Алексей Гришин

Алексей Гришин:
Многократно возросла важность обеспечения безопасности веб-сервисов

Введение санкций, импортозамещение, девальвация рубля, спад в экономике – все эти факторы сформировали новую ситуацию на рынке ИБ, которая привела к перераспределению структуры и спроса, и предложения. Директор Центра информационной безопасности компании «Инфосистемы Джет» Алексей Гришин рассказал CNews, как меняется расклад на рынке, объяснил, каким образом происходит оценка эффективности внедрения ИБ, что меняется в специфике борьбы с мошенничеством и киберпреступлениями и пр.

CNews: Как экономическая и политическая ситуации в стране сказываются на рынке ИБ, и влияют ли эти процессы на стоимость услуг информационной безопасности?

Алексей Гришин: Безусловно, экономика и политика оказывают влияние на рынок ИБ, но это воздействие несколько неоднозначное. Прежде всего, нужно отметить, что некоторые российские компании стали отказываться от западных продуктов, и для этого есть две причины. Первая – нестабильный курс, который чуть больше года назад был p34 за доллар, в декабре нынешнего – превысил p70, а как он изменится далее и вовсе неизвестно. В таких условиях каждый следующий год поддержки западного средства может оказаться неприемлемо дорогим. Во-вторых, важен политический аспект – международные санкции и требования государственных регуляторов отказаться от зарубежных решений, чтобы защититься от утечек информации, а также с целью снизить технологическую зависимость от иностранных держав.

Данная ситуация для российских компаний представляет собой удачную возможность проявить себя. Отечественные фирмы стали производить продукты, которые составляют конкуренцию решениям иностранных вендоров и при этом оказываются дешевле, так как их разработка осуществляется в России, и оплата происходит в рублях.

Таким образом, с точки зрения цен на рынке ИБ есть две разнонаправленные тенденции: иностранные продукты подорожали из-за роста валютного курса, в то же время появились (и продолжают появляться) новые конкурентоспособные решения отечественной разработки, с фиксированной рублевой стоимостью. В результате происходит перераспределение структуры поставщиков в пользу российских компаний.

CNews: А как реагирует рынок с точки зрения объема – он растет или падает?

Алексей Гришин: Рынок, точнее разные его отрасли, реагируют по-разному. Безусловно, есть те, кто резко сократил бюджеты, но есть и те, кто, наоборот, их наращивает.

Если считать в валюте, то, по сравнению с 2014 годом, рынок падает. У любого проекта есть две составляющие. Во-первых – стоимость самого продукта, которая в большинстве случаев привязана к курсу валют. Во-вторых, стоимость проектирования, консалтинга и интеграции решения, то есть услуг, которые рассчитываются только в рублях. Значительного роста стоимости последних за прошлый год не наблюдалось, и, как следствие, их долларовая стоимость снизилась.

Если же вернуться к вопросу о динамике рынка ИБ в рублях, то в целом, по итогам 2015 года мы будем наблюдать небольшой его рост, хотя падение по некоторым технологическим направлениям однозначно будет.

CNews: Какие отечественные ИБ-решения вы считаете конкурентоспособными? В каких категориях есть российские продукты, которые не уступают западным аналогам?

Алексей Гришин: Прежде всего, это антивирусы и сканеры уязвимостей. Во-вторых, это системы защиты от утечек данных (DLP, Data Leak Prevention), иностранные продукты этой категории не учитывают так называемый региональный компонент – особенности мышления российских злоумышленников и простых людей, которые могут «украсть» по незнанию. Высокой оценки заслуживают средства шифрования каналов, что обусловлено предыдущей волной требований регуляторов по исполнению № 152–ФЗ «О защите персональных данных». Кроме того, мы ожидаем, что отечественные продукты по управлению правами доступа (IdM) и решения класса Web Application Firewall в ближайшее время подтянутся к уровню западных аналогов. На данный момент мы реализуем ряд проектов, в рамках которых формируем требования для разработчиков, исходя из ожиданий наших клиентов.

CNews: Недавно появились законодательные нормы, которые ограничивают использование иностранных продуктов в госкомпаниях и госсекторе. В связи с этим многие государственные учреждения сейчас тратятся на закупку западных продуктов «впрок». Вы заметили подобную активность?

Алексей Гришин: Действительно, мы видим спрос на иностранные продукты только в тех областях, где отечественных аналогов нет. Например, если рассматривать системы управления доступом, то на рынке нет серьезных, проверенных временем отечественных решений уровня Enterprise, которые могут работать в компаниях с численностью сотрудников в 20–30 тыс. человек (например, в сфере топливно-энергетического комплекса). Желания закупать продукты «впрок» мы не видим, все проекты оцениваются исключительно с точки зрения финансовой и функциональной целесообразности.

CNews: Как меняются бюджеты заказчиков в различных отраслях? Привел ли спад в экономике к сокращению расходов на информационную безопасность?

Алексей Гришин: Динамика расходов ощутимо разнится в зависимости от отрасли экономики. Если рассматривать банки, то они сегодня действительно сокращают свои бюджеты. При этом запас прочности, который накоплен благодаря предыдущим вложениям, позволяет им без серьезных рисков отказываться от серьезных вливаний в информационную безопасность. Инвестируются только те сферы, которые наиболее критичны на сегодняшний день. Например, большая часть бюджетов направлена на обеспечение безопасности работы через web, так как основной объем операций и движение финансовых средств теперь проходят через интернет-банкинг и системы дистанционного банковского обслуживания. Вследствие этого наиболее приоритетными для банков являются задачи по противодействию DDoS, внедрению межсетевых экранов уровня приложений и систем по борьбе с транзакционным мошенничеством.

В топливно-энергетическом комплексе, наоборот, прослеживается серьезное увеличение бюджетов на ИБ. Как правило, проекты связаны с переносом ранее созданных подсистем информационной безопасности на российские продукты или подразумевают создание с нуля высокотехнологичных подсистем. Если раньше акцент делался на внедрении антивирусов и защите периметра, то теперь актуальным стало создание центров управления безопасностью (Security Operations Center, SOC) и внедрение средств аналитики ИБ (Security BI).

Оценка эффективности

CNews: Как заказчики оценивают эффективность вложений в ИБ?

Алексей Гришин: С точки зрения эффективности инвестиций наиболее жесткие требования предъявляют банки. Ни одно внедрение не происходит без предварительного пилотного проекта, причем, как правило, тестирование проходят 2–3 решения. Например, когда мы говорим о том, что межсетевой экран не соответствует современному ландшафту угроз, то заказчик отвечает, что готов внедрять межсетевой экран нового поколения (Next Generation Firewall/ NGFW), но предварительно хочет его сам «потрогать руками». Таким образом, на этапе предпродажной подготовки проходит очень серьезная оценка тех решений, которые потом внедряются.

CNews: Как именно проводится финансовая оценка целесообразности внедрения того или иного решения ИБ?

Алексей Гришин: О сколько-нибудь однозначной методике говорить сложно, так как это связно с «внутренней кухней» наших заказчиков. Однако, любой банк, к примеру, так или иначе, пытается произвести оценку размера и вероятности потенциальных потерь. Для некоторых средств защиты сделать такие подсчеты достаточно легко. Например, в случае с межсетевым экраном уровня web-приложений (Web Application Firewall) банк может посчитать количество уведенных через интернет-банк денежных средств от физических или юридических лиц. Для банков, не входящих в ТОП–100, такие потери исчисляются десятками тысяч рублей, что не сопоставимо со стоимостью владения межсетевым экраном. Лицензия на такое решение обойдется, скажем, в $50 тыс. ежегодно, кроме того, необходимо нанять специалиста, который будет управлять защитой, а стоимость его услуг оценивается значительно дороже (а в некоторых случаях – в 2 раза). Таким образом, для небольшого банка строительство системы становится нецелесообразным. Для крупной финансовой организации из ТОП–50, где потери исчисляются сотнями тысяч и даже миллионами долларов, такой подход, наоборот, является экономически оправданным.

При этом всегда проводятся «полевые испытания»: в рамках пилота, к примеру, тот же межсетевой экран уровня приложений устанавливают на один месяц и оценивают, какое количество атак было предотвращено с его помощью. Решение дает возможность проанализировать, какие атаки предпринимались, какие были отражены, в каких случаях требуется дальнейший тюнинг, обработка и настройка средства защиты. В результате перед принятием окончательного решения о внедрении у ИБ-специалиста уже есть подробный отчет, который может оперировать финансовыми терминами.

Кроме того, происходит сравнительный анализ различных решений между собой по цене и эффективности. Например, банк хочет внедрить решение, которое смогло бы обеспечить безопасность на уровне приложений (L-7). При этом старый межсетевой экран предусматривает контроль атак только на физическом и канальном уровнях (L-1, L-2). Кроме того, заказчик хочет, чтобы Firewall предусматривал функционал песочницы, куда незнакомый объект погружается для анализа на наличие угроз и далее, по необходимости, блокируется. Если, например, сотрудник обнаружит в почте файл .exe и запустит его, то NGFW с песочницей его проанализирует и заблокирует потенциальную атаку, а традиционный межсетевой экран в таком случае окажется бесполезен.

В результате перед клиентом стоит выбор: внедрить новое решение – NGFW, одновременно закрывающее потребности как по межсетевому экранированию и песочнице, так и по контролю нескольких уровней (L-1, L-2, L-3, L-7) сетевых атак, или использовать «зоопарк» традиционных решений. Расчеты показывают, что зачастую новое решение оказывается и дешевле, и эффективнее в плане противодействия угрозам.

Аутсорсинг

CNews: Вы упомянули, что услуги специалиста отличаются высокой стоимостью. Вероятно, из-за этого кризис приводит к росту популярности аутсорсинговой модели?

Алексей Гришин: Я бы не говорил, что кризис приводит к росту популярности аутсорсинга ИБ, эта идея родилась независимо от негативных явлений в экономике. Компания, которая поставляет аутсорсинговую услугу, всегда строит финансовые модели исходя из тех затрат, которые понесет заказчик. Аутсорсинг как услуга умрет, если его стоимость будет выше, чем издержки заказчика для организации такого же сервиса собственными силами.

Важным фактором является небольшое количество квалифицированных специалистов по информационной безопасности на рынке. Если крупная компания может себе позволить достаточный штат квалифицированных сотрудников, то небольшой организации эти люди оказываются не по карману. В этот момент на помощь приходят аутсорсинговые компании, которые могут предложить услуги ИБ-специалистов по более низким ценам за счет «расшаривания» их функционала между группой заказчиков.

CNews: Какова экономия от использования аутсорсинга?

Алексей Гришин: Можно говорить как минимум о 20% экономии. В реальности же из-за конкуренции на рынке этот процент еще выше. Если брать среднюю по численности и ИТ-инфраструктуре компании с не очень сложным парком средств информационной безопасности, то аутсорсинг будет обходиться в два раза дешевле, чем обеспечение поддержки ИБ-сервисов собственными силами.

Популярные технологии

CNews: Вы сказали, что спросом пользуются решения SOC и BI Security. Какие еще перспективные технологии вы могли бы отметить?

Алексей Гришин: С точки зрения экономической эффективности мне бы хотелось обратить внимание на технологии противодействия мошенничеству (AntiFraud). Мы уже несколько лет развиваем это направление, но этот год стал показательным – мы обеспечиваем гарантированный возврат украденных денежных средств, а не только предотвращаем потери. Более того, на сегодняшний день уже есть прецедент, когда материалы, собранные нами при анализе данных, были переданы нашим заказчиком в суд. AntiFraud-система в этом случае выявляет мошенничество на уровне контрольных процедур и одновременно является источником данных для сбора доказательств.

Тема борьбы с мошенничеством сегодня она вышла на тот уровень, когда, кроме показателей бизнес-эффективности, мы можем оперировать терминами социальной ответственности. Сегодня мало обеспечить безопасность канала ДБО, необходимо внедрять «антифрод для людей» – системы защиты на кроссканальном уровне, выстраивая логику их работы таким образом, чтобы максимально сократить риск потерь для клиентов организаций. И именно ИБ-сообщество должно выступать локомотивом этой идеи: мы к этому готовы с технологической точки зрения, понимаем, как добиться эффективности этого подхода.

Однако пока нет единого для всех участников сообщества места сбора и хранения данных о мошеннических схемах – такой высокоуровневой репутационной базы, своего рода CERT`а с AntiFraud-спецификой. Что мы имеем сейчас? Разрозненные базы знаний, которые аккумулируются в прямом смысле слова вокруг конкретных «голов» ИБ-сообщества. Нет сколько-нибудь серьезного аналитического и организационного инструмента, позволяющего собрать все знания воедино и перевести борьбу с киберпреступлениями в финансовой сфере на качественно более высокий уровень. Как результат, злоумышленники имеют возможность успешно применять одну и ту же схему мошенничества не для одного–двух–трех банков, а «веерно» накрывать ею иногда десятки организаций. Принцип прост донельзя: злоумышленники обкатали схему в одном банке, ИБ-службы банка выявили факт мошенничества, провели расследование и «прикрыли лавочку», а злоумышленники ту же схему «понесли» во второй банк, потом в третий и т.д. Глобальный аналитический и организационный AntiFraud-инструмент при этом позволил бы уже на этапе первичного выявления действующей мошеннической схемы распространить алгоритм противодействия на все банковское сообщество разом. Это то, чего сегодня реально не хватает. Но, справедливости ради, хочется отметить, что тема антифрода эволюционирует по пути, схожему с развитием концепции SOC остроения – так или иначе мы придем к созданию глобального антифрод-инструмента типа CERT.

Направление ИБ в компании «Инфосистемы Джет»

CNews: Какое место доходы от ИБ занимают в структуре выручки компании «Инфосистемы Джет»?

Алексей Гришин: За последние 4–5 лет на направление информационной безопасности приходится 15–17% выручки компании. В текущем году данное соотношение сохранится, при этом в рублевом эквиваленте доходы ИБ-направления увеличатся на 10–12%.

CNews: Какова отраслевая структура выручки от ИБ?

Алексей Гришин: Значительно снизился спрос со стороны банков, которые ранее выступали в качестве ключевых заказчиков. Проекты для телекоммуникационных компаний остались на прежнем достаточно высоком уровне. Положительную динамику показал сектор ТЭК: с этой стороны, как я уже отмечал ранее, мы видим серьезные инвестиции в создание ситуационных центров, систем мониторинга и оценки эффективности информационной безопасности.

CNews: Ваши ближайшие планы?

Алексей Гришин: Если говорить о стратегических планах развития, то, в первую очередь, мы планируем и далее совершенствовать качество производства. Наши умения дают нам возможность с легкостью осваивать новые решения и выводить их на рынок. Сервисы очень многих компаний остаются невостребованными из-за низкого качества услуг, и многие игроки начинают попросту демпинговать. Но политика демпинговых цен носит краткосрочный характер – на длительной дистанции такие компании будут вынуждены либо поднять цены, либо уйти из бизнеса. Наш конек – высокое качество, сильная отраслевая экспертиза и базы накопленных знаний. Мы видим дополнительный импульс для развития нашего направления ИБ в «бесхозных» заказчиках, которые останутся после ухода с рынка таких разорившихся игроков.

Павел Лебедев

Вернуться на главную страницу обзора