Спецпроекты

oбзор

Обзор: Рынок ИТ: итоги 2019

Иван Мелехин, «Информзащита»

Иван Мелехин, «Информзащита»:
После пандемии появятся виртуальные компании с ресурсами в облаках и сотрудниками в коворкингах

О том, как изменился рынок информационной безопасности под влиянием пандемии, почему так важно иметь полноценный SOC и как он должен выглядеть, в интервью CNews рассказал Иван Мелехин, директор по развитию компании «Информзащита».

CNews: Расскажите, какие важные тренды вы можете отметить по итогам 2019 года как на глобальном, так и на российском ИТ-рынке?

Иван Мелехин: В 2019-м и первой половине 2020 года наблюдался рост ущерба от кибератак. По данным Сбербанка России, потери российской экономики от деятельности хакеров в 2019 году составили около 2,5 трлн рублей, в 2018 году — 1,5 трлн рублей. В 2020 году этот показатель может увеличиться до 3,5-3,6 трлн рублей. По данным Министерства внутренних дел РФ, в первом квартале этого года число киберпреступлений выросло почти вдвое по сравнению с аналогичным периодом 2019 года. Количество ИТ-преступлений выросло на 83,9% и достигло 19,9% от общего числа совершенных преступлений. С такими цифрами сложно переоценить важность информационной защиты бизнеса.

В первом квартале 2020 в связи с массовым переходом на удаленку число кибератак увеличилось еще больше, потому что возросло количество точек, через которые можно попасть в инфраструктуру.

В нашем центре мониторинга мы обычно наблюдаем более 4 миллионов попыток проникновений в год на подконтрольную инфраструктуру, и этот показатель — не предел. Уже в начале года, в период пандемии, был скачкообразный всплеск количества кибератак. В первую очередь, выросло количество различных фишинговых атак, направленных на удаленных пользователей, большая часть которых эксплуатировали тему коронавируса. Также увеличилось количество попыток проникновения в корпоративные сети через вновь организованные точки доступа — VPN шлюзы, терминальные сервера. Если говорить о цифрах, то количество наблюдаемых нашим SOC событий типа «Компрометация актива» выросло по сравнению с январем 2020 года на 48%, а связанных с вредоносным ПО — на 20%.

CNews: Какие знаковые события произошли на рынке? Какие технологии и подходы набирают силу?

Иван Мелехин: Несомненно, самым знаковым событием стал массовый переход сотрудников на удаленку и связанный с этим рост спроса на ИБ-решения, в особенности, по сервисной модели. Заказчики хотят получить готовый сервис и избежать капитальных вложений. Усилился спрос на облачные решения, которые, с одной стороны, дают возможность организовать доступ к ним откуда угодно, а с другой, применять более прогрессивные методы защиты.

CNews: Каковы ваши ключевые показатели по итогам года? Какую динамику вы ожидаете по итогам 2020 года?

Иван Мелехин: По итогам 2019 года наша выручка составила 6,5 млрд рублей, что на 14% больше, чем в 2018 г. В начале 2020 года по сравнению с прошлым годом компания показала рост, потому что при переходе на удаленку у предприятий вскрылось много проблем в безопасности, и услуги по защите информации были востребованы.

Динамику сложно выразить в конкретных цифрах, так как прогнозы — дело неблагодарное, но отрасль информационной безопасности за последние пять лет получила достаточно серьезное развитие и стремительно растет дальше. Катализаторами этого процесса являются цифровизация экономики и бизнеса и увеличение числа киберугроз.

Если же говорить о результатах нашего Центра мониторинга, то мы показываем рост существенно выше рынка. Можно сказать, что число наших клиентов увеличилось в разы.

CNews: Что пользовалось наибольшим спросом среди ваших заказчиков? Какие ключевые проекты вы продвигали на рынок?

Иван Мелехин: Наибольшим спросом пользовались услуги, связанные с обеспечением безопасности государственных систем и сервисов. Также были востребованы услуги техподдержки. Очень хороший рост показало направление мониторинга кибербезопасности, увеличивался спрос на наши традиционные услуги, такие как внедрение различных средств защиты, разработка нормативной документации, консалтинг и так далее. Ну и, конечно, защита критических информационных инфраструктур (КИИ) — это, как правило, предприятия непрерывного цикла в самых разных отраслях промышленности.

В 2020 году резко выросла потребность в средствах защиты удаленного доступа и облачной инфраструктуры, в услугах мониторинга кибербезопасности в условиях, когда инфраструктура развернулась в сторону удаленки и облаков.

CNews: Вы оказываете услуги по построению корпоративных ситуационных центров информационной безопасности. Какой технологический стек вы для этого используете?

Иван Мелехин: Мы оказываем широкий спектр услуг как заказчикам, которые требуют выполнения требований 187-ФЗ о критической инфраструктуре и заинтересованы в мониторинге традиционной корпоративной среды, так и клиентам, которые активно используют облачную инфраструктуру. У нас очень богатый технологический стек. Если говорить о построении Центров мониторинга на стороне заказчика, то в зависимости от регуляторных требований мы используем либо продукцию ведущих отечественных вендоров, либо решения IBM. В качестве ядра своего коммерческого SOC мы используем SIEM IBM qRadar. На рынке существуют аналоги от различных вендоров, но мы сделали выбор в пользу qRadar, так как имеем давние партнерские отношения с IBM, обладаем самыми высокими партнерскими статусами компетенций наших сотрудников и на момент выбора платформы SOC нам были предоставлены оптимальные условия, обеспечивающие высокое качество сервиса и конкурентную цену. Для выполнения всех законодательных требований мы используем и отечественное ПО (КЦ Госсопки), и OpenSource-решения. Безусловно, мы работаем и с другими производителями, установленными у заказчика, в случае гибридной схемы подключения.

CNews: Расскажите о наиболее интересном внедрении Центра мониторинга, которое произошло за последний год.

Иван Мелехин: Могу привести интересный пример, не совсем связанный с киберугрозами и атаками. Мы внедряли Центр мониторинга для одной крупной производственно-добывающей компании. Были выявлены существенные проблемы с одним из подрядчиков, который осуществлял эксплуатацию ИТ-подсистем, что привело к существенному пересмотру политики взаимодействия с заказчика с подрядчиком и ряду кадровых перестановок. Таким образом, наличие Центра мониторинга подсветило ряд чисто ИТ-шных, организационных проблем и привело к повышению эффективности работы.

CNews: Как вы считаете, с какими трудностями сталкиваются российские компании при создании Центр мониторингов? Какие ошибки вы бы назвали наиболее распространенными?

Иван Мелехин: Основная ошибка, с которой мы сталкиваемся, заключается в недооценке ресурсов и времени, которые требуются для создания собственного Центра мониторинга. На второе место я бы поставил переоценку собственных возможностей последующей эксплуатации.

Наша компания оказывает как услуги по построению SOC, так и сервисные услуги, и нашими заказчиками очень часто становятся те, кто сначала потратил год-полтора на строительство собственного SOCа, а потом в течение года пыталcя его эксплуатировать. Только после этого пришло понимание, что у них нет достаточного количества ресурсов, чтобы поддерживать созданную инфраструктуру в состоянии, адекватном постоянно меняющимся вызовам и угрозам. И они поняли, что нужно привлекать внешние силы.

Многие считают, что достаточно купить программу, установить ее, а дальше она сама будет работать. К сожалению, так не бывает, любая программа – это только инструмент. А к инструменту нужны руки, которые с ним будут работать.

CNews: Какие надо иметь мощности в компании для того, чтобы создать свой SOC и потом обеспечивать его поддержку?

Иван Мелехин: По нашим оценкам, ежегодные затраты на использование SOC по сервисной модели в три-четыре раза меньше, чем на создание собственного. То есть, через 4-5 лет Opex начнет превосходить Capex, но до этого момента внешний сервис выгоднее. При этом не надо забывать о необходимости сопровождения и ежегодной модернизации собственной инфраструктуры, что тоже стоит значительных денег.

Немаловажно и то, что на строительство своего SOCа потребуется год-полтора. И все это время, если вы не используете внешний сервис, вы тратите деньги, оставаясь незащищенными. То есть имеет смысл привлекать внешнего подрядчика, который на время строительства взял бы на себя мониторинг вашей инфраструктуры.

Есть еще кое-что. Банальный пример — перед тем, как вы решитесь купить BMW последней модели, лучше сходить в салон, взять ее на 20 минут и покататься. И тогда станет понятно, нужна она вам или нет. Поэтому вне зависимости от того, собираетесь вы сами строить SOC или нет, я советую попробовать внешний сервис для того, чтобы, как минимум, определиться, что вы хотите получить.

С точки зрения человеческих ресурсов, минимальный состав подразделения, которое могло бы эксплуатировать свой SOC, начинается от 5-6 человек. Причем это очень редкие специалисты, которые стоят очень дорого и в любой момент могут уйти в коммерческий SOC, потому что там, с одной стороны, выше зарплата, а с другой стороны — гораздо более интересная работа.

CNews: Можно ли говорить о том, что Центры мониторинга стали одним из ключевых инструментов для обеспечения безопасности организаций? Какая обязательная функциональность должна быть в них заключена?

Иван Мелехин: Да, можно сказать, что рынок пришел к пониманию того, что SOC — это одна из вершин системы обеспечения информационной безопасности. Он агрегирует все инциденты, риски и угрозы, с которыми сталкивается организация, и предъявляет их сотрудникам службы ИБ и руководству. Без SOC получить полное понимание того, что происходит в организации, невозможно.

В списке обязательных функций SOC — мониторинг событий информационной безопасности из набора источников, которые покрывают все рисковые зоны организации, и их анализ в соответствии с адекватным набором сценариев. С точки зрения реагирования на угрозы возможны разные варианты. Это реагирование внутри SOCа, реагирование силами подрядчики или ИТ-подразделения.

CNews: Помогаете ли вы компаниям, которые хотели бы расширить функциональность своих Центров мониторинга? Можете ли вы привести пример подобного кейса?

Иван Мелехин: Да, мы помогаем компаниям, которые хотят расширить функциональность своих SOCов. Например, если у них есть не SOC, а SIEM с небольшой производительностью, мы можем дополнить его сервисами без существенной модернизации и вложений. Также мы предлагаем перейти на сервисную модель с учетом тех наработок, которые уже есть у заказчика, либо взять на себя эксплуатацию Центра мониторинга, фактически предоставив заказчику компетенции наших сотрудников.

Например, заказчик давно эксплуатирует свой SIEM и осуществляет миграцию части инфраструктуры в облако. Многие облачные провайдеры предоставляют сервисы облачного SIEM, и мы в свою очередь можем провести настройку и интеграцию этих решений, для того чтобы, с одной стороны, получать единую картину, а с другой, максимально эффективно использовать ресурсы. И затем начать оказывать сервис мониторинга киберугроз по гибридной схеме, снимая с компании вопросы эксплуатации и поддержания сложных решений.

CNews: Как вашей компании удалось пройти период пандемии?

Иван Мелехин: Мы ушли на самоизоляцию в конце марта и вернулись на работу в конце июня. До этого у нас были отдельные сотрудники, которые работали удаленно, но после массового перехода на такой режим мы поняли, что эту практику можно расширять.

Сейчас некоторые подразделения обдумывают возможность удаленной работы своих сотрудников. Однако есть и те, для кого это совершенно не подходит, например, коммерческая дирекция. В любом случае, в каждом конкретном случае этот вопрос решается индивидуально: у некоторых людей на удаленной работе и эффективность, и мотивация увеличивается, а у некоторых, наоборот, падает.

CNews: Как вы считаете, насколько серьезно пандемия изменит рынок?

Иван Мелехин: Переход на удаленную работу стал серьезным испытанием для систем информационной безопасности. Компании, у которых были собственные SOC, вынуждены были оперативно их перестраивать. Те, кто пользовался услугами внешних провайдеров, оказались в более выигрышном положении — им достаточно было просто добавить новые сервисы. Как они прошли стресс-тест, пока рано говорить — статистика свидетельствует, что многие компании, особенно некрупные, узнают о последствиях взлома через полгода-год, когда понимают, что наступившие финансовые или бизнес-неурядицы стали их следствием. Поэтому сейчас еще рановато делать окончательные выводы.

Если говорить о возможном влиянии на рынок, то многие компании, с которыми мы общаемся, до сих пор находятся на удаленке, и намереваются сохранить такой режим до сентября. Возможно, это приведет к изменению на рынке труда: столичным компаниям станет проще привлекать на работу сотрудников из регионов. Для регионов это, наверное, не очень выгодно — на местные рынки выйдут большие компании с высокими зарплатами.

С точки зрения технологий, я думаю, что опыт пандемии приведет к росту спроса на облачные сервисы. И вообще, компании начнут меньше инвестировать в собственную инфраструктуру, а будут строить виртуальные организации, где все ресурсы расположены в облаке, а сотрудники — в коворкинге.

Вернуться на главную страницу обзора