Трансформация кибербезопасности в России: новые вызовы и пути их решения

Российские госучреждения и бизнес продолжают адаптироваться к изменениям цифрового ландшафта страны. Помимо перехода на отечественное ПО, в организациях остро стоит вопрос информационной безопасности (ИБ). С какими вызовами по ИБ сегодня сталкиваются российские компании и как их преодолевают — рассказывает Максим Фокин, директор департамента сертификации и безопасной разработки ИТ-вендора «Инферит».

В 2024 году на российские компании совершилось в 2,5 раза больше кибератак, чем в 2023 году. А их общее число достигло 130 тысяч. В 2025-м тенденция продолжилась — эксперты по ИБ прогнозируют рост успешных «кибервторжений» до 10%. Как повлиял уход зарубежных ИТ-вендоров на уровень защищенности информационных систем наших организаций?

Уход из России иностранных вендоров, в частности систем автоматизации бизнес-процессов и СУБД, однозначно повлек за собой потерю определенных технологий, которые применялись для штатной работы этих систем. Однако, на мой взгляд, в большинстве своем они не были связаны с обеспечением безопасности информационных систем. 

Сейчас наши регуляторы в сфере ИБ выпускают новые требования к информационной безопасности подобных систем. Например, после ухода с рынка американской компании Oracle (крупного разработчика СУБД) ФСТЭК России в апреле 2023 года опубликовала требования по безопасности информации к системам управления базами данных. Они были направлены на реализацию в СУБД таких функциональных возможностей, которые бы защитили обрабатываемую в системах информацию. 

Теперь, если клиент покупает сертифицированную по требованиям ФСТЭК систему управления базами данных, ему не надо дополнительно беспокоиться о защите информации, обрабатываемой в ней. В СУБД изначально заложены все необходимые инструменты информационной безопасности.

Поменялась ли модель угроз? Чем можно объяснить рост количества успешных кибератак? 

Важно понимать, что модель угроз создается для каждого конкретного изделия или информационной системы в целом. Разумеется, модель угроз на отдельных объектах информатизации так или иначе изменилась из-за необходимости использовать решения других вендоров — уже российских. Тем не менее если применять сертифицированные решения, то все угрозы, актуальные для них, должны закрываться их собственными штатными средствами. 

Если же говорить о росте успешных кибератак, то он объясняется совокупностью факторов. Российские компании переходили с зарубежных ИТ-решений на отечественные в условиях относительной спешки и ограниченных ресурсов. Поэтому за этим стоял меньший контроль безопасности таких решений — от тестирования их на уязвимости до настройки политик доступа. Впоследствии это позволило нарушителям пользоваться ситуацией в корыстных интересах.

И, наконец, рынок столкнулся с дефицитом высококвалифицированных специалистов, хорошо разбирающихся в новых отечественных решениях. Это повысило вероятность ошибок при эксплуатации российских ИБ-инструментов и снизило скорость реагирования на атаки.

Трансформируются ли подходы к защите информации в контексте таких вызовов? Каким образом? 

Мы действительно наблюдаем, как меняются подходы к защите информации, причем в правильном направлении. Из перечня новых приказов и требований видно, что регулятор обращает пристальное внимание на защиту отечественной ИТ-инфраструктуры. Хочется верить, что сейчас не просто появляются стандарты для конкретных систем, а выстраивается системный подход к комплексному обеспечению кибербезопасности — как в разработке технологий, так и в процессах управления. 

Сегодня российский рынок хорошо реагирует на проблемы безопасности своих систем. Многие вендоры начали внедрять практики по разработке безопасного ПО. ИТ-компании постоянно выявляют и устраняют уязвимости в продуктах, что положительно сказывается на уровне защищенности отечественных решений.

Главное, чему научился рынок за последние два года, — быстро адаптироваться. Разработчиками начали активно внедряться практики threat modeling,код-ревью на безопасность, DevSecOps, AppSec, а также автоматизированные системы поиска уязвимостей на ранних этапах разработки кода. Кроме этого, появилось больше инициатив по обмену опытом и данными о киберугрозах между компаниями. Это помогает организациям быстрее реагировать на «вторжения» извне и делиться лучшими практиками.

Насколько усилились риски для тех компаний, которые продолжают использовать зарубежные решения для автоматизации бизнес-процессов и работы с базами данных?

Для таких компаний риски сильно возрастают. В первую очередь это связано с отсутствием обновлений ушедших с российского рынка продуктов. Раз нет обновлений, значит, обнаруженные с момента последнего обновления уязвимости не устраняются и остаются актуальными для таких систем. Это позволяет потенциальному злоумышленнику использовать подобные уязвимости для достижения своих корыстных целей. 

Поэтому я настоятельно рекомендую нашим компаниям переходить на российские решения, вендоры которых предоставляют поддержку и заботятся об обновлениях безопасности. Если же нет уверенности, что продукт конкретного вендора будет обновляться и поддерживаться, то можно рассмотреть продукты, сертифицированные по требованиям ФСТЭК. 

Сейчас у регулятора жесткая позиция на их счет: при проведении сертификационных испытаний проверяются в том числе процессы, необходимые для поддержки безопасности таких продуктов, постоянного выпуска обновлений и их доставки до конечного потребителя. Также в рамках требований регулятора — конкретный SLA (соглашение об уровне услуг — прим. ред.) на устранение недостатков и уязвимостей продуктов. Это дает уверенность пользователю, что в сертифицированных решениях будут устраняться обнаруженные уязвимости и своевременно доставляться обновления.

А если говорить о тех, кто пользуется самописными решениями, насколько они в зоне риска?

Если самописные системы действительно являются таковыми, это очень даже неплохой вариант с точки зрения защищенности. Их код не может быть известен злоумышленнику, поэтому ему будет трудно найти уязвимости и создать эксплойты для таких систем. 

Однако чаще всего компании не пишут системы «с нуля», а используют Open Source компоненты, которые интегрируют в свои системы. При этом все равно называют их самописными. Особенность таких решений заключается в том, что их разработчикам надо грамотно организовать процесс по управлению уязвимостями (Vulnerability Management) для того, чтобы постоянно мониторить появление новых проблем и вовремя их устранять.

К сожалению, такой процесс организуют очень редко: единожды разработав продукт под конкретные цели его стараются больше не трогать. Причина проста — подобные обновления болезненно воспринимаются бизнесом, поэтому компании предпочитают не менять то, что и так нормально работает. Но в итоге это приводит к тому, что у злоумышленника появляется возможность эксплуатировать уязвимости Open Source компонентов, которые используются в самописных системах и давно не обновлялись. 

Учитывая текущие вызовы и динамику развития киберугроз, какие ключевые шаги должны предпринять российские компании, чтобы выстроить устойчивую систему ИБ?

Чтобы выстроить устойчивую систему информационной безопасности, компаниям важно перейти от разовых мер к системной работе. В первую очередь – использовать сертифицированные отечественные решения, соответствующие требованиям регулятора. Параллельно наладить безопасную эксплуатацию: регулярно обновлять ПО, управлять уязвимостями, контролировать доступ. Все это должно быть встроено в ежедневную ИТ-практику, а не делаться по случаю.

Второй приоритет — люди. Без специалистов, знающих отечественные технологии, никакая система не будет работать эффективно. Поэтому стоит вкладываться в обучение и обмен опытом, участвовать в профессиональных сообществах. Главное, понимать, что устойчивость в ИБ — это не один продукт, а целая архитектура защиты, адаптированная под бизнес-процессы и риски.