Российские ИБ-поставщики вкладываются в экосистемы, чаще используют инновации и более активно сотрудничают с государством. Расскажем об этих и других ключевых трендах на российском рынке ИБ.
- Введение
- Тренд № 1. Импортозамещение растёт, но не везде
- Тренд № 2. Развитие экосистемного подхода
- Тренд № 3. Инновации требуют инноваций
- Тренд № 4. Дефицит кадров на рынке
- Тренд № 5. Сотрудничество с регулятором
- Выводы
Введение
Ежедневно на российские компании и государственные организации совершают в среднем до 170 кибератак. Если раньше у хактивистов преобладали финансовые мотивы, то в 2022 году Россия столкнулась с ростом количества политически мотивированных действий. Этот снежный ком только нарастает: например, в январе — сентябре 2023 года число «политических» инцидентов выросло на 140 % по сравнению с тем же периодом 2022 года. Финансово мотивированные атаки в динамике показали прирост более чем на 70 % по сравнению с прошлым годом.
В зоне риска — компании среднего и крупного бизнеса и госсектор, который сталкивается с определёнными сложностями при защите ИБ-инфраструктуры. Чаще всего от хакеров страдают ретейлеры, маркетплейсы, банки и страховые компании, телеком-операторы, сервисы доставки, т. е. все бизнесы, которые работают с большими объёмами пользовательской информации. Так, с начала 2023 года в Сети появились суммарно более 400 миллионов строк персональных данных. Помимо ущерба для репутации и потенциальных санкций с стороны регуляторов атакованные компании сталкиваются со значительными убытками. Успешная кибератака на сайт крупного маркетплейса приносит ущерб до сотен миллионов рублей. В половине случаев последствием атак становится утечка конфиденциальной информации.
Кроме того, растёт количество атак направленных на промышленные компании и государственные организации. По данным отраслевых исследований, более 25 % киберпреступлений в мире были совершены в отношении промышленных предприятий. В 37 % случаев хакеры пытаются обойти средства защиты. Для этого они используют вредоносные программы, взлом учётных записей или ошибки сотрудников, которые нарушают политики безопасности. Злоумышленники пытаются вмешаться в технологические процессы и вывести из строя оборудование. На фоне прямых экономических потерь, которые исчисляются десятками и сотнями миллионов рублей, важное значение приобретают риски для цепочек поставок различных ресурсов, жизненно важных для экономики и устойчивости социального сектора.
Под угрозой могут оказаться цепочки поставок электроэнергии, продовольствия или лекарственных препаратов, экологическая безопасность предприятий. При этом, в отличие от прошлых лет, в большинстве (71 %) случаев хакеры используют недостатки в ИБ-периметрах организаций. Также растёт доля кибератак через подрядчиков и субподрядчиков: если в 2022 году их было около 20 %, то к середине 2023 года — до 30 %.
Все эти факторы формируют на российском рынке информационной безопасности уникальную ситуацию: ускоренное импортозамещение и поиск инноваций, экосистемный подход для экономии ресурсов. Определённые ограничения на развитие этих направлений накладывают дефицит кадров и разрыв между практиками «бумажной кибербезопасности» и реальными вызовами внешней среды.
Тренд № 1. Импортозамещение растёт, но не везде
Ситуация на рынке подстегнула российских ИБ-вендоров: бюджеты крупных заказчиков перераспределяются в пользу отечественных поставщиков, которые могут направлять прибыль на развитие продуктовых линеек. Однако нужно понимать: в ИБ-сегменте российские решения и до прошлого года были весьма популярны. Некоторые классы — антивирусы, DLP-системы — уже вполне зрелы и конкурентоспособны даже на мировой арене. В 2021 году отечественные продукты занимали, по нашим данным, 61 % российского рынка, а в 2022 году показатель вырос до 70 %.
К 2027 году, по прогнозам Центра стратегических разработок, на долю российских вендоров придётся до 95 % рынка — тем более что к 2025 году все объекты критической информационной инфраструктуры (КИИ) обязаны перейти на российские альтернативы западным ИБ-продуктам.
Но есть и классы решений, где отечественные поставщики пока отстают от западного рынка: SIEM (класс ПО для анализа информации и раннего обнаружения инцидентов), NGFW (межсетевые экраны нового поколения), Network Security (сегмент средств защиты сетей), а также системы управления уязвимостями. Это те продукты, которые нужны здесь и сейчас. Но импортозаместить их не так просто.
Например, в сегменте NGFW имеющиеся разработки отечественных производителей пока не равнозначны западным и первые места по популярности занимают три иностранных продукта. Межсетевой экран нового поколения — технологически сложное решение с высокими требованиями по надёжности, отказоустойчивости и готовности к промышленным нагрузкам. Глобальные компании разрабатывали такие системы десятилетиями — а у российских поставщиков есть два-три года, чтобы преодолеть этот разрыв.
Поэтому есть смысл не просто копировать путь и функциональность западных вендоров, а разрабатывать кардинально новые технологии, сосредоточиться на стратегическом развитии рынка вместо создания локальных «заплаток».
Тренд № 2. Развитие экосистемного подхода
Фактически российские вендоры работают сейчас в «боевых» условиях: с одной стороны, есть сформированный запрос на аналоги иностранных решений и они нужны «здесь и сейчас», с другой — важно не просто выпустить собственный продукт, а испытать его на серии проектов, собрать обратную связь от заказчиков, которые привыкли к решениям высокого класса. Западные вендоры уже прошли путь от прототипов (MVP) к зрелым продуктам, российские коллеги во многом находятся только в начале этого пути. И здесь крайне важна роль интеграторов, которые могут стать центром отраслевой экспертизы для вендоров за счёт более глубокого погружения в практические задачи на стороне заказчиков, постоянного сбора обратной связи, необходимой для доработки продуктов и развития перспективных решений для рынка.
В то же время заказчики, столкнувшиеся с резким ростом числа и сложности киберугроз, задумались о комплексной защите ИТ-инфраструктуры. Поставщики заметили рост спроса на продуктовые стеки и начали двигаться от набора отдельных решений к созданию ИБ-экосистем. По этой схеме стали развиваться многие игроки отечественного рынка, в том числе Kaspersky, Positive Technologies и другие.
Экосистемный подход предполагает, что несколько ИБ-решений разных классов выполняют свои задачи в единой инфраструктуре, где обеспечиваются обмен данными между ними, централизованный мониторинг и / или управление. Заказчикам не нужно настраивать дополнительные интеграции, беспокоиться о совместимости решений или о том, что какие-то компоненты ИТ-инфраструктуры не защищены или защищены слабее других. Все элементы экосистем обычно настроены таким образом, чтобы клиент мог быстро и просто управлять безопасностью на всех уровнях ИТ.
Более того, экосистема отличается от простого набора продуктов тем, что за счёт глубокой интеграции продуктов возникает синергетический эффект и появляются дополнительные возможности по обнаружению, детектированию и расследованию инцидентов. Сейчас мы видим два основных направления для экосистемного развития рынка. Первое — защита бизнес-приложений. Это пользовательские экосистемы. Второе направление — инфраструктурные экосистемы, предназначенные для ИБ-специалистов.
Тренд № 3. Инновации требуют инноваций
Хакеры не стоят на месте, они постоянно тестируют новейшие технологии для более эффективного проникновения в ИТ-инфраструктуры компаний и автоматизации большего объёма своей работы. Классические инструменты безопасности не всегда могут с ними справиться, поэтому ИБ-рынок постепенно движется в сторону предиктивной аналитики, выявления аномалий, управления площадью атаки.
Технологии машинного обучения уже успешно используются в таких продуктах и областях, как IPS / IDS (системы обнаружения и предотвращения вторжений), WAF (файрволы веб-приложений), SIEM, антивирусы, антифишинг, поведенческий анализ пользователей и сущностей (UEBA), анализ сетевого трафика (NTA). Генеративный ИИ способен более точно определять нетиповые действия пользователей, обучаться на эталонных данных, писать правила и политики для систем ИБ, проводить анализ угроз и ИТ-инфраструктуры, автоматизировать пентесты и проверки соответствия, решать множество других задач в области безопасности.
Более широкому распространению интеллектуальных инструментов в ИБ способствует и дефицит кадров. Инструменты на базе ИИ способны поддержать компании там, где не хватает рабочих рук. Например, они могут реагировать на киберинциденты в автономном режиме или отслеживать источники атак.
Тренд № 4. Дефицит кадров на рынке
Разговор о дефиците кадров на российском рынке ИБ идёт давно. В стране заметен настоящий кадровый голод: не хватает десятков тысяч специалистов. Ситуация усугубляется прошлогодним указом № 250, который подразумевает наличие в государственных организациях и на системообразующих предприятиях заместителя генерального директора, ответственного за кибербезопасность, и отдельной службы ИБ.
Впрочем, здесь требуется уточнение: современный кадровый кризис правильнее назвать дефицитом не столько людей, сколько экспертизы. ИБ-специалисты обладают редкими, уникальными и сложными знаниями. В особенности это касается таких направлений, как анализ защищённости инфраструктуры, пентесты, предотвращение и расследование киберинцидентов — в этих сегментах идёт постоянная гонка на скорость с хакерами. ИБ-специалистам нужно быть быстрее и умнее. Экспертов такого уровня мало, поэтому каждая компания, естественно, хочет привлечь их к себе. Конкуренция обостряется, в неё включаются уже не только ИБ-компании, но и системные интеграторы, заказчики.
Чтобы вернуть ситуацию в нормальное русло, необходимо объединять усилия государства и бизнеса в сфере подготовки кадров. Даже для младших (junior) позиций необходимы хотя бы минимальные опыт и квалификация, которыми не всегда располагают выпускники вузов. Например, Angara Security, как и другие игроки рынка, инвестирует в образовательные проекты с несколькими российскими вузами: авторские курсы, программа стажировок для студентов и выпускников, проекты из серии «Популярно о кибербезопасности».
Тренд № 5. Сотрудничество с регулятором
Регуляторы рынка делают многое для того, чтобы сформировать понятные и прозрачные условия на рынке информационной безопасности. Безусловно, 250-й указ, 152-ФЗ, 187-ФЗ, недавнее расширение полномочий ФСТЭК России в части управления критической информационной инфраструктурой — это необходимые меры. Но важно в этом процессе не уйти исключительно в «бумажную кибербезопасность», с чем, например, мы сталкиваемся по итогам аудита многих российских компаний, даже в секторе КИИ.
Решением может стать платформа для сотрудничества регуляторов рынка, крупных вендоров и интеграторов. Эта синергия усилий позволит преодолеть «голод» экспертизы, разрыв между подходами к кибербезопасности, которые зафиксированы в нормативных правовых актах, и реальными вызовами.
Основными направлениями такого сотрудничества могут стать координация действий ИБ-отрасли по отражению киберугроз, системный обмен отраслевыми форматами, стандартами предупреждения, реагирования и ликвидации последствий атак. Не менее важным остаётся развитие правоприменительной практики, чтобы ускорить реагирование на ИБ-инциденты со стороны исполнительной власти, регуляторов и бизнеса.
Выводы
Есть отличная фраза Уоррена Баффета: «Отлив покажет, кто купался без трусов». Она применима и к инвестициям, и к рынку информационной безопасности. Сейчас мы находимся в поиске решений и ресурсов, вариантов импортозамещения, анализируем пути развития и ставим «патчи» на самые уязвимые процессы.
В этом бурлящем потоке крайне важна синергия между актуальными требованиями заказчиков и развитием продуктов вендорами, особенно с точки зрения прогресса российских решений. Уже через пару лет копий иностранных аналогов или однотипных продуктов будет недостаточно. Поэтому необходимы новые, прорывные технологии в рамках долгосрочной стратегии для ИБ-рынка, и мы уже сейчас видим начало движения вендоров по своим, иным направлениям развития вместо повального копирования западных решений.
Необходима также синергия регуляторов и ИБ-бизнеса, которая может стать основой для формирования стандартов ИБ-рынка, бенчмарков экспертизы в сфере новых направлений кибербезопасности, например пентестов, вознаграждений за уязвимости (bug bounty), применения ИИ и пр.
Необходима системность в формировании контура информационной безопасности. У любой организации есть две уязвимые точки: сотрудники, которые не обладают необходимым уровнем киберграмотности, и дочерние компании, подрядчики и субподрядчики, которые далеко не всегда готовы по своей инициативе инвестировать в кибербезопасность на необходимом уровне. Поэтому важно обеспечить сквозную информационную безопасность по всей цепочке поставок, снизить риски от человеческого фактора. Только в этом случае дорогостоящие средства защиты информации смогут исполнить свою роль.
