CNews: Как изменился характер киберугроз за прошедший год?

Максим Степченков: Изменения связаны с двумя ключевыми датами: 24 февраля и 21 сентября 2022 года. После 24 февраля понятие о кибербезопасности в России изменилось принципиально. Если раньше мы всем миром боролись против киберпреступников, то теперь киберпреступники стали кибервойсками — официально, не скрываясь и не таясь. Предположим, есть некая преступная группировка в недружественной нам стране — например, Латвии или Польше. Раньше они занимались тем, что выманивали деньги у коммерческих структур. За это они рисковали попасть в тюрьму, поскольку спецслужбы разных стран сообща с ними боролись. Теперь совместной борьбы не стало, напротив: за взлом российских организаций, будь то коммерческие или госструктуры, могут даже заплатить.

Второе большое изменение произошло 21 сентября. Если в начале весны 2022 мы наблюдали первую волну оттока людей и компаний, то вторая, осенняя, была значительно больше. Многие специалисты живут за рубежом, работают на российских разработчиков и могут иметь доступ к системам, критическим с точки зрения информационной безопасности.

Помимо этого, многие игроки просто ушли с российского рынка, оставив здесь только небольшую долю своего бизнеса.

CNews: С какими угрозами чаще всего сейчас сталкиваются российские компании?

Максим Степченков: Я повторяю одну и ту же фразу каждый год, а в прошлом году она стала еще более актуальной: Неуловимого Джо давно нет. Атакуют всех. Если раньше мы говорили о цели выманить побольше денег, то сейчас атакуют просто для того, чтобы отключить систему. Любой компании, не важно, есть у нее деньги или нет. Если это госструктура, целей может быть несколько: нарушение конфиденциальности, разрушение недоступности систем. К этому добавился политический момент. Не имеет значения, что за компания — госструктура, крупный, малый или средний бизнес, — если у нее на сайте будет размещена информация, компрометирующая российскую армию, это может быть серьезным ударом по ее имиджу, и вам еще предстоит доказать, что вас взломали. Поэтому сейчас атакам подвергаются все. С целью украсть информацию, что-нибудь нарушить, изменить, выложить. Или с целью отключить систему.

CNews: Можно ли выделить сегмент рынка, представители которого чаще подвергаются атакам?

Максим Степченков: Если в 2021 году мы могли говорить о том, что основная цель — это компании финансового сектора и ретейла, а прочие рискуют меньше, то в прошлом году акцент сместился в сторону госсегмента, объектов критической информационной инфраструктуры, СМИ и всего, что связано с охраной важных объектов.

Сейчас атака идет в первую очередь на организации, где можно получить информацию, которая может пригодиться врагу. Фактически хакеры враждебных стран используются как кибервойска, чтобы получить эту информацию.

CNews: Как вы могли бы охарактеризовать состояние российского рынка ИБ на сегодняшний день?

Максим Степченков: Как вакханалию. Я, конечно, пытаюсь отшутиться, но в каком-то смысле так и есть. Люди почувствовали, что есть огромная свободная ниша, и все побежали ее занимать: создадим еще множество новых межсетевых экранов, столько же SIEM и остальных продуктов, и у нас все купят.

К счастью, заказчик не настолько глуп, он все-таки проводит тестирование, проверку. Но тем не менее можно говорить о подрыве рынка. Заказчики начинают тестировать одно, другое, третье решение, и у них складывается ощущение, что все российские разработки — это… ну, не очень, будем говорить так.

Что с этим можно было бы сделать? Устанавливать критерии качества, требовать обязательную сертификацию — неправильно. Будучи сторонником поддержки малого и среднего бизнеса, я всегда говорил, что мы должны поддерживать небольшие компании. С одной стороны, стоило бы поддерживать каждый стартап, потому что из каждого может вырасти что-то хорошее. С другой, один или несколько неудачных стартапов могут испортить отношение к всему рынку. Требовать от компаний проходить тестирование после того, как они уже внедрили решения в десяти компаниях? Стартапу сложно набрать эти десять компаний. Требовать наличия сертификации тоже очень тяжело.

Поэтому я считаю, что в рамках крупных государственных организаций и инициатив было бы полезно не просто давать гранты на развитие проектов, но и выделять полигонные площадки для тестирования и получения оценок. Желательно, чтобы мы получали от какого-то ведомства — независимого, никем не ангажированного, — контроль качества в сфере ИТ, который выдавал бы оценки по некоему ГОСТу и говорил: система прошла тестирование, можно пилотировать у заказчиков. Пока этого не произойдет, отношение к российскому рынку останется негативным.

CNews: Можно ли выделить общие сильные и слабые места отечественных решений?

Максим Степченков: Можно. Если мы говорим про сильные места, то это очень грамотные специалисты. Мы можем быстро и качественно создать то, о чем сами и не догадывались. Если говорить о слабой стороне отечественного рынка, то она кроется в том, как он вообще появился. Весь российский рынок, что ИБ, что ИТ, начинает формироваться тогда, когда либо появляется указание сверху, либо возникает необходимость в импортозамещении: хочешь не хочешь, а ты покупаешь российский продукт. В результате появилось несколько классов решений, которые были навязаны государством для выполнения тех или иных федеральных законов, и они сильно отстают от международного рынка. Многие производители, получив доступ к регуляторике, слишком часто работают по принципу любимой фразы ИТ-специалистов: «Работает — не трожь». Если некое решение приносит деньги, зачем его развивать.

CNews: В чем сильные стороны RuSIEM?

Максим Степченков: Мне очень понравилось, как нас охарактеризовал один из наших заказчиков, который сказал, что у нас самая высокая скорость работы техподдержки и самое адекватное соотношение цены и качества. У нас есть весь необходимый функционал и при этом мы быстрее всех откликаемся на запросы и потребности, возникающие во время работы. Это важно и перекликается с темой, о которой я говорил выше: проблемы крупных вендоров в том, что они, имея свою долю рынка и свой роудмап, ничего не хотят менять, потому что им это не нужно и не интересно.

CNews: Эффективная комплексная киберзащита – это дорого?

Максим Степченков: Эффективная комплексная киберзащита — это очень дорого. Но проблема даже не в том, что это дорого. Это сложно, если у вас нет грамотных специалистов. Что с этим делать. Если у вас нет больших бюджетов, то вы не сможете выстроить систему своими силами. Поэтому, поработав со многими компаниями в Москве и регионах, могу сказать: попробуйте посмотреть в сторону сервиса с оптимальным соотношением цены и качества. Например, вот есть проект: если выстраивать защиту собственными силами, выходит не одна сотня миллионов рублей. При этом та же компания может себе позволить купить ИБ как сервис у внешней компании. Да, в перспективе 3–5 лет это выйдет дороже своего. Зато услугу можно получить быстро и она будет организации по силам с точки зрения затрат. Мой опыт сотрудничества с небольшими компаниями говорит о том, что переход в сервисную модель для них зачастую оптимальное решение. Либо SOC-центр может обеспечить киберзащиту за адекватную цену.

CNews: Как бы вы сформулировали, что такое эффективная система ИБ? Что она должна включать в себя?

Максим Степченков: Не люблю этот вопрос, так же как и вопрос: «А ты мне гарантируешь, что нас не взломают?» Нет, не гарантирую.

Что такое эффективная система ИБ. Можно приводить много примеров, но четкое понимание у каждого свое. Тебя не взломали, потому что ты эффективен, или тебе повезло, что тебя не взломали? Или потому, что ты никому не нужен? Или потому, что случайно мимо прошли? Или потому, что система ИБ эффективна? Или тебя никто не проверял и ты не проходил нормальные аудиты?

Кто-то может говорить: пройдите качественные пентесты. Но были случаи, когда мы проводили тестирование после лидеров рынка и выявляли огромное количество уязвимостей, которые эти лидеры пропустили.

Суммируя — понятие об эффективной ИБ сложно и субъективно. Но для меня лично эффективная ИБ это та, которая не мешает бизнесу и не мешает ИТ, у которого основная цель — цифровизация и автоматизация. Вот такую ИБ я назвал бы эффективной.

CNews: Существует стереотип о противостоянии ИТ и ИБ. Остается ли он актуальным сейчас, когда вопросы кибербезопасности вышли на первый план? Может ли спор перейти в сотрудничество и если да, что для этого нужно?

Максим Степченков: Стереотип есть, и да, они постоянно сталкиваются. Как это побороть — больше общаться, больше понимать, больше слушать. ИТ часто общается с бизнесом, а ИБ — очень редко. Компаний, в которых безопасники общаются с бизнесом, я знаю единицы. Бывает, что специалистов по ИБ допускают до совета директоров, на котором они могут поднять свои вопросы. Но привычка мыслить категориями «или безопасно — или никак» приводит к отторжению, и на следующее совещание безопасника уже никто не зовет.

Мне не очень нравится фраза «научитесь говорить на общем языке», потому что она не отражает действительности. Безопасники крайне редко вникают в детали бизнеса, в то, как он устроен, поэтому остается огромный разрыв между бизнесом, ИТ и информационной безопасностью. И если ИТ зачастую работает, исходя из нужд бизнеса и поэтому они говорят более или менее на одном языке, то ИБ, как правило, исходит из требований не бизнеса, а законодательства, и это основная сложность. Если бизнес будет ставить задачи безопасникам, сложностей будет меньше. В ответ на это часто говорят, что бизнесу не нужна ИБ. Так это ваша задача — донести информацию до руководства. Что такое закон, какие есть риски, помимо законодательства. И после этого пусть бизнес ставит перед вами задачу, а вы будете ее решать. На этой почве можно договориться.

CNews: Чего вы ждете от 2023 года в контексте состояния российского рынка ИБ? Главные тренды, ваши ожидания и прогнозы?

Будет дальнейший рост рынка, появится много новых игроков. Произойдет дальнейшее усиление регулирования и контроля рынка со стороны государства.