, потому что это не тиражируемые продукты из-за уникальности нашей инфраструктуры. В плане информационной безопасности – «Почта России» всегда шла по пути использования сертифицированных продуктов, находящихся в реестре отечественного ПО», – указал он. Сегодня организация уделяет особое внимание управляемости своей огромной инфраструктуры и контролю за каждым ее элементом.

Управляющий директор – начальник управления развития технологий кибербезопасности Центра киберзащиты Сбера Дмитрий Рюпичев согласился с тем, что процесс адаптации бизнеса к требованиям 250-го и 166-го указов, доработки и оптимизации внедренных отечественных решений продолжается и будет идти еще долго. Он описал основные вызовы, которые компаниям пришлось преодолеть за последние три года, занимаясь импортозамещением: это высокая стоимость отечественных решений; фактическая монополия вендоров в некоторых сегментах; несоответствие реальных характеристик программных продуктов заявленным; высокий уровень потребления системами ресурсов (мощностей CPU, оперативной памяти, хранилищ); проблемы с гибкостью при встраивании решений в ИТ-ландшафт и интеграции.

«Меня тревожит вопрос ответственности. Мы должны исполнить указы 250 и 166. Но что нам делать, если игроки рынка дают нам решения, которые мы не можем внедрить? Мы готовы проводить тестовые внедрения, чтобы помочь вендорам развиваться. Но когда у нас есть критичные требования, которым это решение не соответствует ни по функциональным возможностям, ни по производительности, то кажется, что ответственность должна быть двусторонней. Хочется, чтобы разработчики понимали, что нужно соответствовать потребностям рынка. Конечно, у Сбера они, вероятно, завышены, но я думаю, эта проблема существует у всех», – пояснил спикер.

Стенд ГК InfoWatch на BIS Summit 2025
Фото: Андрей Блинов/ICT-Online.ru

Искусственный интелелект полезен, но не всегда безопасен

Существенная часть дискуссий BIS Summit 2025 касалась безопасности технологий искусственного интеллекта и перспектив создания доверенного ИИ. Еще во время первой пленарной сессии эксперты сошлись во мнении, что для решения этой задачи невозможно рассматривать ИИ как единое целое – ведь это большой стек разнообразных технологий.

Например, в здравоохранении очень эффективной оказалась технология машинного зрения, с помощью которой система анализирует результаты различных инструментальных исследований (рентгеновских снимков, изображений КТ и других) и может указать врачу на области, на которые стоит обратить внимание. Это позволяет, в том числе, выявлять ряд заболеваний на ранних стадиях. А вот генеративные модели здесь применимы в ограниченном количестве сценариев в связи с тем, что информационные системы медицинских организаций содержат большой объем чувствительных данных. Кроме того, на современном уровне развития ИИ нельзя доверять принятие врачебных решений – он может быть только помощником врача. 

Искусственный интеллект в промышленном производстве способствует повышению производительности предприятия, снижению брака, улучшению качества выпускаемой продукции, оптимизации логистики, а также обеспечению физической безопасности и соблюдению инструкций по охране труда.

По заявлению Виталия Лютикова (ФСТЭК), сегодня понятие доверенных технологий искусственного интеллекта и сценарии их применения уже прописаны в новой редакции Указа Президента РФ от 10.10.2019 №490 «О развитии искусственного интеллекта в Российской Федерации». Основным признаком доверенного ИИ является соответствие стандартам безопасности. Что касается сертификации искусственного интеллекта – такую задачу ведомство пока не ставит. В то же время ФСТЭК готовит проект стандарта безопасной разработки систем ИИ. «Этот документ станет дополнением к стандарту безопасной разработки программного обеспечения – в части тех уязвимостей и угроз, которые специфичны именно для данных технологий. До конца года мы представим экспертному сообществу первую версию для обсуждения», –  рассказал спикер.

Эдуард Шантаев (Минпромторг) порекомендовал предприятиям, которые собираются внедрять решения на базе ИИ, всегда проверять нейросеть и набор данных, на котором она была обучена, сканером уязвимостей.

Практическое применение ИИ для обеспечения информационной безопасности организаций стало темой отдельной тематической секции, в которой приняли участие представители компаний InfoWatch, «Информзащита», «Ланит-Терком», МГУ имени М.В. Ломоносова, ассоциации BISA.

Другие тематические секции конференции были посвящены облачным технологиям в ИБ, концептуальному подходу к безопасности в реалиях многообразия ИТ-решений и взаимодействию российских ИБ-ассоциаций.

Наталья Касперская рассказала о том, как поэтапное развитие российской отрасли ИБ отражалось на повестке BIS Summit: «BIS Summit – площадка для обсуждения конкретных мер и шагов, поскольку перед рынком и регуляторами стоят конкретные задачи, которые необходимо решать. В 2022 году мы обсуждали уход иностранных вендоров и преодоление той ситуации, в которой в связи с этим оказался бизнес, в 2023 году дискутировали о защите объектов критической инфраструктуры, в прошлом году – о готовности бизнеса к выполнению указов Президента. В этом году подвели первые итоги и обсудили, что нам дали новые регуляторные требования. На пленарных сессиях мы получили оценку регуляторов и бизнеса, это было полезно для всех участников диалога и рынка в целом».