Хакерские атаки в мае 2017, ударившие по многим странам, а также затронувшие компьютеры российских силовых ведомств и телекоммуникационных компаний, еще раз напомнили миру, что информационная безопасность сегодня становится одним из важнейших факторов, обеспечивающих нормальную жизнь современного общества. Готовы ли российские разработчики ответить на вызовы времени? Как относятся к проблемам информационной безопасности российские компании? С этими и другими злободневными вопросами мы обратились к Петру Валентиновичу Ефимову, одному из основателей Группы компаний «Информзащита» и генеральному директору крупнейшего системного интегратора в сфере информационной безопасности компании «Информзащита».
– Петр Валентинович, расскажите об основных результатах и достижениях компании по итогам прошедшего года. Насколько удачным был для компании 2016 г.?
– Прежде чем переходить к нашим результатам, я сразу бы хотел уточнить, что речь пойдет о достижениях всего холдинга, а не только системного интегратора «Информзащита». Если в 2015 г. у нас был рост совокупной выручки на 28% (в сравнении с 2014 г.), то в прошедшем 2016 г. нам удалось вырасти на 31%, что составляет 6867 млн руб.
Понятно, что результаты нашей работы измеряются не только деньгами – нас больше интересует качественная оценка. Разумеется, нам всегда хочется больших достижений – видимо, в этом и заключается философия развития бизнеса, однако результаты прошедшего года нас вполне удовлетворяют. Как команда профессионалов, мы ставили перед собой планы по повышению качества услуг в области защиты информации, развитию наших компетенций и экспертизы. В 2016 г. нам удалось достичь поставленных целей, в этом году мы продолжаем развитие. Также хорошие показатели были получены и нашим производителем – я говорю сейчас о разработчике программных и аппаратных средств компании «Код безопасности».
– Какие из направлений вы развивали активнее всего в 2016 г.? И на какие направления будете делать упор в будущем?
– 22 года назад, когда мы начинали работать, мир был гораздо проще. За прошедшие два десятилетия произошел головокружительный скачок в области «диджитализации» жизни. Инновации воплотились в реальность, и все сферы жизни получили цифровое сопровождение. Поэтому, когда мы сегодня говорим об информационной безопасности, следует понимать, что она теперь занимает в нашей жизни если не доминирующее положение, то определенно одно из важнейших. Угрозы, связанные с информационной безопасностью, стали гораздо ощутимее, реальнее. Честно говоря, 20 лет тому назад мы порой скептически относились к тем угрозам, которые могли возникнуть в цифровом мире, но недавний пример хакерской атаки в мае этого года лишний раз показывает, к каким последствиям приводят вирусные эпидемии.
Вместе с удобством, мобильностью и платежами в один клик, которые подарил нам скачок в развитии технологий, человечество получило угрозу личной информационной безопасности: сегодня уже никто не может сказать, что его это не касается.
Современные атаки, имея целью финансовое обогащение, получение преимущества в конкурентной борьбе или решение политических задач, становятся все более массовыми, вследствие этого затрагивают не только предполагаемую жертву атаки, но и критически важные области простых людей. Так, в Великобритании атака парализовала больничную сеть, и пациенты не смогли вовремя получить медицинскую помощь. Такие же примеры можно привести с транспортом, мобильными операторами и многими другими областями жизни, когда косвенной жертвой становится обыватель.
Направленность последних атак показывает, что под угрозой находятся и такие системы жизнеобеспечения, как энергетика, силовые структуры. Например, в России многие люди в регионах не смогли вовремя получить водительские удостоверения из-за сбоя в работе системы сервисов ГИБДД. Страшно подумать, что могло бы произойти, если бы атака затронула критически важные объекты инфраструктуры.
Именно поэтому в «Информзащите» создан Центр промышленной безопасности, который реализует сложные проекты по защите АСУТП и критической инфраструктуры крупных производственных компаний. Кроме того, Центр по противодействию мошенничеству не оставляет без внимания направление, связанное с защитой банковской деятельности, выполняет проекты по созданию и внедрению антифрод-систем, защищает от целенаправленных атак.
Информационные технологии несколько смещаются в сторону централизации ресурсов: облачные вычисления, анализ больших данных, повсеместное использование мобильных устройств. На мобильных устройствах размыта грань между персональной и служебной информацией, что порождает дополнительные проблемы для обеспечения корпоративной безопасности. Эти явления породили спрос на новые решения в области информационной защиты.
По всем этим ключевым направлениям мы ведем работу как интегратор – стараемся предлагать заказчикам оптимальные и лучшие на рынке решения.
Помимо этого явно обозначился спрос на аутсорсинг в ИБ. Если раньше заказчик хотел владеть продуктом, то сегодня хочет получить профессиональную услугу. Этот выбор объясняется просто: услуга позволяет снижать операционные затраты на поддержку решения и содержание дорогостоящего персонала в штате и, главное, избавляет от капитальных затрат на закупку оборудования и ПО.
«Информзащита» одной из первых создала Security Operation Center (SOC) – эта история началась больше 10 лет назад. И, кстати, на тот момент наш заказчик еще не был готов к такой услуге – люди не соглашались отдавать на аутсорсинг или переводить в модель сервисного обслуживания безопасность. А сегодня ментальность немного поменялась: у нас все больше заказчиков, которые готовы передать управление информационной безопасностью в «чужие руки». Понятно, что это не просто чужие руки, а руки профессионалов, и безопасность компании передается под определенные SLA, под четко прописанные обязательства.
Естественно, что на данном этапе развития сервисная модель пока не может вытеснить классическую, но ее доля будет становиться больше с каждым годом.
Возвращаясь к началу нашего разговора, отмечу следующее: в апреле, сразу же после публикации на WikiLeaks очередной порции «разоблачений» (утечки из наработок АНБ и ЦРУ), мы разослали своим заказчикам информационную справку, дали им точные рекомендации, что необходимо в оперативном порядке проверить в ИТ-инфраструктуре, какие коррективы внести. У нас на обслуживании находится целый ряд систем, среди которых есть и критически важные, которые благополучно пережили майские атаки. Если бы с ними что-то случилось, это бы сразу заметила вся страна.
– Каков отраслевой состав клиентов «Информзащиты»? В чем специфика их требований на текущий момент?
– Если говорить об отраслевом составе, то он у нас настолько широкий, что мне легче будет пойти от обратного и сказать, кто нами еще не охвачен в должной степени. В числе наших заказчиков слабо представлен сектор SMB – малые и средние предприятия. Их бизнес не регламентируется законодательно так подробно, как деятельность государственных структур или компаний финансовой отрасли. Поэтому вопрос важности информационной безопасности в этом случае должен быть самостоятельно осознан в первую очередь владельцами.
Государственные учреждения выполняют все требования регуляторов (ФСТЭК, ФСБ), поэтому уровень их защищенности априори высок, а вот в сфере частного бизнеса ничто не заставит собственника капитала потратить деньги, если у него не будет четкого осознания необходимости поддержки должной степени информационной безопасности собственного бизнеса.
И такое осознание рисков в сфере малого бизнеса пока не наступило. Конечно, некоторые более продвинутые бизнесмены понимают необходимость обеспечения ИБ: они понимают, чтó могут потерять и какую цену следует заплатить для нейтрализации риска. Другие же считают, что терять им нечего, что цифровой мир не несет им большой угрозы. Но последние события говорят об обратном.
Если же вернуться к вопросу об отраслевом составе, то исторически мы работаем с государственными структурами, с силовыми ведомствами. На втором месте по объему продаж и количеству проектов находится финансовый сектор. Сразу замечу, что специфика предоставления услуг для банков и для предприятий государственного сектора различна.
С банками мы ведем несколько интересных крупных проектов, связанных с противодействием мошенничеству – фрод операционный и карточный. А также предлагаем решения для борьбы с фродом в энергетике и нефтяной отрасли. Там, где есть соприкосновение с автоматизированными системами, где возможно искажение учета, изменение показаний датчиков и другие злоупотребления, там появляется поле для фрода и соответственно для нашей деятельности по предотвращению этих угроз.
Есть у нас клиенты в телекоммуникационном секторе, в атомной энергетике, транспорте, оптовой и розничной продаже, страховании, промышленности и т. д.
Если 10–15 лет назад информационная безопасность финансировалась по остаточному принципу, примерно как маркетинг и реклама, то сейчас без раздела ИБ ни один ИТ-проект просто не рассматривается.
– Как импортозамещение вписывается в рыночную стратегию вашей компании?
– На мой взгляд, тема импортозамещения возникла в России слишком поздно. Эти вопросы мы поднимали намного раньше, до всех событий последних лет, связанных с западными санкциями и обострением международной обстановки. Уже пятнадцать лет назад было понятно, что государство должно помогать своим российским разработчикам развивать продуты и решения, помогать находить рынок сбыта как внутри страны, так и за ее пределами. Как, например, в США и Европе. Во-первых, они жестко защищают свои рынки. Во-вторых, ИБ – это очень чувствительная для государства тема. Так что пускать «чужого» производителя и, что не менее важно, исполнителя работ по информационной безопасности на свои рынки никто не позволяет.
А в России в этом чувствительном секторе могли работать любые зарубежные компании, и долгое время никто не защищал от них свой рынок. В условиях отсутствия преференций от государства нашим производителям ПО было очень сложно конкурировать со сложившимися западными вендорами и показывать хорошие результаты.
Конечно, хорошо, что у нас возникли такие компании, как «Лаборатория Касперского», хорошо, что «Информзащита» в сложные годы смогла выстоять. Однако подобных компаний в России не так много. Поэтому политика импортозамещения – это очень правильный шаг со стороны государства. В результате, например, объем выручки нашего разработчика программных и аппаратных средств «Кода безопасности» в прошлом году вырос на 70% – это большая цифра.
И наши отечественные решения заказчики сейчас выбирают не по принципу «на безрыбье и рак рыба» – нет, продукты российских компаний становятся конкурентоспособными и востребованными.
Понятно, что такие вопросы, как импортозамещение «железа» и ПО, не могут решаться моментально. Вообще, создание хорошего продукта требует длительного цикла – от одного года, когда уже имеются хорошие наработки, и до трех-пяти лет, когда работа ведется с нуля. Чтобы бизнес начал инвестировать в разработку отечественных продуктов, он должен быть уверен в том, что они будут востребованными на рынке сегодня и завтра – это и должна гарантировать политика импортозамещения.
– Каких российских продуктов вам не хватает для полного отказа от иностранных решений? Какова доля иностранных продуктов в ваших проектах сейчас?
– Иностранные решения присутствуют сегодня в нашей продуктовой линейке. Здесь необходимо понимать, что мы, с одной стороны, должны предлагать своему заказчику сбалансированное, качественное решение, которое подходит конкретно ему. С другой стороны, мы живем в правовом поле и должны учитывать все те ограничения, которые возникли на сегодняшний день. Импортозамещение совсем не означает запрета всех импортных продуктов. Да, по тем классам продуктов, которые есть у российских разработчиков и которые достигли зрелости, мы должны ориентироваться на отечественные решения. Для этого, собственно говоря, и был создан Реестр отечественного программного обеспечения в Минкомсвязи.
Естественно, что доля импортных решений в нашей продуктовой линейке в настоящее время постепенно сокращается. Кстати, лакмусовой бумажкой для регистрации успехов политики импортозамещения может выступать наш Учебный центр, сосредоточенный только на курсах, связанных с информационной безопасностью. В прошлом году объем курсов по решениям российских вендоров вырос на 40%. Как вы понимаете, обучение – это далеко не первостепенная статья расходов в любой компании. Если происходит сокращение бюджета, то начинают всегда подрезать рекламу, маркетинг и обучение. Соответственно, наши заказчики готовы сейчас тратить деньги на обучение только по тем продуктам, которые они используют на практике, а это, как выясняется, российские решения.
Если же говорить о том, продуктов какого класса нам не хватает, то я бы указал на решения по выявлению мошенничества. Недостает нам также решений по анализу безопасности конфигурации сетевой инфраструктуры, управлению безопасностью мобильных устройств. Хотя, если быть точным, то по мобильным устройствам есть неплохие решения у российских разработчиков. В частности, у нашего производителя «Кода безопасности» есть ряд наработок в области MDM (Mobile Device Management).
Также сегодня не хватает инструментов, которые могли бы обеспечивать защиту информации в сфере Big Data. Работа с неструктурированными данными предполагает получение некоего итогового анализа – при этом мы сталкиваемся со следующей ситуацией. Сами по себе данные, как правило, не являются секретными – они обычно берутся из открытых источников, а вот те выводы, та аналитика, которую вы получаете на основе больших данных, могут таить в себе серьезные угрозы при открытии их в публичном пространстве. Этот непростой вопрос сейчас поднимают некоторые ИТ-компании, но пока что я не встречал ни одного законченного решения, позволяющего решить эту проблему.
Да и в сфере облачных технологий на сегодня закрыты далеко не все вопросы, связанные с безопасностью данных клиентов.
Еще одна новая проблемная область – это Интернет вещей, который развивается очень быстро и уже сегодня стал в России вполне осязаемой вещью. А вот когда по нашим дорогам поедут беспилотные автомобили, проблемы безопасности станут критически важными. Понятно, что в этой сфере вопросов пока больше, чем ответов.
По другим категориям российские продукты представлены достаточно широко, и здесь уже на первый план выходят задачи заказчика, особенности его инфраструктуры. Если смотреть продажи «Информзащиты» за прошлый год, то объем продуктов отечественных вендоров составил около 70% в сравнении с решениями зарубежных вендоров.
– В вашей группе компаний есть собственный производитель «Код безопасности». Как часто вы используете его продукты в своих проектах? В каком направлении вам хотелось бы совершенствовать продуктовую линейку этого производителя?
– В проектах наших заказчиков используем продукты «Кода безопасности» достаточно часто и вовсе не в силу каких-либо табу на применение решений от сторонних производителей. Более того, бывают ситуации, когда мы используем в своих проектах продукты его прямых конкурентов. Но, разумеется, во всех тех случаях, когда продукты «Кода безопасности» применимы, мы предпочитаем продукцию своего производителя.
Понимаете, продукция «Кода безопасности» закрывает много проблем – это очень удобно, когда от одного вендора вы получаете защиту каналов, систему обнаружения вторжения, межсетевые экраны (если говорить о сетевых продуктах). Далее, «Код безопасности» поставляет целый набор продуктов класса Endpoint security, которые позволяют защищать конечные устройства (рабочие станции и др.), причем делать это полноценно и всесторонне. Есть, например, такой продукт, как Secret Net (Secret Net Studio 8.1), который существует как торговая марка уже 24 года, и все эти годы указанное решение постоянно развивается.
Также в «Коде безопасности» разрабатывается и к настоящему времени находится уже в хорошем рабочем состоянии новое решение для защиты мобильных устройств. И все эти решения интегрируются в единую консоль, так что для администратора информационной безопасности частной компании или государственной организации создаются комфортные условия: он работает с набором продуктов от одного вендора, управляет ими через единую консоль, оперирует одними и теми же терминами.
«Код безопасности» также проводит и уникальные разработки – они, конечно же, менее масштабны по применению. Речь идет о работах, связанных с применением электронной цифровой подписи. В больших системах, например финансовых, существует необходимость многочисленных проверок электронной цифровой подписи, а эта процедура требует значительной вычислительной мощности, потому на большом объеме транзакций необходимы специализированные движки, которые позволяют быстро и эффективно решать узкий спектр задач.
– В составе холдинга «Информзащита» есть Учебный центр. Насколько его стратегия поменялась в связи с импортозамещением? Увеличилась ли потребность у ваших клиентов в подготовке кадров для обслуживания российских продуктов? Появились ли в Учебном центре новые курсы в связи с развитием технологий и отрасли? Какие?
– Хочу сразу же подчеркнуть, что наш Учебный центр целиком и полностью существует на рыночных принципах – он работает на спрос. Сам Учебный центр формировать этот спрос не может – он лишь откликается на запросы клиентов. Чтобы заказчик захотел произвести обучение кадров по какому-то курсу, у него, как минимум, должна появиться в компании соответствующая информационная система, должны быть ответственные за эксплуатацию системы – только тогда может родиться потребность в повышении квалификации кадров.
Да, у нас есть и набор авторских курсов, которые позиционируются как некое расширение кругозора специалиста ИБ, однако в основном Учебный центр идет в кильватере спроса. Продукты в сфере ИБ становятся с каждым годом все сложнее, так что эксплуатировать их по документации, как это делалось раньше, теперь попросту невозможно – нужно профессиональное обучение работе с конкретными продуктами, что и делает наш центр.
– Насколько влияют на ситуацию с квалифицированными кадрами новые требования по подготовке специалистов в сфере информационной безопасности?
– Если посмотреть на то, что было 15 лет назад, то тогда кафедры по ИБ в России можно было пересчитать по пальцам. Первая кафедра, с которой мы сотрудничали и которой в свое время помогали, появилась в МИФИ. Вторая кафедра, которую мы обеспечивали тогда методическими материалами, открылась в РГГУ. Естественно, была своя кафедра и в МГТУ им. Н.Э. Баумана – мы помогали им средствами информзащиты.
Сейчас ситуация изменилась коренным образом: вузов, которые готовят специалистов по профилю «защита информации», стало гораздо больше. И я надеюсь, что со временем у них обучение и по качественному показателю станет приемлемым. Причем уже сегодня имеется достаточное количество учебных заведений, которые выпускают хорошо подготовленных специалистов. Естественно, мы продолжаем тесно сотрудничать с ведущими вузами.
– Какова стратегия вашей компании в области защиты промышленных систем и объектов критической инфраструктуры?
– Следует отметить, что сама тематика информационной безопасности промышленных систем появилась сравнительно недавно, и мы здесь были одними из первых. Офисные системы построены по одним и тем же принципам, они работают на единых протоколах, используют одни и те же операционные системы, одним словом, сделаны «по шаблону». Грубо говоря, при различных конфигурациях, они сложены из одних и тех же кубиков.
Совсем другое дело – АСУТП. В них используются другие протоколы, причем по большей части эти протоколы являются проприетарными, и все промышленные системы очень сильно отличаются друг от друга. Например, если вы посмотрите на структуру АСУТП в машиностроении и энергетике, то увидите, что это просто разные системы. Единственное, что их объединяет – это само название АСУТП.
Вопросы безопасности промышленных систем мы начали поднимать на высоком уровне уже давно. Удалось достичь создания неких рабочих групп и комиссий по выработке специализированных требований, в которых эксперты «Информзащиты» принимают самое активное участие. Мы убеждены в том, что все должно начинаться с нормативной базы, чтобы предупредитьвкусовщину и разброд мнений.
Что же касается работы с нашими конкретными заказчиками, то здесь «Информзащита» исповедует исключительно индивидуальный подход к каждой промышленной системе.
Сейчас в этой области (АСУТП) существует острая нехватка высококвалифицированных кадров, поэтому нам пришлось создать некий симбиоз тех, кто хорошо знает саму АСУТП, и тех, кто знает сферу безопасности, – только вместе эти специалисты могут решать проблемы.
Сложнее всего тиражировать компетенции специалистов – над этой непростой проблемой сейчас и работаем.
– Что «Информзащита» предлагает промышленности для защиты своей информации и инфраструктуры?
– Сегодня именно в этой области чувствуется нехватка продуктов и решений высокого уровня, причем я говорю не только о нехватке отечественных продуктов – импортные решения тоже далеки от того, что заказчик хотел бы получить. Как я уже отметил ранее, до недавнего времени не существовало даже самого класса таких продуктов – для защиты АСУТП. Второй момент: все подобные решения не являются типовыми – это означает «индивидуальный пошив» для каждого заказчика, что всегда оказывается дороже стандартных решений.
Как я уже говорил, в рамках нашей компании выделено подразделение «Центр промышленной безопасности». До этого команда существовала в рамках отдела, нарабатывавшего в течение нескольких лет методики, проводила исследовательскую деятельность.
Большая сложность здесь заключается в том, что, когда имеешь дело с промышленными объектами, невозможно смоделировать систему заказчика на стендах. Например, сейчас в Сервисном центре «Информзащиты» для стандартизированных офисных систем развернуто множество сервисных стендов и тестовых зон. Здесь можно смоделировать практически любую ситуацию и отработать план действий, схему реагирования на инцидент. А когда дело касается АСУТП, то смоделировать какую-то ситуацию невозможно как по финансовым соображениям, так и по необходимой инфраструктуре. То есть большинство проектов по защите промышленных систем могут выполняться только на территории заказчика.
Сейчас Центр промышленной безопасности «Информзащиты» имеет в своем составе экспертов с уникальными компетенциями в области информационной и промышленной безопасности, а также с опытом реализации сложных проектов по защите АСУТП. У нас есть методики, опыт и отличная команда.
– Насколько текущая ситуация на рынках – российском и международном – является благоприятной для вашего бизнеса?
– Только сегодня я обсуждал с коллегами последнюю вирусную атаку. Может быть, это прозвучит не совсем этично, но я приведу такое сравнение. Когда идет эпидемия какой-то болезни, то у врачей появляется больше работы. Из этой аналогии следует, что нашей компании будет чем заняться.
Но давайте посмотрим на эту ситуацию немного шире. Международная обстановка сегодня, скажем так, неспокойная. Постоянно одна страна обвиняет другую в хакерских атаках на объекты своей ИТ-инфраструктуры. Надо быть очень наивным, чтобы полагать, что наши объекты однажды не окажутся под ударом со стороны зарубежных хакеров. Да, мир стал жестче.
Обратите внимание, нам все меньше рассказывают о том, как далеко летают ракеты, и все больше о том, что происходит в информационном (цифровом) поле. Исходя из этого наша специализация становится все более востребованной, как и наши продукты. Угрозы выросли, выросли и риски, и с этой ситуацией приходится разбираться.
А в связи с дальнейшим развитием информационных технологий проблем с безопасностью ИТ-систем будет становиться только больше.