Рынок аудита информационной безопасности в России

Рынок аудита информационной безопасности в России

Данная статья носит обзорный характер. В ней освещаются вопросы, связанные с состоянием рынка аудита информационной безопасности России, а также обзором представленных компаний, в сферу деятельности которых входит проведение аудита в соответствии с требованием стандартов PCI DSS, PA DSS и.т.д.

 

 

 

1. Введение

2. Аудит защищенности (тесты на проникновение)

3. Аудит сответствия требованиям PCI DSS

4. Аудит сответствия требованиям PA-DSS

5. Аудит сответствия требованиям СТО БР ИБС

 

Введение

В рамках настоящего раздела не рассматриваются аудиты на соответствие требованиям по защите персональных данных. Также не рассматривается рынок аудита на соответствие ISO 27xxx, так как зарождающийся рынок умер в 2008 году и сейчас за год проходит всего несколько таких проектов.

Весь остальной рынок аудита можно условно разделить на 4 части:

  • аудит защищенности (тесты на проникновение);
  • PCI DSS;
  • PA-DSS;
  • СТО БР ИББС.

Итак, прежде всего, в РФ (и в целом в СНГ) не существует и никогда не существовал рынок аудита ИБ как услуги, которая массово интересна заказчикам и подрядчикам.

В последние 10 лет для 99% подрядчиков в РФ этап аудита защищенности ИС представляет собой не более чем первый промежуточный этап процесса выхода на интеграцию, на которой, собственно, до сих пор и зарабатываются основные деньги в СНГ. Впрочем, если раньше заказчики стремились выделять аудит в отдельный предварительный этап, то сейчас они сразу выбирают интегратора. Поэтому в отличие от Запада, где рынок аудита (как отдельной специализированной услуги) давно сформирован, активно развивается и ключевые позиции на нем занимают узкоспециализированные компании-консультанты, в РФ его практически нет.

Исторически так сложилось, что интеграторы в свое время «каннибализировали» его и в итоге практически полностью уничтожили. Что же от него осталось?

Только банковский сектор, да и то с большими оговорками. Плюс толком еще не сформированный рынок аудита бизнес-приложений и АСУ ТП.

На рынке аудита есть только два исключения – компании, не являющиеся интеграторами, которые специализируются на технических аспектах защищенности. Это Positive Technologies и Digital Security. Компания Positive Technologies всегда являлась и сейчас является классическим горизонтальным вендором (продукт анализирует всевозможные компоненты любых ИС) и только в последнее время стала заниматься консалтинговыми услугами в этой области, в основном для пресейла или поддержки своего продукта. Обороты продаж продукта Positive Technologies и услуг по аудиту несопоставимы, однако этот факт скорее просто указывает на общий вектор, приоритетный для компании.

Компания Digital Security является консультантом, хотя также несколько лет назад создала дочернюю компанию ERPScan – вертикального вендора (разработчика специализированного продукта по анализу и мониторингу защищенности SAP). Обе эти компании сейчас обращают внимание на зарождающийся сегмент аудита анализа защищенности АСУ ТП, развивая компетентность в этой области. Хотя, как показывает прошлый опыт, это не имеет большого практического смысла с точки зрения бизнеса, так как в итоге этот рынок полностью займут интеграторы и история с обычными аудитами ИС в точности повторится и для аудитов АСУ ТП. Однако разработки в области обеспечения безопасности АСУ ТП со стороны технически развитых российских компаний – тенденция положительная, так как итогом работы станут практические наработки по оценке реального уровня защищенности АСУ ТП.

Итак, в РФ нет чистых компаний-аудиторов («большую четверку» мы сразу выносим за скобки – они решают совершенно другие задачи). А те, кто близок к ним, – или вендоры, или «полувендоры». Потому что бизнес-перспектив для чистой компании-аудитора в РФ нет. Все остальные игроки рынка – это все имеющиеся на рынке интеграторы.

 

Аудит защищенности (тесты на проникновение)

Рынок тестов на проникновение (аудит защищенности) в последнее время развивается в основном за счет банковского сектора. Здесь востребованы следующие услуги:

  • тесты на проникновение, обязательные для соответствия PCI DSS;
  • аудит ДБО. Тесты на проникновение, обязательные для соответствия PCI DSS, не представляют собой полномасштабную проверку систем.

Рыночная цена такого теста невысока, в результате этот этап является сугубо формальным на пути к PCI compliance. Пентесты по PCI DSS в РФ обычно выполняют сами QSA- компании в общем комплексе услуг по PCI. Почти никто из них не является экспертом в этой области, поэтому качество такой услуги невелико. Но в любом случае наличие необходимости в такой услуге оказывает позитивное влияние на этот рынок.

Аудит ДБО. В настоящий момент сложилась тяжелейшая ситуация с уязвимостями в системах ДБО, которые одновременно являются желанной целью для злоумышленников и представляют жалкую картину с точки зрения безопасности. Банки постепенно начали осознавать необходимость квалифицированного аудитора (хакера), который будет регулярно проверять их системы ДБО. Банки стали понимать, что, находясь один на один со своим разработчиком ДБО, они не в состоянии решить проблемы безопасности. Хотя надо отметить, что российские системы ДБО ничем не хуже любых западных аналогов. Просто они на виду – на первой линии криминального огня.

Ситуация по результатам исследований и аудитов ДБО близка к катастрофической. Применяемые российскими банками системы ДБО чрезвычайно уязвимы. Основные причины:

  • нежелание и неумение разработчиков системно подходить к процессу безопасной разработки (это долго и дорого);
  • нулевая ответственность разработчика перед банком за уязвимости;
  • невозможность для банка самому найти уязвимости без приглашения эксперта;
  • нежелание и неспособность разработчика вносить изменения во все кастомизированные сборки всех заказчиков и т.п.

Весь этот рынок сохраняет статус-кво только за счет того, что злоумышленники пока стараются атаковать клиентов: это проще и практичнее. Но совсем скоро они узнают, что серверы ДБО представляют собой легкую и очень лакомую добычу, и рынок взорвется. Однако стоит еще раз повторить, что сами разработчики ДБО с точки зрения ИБ не лучше и не хуже своих западных коллег. А что кроме банковского сектора? Практически ничего. Есть еще аудит бизнес-приложений, веб-приложений, АСУ ТП и т.д., но обороты здесь пока несущественны, а вход крайне сложен из-за необходимости иметь очень серьезную квалификацию. Оба этих фактора приводят к тому, что каждый работает или пытается работать со своими постоянными клиентами, но рынка при этом нет. Да и в банковский сектор новым компаниям проникнуть со стороны практически невозможно: чужие здесь не ходят. И нет смысла проникать: по сравнению с общим годовым оборотом сумма, о которой идет речь на этом рынке, настолько неинтересна для массы наших интеграторов, что они не пытаются играть существенную роль на рынке аудитов ДБО. Ведь на интеграцию через эту услугу не выйдешь, а профессиональный опыт требуется очень серьезный.

Выводы

Основной драйвер рынка – страх перед злоумышленниками. Основные игроки рынка – Digital Security и Positive Technologies.

 

Аудит сответствия требованиям PCI DSS

Рынок аудита PCI DSS крайне специфичен. Этот рынок имеет одну простую закономерность: кто первый пришел, тот и победил.

Все компании в СНГ, обладающие статусом PCI QSA и играющие сколь-либо существенную роль на этом рынке, являются интеграторами. Исключение одно – Digital Security. Аналогия с аудитами защищенности ИС здесь полная – банки (а именно они были и являются главными потребителями данной услуги) заинтересованы в проектах «под ключ», когда аудитор и интегратор – это одна компания. На Западе это не так, а в СНГ именно так.

Поэтому банковский сектор поделен между компанией «Информзащита», которая сильно опережает конкурентов, и компанией «Инфосистемы Джет», за ними (возможно, с небольшим отрывом) идут все остальные. Причем сам аудит на соответствие PCI DSS как услуга интеграторов не интересует. Им интересна именно интеграция. Второй класс заказчиков по PCI DSS – это небольшие процессинги и платежные шлюзы. Они неинтересны интеграторам, так как таким заказчикам нужны только консалтинг и аудит, а на интеграции здесь ничего не заработаешь. Здесь лидируют Digital Security и «Информзащита». Остальные QSA- компании проигрывают с большим отрывом.

Итак, по общему числу проектов в год абсолютный лидер – «Информзащита», второе место ориентировочно делят «Инфосистемы Джет» и Digital Security, далее еще ряд старых QSA, а остальные новые QSA-компании (2011 года «изготовления») идут с большим отставанием.

Российские компании, которые получили статус в 2011 году (это был последний всплеск интереса к получению статуса QSA), за эти два года выполнили примерно 1–2 проекта и получили полностью убыточное направление бизнеса. Дело в том, что к концу 2010 года рынок был полностью сформирован, поделен, предельно конкурентен и начал впадать в фазу стагнации.

Этот рынок принадлежит компаниям, получившим статус в 2007–2008 годах, и перспектив для успешного выхода на него у новых игроков нет. Все банки давно поделены между интеграторами, первыми получившими статус, и новых банков на рынке не появляется. Новых небольших процессингов и платежных шлюзов, которые нуждаются в сертификации, сейчас крайне мало, и они или по недоразумению попадают к одному из многочисленных QSA-интеграторов (коих сейчас около 10), или к Digital Security, которая объективно наиболее привлекательна для этого класса заказчиков по целому ряду причин – начиная от того, что DSec не является интегратором, и заканчивая активной пропагандой PCI DSS (организованный в 2009 году и на сегодня единственный по теме PCI DSS в СНГ информационный портал PCIDSS.RU, опять же единственная на сегодня в СНГ ежегодная конференция PCI DSS Russia). Кстати, полное отсутствие какой-либо рекламы или пропаганды PCI DSS со стороны других QSA после 2010 года также подтверждает факт стагнации этого рынка – все основные события на нем отгремели как раз до 2010–2011 годов, когда раздел рынка был окончательно завершен. Например, «Информзащита» прекратила поддерживать свой портал по PCI DSS как раз в начале 2011 года.

Также важно отметить, что привязка заказчика к аудитору крайне сильна и случаи перехода к другому аудитору очень редки, поэтому новым игрокам закрепиться на этом рынке практически невозможно. Кроме того, сам рынок услуг по PCI DSS весьма невелик (если исключить из него интеграцию) и делится более чем на дюжину действующих в РФ QSA-аудиторов (включая ряд зарубежных компаний). Так что рынок для новых игроков закрыт.

Выводы

Основной драйвер рынка – требования Visa и MasterCard.

Основные игроки рынка (по числу проектов) – «Информзащита» (с традиционно большим отрывом), «Инфосистемы Джет», Digital Security.

 

Аудит сответствия требованиям PA-DSS

Говоря про «рынок» PA-DSS, надо сразу честно признать, что в РФ этого рынка нет и не предвидится. Под рынком автор понимает серьезно более чем то, что мы имеем на сегодняшний день: 2-4 проходящих в год одноразовых проектов по PA-DSS средней стоимостью около 500 тыс. рублей каждый, которые расходятся между 3 российскими и 3 западными аудиторами, активно действующими на российском рынке. Дело в том, что нет жесткого контроля со стороны Международных платежных систем (Visa и MasterCard). Дедлайн прошел полгода назад, однако МПС не требуют от банков-эквайеров применения карательных мер к разработчикам, потому что крупные разработчики ПО для процессингов уже давно сертифицированы, а мелкие разработчики разнообразного софта, попадающего под PA-DSS, имеют массу возможностей уйти от сертификации, для них процедура крайне затратна, сложна и избыточна. Поэтому рынка нет – есть только единичные проекты.

Кроме того, не следует переоценивать значимость аудита на соответствие PA-DSS с точки зрения безопасности.

Вывод

Перспектив появления рынка в РФ нет.

 

Аудит сответствия требованиям СТО БР ИБС

Тема рынка аудита на соответствие требованиям СТО БР ИББС имеет очень давнюю историю, уходящую корнями в далекий 2004 год – год рождения СТО БР ИББС. С тех пор продолжаются постоянные попытки создать рынок в этой области. И при всем, безусловно, положительном влиянии, которое оказал стандарт на всю банковскую сферу РФ, за что перед его создателями нам всем надо снять шляпу, в том числе и за их поистине титанические усилия по продвижению этого стандарта в широкие банковские массы, создать именно рынок услуг в этой области никому так и не удалось за 8 лет с момента его появления.

Стандарт, который так и не стал обязательным, очень четко показал, что на добровольной основе в РФ крайне сложно сформировать какой-либо рынок аудита. Нет никакого сомнения, что аналогичная судьба ожидала бы в РФ и PCI DSS, который без давления МПС не нашел бы своего применения. Именно это случилось и с ISO 27001, который так и не стал популярным в РФ и рынок по которому так и не сформировался. В случае же СТО БР ИББС ситуация несколько иная. Сам стандарт популярен и в итоге длительной работы ЦБ РФ и АБИСС добровольно принят многими банками в качестве внутреннего стандарта. Однако есть одно важное «но»: единицы банков пользуются услугами внешних аудиторов, аккредитованных АБИСС. Честно говоря, вообще плохо понятна позиция интеграторов, которые бегом бежали становиться аудиторами по этому стандарту. Он достаточно высокоуровневый (в отличие от того же PCI DSS), и выйти через него на столь интересную им интеграцию не такая и тривиальная задача. Общий вывод: пока рынка нет, и без жесткой позиции ЦБ РФ в отношении обязательных независимых аудитов вряд ли он появится. Отметим, что аудит по стандарту – это не консалтинг, не интеграция и не разработка ОРД. В основном под видом аудита интеграторами осуществляется консалтинг, содержащий элементы аудита, «чистых аудитов» по СТО БР ИББС очень немного. Рынком аудита можно назвать ежегодное прохождение многих десятков или даже нескольких сотен внешних аудитов. А по недавно опубликованным данным ЦБ за все эти годы заявили о проведении внешнего аудита порядка 30 банков (правда, по факту их явно несколько больше – не все сообщили ЦБ о внешнем аудите). Причем во многих из этих банков аудит был просто одним из этапов комплексных проектов по интеграции. И это за более чем 5 лет при наличии более чем 30 организаций аудиторов. Рынком, с точки зрения автора, это назвать сложно. Возможно, что-то поменяется с учетом принятого закона об НПС, но это покажет лишь время (и ЦБ РФ). Ситуация также могла бы измениться из-за появления 382-П, однако и здесь недавно озвучена позиция регулятора: внешний независимый аудит не является обязательным.

Вывод

На текущий момент рынка нет.

 

Теперь давайте подведем итог «успехам» и «перспективам» рынка аудита ИБ в РФ.

Итого, что мы имеем? Зачатки рынка аудита, оцениваемые в 1% от общего рынка ИБ, из которых добрая треть, если не половина, относится к обязательному PCI DSS. Речь идет именно о рынке, а не о кулуарно получаемых контрактах на аудит ИБ по своим аккаунтам, хотя и здесь, вероятнее всего, общая сумма в год немногим превысит упомянутые сотые доли процента. В связи с этим говорить о каком-то целенаправленном интересе серьезного бизнеса и зарождении рынка услуг в области аудита ИБ в РФ в ближайшее время не представляется возможным. По этой же причине в РФ нет и серьезных исследований в области ИБ, за исключением, например:

  • Digital Security с 2007 года (ДБО, Oracle, SAP, АСУ ТП, мобильные приложения);
  • Elcomsoft примерно с 1999 года (защита ПО и данных);
  • «Лаборатория Касперского» и Eset (вирусная тематика);
  • Positive Technologies с 2012 года (Web, АСУ ТП).

Выступлений российских специалистов на ведущих западных хакерских конференциях тоже почти нет (исключения – Digital Security, «Лаборатория Касперского», Eset, Elcomsoft и Positive Technologies): бизнесу это просто не нужно. Правда, наметился один позитивный сдвиг – получив за прошедшие два года опыт выступлений на ZeroNights и PHDays, российские независимые исследователи буквально ринулись выступать на западных конференциях – этой весной в Европе на HITB и BlackHat буквально яблоку будет негде упасть от российских белых шляп – хакеров-исследователей. Однако все это пока, к сожалению, никак не влияет на бизнес.

Должно смениться целое поколение руководителей ИБ, и, когда на смену придет новое поколение менеджеров, вышедших из технарей, воспитанных на ZeroNights и PHDays, ситуация, может быть, и начнет меняться в лучшую сторону. Тогда регулярный аудит защищенности станет, как и на Западе, нормой, а не ненужным промежуточным этапом перед интеграцией. Тогда на рынке появятся специализированные российские компании, основным бизнесом которых станет качественное предоставление услуг в этой области, а не продажа продуктов и в довесок, для пресейла продукта, услуг. Тогда же появятся исследования и выступления российских специалистов различных компаний на ведущих западных конференциях. Все это взаимосвязано. Но это будет еще очень не скоро…

В РФ на сегодняшний день не созданы условия для формирования специализированных консалтинговых компаний – технических аудиторов по ИБ. Слишком высокие требуются технические компетенции, и слишком мал рынок. Эти два фактора в совокупности не оставляют шансов для изменения ситуации в перспективе ближайших нескольких лет.

С другой стороны, дорогу осилит идущий. Компании – технологические лидеры на этом рынке обязаны его развивать, обязаны брать на себя инициативу и заниматься миссионерством. Развивать технические компетенции, вести глубокие исследования и презентовать их на Западе, создавать и развивать сложные технологические продукты и услуги и вести их на Запад, перенимать западный опыт и приносить все это в РФ. Предлагать своим заказчикам в РФ передовые разработки и услуги, популяризировать технические аспекты ИБ, проводить технические конференции и развивать техническое комьюнити профессионалов – это миссия лидеров, которые обязаны видеть будущее и тем самым двигать индустрию за собой.

 

Исследование: Рынок информационной безопасности Российской Федерации + Обзор рынка информационной безопасности Украины. 2013 г. Евгений Царев. Глава 4.

Авторы:
Евгений Царев

 

Данная статья является авторским материалом и публикуется по принципу «как есть»,  без купюр и изменений. Редакция Anti-Malware.ru не несет ответственности за содержание статьи.

Cтатья является частью глобального исследования "Рынок информационной безопасности Российской Федерации + Обзор рынка информационной безопасности Украины. 2013 г."

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru