2015-й прошел под знаком перемен — с одной стороны росла sharing economy, корпорации пытались импортозаместить хоть что-нибудь, а потребители и госучреждения «затягивали пояса» и снижали горизонт планирования. С другой — количество инцидентов и уровень угроз зашкаливают и даже Инстаграм первого лица ИТ-отрасли Николая Никифорова был взломан.

Государство

Государство в 2015 г. попыталось перехватить пальму первенства по влиянию на сферу безопасности, ввело в действие 242-ФЗ, и активизировало разработку ГосСОПКИ — Государственной системы мониторинга кибератак.

242-ФЗ

Закон 242-ФЗ призван вернуть контроль за персональными данными граждан России. Размытая формулировка «при сборе персональных данных оператор должен обеспечить в том числе извлечение персональных данных с использованием БД, находящихся в России» привела к очередному расколу экспертного сообщества — с одной стороны, формально достаточно осуществлять только сбор персональных данных, с другой — нужно и обрабатывать их на территории России.

Риск блокировки доступа к «материнским» системам с территории России Роскомнадзором из-за нарушения 242-ФЗ на практике привел к ряду проектов по миграции информационных систем и вычислительных мощностей в Россию, в первую очередь среди филиалов иностранных банков и платежных систем, фармацевтических и бьюти-компаний, ранее использовавших «материнские» системы. Очевидно, что в условиях упавшей в разы выручки в долларовом эквиваленте не все иностранные компании решили переносить свои системы в Россию. Непонятно, был ли и прок для национальной безопасности, ведь все значимые персональные данные граждан и до того пребывали в сохранности в базах МВД, ФНС, ФМС и Росфинмониторинга, и все так же передаются в Facebook, SWIFT и международные системы бронирования авиабилетов.

В 2016-м актуальность требований 242-ФЗ будет расти, в опубликованном Управлением Роскомнадзора по ЦФО Плане деятельности указаны десятки филиалов иностранных организаций, которые будут проверены на соответствие законодательству в области защиты прав субъектов персональных данных. Среди них все видные автомобильные компании, глобальные банки, фармацевтика и бьюти — сразу заметна серьезная аналитическая работа Роскомнадзора. Однако согласно Плану государственным надзором в области выполнения требований к отрасли связи и медиа ЦФО в Роскомнадзоре будут заниматься сотни специалистов, а государственным надзором в области защиты прав субьектов персональных данных всего 14. С другой стороны, с 1 января 2016 г. Роскомнадзор выведен из под действия ФЗ-294, регулирующего вопросы проверок бизнеса, и теперь может проверить любой бизнес без согласования с прокуратурой. В случае отсутствия ресурсов — как минимум заочно (документарная проверка).

ГосСОПКА

Два года ушло у ФСБ, чтобы разработать, согласовать и опубликовать в марте 2015 г. концепцию ГосСОПКИ (Государственной системы мониторинга кибератак), которая согласно указу Президента от 18.01.2013 должна обеспечить прогнозирование ситуации, взаимодействие, контроль защищенности и установление причин ИБ-инцидентов государственных информационных ресурсов.

После месяцев обсуждения первый государственный орган заказал проектирование своего сегмента — пионером стало Минэкономразвития, скромный тендер в 1,5 млн. руб. выиграл вендор Positive Technologies.

С другой стороны, взятый Минпромторгом в начале года темп разработки и принятия концепции ИБ «увенчался» сокращением начальника отдела ИБ ведомства, что иллюстрирует неоднородность восприятия проблемы ИБ среди органов государственной власти и риски проекта ГосСОПКА.

В 2016-м, учитывая новогодние сокращения в Минкомсвязи, падение цен на нефть, отсутствие индексации «священной коровы» — пенсий и социальных выплат и пессимистичную тональность экономических заявлений на январском Гайдаровском форуме вряд ли оправдаются расчеты вендоров и интеграторов на рост сегмента мониторинга кибератак в денежном выражении за счет быстрого развития ГосСОПКИ.

Импортозамещение

Тренд импортозамещения начался еще в 2014-м, крупнейшие ИТ-заказчики (такие как Департамент информационных технологий Москвы, Сбербанк) начали прорабатывать варианты замещения критичных технологий. Часть из «санкционных» заказчиков получила отказ в продаже оборудования (в частности, сетевого) и даже продления поддержки. По мере привыкания поставщиков к санкциям были найдены пути обхода. Поставки в нефтегазовые организации осуществляются при наличии уведомления о неиспользовании для шельфовых проектов (благо таковые переносятся на годы вперед в условиях низкой цены на нефть), поставки в силовые органы могут записываться на другие организации, а ОПК и Министерство обороны по-прежнему внедряют западные ERP с бюджетами в сотни миллионов рублей.

Как выразился знакомый директор по информационной безопасности государственной компании из числа ТОП-10 отечественной экономики, «импортозамещать хотели, тестировали, но ничего работоспособного и за приемлемые деньги так и не нашли». Особенно сложно импортозамещать в условиях экономического кризиса, ведь западные решения получили распространение не за «красивые глаза», а из-за баланса цены и качества.

Боюсь, разворачиваемый реестр российского ПО сильно повлияет лишь на финансово стесненные государственные организации (у которых выбор ограничен по финансовым причинам), все остальные просто возьмут спешно разработанные шаблоны обоснований использования продуктов западных вендоров у своих поставщиков.

Политические атаки

В прошедшем году Россия вступила в конфликт на Ближнем Востоке, начался конфликт с Турцией. Турецкие и арабские хакеры всегда были очень активны, именно арабская группировка Syrian Electronic Army взломала твиттер Обамы в 2013-м. Стоит ожидать ответных атак турецких хакеров на экономические санкции или прессинг против Турции или ее граждан.

Конец года ознаменовался блэкаутом большей части Ивано-Франковской области Украины из-за кибератаки. Атака была подтверждена одним из самых авторитетных в мире институтов по кибербезопасности SANS. Служба безопасности Украины обвинила Россию в причастности к инциденту. Использовавшийся троян BlackEnergy и вправду впервые продавался на русскоговорящем нелегальном форуме, но если причастность России подтвердится авторитетным независимым источником, можно ожидать как минимум активных ответных действий украинских хакеров. В марте 2014 г. они провели серию эффективных DDoS-атак на Центральный Банк и МИД России, а в конце 2015-го выложили в открытый доступ сотни тысяч SMS-сообщений россиян. Учитывая что в прошлом году Таллинский Центр компетенций кибербезопасности НАТО выпустил 175-страничное исследование «Cyber war in perspective: Russian aggression against Ukraine» о кибероперациях России в ходе донбасского конфликта, возможны и новые санкции против российских организаций и персон, а также влияние на международный диалог в области информационной безопасности (в частности российско-китайские переговоры).

В 2016 г. будут проведены выборы в Государственную Думу. Выборы президента России в 2012-м и прошлые выборы в Госдуму характеризовались массовыми DDoS-атаками на сайты медиа, DDoS-атаками звонков на телефоны сотрудников штабов, взломами сайтов и личных аккаунтов политиков.

Бизнес

Бизнес в 2015-м попал в «ножницы», ведь киберпотери растут — впервые в современной истории сразу три громких инцидента в России с конкретной цифрой ущерба стали публичными — хищение 500 млн. руб. у Объединенной расчетной системы, 161 млн. руб. у платежной системы «Рапида» и 60 млн. руб. у «Алтынбанка», но экономическая ситуация не позволяет большинству организаций повышать или даже сохранять уровень инвестиций в ИБ. Тем более что курс доллара делает проверенные западные средства защиты более дорогими, а несколько крупнейших отечественных вендоров средств ИБ открыто признаются, что тоже подняли цены.

С другой стороны, после паники в декабре 2014-го и вследствие массового отзыва лицензий банков на рынке освободились десятки ИБ-специалистов, разумное применение навыков которых может компенсировать недостаточную техническую оснащенность. Другое дело, что многих из них необходимо переобучить и организовать по новому, а организации привыкли в деле обеспечения ИБ полагаться скорее на технологии «из коробки», чем на таланты.

Именно на компетенции специалистов вынуждены рассчитывать предприятия реального сектора, проводящие аудит безопасности АСУ ТП. В промышленных сетях, с одной стороны, еще нет привычки полагаться на готовые решения (до недавнего времени их было очень мало), а, с другой, здесь очень много «детских» проблем — проколы с дисциплиной операторов (именно так попал в Бушере к цели Stuxnet), отсутствие выстроенного процесса управления обновлениями безопасности, качественного разграничения промышленных и офисных сетей.

На компетенции специалистов придется полагаться и поставщикам решений и услуг ИБ, ведь давление «ножниц» компании-заказчики будут перекладывать и на поставщиков. С ростом курса доллара более чем в два раза становится эффективной стратегия замены дорогих сертифицированных решений на менее дорогие, точечное использование Open Source, деавтоматизация отдельных процессов. Под удар попадают дорогие и высокомаржинальные решения в олигопольных сегментах по управлению уязвимостями, решения по предотвращению утечек, решения по защите баз данных и веб-приложений.

Однако компаниям стоит поспешить с выработкой подходов по привлечению, использованию и удержанию ИБ-талантов, ведь курсовая разница сделала выгодным перенос центров оказания услуг в Россию. Центры оказания глобальных ИТ-услуг компаний большой четверки, ИТ-провайдеров и международных корпораций в Польше, Венгрии, Малайзии, Индии и Чехии уже испытывают недостаток квалифицированных специалистов. Все они в той или иной мере уже присутствуют в России и уже набирают тут штат (по данным службы исследований HeadHunter, в Воронеже спрос на ИТ-специалистов входит в пятерку по стране, а предложение не входит даже в десятку; это обусловлено активностью глобальных компаний NetCracker и Atos). Вопрос времени, когда глобальные компании начнут набирать специалистов по ИБ, и локальным игрокам без долларовой выручки от оказания услуг ИБ будет тяжело конкурировать по компенсациям.

Инциденты и угрозы

Кибератаки в 2015-м были направлены на все сферы — уже упомянутую финансовую, нефтегазовую, строительную и другие, при этом особую распространенность получили т. н. разрушительные атаки (destructive attacks).

Годами основными результатами кибератак были хищение информации и денежных средств, но с 2014-го, когда была взломана и зачищена инфраструктура Sony Pictures, стал заметен тренд деструктивных атак, стирающих информацию на сотнях ПК и серверах, прерывающих бизнес-процессы на дни. Кроме Sony таким атакам подверглись крупнейших развлекательный холдинг SandCasino, хостинг Codespaces, а в России деструктивные атаки выразились в троянах-шифровальщиках, вымогающих деньги за код доступа к злоумышленно зашифрованным данным. Пока что бизнес сводит ущерб к приемлемому, используя средства резервного копирования и восстановления, но объем защищаемой информации все растет и предел эффективности такой стратегии уже близок.

Потребители

Потребители в 2015-м очутились в более выгодной ситуации — продолжился рост доли OS X (со встроенным антивирусом), вышла Windows 10 c обновленным Защитником Windows, Сбербанк встроил ядро антивируса Касперского в свой мобильный банк — ИБ становится неотъемлемой частью современных потребительских ИТ. В 2015 г. Cisco купила предоставляющий бесплатную фильтрацию веб-доступа OpenDNS (гарантировав стабильное развитие технологии), а уже в начале 2016-го «Лаборатория Касперского» пополнила ряды производителей бесплатных антивирусов, выпустив Kaspersky Free и закрепив начало сдвига производителей пользовательских ИБ-решений в модель freemium.

Инциденты и угрозы

Распространенное мнение «Россия отстает от Запада на пять лет» находит свое подтверждение в ИБ, так как именно в 2015 г. фишинговые атаки стали использовать бренды не только телеком-операторов, но и крупнейших розничных банков, что на Западе является нормой как минимум с 2010-го.

Интересным трендом являются атаки на VIP-персоны, он начал свое развитие в 2013 г., когда был взломан твиттер Обамы. С того времени взломаны электронная почта Виталия Кличко и Дмитрия Медведева, похищены фотографии Кристины Агилеры, Милы Кунис и Скарлетт Йохансонн, а за последний год была взломана электронная почта Хиллари Клинтон, похищены данные директоров ЦРУ, ФБР, офиса национальной разведки и министерства внутренней безопасности США, а под конец года взломан Инстаграм главы Минкомсвязи Николая Никифорова.

Отсюда видна одна возможность развития бизнеса для поставщиков решений и услуг в сфере ИБ, а так же последний фронтир для сферы ИБ в целом — почувствовав «на своей шкуре», принимающие решения лица должны быть более щедры на инвестиции.

Стратегии

В заключение хотелось бы сформулировать три стратегии для обеспечения безопасности бизнеса в зависимости от его размера и положения на рынке.

Опережающая эффективность

Активно развивающемуся крупному бизнесу, государственным институтам и учреждениям необходимо наладить систему раннего оповещения о киберугрозах и рисках (threat\cyber intelligence) и принимать решения, основанные на анализе угроз. Проактивное понимание угроз позволит контролировать риски до нанесения ущерба, разворачивать средства безопасности до того, как они подорожают из-за бума их внедрений, строить масштабируемые и устойчивые ИТ- и бизнес-продукты со встроенной на этапе дизайна поддержкой безопасности. Такую стратегию использует, например, Intel.

Трансформация в сервис

Крупному и среднему бизнесу со стабильной рыночной долей и стремлением к росту прибыльности, а также муниципальным властям необходимо увеличивать долю фонда оплаты труда в ИБ-бюджете. Это снизит зависимость от курса доллара и санкционные риски, добавит управляемости ИБ-затратам (благодаря переносу части операций в регионы и районы), автоматически стимулирует использовать эффективные по затратам уже встроенные в ИТ-платформы механизмы безопасности Microsoft, Oracle, Cisco и сориентирует на точечное использование Open Source-решений.

Делегирование рисков

Малому бизнесу и бизнесу с падающей долей рынка (антикризисный менеджмент) стоит сфокусироваться на основной деятельности, передав максимум непрофильных функций на аутсорсинг. Право, только политики по безопасности ведущих облачных провайдеров Amazon, Google, Microsoft насчитывают сотни страниц. Они справятся с обеспечением безопасности не хуже малого бизнеса, а в пылу борьбы за долю рынка не будут заметны вводимые гигантами ограничения, ради отсутствия которых организации строят инфраструктуру у себя.