Дарья Петрова, R-Vision: Когда не хватает людей и бюджета, стратегия важнее технологий

Российская ИБ-индустрия одновременно сталкивается с ростом угроз, дефицитом экспертов и давлением на бюджеты. Как в этих условиях расставлять приоритеты, во что инвестировать и где искать баланс между проактивной и реактивной защитой — взгляд R-Vision.

Какие вызовы стоят перед российской ИБ отраслью?

Д. П.: Таких вызовов много. Прежде всего, это дефицит экспертов. С ним сталкиваются все: вендоры, интеграторы, заказчики. Несмотря на изменившийся контекст рынка труда: кадров стало больше и мы перешли в фазу «рынка работодателя» — задачи легче не стали и о действительно квалифицированных кадрах заботятся, рынок еще не успел насытиться ими. 

Довольно серьёзной проблемой является импортозамещение. Многие отчитались, что заместили всё, но фактически зарубежные решения занимают приличную долю, или замена уже приобретена, но используются сразу оба решения. Часто российские и зарубежные продукты используются в одной инфраструктуре, что создаёт большие трудности в выстраивании защиты.

Отдельная история — системы на основе зарубежных платформ, которые работают вне изолированного контура. Тут, прежде всего, «тяжёлые» ERP на базе SAP, адекватную замену которым действительно найти непросто. Ещё один проблемный сегмент — средства промышленной автоматизации, находящиеся за «воздушным зазором», который легко преодолим при желании. Остаются каналы обслуживания, обновления, подключения подрядчиков или переноса данных, например, между разными системами. Поэтому рассчитывать на «воздушный зазор» как на полноценную защиту как минимум рискованно.  

Искусственный интеллект (ИИ), который активно используют злоумышленники, тоже является серьёзным вызовом. Причём атакующие применяют ИИ намного более активно, чем сторона защиты.

В последнее время возник довольно интересный побочный эффект: позиции ИТ и ИБ подразделений в таких условиях начали сближаться, хотя традиционно их отношения всегда были, деликатно выражаясь, непростыми. Но в сложных условиях нужно работать сообща и находить взаимно приемлемые способы снизить затраты в условиях сжатия бюджетов, которое происходит с осени 2025 года.

При этом сокращение бюджетов в ИБ всё же происходит реже, тогда как с ИТ-бюджетами ситуация намного сложнее.

Насколько ИБ-бюджеты синхронизируются с ИТ? Как влияют угрозы и регуляторика?

Д. П.: В ИБ, как и в ИТ, сворачиваются проекты, связанные с инвестициями. Реализуются лишь те проекты, которые нельзя не реализовывать, прежде всего в госсекторе. Также ИБ-подразделения, скажем так, не делают то, что можно не делать. Происходит приоритизация задач. На первый план выходят те проекты, которые связаны с закрытием наиболее критичных рисков, исполнением требований регуляторов, без которых работа бизнеса часто просто невозможна, а также обеспечением непрерывности бизнес-процессов. Закрытие менее критичных рисков, которое можно отложить без значительного ущерба, переносится на более поздние сроки.

Всё это — прямой результат высокой ключевой ставки, которая делает любые капиталоёмкие проекты невыгодными. И в целом экономика переживает кризис, поэтому объем возможностей отражается на всех сферах. Эти моменты обсуждались в ходе панельной дискуссии на нашей конференции R-EVOlution.

Иногда бюджет перераспределяется. Например, акцент смещается с покупок и внедрений на развитие команды или реализацию различных инициатив.

Но в целом процесс идёт параллельно. Влияет и то, что ИТ шире, чем ИБ, и там больше возможностей сэкономить, если стоит такая задача. Тем более, что ряд задач ИТ не связаны с вопросом существования бизнеса, как соблюдение критичных регуляторных требований или устранение приоритетных рисков, чреватых существенным ущербом.

Регуляторика несколько сдерживает возможные темпы снижения ИБ-бюджетов. На ИТ она тоже влияет, особенно если речь идёт о системах на объектах КИИ или обрабатывающих персональные данные. Здесь важны 2 момента. Во-первых, необходима интеграция с ГосСОПКА, а для этого нужно соответствовать определённому набору требований. Во-вторых, к КИИ применяются более жёсткие требования к проценту импортозамещенного ПО.

Также многие компании пытаются действовать проактивно, включая реализацию не только действующих, но и тех мер, которые только планируются. Это повышает стоимость продуктов у вендоров. Заказчикам тоже приходится вносить изменения в свои системы, чтобы соответствовать новым требованиям, что также влечёт дополнительные затраты, поскольку подразумевает внедрение дополнительных систем.

Но зато, с другой стороны, регуляторика становится всё более прикладной. Требования регуляторов также содержат рекомендации о том, что в первую очередь и как нужно защищать, какие процессы при этом необходимо выстраивать.

Что касается угроз, то они растут. И здесь нужно выбирать между проактивной защитой, направленной на то, чтобы злоумышленники не проникли через корпоративный периметр, и реактивной — мерами реагирования. При этом абсолютная защита недостижима, поэтому необходимо искать баланс между этими подходами.

Как компаниям правильно определить приоритеты в информационной безопасности и не распылять ресурсы?

Д. П.: Универсального списка систем или процессов нет — всё зависит от зрелости компании и функции ИБ. Но в любой ситуации, когда требуется делать больше меньшими ресурсами, сокращать бюджет и одновременно повышать эффективность,  сохраняя уровень защиты, мы приходим к одной логике:  не воспринимать текущую архитектуру как данность, а заново выстроить приоритеты.

Ключевая задача — не распылять усилия, а сосредоточиться на наиболее значимых рисках. Для этого проводится ранжирование угроз и определяется их актуальность для компании на текущий момент. На этой основе формируется подход к распределению инвестиций между проактивными и реактивными мерами с учётом их эффективности в случае инцидента.

Отдельное внимание следует уделять инструментам восстановления: во многих сценариях, например при атаках шифровальщиков, именно они оказываются наиболее практичной и результативной мерой.

Почему R-Vision делает ставку именно на решениях класса SIEM, VM, SOAR и SGRC? Какую роль каждое из этих направлений играет в вашей продуктовой стратегии в этом году?

Д. П.: Именно эти технологии помогают нашим заказчикам быстрее и эффективнее решать задачи в сфере ИБ, с которыми они к нам приходят. SIEM позволяет видеть всё, что происходит в инфраструктуре, в том числе проблемные места, свидетельствующие об аварийной ситуации или атаке. Это основа любого SOC. Её необходимо внедрять в первую очередь, если требуется построить зрелую ИБ.

На втором этапе нужно отслеживать уязвимости, эксплуатация которых может приводить к возникновению инцидентов. Это двухуровневая задача. Необходим сканер, который выявляет такие проблемы, и система, которая управляет процессом их приоритизации и последующего устранения. Сканер уязвимостей должен обеспечить и качественный детект, и иметь поддерживаемую базу, с которой удобно работать.  Мы предлагаем и то, и другое. Только так можно выстроить систему, в которой соответствующие риски будут своевременно, а в идеальном случае проактивно устраняться.

Далее необходимо повышать скорость реагирования. Учитывая дефицит и высокую нагрузку на сотрудников SOC, их работу нужно максимально автоматизировать и повышать её эффективность.

Решать эти задачи помогают системы SOAR. Мы уже 15 лет развиваем экспертизу в области оркестрации средств защиты и автоматизации реагирования на инциденты. R-Vision была одной из компаний, стоявших у истоков формирования направления SOAR в России.

Вместе с заказчиками мы вырабатывали практики применения SOAR-решений и подходы к построению автоматизированных процессов в SOC. Сегодня мы продолжаем развивать уже реализованные внедрения и усиливать их с учётом новых задач бизнеса и ИБ. При этом накопленная экспертиза позволяет нам быть опорой и для компаний, которые только начинают путь к автоматизации реагирования и постепенно переходят к более зрелой модели информационной безопасности.

Системы SGRC помогают проводить аудит и оценку соответствия регуляторным требованиям. Они позволяют не просто снизить юридические риски, но и комплексно оценить состояние ИБ в компании, понять, на что необходимо обратить внимание прямо сейчас, выявить возможные недоработки и определить пути их устранения.

Также системы позволяют выстраивать стратегии развития ИБ в компании с учётом возможных слабых мест и инвестировать в их устранение. Эти проблемы могут быть связаны не только с отсутствием технических средств, но и с недостатками в работе команды или управленческих процессов. По сути, SGRC помогает сфокусироваться на том, что именно нужно защитить и куда направить усилия и инвестиции.

На R-EVOlution Conference вы сказали, что применение платформенного подхода позволяет снизить затраты и сроки проектов. За счёт чего это достигается?

Д. П.: Платформенный подход снижает затраты и сроки проекта за счёт того, что ключевые компоненты уже типизированы, работают в единой архитектуре и изначально рассчитаны на взаимодействие друг с другом. Заказчику не нужно собирать решение из отдельных продуктов, отдельно интегрировать каждый элемент и поддерживать для него собственную инфраструктуру. Это ускоряет внедрение, упрощает администрирование и делает дальнейшее развитие системы менее трудозатратным.

Также платформы лучше поддерживают реальные сценарии работы. На практике это особенно важно для ИБ-систем, которые часто используются шире своего первоначального назначения. Так, системы SOAR могут частично закрывать функции Service Desk в части управления заявками, а также визуализации или обогащения данных. Если реализовывать эти функции через отдельные доработки или интеграцию с внешними продуктами, архитектура становится сложнее и дороже. Платформенный подход позволяет реализовать все эти функции с помощью штатных средств.

Ещё один важный фактор — экспертиза вендора, уже заложенная в платформу. Речь не о конструкторе по принципу «сделай сам», а о наборе готовых практик, типовых сценариев и логики, которые основаны на реальных внедрениях. Это сокращает путь до рабочей конфигурации и снижает нагрузку на проектную команду заказчика. При этом экспертиза не ограничивает гибкость решения: его можно адаптировать под внутренние процессы, зрелость ИБ и регуляторные требования конкретной организации.

Мы развиваем этот подход уже давно, но особенно актуален он стал в последние годы. Сегодня у заказчиков всё чаще появляются задачи на стыке ИБ, ИТ, цифровизации и автоматизации бизнес-процессов. Им нужно не просто мониторить события или реагировать на инциденты, а выстраивать сквозные процессы: связывать данные из разных систем, автоматизировать рутинные действия, управлять заявками, контролировать исполнение и получать единую картину происходящего. Такие сценарии сложно эффективно закрывать разрозненными инструментами, поэтому платформенный подход становится более востребованным.

Без использования платформенного подхода решение собирается из разных компонентов. Для работы каждого из них нужна инфраструктура и специалисты, которые их обслуживают. В идеале для каждого необходим отдельный сервер, как минимум виртуальный.

Отдельная проблема — кадры. Если какой-то из таких компонентов обслуживает 1 человек в компании, то в случае его ухода, болезни или отпуска возникают риски. Кроме того, у каждого элемента разнородный интерфейс и особенности интеграции с другими. Часто связывать их приходилось с помощью разнообразных «костылей», которые могли перестать корректно работать при обновлении этих компонентов.

При платформенном подходе все компоненты стандартизированы, их интеграция проста, у них единый интерфейс. Для запуска нужен 1 сервер, а не отдельный для каждого элемента. Соответственно, внедрение происходит быстрее. За счёт типизации у всех компонентов единый подход к администрированию и обслуживанию. Используется единая база данных с управляемой ролевой моделью доступа.

И, что, пожалуй, самое главное, за счёт единого интерфейса реагирование становится быстрее. Алерты более заметны, меньше шума, меньше передачи данных из одной системы в другую, меньше человеческих ошибок. Время выявления и реагирования критично и напрямую влияет на состояние безопасности в компании.

Вы отдельно говорили о тотальной открытости как об одном из принципов работы компании. Почему этот подход сейчас настолько важен? Насколько заказчики действительно чувствительны к риску зависимости от одного вендора?

Д. П.: Вопрос зависимости от вендора крайне важен для заказчиков. Особенно в периоды, когда на рынке появляются примеры ухода отдельных игроков. Мы видим этот параметр среди критериев сравнения решений, а также в стратегиях развития ИТ- и ИБ-инфраструктуры у заказчиков.

В целом проблему зависимости от вендора можно считать одним из вызовов для российского ИБ-рынка. Некоторые вендоры, разрабатывая комплементарные друг другу классы решений, действительно ставят условие использовать только их продукты.

Однако это идёт вразрез с существующей практикой. B2B-сегмент во многом уникален, и одинаковых процессов здесь не бывает. Поэтому заказчику важно сохранять управляемость и полный контроль над своими инструментами, а также иметь возможность использовать 2 и более систем одного назначения в инфраструктуре одной компании.

Кроме того, для интеграции решений, не имеющих подготовленных для этого инструментов, часто используются так называемые «инженерные прослойки». Они слабо наблюдаемы и создают серьёзные риски для защищённости инфраструктуры.

Мы изначально выбрали путь отказа от концепции привязки к вендору. Потому что выступаем за открытость и честную конкурентную борьбу, в которой побеждать должен лучший.

Дарья, благодарю за интересную беседу! Было очень познавательно!