CNews: По вашей оценке, какова была динамика поставок ИБ на российском рынке в 2015 году в рублях и долларах? Сохранится ли она в 2016-2017 годах?

Алексей Мальнев: Анализируя общие тренды ИТ-рынка, можно сказать, что сегмент ИБ в текущий кризис не только не «просел», но и демонстрирует постоянный (хотя и небольшой) рост по ряду направлений. В целом по рынку ИБ динамика прошлого года в рублях была положительной, порядка 10%. В долларах же ощущалось падение объемов в силу общих рыночных трендов.

Если же смотреть на конкретные направления ИБ, можно отметить интересные тенденции. В структуре продаж значительно выросла доля всевозможных услуг в области ИБ. А среди решений ИБ активным спросом стали пользоваться российские разработки. На мой взгляд, это результат серьезных усилий российских компаний-разработчиков и интеграторов, стремящихся встроиться в новые рыночные реалии в условиях кризиса. Радует то, что рынок ИБ стал одним из флагманов в области импортозамещения ИТ-продуктов и решений.

Прогнозируя дальнейшую динамику, мы должны учитывать два важных фактора. Во-первых, это глобальный тренд – тотальный переход мирового бизнеса на сервисные услуги (включая ИБ), во-вторых, локальный экономический фактор – резкое сокращение денежной массы в долларовом эквиваленте. При этом рост глобального рынка ИБ в ближайшую пятилетку аналитики оценивают в пределах 5-8%. В силу уже начавшейся адаптации отечественного рынка, я уверен, что динамика небольшого, но стабильного роста сохранится при отсутствии новых потрясений в экономике. А учитывая продолжительный тренд повышения роли информации в мире, есть основания считать эту тенденцию долговременной.

CNews: Какие угрозы сейчас наиболее актуальны?

Алексей Мальнев: Если говорить в целом, то ситуация с угрозами не сильно меняется из года в год с точки зрения трендов. А вот изменение количества и интенсивности угроз заметно даже в ретроспективе одного года.

К примеру, APT (advanced persistent threat) атаки стали трендом из-за общего роста количества угроз. Десять лет назад APT тоже были, просто в целом уровень угроз ИБ был значительно ниже. Другой пример: DDoS-атаки всегда являлись одними из самых распространенных угроз в интернете, не так давно мы преодолевали рубеж 100Gbps, а в этом году объемные атаки DDoS уже переходят через рубеж 1Tbps. Если говорить об атаках на приложения, то они, конечно, становятся все более изощренными, но значительно более заметен рост количества таких атак.

Что касается совершенно новых вызовов, то здесь можно выделить интернет вещей (IoT, Internet of Things). Рост рынка устройств интернета вещей вносит новый пласт угроз ИБ всех типов. Наш прогноз: IoT по своей важности станет частью критичной инфраструктуры в течение ближайших 10 лет, и уже совсем скоро мы увидим «первые ласточки» в виде действительно серьезных инцидентов. Только представьте уровень критичности инфраструктуры интернета вещей, обеспечивающей жизнедеятельность миллиардов людей, в недалеком будущем. Такая инфраструктура становится лакомой добычей для многих групп злоумышленников. Это действительно станет новым вызовом для рынка ИБ.

CNews: Внедрение каких технологий/классов решений является трендом 2015-2016 годов?

Алексей Мальнев: Здесь я вновь вернусь к анти-APT решениям. К ним я бы отнес специализированные продукты, сочетающие в себе следующие качества: возможность глубокой инспекции на сетевом уровне (в том числе, с использованием поведенческих алгоритмов для обнаружения атак нулевого дня), инспекции на уровне узлов (рабочие станции, сервера) и наличие инструментов для протоколирования, расследования инцидентов. Тут очень важно избавиться от маркетинговых ухищрений ряда разработчиков и прийти к общей терминологии. Ведь, в конце концов, любое решение ИБ может в какой-то мере называться анти-APT. Но я предлагаю использовать в контексте анти-APT указанную выше функциональность.

CNews: Насколько вырос спрос на отечественные ИБ-продукты в связи с импортозамещением? Есть ли области ИБ, в которых у иностранных решений нет отечественных аналогов? Можете ли вы привести примеры проектов по импортозамещению?

Алексей Мальнев: По опыту нашей компании спрос на отечественные решения вырос в несколько раз. Причем мы видим несколько стимулов для этого: потенциальные проблемы с недекларированными возможностями в программных и аппаратных решениях иностранных вендоров, риски отзыва ими контрактов на техподдержку, реальное повышение уровня решений отечественных разработчиков.

Областей, не перекрываемых отечественными разработчиками, мало. Как пример можно привести класс продуктов по контролю доступа в ЛВС (семейство решений NAC). В большинстве же областей отечественные разработки не только существуют, но и не уступают иностранным аналогам – а иногда даже их превосходят.

Что касается проектов по импортозамещению, то за прошедшие два года мы провели ряд внедрений, в которых почти на 100% использовались отечественные решения. Среди них можно выделить проекты по созданию комплексных систем защиты информации на предприятиях концерна КРЭТ, входящих в «Ростех», а также большой проект по модернизации системы антивирусной защиты на одном из крупнейших ФГУП нашей страны.

CNews: В 2015 году в рамках политики импортозамещения «АМТ-Груп» представила программно-аппаратный комплекс InfiDiode. Расскажите, где он нашел свое применение.

Алексей Мальнев: Мы сделали InfoDiode действительно сильным и конкурентным продуктом среди систем однонаправленной передачи данных не только на отечественном рынке, но и на мировом: уже сейчас мы видим интерес к нему иностранных компаний и приступаем к первым пилотным проектам за рубежом. Востребован InfoDiode в силовых структурах, государственных организациях, а также в финансовом секторе рынка, в частности, в платежных системах. На наш взгляд, это удалось потому, что мы изначально ориентировались на рыночную конкуренцию, заложив в продукт ряд уникальных возможностей. Честные конкурентные сравнения говорят о хорошем потенциале InfoDiode.

В этом году мы совместно с нашими партнерами сделали несколько внедрений, в основном, для защиты критичной инфраструктуры. Чаще всего InfoDiode используют для защиты периметра на стыке между критичным сегментом и корпоративным. Такие внедрения гарантируют защиту критичных сегментов от внешних угроз, существенно снижая при этом стоимость затрат в сравнении с традиционным подходом к защите периметра. Сочетание этих двух факторов иногда становится очень сильным аргументом.

CNews: Какие законодательные инициативы оказали влияние на рынок ИБ в 2015-2016 годах? В чем заключалось это влияние?

Алексей Мальнев: За последние два года, по большому счету, никакие законодательные инициативы не оказали по-настоящему значимого влияния на рынок ИБ. Много надежд мы возлагаем на законопроект «О безопасности критической информационной инфраструктуры Российской Федерации». Это действительно давно назревший и жизненно необходимый закон.

CNews: Как реализация «закона Яровой» отразится на рынке ИБ? Производителям каких решений будет выгодно введение этого закона?

Алексей Мальнев: Я думаю, что влияние по характеру будет схоже с влиянием от повсеместного внедрения СОРМ (Система технических средств для обеспечения функций оперативно-розыскных мероприятий) в свое время, но только в больших масштабах. Вообще, «закон Яровой» – это больше про обеспечение государственной безопасности на политическом уровне и противодействие террористическим угрозам, нежели про информационную безопасность. В выигрыше тут будут разработчики аналитических систем и производители систем хранения данных.

CNews: Что такое Security Operations Center (SOC) и в чем отличие этого подхода от простого внедрения SIEM? Какую модель SOC предлагает «АМТ-Груп»?

Алексей Мальнев: Уже второй год я наблюдаю различия в терминологии SOC со стороны заказчиков и провайдеров услуг безопасности. Эти различия реализуются в предоставляемом пакете услуг.

SIEM – это инструмент, который обычно является ключевой частью SOC, но не единственной. В нашем понимании SOC – это комплексная экспертная услуга по аутсорсингу ряда процессов ИБ SOC-провайдером, с возможностью предоставления дополнительного инструментария в виде набора решений ИБ. При этом для заказчика весь этот пакет услуг и набор инструментов ИБ выглядит как единая OPEX-модель и оформляется как сервисный договор.

Возвращаясь к позиционированию и наборам услуг SOC: мы видим существенные различия в наборе предоставляемых услуг со стороны SOC-провайдеров. Ряд из них позиционируют SOC в первую очередь как мониторинг событий и инцидентов ИБ, другие – только как помощь в расследовании инцидентов.

Мы предлагаем в составе SOC широкий комплекс услуг, включающий в себя сервисные услуги в рамках почти полного спектра процессов ИБ. Мы можем себе позволить такой широкий набор сервисов потому, что бизнес компании «АМТ-Груп» изначально являлся сервис-ориентированным – нашему сервисному центру уже более 20 лет, накоплен большой опыт, есть масса наработок, дежурные смены, remedy портал и так далее. Такой подход к SOC позволяет нам предоставлять заказчикам очень гибкий сервис.

Мы можем предложить и мониторинг (как в режиме 8x5, так и 24x7), и реагирование на инциденты ИБ (включая расследование инцидентов), а также взять средства защиты на техническую поддержку вплоть до администрирования – все зависит от конкретных задач и пожеланий.

Кроме того, мы также отмечаем различия в отношении и ожидании от SOC-услуги в зависимости от размера компании-заказчика. Чем крупнее компания, тем, в среднем, более развита в ней служба ИБ. А, значит, ей требуются более узконаправленные услуги SOC. И наоборот, среди среднего и малого бизнеса больше востребована комплексная услуга, максимально оптимизирующая затраты на ИБ.