CNews: Российский рынок ИТ переживает не лучшие времена. Как чувствует себя сегмент информационной безопасности? Какие результаты он покажет по итогам 2015 г.?

Алексей Мальнев: Мировой рынок ИБ растет в среднем на 8–10% в год. Российский рынок тоже развивается, находясь в положительном тренде в текущий кризисный период из-за того, что его рост катализируется своими специфичными факторами. Во-первых, в непростой геополитической ситуации риски киберугроз резко возрастают. Существуют исследования, доказывающие корреляцию политических событий, в частности, происходивших на Украине, с уровнем сетевых атак на государственные организации, банки, СМИ и крупные компании в России. Следовательно, растет потребность в средствах предотвращения этих угроз. А во-вторых, это курс на импортозамещение, который стимулирует российские компании разрабатывать собственные как программные, так и хардверные решения в сфере ИБ. Правда, особенность нашего рынка ИБ состоит в том, что рост рынка происходит в отечественной валюте, которая к сожалению, весьма волатильна. Поэтому абсолютный рост рынка в долларовом исчислении может в 2015 году показать и отрицательный результат при фактическом росте на услуги в области ИБ.

Многие наши коллеги по отрасли отмечают, что сегодня у них как никогда много работы. В последний раз такое наблюдалось еще до кризиса. Да, рынок ИТ в целом переживает не лучшие времена, но сегмент ИБ активно растет. В числе крупнейших заказчиков ИБ-решений силовые структуры, растет спрос на ИБ и со стороны промышленных предприятий, ТЭК – всех тех, кто использует АСУ ТП. Большой потенциал и у аграрно-промышленного комплекса. Думаю, тема обеспечения информационной безопасности получит новый толчок к развитию после принятия закона о безопасности ключевой информационной инфраструктуры (КИИ), которое ожидается в 2016 г.

CNews: Какие решения наиболее востребованы вашими заказчиками?

Алексей Мальнев: Сегодня заказчики больше интересуются услугами по информационной безопасности, чем покупкой оборудования и решений. Услуги в сфере ИБ – наиболее динамично развивающийся сегмент. Речь идет, в первую очередь, об аудите информационной безопасности и сервисе Security Operation Center (SOC). В рамках сервиса SOC у заказчика создается Центр информационной безопасности, который осуществляет экспертный проактивный мониторинг.

Оборудование и решения, как я уже говорил, востребованы значительно меньше, скорее всего, потому, что они существенно подорожали в рублях. Кроме того, в предыдущие годы заказчики покупали их достаточно активно, и сегодня пришло время оптимизировать их использование и добиться максимальной эффективности.

По-прежнему востребовано программное обеспечение, и здесь, как я уже говорил, приоритет при прочих равных отдается российским разработкам. Импортозамещение в этом сегменте идет существенно активнее, чем в сегменте оборудования. Это связано с тем, что для производства программного обеспечения нужны квалифицированные программисты и соответствующий опыт. Все это у нас есть. В то время как импортозамещение «железа» требует развития промышленности в области электроники, создания заводов по производству микроэлектроники, микропроцессоров и т.д., а это огромные инвестиции и длительное время. К тому же, издержки бизнеса компенсирует рынок и, если быть точнее, – его размер. Мы не можем, да и, на мой взгляд, нам не нужно развивать отрасли, если мы не планируем в них выходить активно на внешние рынки. Наш рынок существенен, но все равно маловат для отраслей, требующих больших капиталовложений. Малый рынок сбыта делает наши товары дороже и менее конкурентоспособными. Тот, кто может сбыть продукцию на глобальном рынке – имеет возможность демпинговать. Именно поэтому в современной глобальной экономике идет борьба за рынки сбыта.

CNews: Какова доля импортного и отечественного оборудования на этом рынке?

Алексей Мальнев: До кризиса российские продукты занимали около 20% рынка. Сегодня, на мой взгляд, их доля составляет не менее 50%, а может быть и больше. Например, государственные учреждения закупают чаще отечественные продукты.

CNews: Меняется ли модель угроз для российских компаний и госорганизаций?

Алексей Мальнев: Да, меняется не только для российских компаний, но и для всего мира. Все более актуальными становятся так называемые нацеленные атаки – по-английски это называется APT (Advanced Persistant Threat) - угрозы. Нацеленные атаки – это когда какую-то информационную систему компании или организации методично, шаг за шагом взламывают в течение нескольких лет. Для этого используются все возможные методы, начиная от социальной инженерии (например, звонков с просьбой сказать пароль и dumpster diving - изучение содержимого мусорных баков с целью отыскать полезные данные) до чисто технических мер.

Например, компания «Лаборатория Касперского» рассказала об угрозе под названием «Красный октябрь», которой в течение нескольких лет подвергались крупнейшие государственные и военные организации, дипломатические корпуса, компании ТЭК. Злоумышленники получали доступ ко всем потенциально интересным и ценным материалам, вплоть до телефонных переговоров, документов и пр. Сейчас такие угрозы становятся трендами в области информационной безопасности.

Если говорить об отдельных сегментах ИБ, то там тоже существуют интересные закономерности. Например, в сфере DDoS становятся популярными два типа атак. Первый - это так называемые медленные атаки. Если раньше сервер просто забивали большим количеством трафика, то теперь злоумышленники используют уязвимости стека протоколов либо отдельных прикладных сервисов. При этом трафик остается низкоинтенсивным и детектировать наличие атаки по поведению (например, нетипичным всплескам уровня трафика) очень сложно.

Второй тип – amplification-атаки, использующие недоработки протоколов. Суть атаки чаще всего заключается в провоцировании гигантских всплесков уровня трафика от легитимных сервисов или пользователей в сети Интернет. Путем подмены IP-адресов злоумышленники делают так, что тысячи серверов по всему миру начинают отправлять на один и тот же сервер информацию о том, кто к ним обращался. В результате чего он падает. Один из ярких, и, к сожалению, популярных примеров – NTP Amplification Attack. В 2014 году данных тип атак стал причиной инцидентов многочисленных атак, интенсивностью сотни гигабит в секунду каждая. Инфраструктура далеко не каждого провайдера выдержит такое без последствий.

Все описанные угрозы характерны не только для России, а для всего мира. Вообще, наша страна в этом отношении находится не в худшем положении. Например, в США ИБ-инцидентов происходит значительно больше. Так, Соединенные Штаты лидируют по числу инцидентов в сфере информационной безопасности АСУ ТП. Это вызвано тем, что, во-первых, в этой стране достаточно высокий уровень информатизации промышленных предприятий, а, во-вторых, очень много систем подключено к интернету несмотря на то, что стандартами безопасности это запрещается.

Россия исторически уделяла пристальное внимание вопросам информационной безопасности. Кроме того, если говорить про АСУ ТП, то в нашей стране уровень информатизации промышленности существенно ниже, на многих предприятиях до сих пор стоит оборудование 80-90-х годов.

CNews: Но там, где происходит модернизация, устанавливается современное оборудование, причем, в основном, западного производства. Насколько справедливы утверждения о том, что это небезопасно?

Алексей Мальнев: Это действительно так. Широко известен случай, когда вирус Stuxnet проник на одно из предприятий по обогащению урана в Иране и парализовал его работу. В более узких кругах обсуждаются и другие инциденты. Например, один иранский инженер вскрыл программируемый контроллер и обнаружил внутри него GSM-модуль, с помощью которого можно было удаленно воздействовать на оборудование.

У нас на предприятиях информационная безопасность внедряется либо в случае глубокой модернизации производства, либо при создании нового предприятия с нуля. На уже существующем производстве мало кто рискует производить существенные изменения. Ведь главные люди там те, кто отвечает за выпуск продукции – то есть специалисты АСУ ТП. Зачастую и они сопротивляются задачам ИБ, поскольку эти задачи, по их мнению, могут угрожать задачам непрерывного производства. Понять их можно, но наша задача – объяснить на языке АСУ ТП, ITи ИБ необходимость защиты и безопасность наших мер производству. В идеале проектная организация и подрядчик должны иметь в штате квалифицированных инженеров разной специализации: как АСУ ТП, так и ИБ.

CNews: Изменились ли бюджеты на ИБ у ваших заказчиков?

Алексей Мальнев: По сравнению с 2014 г. в рублях они в среднем выросли, а в долларах, конечно, в среднем сократились. В целом с области ИБ все не так плохо. В общем информационная безопасность характерна большим количеством узких специализаций по решениям. Это влечет за собой появление большого количества неконкурирующих друг с другом продуктов от разных производителей, и существенная часть из них – программное обеспечение. И это обеспечивает возможность развития отечественных производителей. Кроме того, как я уже говорил, компании стараются оптимизировать свои расходы и покупать не оборудование, а услуги, например, такие как SOC. И это является основным стимулом для роста рынка ИБ в настоящее время.

CNews: В 2015 г. «АМТ-ГРУП» вывела на рынок систему однонаправленной передачи данных InfoDiode. Расскажите подробнее об этом решении, в том числе и о его применении в сфере обеспечения безопасности АСУ ТП.

Алексей Мальнев: Компания «АМТ-ГРУП» занимается промышленной информационной безопасностью уже семь лет. За это время мы не раз внедряли однонаправленные системы передачи данных у наших заказчиков и в полной мере прочувствовали сильные и слабые стороны подобных решений.

В нашей компании есть подразделение разработчиков, и мы решили, что готовы самостоятельно создать максимально конкурентоспособное решение. От зарождения идеи до сертификации прошло 2 года, и в 2015 г. мы вывели на рынок продукт, который по соотношению цена-качество-производительность можно сравнить с лучшими мировыми решениями в этой области. Сегодня мы завершили пилотные проекты по внедрению InfoDiode у крупных заказчиков сегмента ТЭК и финансового сектора, в ходе которых заказчики проверяют его функциональность, работоспособность, защищенность.

InfoDiode обеспечивает передачу трафика только в одном направлении. Это значит, что мы можем из защищенного сегмента выгружать данные наружу, но при этом точно и на 100% знаем, что потенциальный внешний злоумышленник не сможет проникнуть внутрь. Такие гарантии целостности необходимы для тех же АСУ ТП. И наоборот, загружая данные в критичный сегмент, мы гарантируем конфиденциальность данных критичного сегмента.

Эта однонаправленность реализуется тремя компонентами – два прокси-сервера, взаимодействующие с сегментами, и центральная аппаратная компонента. Центральная компонента по сути является достаточно простым оптическим повторителем, у которого на одной из сторон нет приемника. То есть данные через него могут идти только в одном направлении. Несмотря на простоту центрального устройства, ему отводится ключевая роль – он отвечает за реализацию однонаправленности на аппаратном уровне. Там, где есть программная реализация, например, межсетевой экран либо другое средство защиты, заведомо будут уязвимости. Когда мы сталкиваемся с APT-угрозами, то противостоять им на программном уровне очень сложно. Наше устройство исключает большинство внешних атак, так как ключевую функцию безопасности выполняет аппаратное устройство однонаправленной передачи. Но основная логика InfoDiode (и это то, что выгодно отличает наше решение от конкурентов) – в реализации прокси-сервисов.

Плюс ко всему, мы предусмотрели и реализацию двунаправленной схемы использования инфодиодов, несмотря на то, что в этом случае обратная связь уже потенциально возможна. Но потоки связи развязаны, благодаря чему такая схема защищена на порядок выше традиционной. Дело в том, что, например, в случае взлома межсетевого экрана злоумышленник воздействует на него снаружи и сразу получает обратную связь. Если же каналы прямой и обратной передачи развязаны, то для получения обратной связи нужно взломать оба InfoDiode-а фактически вслепую, действуя только в одном направлении.

Одной из ключевых задач при разработке этого решения была его оптимизация и прохождение разного рода сертификации. Поэтому мы использовали отечественную аппаратную базу – это российские сервера, аппаратные устройства, схемотехника. В качестве операционной системы была выбрана ОС AstroLinux – решение, которое используется российскими военными организациями и имеет сертификаты ФСТЭК, ФСБ и Министерства обороны. Программное обеспечение, как я уже говорил, разработано нашими специалистами и тоже сертифицировано ФСТЭК. В результате, нам удалось создать производительное, сертифицированное решение с удобным современным интерфейсом и уникальными функциями.

CNews: С 2014 года АМТ ГРУП развивает экспертный сервис информационной безопасности Security Operation Center (SOC). В 2015 г. на его базе была реализована автоматизированная система бизнес-аналитики процессов ИБ. Какие возможности он предоставляет заказчику?

Алексей Мальнев: Сервисы, подобные SOC, стали трендом последних лет. Однако все понимают этот термин по-разному. Кто-то считает, что речь должна идти о предоставлении облачных услуг по сбору, мониторингу и корреляции событий и инцидентов информационной безопасности. Кто-то понимает SOCкак построение центров информационной безопасности на стороне клиента. С нашей точки зрения SOC – это, в первую очередь, услуга по организации информационной безопасности.

Как реализуется центр информационной безопасности? Он может быть создан как на нашей площадке в облаке, так и на площадке заказчика. Какие продукты, инструменты будут использоваться в рамках SOC – все это обсуждается с клиентом, который в итоге получает готовую опексную модель. В состав этой модели входит не только настроенный и подготовленный центр информационной безопасности, из которого он получает готовые отчеты, но и квалифицированная экспертиза наших инженеров. Помимо этого, в рамках SOC заказчик опять же как сервис получает набор инструментов – межсетевое экранирование, антивирус и прочее.

В идеале SOC должен предоставлять данные на операционном уровне ИБ, на уровне управления ИБ, на уровне бизнеса. Сейчас мы активно развиваем направление по предоставлению заказчикам не просто информации об инцидентах информационной безопасности, но и бизнес-аналитики в SOC. Причем с той детализацией, которая необходима им для принятия бизнес-решений. Подразделениям ИБ такая аналитика позволяет наглядно показать руководству результаты своей работы и обосновать инвестиции. В свою очередь, бизнес сможет проконтролировать, насколько эффективно работает подразделение ИБ.

CNews: Как будет развиваться сфера информационной защиты государства и бизнеса в течение ближайших 2–3 лет?

Алексей Мальнев: Сейчас на рынке появляется огромное количество новых решений. Часть из них, конечно, отсеется со временем, а оставшаяся часть будет развиваться и унифицироваться. Под унификацией понимается совмещение функций ИБ разных продуктов в одном решении. Есть технологические циклы повышения специализаций решений (на этапе технологического прорыва) и есть циклы унификации решений (на этапе прикладного совершенствования существующих технологий). На мой взгляд, в ИБ мы сейчас на втором этапе – в большей степени мы совершенствуем все то, что появилось в последние 10 лет.