Информационная безопасность в России: тренды, вызовы и перспективы

Дмитрий Васильев, руководитель управления информационной безопасности ГК Softline, рассказал о факторах, способствующих развитию рынка ИБ в 2022–2024 годах, а также о современных трендах и технологиях, оказывающих значительное влияние на его динамику.

Каковы темпы роста российского рынка информационной безопасности в 2023 году и какие факторы способствовали этому росту?

Оценка темпов роста рынка информационной безопасности зависит от выбранного сегмента. В сегменте отечественных вендоров наблюдается значительный рост, в то время как объемы зарубежных игроков снижаются. Если же оценивать российский рынок в целом, суммируя результаты иностранных компаний, демонстрирующих скромные показатели, и быстрорастущих отечественных вендоров, можно получить умеренные средневзвешенные темпы роста. Например, по данным Центра стратегических разработок, к концу 2023 года российский рынок кибербезопасности составил 248,5 миллиарда рублей, что на 28,5% больше, чем в 2022-м. 

Рост российского рынка информационной безопасности обусловлен несколькими ключевыми факторами, которые остаются неизменными с 2022 года. К их числу относятся импортозамещение, развитие критической информационной инфраструктуры, соблюдение законодательных норм и требований, а также нарастающие угрозы в области безопасности. С учетом этих обстоятельств заказчики начали активно интегрировать новых вендоров в свои системы и выделять соответствующие бюджетные средства для этих целей.

Какие ключевые факторы способствуют увеличению выручки в области информационной безопасности в России?

Основные драйверы роста выручки — это импортозамещение, развитие критической информационной инфраструктуры (КИИ) и необходимость бизнеса соблюдать законодательные нормы. В этом году в России был принят закон о штрафах за утечки информации, что дополнительно стимулирует интерес к информационной безопасности.

Объем кибератак и утечек данных по-прежнему высок, что указывает на недостаточный уровень защищенности компаний. Кроме того, количество успешных атак не снижается. Таким образом, в условиях нестабильности необходимость повышения уровня безопасности остается актуальной.

Каково текущее положение западных вендоров на российском рынке информационной безопасности? Существуют ли сегменты, в которых они доминируют?

Сейчас сложно выделить сегмент, где можно было бы говорить о доминировании западных вендоров, если речь идет именно о продажах. Риски, связанные с продолжением их работы с клиентами на территории РФ, не перевешивали возможную прибыль от этой деятельности. Как итог — зарубежные вендоры представлены на российском рынке в ограниченном объеме, поэтому о доминировании их ИБ-решений в каком-либо сегменте говорить не приходится.

Что происходит со спросом на ИБ-сервисы? Какие обстоятельства способствуют росту этого направления? Какие препятствия мешают его развитию?

Если говорить о сервисах, 2024 год стал для нас особенно успешным. Мы действительно ощутили активный спрос и интерес со стороны заказчиков на услуги в области информационной безопасности. Например, объем контрактов в нашем Центре операций безопасности (Security Operation Center) вырос в три раза. Также заметен рост спроса на услуги по тестированию и управление цифровыми рисками. Существенно возрос интерес и к киберполигонам. 

Один из ключевых факторов роста этого сегмента — нехватка специалистов. Клиенты все чаще обращаются к профессиональным сервисам интеграторов, так как не могут самостоятельно организовать такой уровень обслуживания. Услуги в данной области требуют значительных затрат и специализированных знаний, которые не всегда доступны на рынке.

Однако на пути развития сегмента существуют и сдерживающие факторы, основным из которых является уровень доверия. В настоящее время все чаще говорят о так называемой результативной и ответственной информационной безопасности. Заказчики хотят получать не просто услуги, а конечный результат, за который поставщик несет ответственность. Это означает, что компании, предоставляющие такие услуги, должны стремиться к созданию четких условий и гарантий для своих клиентов. Чем больше компании будут двигаться в этом направлении, тем большей будет уверенность клиентов в том, что они могут доверить важные функции информационной безопасности специализированным организациям.

Какие риски и потенциальные угрозы связаны с использованием искусственного интеллекта в контексте кибербезопасности? 

Сценарии использования искусственного интеллекта для выявления уязвимостей и создания под них эксплойтов, а также для преодоления различных уровней инфраструктуры, в которой внедрена модель, являются реалистичными и потенциально опасными. Искусственный интеллект также способен быстро собирать большое количество косвенной информации об объектах, что существенно облегчает реализацию атак со стороны злоумышленников.

С запуском новых продвинутых ИИ-моделей возрастает потенциал несанкционированных действий хакеров, что приводит к появлению нестандартных сценариев. Так, в одном из известных примеров модель Strawberry от OpenAI была развернута на виртуальной машине с целью доступа к другой для чтения определенных сообщений в коде. Столкнувшись с ее недоступностью, искусственный интеллект попытался перезапустить целевую машину, а затем скопировал исходную виртуальную машину и запустил ее как отдельное устройство. Эти действия выходят за рамки изначально поставленной задачи и иллюстрируют, как искусственный интеллект, оказавшись в ситуации без прямого доступа, использовал альтернативные методы, известные как «workaround», для достижения своей цели.

Возможно ли проведение кибератак в автоматическом формате? Какие меры предпринимают поставщики систем киберзащиты для противодействия таким угрозам?

Атаки в полностью автоматическом режиме уже проводятся, обычно они носят широковещательный характер и не ориентированы на конкретные компании или пользователей. Такие атаки могут использоваться, например, шифровальщиками для нападений на широкий круг жертв. Однако в случае реализации сложного сценария атаки с четко определенной целью удастся автоматизировать лишь отдельные элементы процесса.

Допустим, злоумышленники решили взломать организацию, получить доступ к данным, зашифровать информацию или остановить работу какой-либо инфраструктурной системы. Первые шаги, такие как рассылка фишинговых писем, использование социальной инженерии, сбор паролей и сканирование, могут осуществляться в автоматическом режиме. После выполнения начальных этапов и сбора достаточного количества информации в автоматическом режиме хакер будет ее использовать для проведения дальнейших атакующих действий. 

Производители средств киберзащиты в ответ на угрозы совершенствуют свои ИБ-решения, фокусируясь на процессах выявления и блокировки автоматизированных атак. В первую очередь, это системы SIEM (Security Information and Event Management) и построенные на их базе SOC (Security Operations Center), а также наиболее продвинутые в этой области SOAR (Security Orchestration, Automation and Response), которые не только позволяют автоматизировать реагирование на атаки, но и значительно сокращают время реакции. В то же время для пользователей разрабатываются системы повышения осведомленности, которые помогают им повышать киберкультуру и избегать автоматических атак и уловок мошенников.

Каковы основные направления применения искусственного интеллекта в области информационной безопасности?

Основной вектор применения ИИ — поиск аномалий и угроз в больших массивах событий информационной безопасности. Использование ИИ для этих целей позволяет разгрузить аналитиков и повысить качество обнаружения, которое человек не всегда может обеспечить в полной мере. Соответственно, классы продуктов, предназначенные для решения этих задач, составляют ключевую сферу применения ИИ в информационной безопасности.

В качестве примеров можно рассмотреть продукты SOC и Ethic. В SOC ИИ упрощает работу специалистов первого уровня поддержки, анализируя и нормализуя логи, добавляя пояснения и формируя предварительные отчеты о событиях, с их влиянием на инфраструктуру и рекомендациями для следующих действий. Эти отчеты передаются специалистам второго и третьего уровня. Ethic работает в области защиты цифровых рисков, позволяя быстро выявлять критические сообщения и отделять важные данные от неинформативных. В обоих случаях искусственный интеллект обрабатывает большое количество событий на первой линии поддержки, сортируя и приоритизируя данные, и значительно разгружает специалистов.

Каково текущее состояние рынка специализированных решений для защиты облачной инфраструктуры в России? Есть ли спрос на такие решения? 

В нашем портфеле сейчас нет специализированных решений для защиты облачной инфраструктуры (это не значит, что отсутствуют решения, применимые в том числе для защиты облачной инфраструктуры; речь идет именно о выделенных решениях). Ранее решения данного класса были представлены зарубежными представителями рынка, а приоритеты у отечественных разработчиков все-таки лежат на создании других, более востребованных классов решений. В то же время большинство заказчиков сконцентрировано на иных задачах, поэтому широкой востребованности решений такого класса мы сейчас также не наблюдаем.

Какова ситуация с реализацией проектов по защите объектов критической инфраструктуры в России с введением 187-ФЗ? Какие отрасли демонстрируют наибольшую активность в соблюдении законодательных требований?

С 2014 года мы реализовали проекты, охватывающие порядка 2500 объектов критической инфраструктуры. После принятия 187-ФЗ наибольшее число обращений поступило от предприятий химической, металлургической и горнодобывающей промышленности, а также от организаций ТЭК. В этих областях наблюдается прямая зависимость между работой объектов критической инфраструктуры и деятельностью компаний. Сбои в технологических процессах непосредственно влияют на финансовую устойчивость бизнеса и, кроме того, могут привести к серьезным экологическим последствиям.

По нашим наблюдениям, промышленность, наряду с ТЭК, демонстрирует высокие результаты в соблюдении требований 187-ФЗ. Это во многом объясняется наличием автоматизированных систем управления технологическими процессами (АСУ ТП), которые создают риски физического разрушения и угрозы для людей и экологии. Кроме того, требования к защите АСУ ТП и ключевых систем информационной инфраструктуры (КСИИ) были установлены задолго до принятия 187-ФЗ. Высокий уровень соответствия также наблюдается в банковском секторе, что обусловлено действующими стандартами Центрального банка и зрелостью финансовых организаций. 

Тем не менее даже на текущий момент все еще существуют организации, которые не приступили к выполнению законодательных требований, ожидая внешнего стимула, например, проверки со стороны прокуратуры.