Читатели PC Week/RE, как показал недавний наш опрос, главными движителями рынка средств обеспечения информационной безопасности (ИБ) в нашей стране признают частный бизнес (в данном случае представленный корпоративными пользователями ИБ-средств) и государственные структуры, ответственные за национальную ИБ страны. За каждый из упомянутых сегментов участники опроса отдали примерно по 30% своих голосов. На долю регуляторов, отечественных и международных, приходится соответственно 19 и 6%, и в этом точка зрения участников опроса не совпадает с более расхожим в среде ИТ- и ИБ-специалистов мнением о ведущей роли регулирования в поступательном движении российского рынка ИБ на современном этапе развития информационно-компьютерных технологий (ИКТ).
Именно такой оценки придерживается заместитель генерального директора по развитию компании “ЭЛВИС-ПЛЮС” Сергей Вихорев. Он считает, что российский ИБ-рынок в первую очередь вращается вокруг выполнения регулятивных требований, а ИБ-угрозами корпоративные специалисты по ИБ занимаются в той мере, в какой им позволяют технические и финансовые возможности компании, остаточный принцип корпоративного бюджетирования ИБ и здравый смысл руководителя ИБ-службы.
Трудно объяснить, почему влияние на рынок индивидуальных пользователей ИБ-средств (иными словами, отдельных частных граждан) наши респонденты оценили как нулевое. И это при том, что российский рынок антивирусов для домашнего использования, например, чувствует себя совсем неплохо. Да и в целом вендоры не брезгуют этим сегментом ИКТ-потребителей и нередко именно через него успешно добиваются узнаваемости своих брендов в корпоративной среде.
Наши эксперты констатируют сохраняющиеся на протяжении уже нескольких лет большие различия в уровнях обеспечения ИБ в российских компаниях — от отвечающего лучшим мировым стандартам (в ряде крупных структур государственного и частного секторов, прежде всего имеющих отношение к инфотелекоммуникационной, нефтегазовой и банковской отраслям, где сильнее ощущается влияние отраслевых и федеральных регуляторов) до сильно уступающего среднему уровню ИБ в странах с развитой экономикой (в средних и малых компаниях, для которых стоимость средств защиты и выполнения требований регуляторов автоматически переносит большую часть ИБ-рисков и риски несоответствия регулятивным требованиям в категорию приемлемых).
Знаковые ИБ-события прошедшего года
Курьез, связанный с разоблачениями Эдварда Сноудена относительно размеров слежки со стороны спецслужб США за всем и вся, по сути являющийся для специалистов секретом Полишинеля, тем не менее заставил обывателей задуматься о проблемах информационной безопасности, необходимость которой со вступлением человечества в эпоху Всеобъемлющего Интернета существенно актуализируется уже и на бытовом уровне.
Откровения г-на Сноудена с нежелательной для военных и политиков степенью прозрачности продемонстрировали масштабы и возможные последствия кибервойн, разгорающихся между странами.
Кибервойны провоцируют государства на создание специального рода войск — кибернетических, задача которых состоит не только в противодействии угрозам национальной ИБ, но и во ведении наступательных киберопераций на территории противника.
Все чаще хакерские атаки используются для дестабилизации политической обстановки, нанесения ущерба как отдельным объектам и субъектам, так и целым странам. Тем правительствам (и даже частным структурам), которые не в состоянии сформировать и поддерживать собственные кибервойска, свои услуги предлагают интернациональные отряды кибернаемников — солдат удачи, владеющих (пусть и не по высшему разряду, как оценивают эксперты) навыками ведения разномасштабных кибербоев.
В подобных условиях Россия не может не готовиться к противодействию современным ИБ-угрозам национального масштаба. В прошлом году, напоминает генеральный директор компании “Код Безопасности” Андрей Голов, по инициативе Совета Федерации РФ был запущен проект разработки Стратегии кибербезопасности России; разрабатывать стратегию формирования киберкомандования начало Минобороны РФ; 15 января 2013-го Президент РФ издал указ № 31с “О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации”.
Вместе с тем, как подчеркивает Сергей Вихорев, с учетом трансграничной природы киберпреступности и кибертерроризма было бы наивно надеяться, что решить проблему национальной кибербезопасности можно усилиями только нашей страны. Для этого, считает он, необходимы консолидированные действия всего мирового сообщества и создание единого правового поля наподобие действующего морского права.
Впрямую к задачам национальной кибербезопасности относится обеспечение ИБ критически важных объектов (КВО), неотъемлемым ИКТ-компонентом которых являются АСУ ТП. В частности, ФСБ России разработала и опубликовала в прошлом году проект федерального закона “О безопасности критической информационной инфраструктуры РФ”. Эксперты отмечают, что в 2014-м ФСТЭК и ФСБ продолжат работу над документами, направленными на регламентирование защиты КВО.
Директор Центра информационной безопасности компании “Инфосистемы Джет” Игорь Ляпунов обращает внимание на произошедшую за год заметную подвижку в вопросах защиты АСУ ТП: приходит понимание реального состояния защищенности этих систем (которые ошибочно рассматриваются как изолированные от Интернета) и последствий ИБ-инцидентов с ними как для их владельцев, так и для окружения; постепенно исчезает пропасть между операторами АСУ ТП и ИБ-специалистами, что подтверждается ростом количества проектов по защите АСУ ТП.
В прошлом году, по наблюдениям заместителя генерального директора компании “Аладдин Р.Д.” Алексея Сабанова, заметно активизировалось массовое применение электронной подписи (ЭП). Главным драйвером этого процесса неожиданно выступили торговые площадки — обязательное применение ЭП и неквалифицированного сертификата помогло разрешить ряд юридических и организационных проблем в их работе в России. Объем торгов на них Алексей Сабанов оценивает как самый большой для торговых площадок в мире. Вместе с этим ожидания в отношении применения ЭП в системах электронного документооборота не оправдались: переход на ЭДО активизировался, однако он почти повсеместно реализуется без ЭП.
Важное значение г-н Сабанов придает реализации ЭП на телефонных SIM-картах. Он полагает, что появление и распространение этой технологии способствует построению инфраструктуры открытых ключей (он использует термин “инфраструктура доверия” в этом случае) в области связи и серьезно расширяет пространство доверия. Решения, построенные на этой технологии, создают второй доверенный канал для проведения электронных транзакций с возможностью подтверждения клиентом своих действий.
Осознание экономической целесообразности использования облаков и концепции “принеси свое устройство” (BYOD), согласно наблюдениям директора по информационной безопасности в “Microsoft России” Владимира Мамыкина, уже усилило и продолжает усиливать требования корпоративных заказчиков к обеспечению ИБ этих технологий.
Необходимость оперативно оценивать состояние ИБ (желательно в реальном времени) привела к объединению многочисленных и разнообразных средств защиты в сложные комплексы обеспечения корпоративной ИБ, что, согласно наблюдениям Игоря Ляпунова, резко усилило интерес заказчиков к системам ИБ-аналитики. Спрос на них, как он считает, будет расти и в последующие годы.
Существенно влияющей на рынок ИБ тенденцией, обозначившейся в прошлом году, Алексей Сабанов считает сокращение бюджетов как в государственном, так и в частном секторах. По его мнению, это, с одной стороны, на два-три года затормозит рост объемов рынка ИБ, зато с другой — будет способствовать повышению качества предлагаемых продуктов и решений.
Надвигающееся вступление в силу закона № 44-ФЗ “О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд” (означающее переход от 94-ФЗ к 44-ФЗ) усугубит, как считает Алексей Сабанов, практику аукционов с многократным снижением цен, что чревато неадекватностью предоставляемых продуктов и услуг. Выход из этого сложного положения он видит в незамедлительном формировании в сфере ИБ саморегулируемых организаций, которые будут препятствовать работе недобросовестных поставщиков на рынке.
Ландшафт ИБ-угроз
Если, по мнению Сергея Вихорева, сами ИБ-угрозы практически не меняются, то условия их реализации сегодня радикально трансформируются вслед за изменениями, происходящими в ИКТ-инфраструктуре. В первую очередь он обращает внимание на возрастающую гетерогенность современных ИКТ-платформ и рост популярности мобильных средств доступа (в том числе используемых в офисах в рамках программ BYOD) к информационным системам.
Существенное влияние на обеспечение ИБ оказывает расширение сферы применения цифровых технологий. Все чаще мы встречаем такие термины, как “умный дом”, “умный город”, “Интернет вещей”, “Всеобъемлющий Интернет”. Цифровые технологии входят во все сферы нашей жизни, в том числе и в управление бытовыми приборами и устройствами. Это требует обеспечения ИБ в ранее несвойственной для нее среде и реализации новых подходов.
Все еще недостаточным признают эксперты уровень безопасности облачных вычислений. Сегодня в этой сфере, по мнению менеджера по развитию бизнеса компании “Информзащита” Елизаветы Спасенных, необходима проработка таких ключевых задач, как управление доступом и учетными записями пользователей и обеспечение защиты данных, размещенных в частных, публичных и гибридных облаках. В целом, считает она, нужно выйти на уровень защищённости, аналогичный внеоблачным ИКТ-средам. При этом особое внимание следует уделять минимизации рисков при миграции в облака и виртуальные инфраструктуры.
Темп роста объемов передаваемых, обрабатываемых и хранимых данных сегодня настолько высок, что, как утверждает Андрей Голов, такие технологии защиты, как шифрование, фильтрация сетевого трафика, VPN, не успевают за ним, и это создает новые проблемы в обеспечении ИБ. В качестве одного из способов их решения (рыночную реализацию которого можно ожидать в ближайшее время) г-н Голов называет криптоакселерацию.
С повышением осведомленности людей в области ИКТ, отмечает Игорь Ляпунов, для компаний ощутимо возрастает число угроз, связанных с высокотехнологичным фродом и злонамеренным инсайдом, которые чреваты как прямыми финансовыми потерями, так и утечкой критически важной информации.
На этом фоне актуализируются и такие задачи, как контроль привилегированных пользователей — руководителей высшего звена и системных администраторов, со злонамеренными и ошибочными действиями которых, согласно наблюдениям г-на Ляпунова, связаны самые серьезные ИБ-инциденты. По его мнению, ИБ-угрозы со стороны собственных сотрудников представляют для компаний более реальную проблему, нежели угрозы внешние.
Владимир Мамыкин напоминает о том, что в апреле 2014 г. останавливается поддержка операционной системы Windows XP, архитектура которой уже не позволяет вносить в нее изменения, адекватные уровню современных угроз. В условиях ухода Windows XP с рынка Microsoft обещает подготовить для ее пользователей рекомендации, которые помогут им обеспечить приемлемый уровень безопасности после прекращения технической поддержки. При этом, как сообщает г-н Мамыкин, безопасность рабочих мест с Windows XP можно будет поддерживать только за счет дополнительных — организационных — мер: отключать такие рабочие места от Интернета и внутренних сетей, резко ограничивать использование на них внешних накопителей.
Как бы ни менялся ландшафт ИБ-угроз, для бизнеса главной мотивацией защиты от них являются не угрозы сами по себе, а связанные с ними ИБ-риски, транслированные в риски для бизнеса. Пользователи ИБ-средств, как отмечает Игорь Ляпунов, часто оказываются в положении догоняющих. Объясняется это просто: совсем не всегда ИБ-вендоры работают на упреждение, а, наоборот, следуют уже сформировавшемуся спросу, да и развертывание средств ИБ является продолжительным процессом. Поэтому он рекомендует внедрять такие решения, которые позволяют в начале их эксплуатации быть хотя бы на полшага впереди актуальных атак.
Регулирование рынка ИБ в 2013 г. и ожидаемые действия регуляторов в 2014-м
Наши эксперты отмечают высокую активность регуляторов в прошлом году, направленную на совершенствование нормативной базы в области обеспечения безопасности национальной платежной системы, персональных данных, государственных информационных систем, АСУ ТП.
Прежде всего они упоминают приказы ФСТЭК России от 11.02.2013 № 17 “Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах” и от 18.02.2013 № 21 “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”.
Прошлой осенью был опубликован проект приказа ФСБ “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности”.
Все эти документы явили собой, по оценкам экспертов, существенное развитие той части нормативной базы, за которую в стране отвечают ФСБ и ФСТЭК. Отмечается, что в настоящее время во ФСТЭК России находится в разработке ряд других документов, в том числе по мерам защиты в государственных информационных системах конфиденциальной информации, не относящейся к государственной тайне.
По оценкам Игоря Ляпунова, публикацию упомянутых документов профессиональная среда встретила со сдержанным оптимизмом: видно, что регуляторы начали стремиться к тому, чтобы их нормотворчество отвечало реальным угрозам, а не оставалось на уровне только “бумажной безопасности”. Он выражает надежду, что эта тенденция продолжится, тем более что и на нынешний год этими регуляторами намечен выпуск ряда чрезвычайно важных документов, ожидаемых сообществом.
По мнению Сергея Вихорева, упомянутые документы не являются упрощением или “либерализацией” требований со стороны регуляторов — они изменяют их подход к процессу формирования таких документов: одновременно с предоставлением компаниям свободы самостоятельно формировать состав мер и способов защиты обрабатываемой ими информации резко повышается их ответственность за адекватность выбранных средств. По сути это смена парадигмы формирования требований со стороны федеральных регуляторов.
Если до недавней поры, как отмечет Андрей Голов, разработка нормативных документов в большинстве случаев велась во ФСТЭК исключительно собственными силами внутри ведомства, то теперь к этому процессу все больше и больше привлекают экспертное сообщество, что является важным шагом в поиске золотой середины между требованиями регуляторов и возможностями тех, на кого эти требования распространяются.
Представители ведущих ИБ-компаний и независимые эксперты стали принимать активное участие в деятельности сформированных при ведомствах рабочих комитетов, таких как технические комитеты по стандартизации “Криптографическая защита информации” (ТК 26), “Защита информации” (ТК 362) и другие. Это дает им возможность на ранних стадиях формирования регулятивных требований высказывать и отстаивать свои позиции перед регуляторами. Изменения регуляторами подхода к разработке своих документов, по оценкам экспертов, заметно повысило их качество и сократило сроки подготовки.
В прошлом году были разработаны проекты актуальных для страны стандартов. В частности, в ТК 362 подготовлено три проекта по стандартам, два из них — по обеспечению информационной безопасности в облаках.
В конце прошлого года Совет Федерации РФ высказал намерения подготовить новую редакцию закона “О персональных данных”. Суть изменений, по словам одного из инициаторов проекта сенатора Руслана Гаттарова, заключается в достижении баланса между техническими требованиями и ответственностью за защиту персональных данных (ПДн). Эксперты ожидают, что новая редакция закона снимет многие практические вопросы, связанные с организацией такой защиты.
По мнению Сергея Вихорева, одной из наиболее острых национальных проблем настоящего времени в области ИБ остается отсутствие отраслевых моделей угроз по отношению к ПДн. Разработка таких моделей предписана законом “О персональных данных”. Именно на эти модели ориентирована новая система выбора операторами ПДн мер и способов защиты. К большому сожалению, без них ни постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”, ни упомянутый выше приказ ФСТЭК России № 21 не могут работать в полную силу.
Благая идея сократить расходы операторов персональных данных на создание эффективной защиты ПДн за счет переложения части бремени на отраслевых регуляторов пока не заработала. Сегодня, как отмечает г-н Вихорев, операторы ПДн вынуждены — в нарушение закона! — и с большими затратами приглашать внешних специалистов для оценки угроз ПДн, так как без этой процедуры выбрать оптимальный состав мер и средств защиты невозможно.
В этом же ряду, на взгляд Сергея Вихорева, стоит и проблема защиты интересов субъектов ПДн. Закон предписывает оценивать возможный вред субъектам ПДн от несанкционированных действий с их персональными данными, что возложено сегодня на операторов ПДн. Но методик проведения таких оценок нет. Вот и получается, что каждый оператор делает это, как может. В решении столь сложной проблемы, полагает г-н Вихорев, крайне нужны рекомендации регуляторов.
Как важный шаг вперед расценивает г-н Голов изменения в подходе к сертификации продуктов по линии ФСТЭК. Он упоминает, в частности, новые требования к сертификации систем обнаружения вторжений.
Вместе с тем, говорит он, было бы желательно, чтобы регуляторы пересмотрели подход к аттестации информационных систем. По его наблюдениям, при ныне действующих механизмах аттестации систему нужно переаттестовывать всякий раз при ее обновлении, но при этом не обновляются средства защиты информации, что создает новые проблемы по обеспечению ИБ. Андрей Голов считает, что работу над обеспечением кумулятивных обновлений и технической поддержкой ИКТ-продуктов, используемых в государственных структурах, в части создания методической базы необходимо довести до логического конца. В этом смысле как важную он оценивает инициативу ФСТЭК, которая предлагает приостанавливать действие сертификатов в случаях обнаружения уязвимостей в продукте. Данная инициатива, по мнению г-на Голова, поможет перейти от формального соответствия регулятивным требованиям к реальной безопасности.
Елизавета Спасенных отмечает, что важным трендом прошлого года в области ИБ стала подготовка российских банков к вступлению в силу положений закона “О национальной платежной системе”. Отныне банки обязаны передавать в ЦБ России дополнительные отчеты, соответствующие разработанным ЦБ формам. Эти отчеты должны способствовать повышению безопасности банковской среды нашей страны.
Ряд тенденций развития информационной безопасности в 2014 г. в телекоммуникационном сегменте, как напоминает Елизавета Спасенных, определил вступившие в силу в декабре 2013-го поправки к закону “О связи”. Кроме того, значимыми для телекоммуникационных компаний с прошлого года стали изменения в законодательстве, касающиеся блокировки веб-ресурсов. В связи с этим у операторов связи возросла потребность в средствах анализа трафика, позволяющих осуществлять более удобную для абонентов и более точную блокировку запрещенных веб-страниц.
Грядущие технологические проблемы и прорывы
Руководитель отдела информационной безопасности компании IBS Platformix Джабраил Матиев свои главные технологические ожидания в области ИБ связывает с реализацией требований современных законодательных актов, т. е. регулирование, по его мнению, есть и будет основным драйвером технологического развития российского ИБ-рынка.
Наиболее надежными и экономически эффективными способами защиты от современных и будущих ИБ-угроз Сергей Вихорев считает сквозной контроль целостности среды обработки информации и полное шифрование данных. Не случайно в последних документах ФСТЭК России, напоминает он, среди мер защиты информации особо отмечена доверенная загрузка средств её обработки.
Однако, как отмечает г-н Вихорев, контроль целостности и надежное хранение ключевой информации могут базироваться только на аппаратных компонентах информационных систем. Вместе с тем развитие информационных технологий и потребность в компактных и высокопроизводительных средствах доступа к данным стали причиной того, что производители этих средств отказываются от использования традиционных, давно обкатанных интерфейсов для подключения внешних устройств в пользу интерфейсов нового поколения (таких, как форм-фактор М.2).
По мнению Сергея Вихорева, в силу этого обстоятельства использовать сертифицированные аппаратные модули доверенной загрузки и электронные замки, которые отработаны на протяжении уже нескольких лет и сегодня представлены на рынке, затруднительно на мобильных автоматизированных рабочих местах, построенных на базе современных компьютеров, из-за технологического отставания этих сертифицированных решений.
Поэтому рынок ждет таких средств защиты этого класса, которые позволят обеспечить доверенную загрузку мобильных компьютеров за счет использования резидентного компонента на базе его аппаратной платформы, защищенную работу пользователей и конфиденциальность информации при работе с корпоративными ресурсами и выходе с этого же компьютера в Интернет.
Елизавета Спасенных, отчасти соглашаясь с изложенным выше мнением Джабраила Матиева, а отчасти усматривая иные стимулы развития ИБ-технологий, отмечает, что потребность в новых средствах защиты у российских ИБ-пользователей появляется как в связи с необходимостью выполнения новых требований и рекомендаций регуляторов, так и ввиду желания сделать приемлемыми для себя новые ИБ-риски. Сегодня, считает она, многие ИБ-вендоры стремятся занять открывающиеся ниши в новых направлениях ИБ. Однако полностью удовлетворить требования регуляторов и заказчиков у новаторов пока не получается. Так, по ее мнению, на рынке еще явно недостаточно сертифицированных средств для защиты виртуальных инфраструктур.
Вместе с тем г-жа Спасенных ожидает выхода на рынок принципиально новых решений для защиты виртуальных сред, что стимулируется широким распространением виртуализации, а также ростом популярности облачных технологий. Она полагает, что производители средств виртуализации и их технологические партнеры в скором времени заявят о разработках, связанных с развитием встроенных в гипервизор средств защиты, в которых, возможно, будут широко применяться технологии программно конфигурируемых сетей.
Ключевую технологическую проблему сегодняшних дней в области ИБ Игорь Ляпунов видит в том, что системы ИБ при их возрастающей сложности плохо управляемы и не дают реальной картины происходящего в защищаемой среде. В то же время оперативно получать достоверную информацию об инцидентах и адекватно реагировать на них — вот главная задача службы ИБ. Именно поэтому, считает он, в настоящее время растет спрос на решения класса Security Information and Event Management и Security Intelligence. Рынок уже предлагает достаточное количество средств, предназначенных для решения таких задач, и заказчикам, по мнению г-на Ляпунова, остается лишь вовремя развернуть их у себя и правильно эксплуатировать.
Андрей Голов указывает, что все еще ждет своего решения задача обеспечения юридической значимости электронных документов. Она превратилась в проблему для многих российских министерств и ведомств, потому что серьезно тормозит внедрение там передовых технологий и в конечном счете мешает переходу на удобные способы электронного обмена данными.
По мнению г-на Голова, российские производители по-прежнему заинтересованы в том, чтобы регуляторы четко определили свою позицию в вопросах экспорта российских ИКТ-разработок. Тот путь, который реализован сегодня, — получение экспортных разрешений от ФСТЭК и ФСБ — он оценивает как забюрократизированный настолько, что выполнение связанных с его прохождением организационно-технических процедур практически невозможно.
Как считает Андрей Голов, сложившаяся в этой области практика серьезно мешает нашим разработчикам заявить о себе на потенциально привлекательных для них рынках Юго-Восточной Азии и Латинской Америки, нынешнюю конъюнктуру которых он определяет как благоприятную для появления и закрепления на них российских ИБ-продуктов. Он полагает, что наши ученые и инженеры все еще в состоянии поддерживать паритет компетенций с главными иностранными конкурентами в области математики и криптографии. При надлежащей поддержке государства эти направления могли бы войти в (короткий) список ведущих отраслей российской экономики.