CNews: Многие системные интеграторы в 2020 году оказались вынуждены перестраивать свою деятельность по разным направлениям, в том числе в сфере информационной безопасности (ИБ). А как минувший год сказался на вашей компании?

Сергей Заречнев: Как ни странно, 2020 год был для компании стабильным. Пандемия не оказала существенного влияния на наш бизнес в области безопасности информационных технологий. И хотя не случилось каких-либо качественных прорывов, серьезных потрясений и падений тоже не было. В первую очередь, это связано с тем, что наши основные заказчики — федеральные государственные структуры и крупные корпорации.

Конечно, нельзя сказать, что пандемия никак не повлияла на нашу деятельность, но мы постарались компенсировать ее негативные воздействия на бизнес за счет расширения сфер своей деятельности. Базовыми направлениями стали комплексные проекты по внедрению систем информационной безопасности. Здесь мы значительно углубили свои компетенции, в частности вышли на полный цикл построения таких решений — от разработки концепции до аттестации уже введенных в эксплуатацию федеральных информационных систем. Это позволило нам компенсировать проблемы, вызванные мировой эпидемией.

Другим активно развиваемым направлением стал аутсорсинг информационной безопасности. Об аутсорсинге ИТ-инфраструктур все знают, услуги SaaS, PaaS, IaaS уже давно на слуху, центры обработки данных и облачные инфраструктуры становятся обыденностью. Однако не каждый оператор информационной системы, даже работающей на аутсорсинговых мощностях центров обработки данных, готов отдавать на сторону святое — информационную безопасность. Тем не менее сложность современных систем и средств обеспечения информационной безопасности вынуждает заказчиков обращаться к аутсорсингу их обслуживания и эксплуатации. В минувшем году тесные партнерские связи с ведущими российскими вендорами, такими как «Код безопасности», «ИнфоТеКс», «Лаборатория Касперского», ТСС, позволили нам заключать аутсорсинговые контракты на обслуживание различных систем информационной безопасности крупных федеральных ведомств и компаний. И это тоже помогло нам компенсировать кризисные явления, с которыми сталкивалась отрасль.

Сейчас, в 2021 году, мы фактически приспособились к новой реальности, вызванной ранее неизвестными для нас угрозами глобального масштаба. Мы научились жить и работать в новых условиях, фактор общей неопределенности, вызывавший такие страхи в 2020 году, значительно снизился. Мы приобрели необходимый опыт, умеем учитывать новые риски и планировать свою деятельность не только с учетом уже реализовавшихся угроз, но и с учетом других потенциальных глобальных рисков, связанных как с возможностью новых эпидемий, так и с политическими кризисами.

CNews: Насколько, на ваш взгляд, изменилось отношение конечных пользователей к информационной безопасности в последнее время?

Сергей Заречнев: По прогнозу компании Canalys, инвестиции в информационную безопасность в 2021 году вырастут на 10 % и превысят 60 млрд долларов. Это показывает, что индустрия ИБ в целом мало подвержена влиянию негативных факторов, связанных с пандемией и разрушающих другие отрасли. COVID-19 оказал отрицательное влияние на многие сферы экономики, но в то же время некоторые области получили существенное преимущество. К их числу, несомненно, относится отрасль ИТ в целом и индустрия ИБ в частности.

Стоимость компаний, разрабатывающих и выпускающих программное обеспечение для дистанционной работы, производящих ноутбуки, обеспечивающих информационно-телекоммуникационные сети, возросла. Как следствие увеличились и ИБ-расходы, причем опережающими темпами, так как риски потенциальных убытков от действий хакерских группировок могут быть много больше в условиях глобального перехода на дистанционные виды работы и удаленного предоставления многих услуг и сервисов. Российская же динамика, по оценке ряда экспертов, будет существенно выше глобальной, при этом лидеры отрасли традиционно растут быстрее рынка. Например, наш партнер, компания Positive Technologies, сообщила о росте выручки по итогам 2020 года на 55 %, что в среднем почти в два раза превышает показатели рынка ИБ в целом.

CNews: Как можно объяснить такую положительную динамику рынка ИБ в условиях кризиса?

Сергей Заречнев: Например, позитивными изменениями отношения к информационной безопасности со стороны потенциальных заказчиков. Проблематика ИБ становится все более понятной бизнесу. А для государственного заказчика имеет значение позиция регуляторов и органов власти, которая выражается в принятии новых нормативных актов и корректировке старых. Из таких значимых изменений в 2021 году отмечу принятие ФСТЭК России нового порядка организации и проведения работ по аттестации объектов информатизации. Не менее значимой стала публикация проекта изменений в статье 16 федерального закона «Об информации, информационных технологиях и о защите информации», направленных на установление единых для государственных органов и коммерческих организаций требований по защите информации, обладателями которой являются государственные органы. Стоит упомянуть и очередные изменения в постановлении Правительства РФ № 676 от 6 июля 2015 года «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из нее государственных информационных систем». Все это, конечно, способствует более пристальному вниманию госзаказчиков к актуальным вопросам обеспечения ИБ.

При этом как коммерческие, так и государственные заказчики уже достигли значимого уровня зрелости. Растет понимание очевидного факта, что невозможно построить непробиваемую стену информационной защиты, делающую неосуществимой любую атаку на системы безопасности. Поэтому заказчики начинают управлять бизнес-рисками, считать потенциальный ущерб от их реализации и сравнивать со стоимостью внедрения систем ИБ. В этих условиях при выборе стратегии построения системы обеспечения информационной безопасности критически важной становится скорость ее реакции на возникающие новые угрозы и адекватная их компенсация. В результате на рынке ИБ становятся все более и более востребованными дорогие, но мощные системы контроля защищенности и соответствия стандартам, системы мониторинга событий информационной безопасности, системы DLP.

CNews: В какой мере эти перемены отразились на вашей работе при построении систем информационной безопасности в госсекторе в 2021 году?

Сергей Заречнев: Главной особенностью этого года для нас явилось то, что регуляторы стали более жестко контролировать заказчиков на предмет соблюдения установленных требований к государственным информационным системам вообще и подсистемам информационной безопасности в частности. Активизировались массовые проверки регуляторами соблюдения нормативных правил операторами ГИС. Несмотря на то, что нормативная база, содержащая правила и требования к ГИС, в целом сформирована, в последнее время появляются новые или обновляются существующие документы. Например, с 1 января 2021 года вступила в действие новая редакция приказа ФСТЭК России № 17, устанавливающего требования к ГИС, а 5 февраля 2021 года этим ведомством была утверждена новая методика оценки угроз безопасности информации.

Естественно, это отражается и на нашей деятельности, причем не только при построении новых систем информационной безопасности, но и при проведении работ по модернизации или сопровождению уже эксплуатируемых ГИС. Мы проводим актуализацию документации в соответствии с новыми требованиями, замену при необходимости устаревших средств защиты информации (СЗИ), согласование решений с регуляторами, аттестацию ГИС и другие мероприятия, которые ранее не были по тем или иным причинам реализованы — как правило, в силу недостаточности бюджета. Все работы мы проводим в соответствии с постановлением Правительства РФ № 676 и его последних обновлений.

Таким образом, основной спецификой в 2021 году для нас стала модернизация и приведение систем информационной безопасности в полное соответствие с актуальными нормативными документами государственных регуляторов.

CNews: Как вы считаете, такое усиление правового регулирования деятельности в области информационной безопасности — это в большей степени диктат регуляторов или же стремление поддержать бизнес в условиях кризиса?

Сергей Заречнев: Действия государственных регуляторов в сфере информационной безопасности направлены, как мне кажется, не на диктат и не на поддержку бизнеса, а на поиск баланса между потребностью государства в защите национальной безопасности и возможностями российской ИБ-индустрии по решению этой задачи.

Госсектор — один из источников стабильного существенного финансирования рынка информационной безопасности. Компания, получившая госзаказ, может уверенно смотреть в будущее — это и признание ее качества и умения работать с заказчиком, и в то же время и надежное финансирование. В этом году указом Президента РФ была принята новая «Стратегия национальной безопасности Российской Федерации», в которой в качестве национального интереса на современном этапе указывается развитие безопасного информационного пространства. Там отмечается, что расширяется использование информационно-коммуникационных технологий для вмешательства во внутренние дела государства, увеличивается количество компьютерных атак на российские информационные ресурсы. Сохраняющееся использование в РФ иностранных ИТ и телекоммуникационного оборудования повышает уязвимость российских информационных ресурсов. Для минимизации этой угрозы проводится политика импортозамещения, в результате которой в последнее время мы наблюдаем доминирование отечественных сертифицированных средств и систем информационной безопасности. В частности, в секторе государственных информационных систем эти решения фактически уже полностью вытеснили зарубежные продукты. Этот фактор дает новый импульс роста для отечественных ИБ-вендоров и положительно сказывается на рынке системной интеграции.

Таким образом, правовое регулирование сферы ИБ, с одной стороны, создает возможности и гарантированные рынки сбыта для отечественных СЗИ-производителей, но с другой — вызывает определенные трудности и создает преграды, связанные с необходимостью лицензирования деятельности, сертификации продукции, выполнения процедур по подтверждению российского происхождения. При этом требования государства в этой сфере постоянно ужесточаются. Нахождение разумного компромисса между этими двумя полюсами является актуальной задачей для регуляторов государственного сегмента ИБ-рынка.

Но в целом наличие мощного сектора госзакупок на рынке решений ИБ и политика государства в области импортозамещения оказывает стабилизирующее и положительное влияние на отечественную индустрию безопасности.

CNews: Какие инициативы государства, по вашему мнению, являются перспективными драйверами роста индустрии информационной безопасности?

Сергей Заречнев: Одним из драйверов является продолжение курса на цифровизацию всего общества. Надо отметить, что активная цифровая трансформация большинства отраслей не могла не изменить и ландшафт информационной безопасности. Всеобщая информатизация приносит не только новые решения и удобный сервис, но и новые киберугрозы. Сейчас мы наблюдаем всеобщий бум на системы удаленного доступа как к государственным услугам, так и к рабочим местам. В то же время он спровоцировал во всем мире рост числа атак, направленных на эксплуатацию уязвимостей в дистанционных сервисах, доступных через интернет. По данным Positive Technologies, к концу 2020 года втрое выросло количество атак, которые эксплуатируют уязвимости интернет-сервисов для работы. Увеличилось и число атак так называемых шифровальщиков — вредоносного ПО, которое шифрует данные и блокирует работу систем и пользователей. Все эти угрозы выступают хорошим стимулом для внедрения новых масштабных систем информационной безопасности, что является хлебом нашего бизнеса.

В качестве другого фактора можно отметить все возрастающее внимание госрегуляторов к защите объектов критической информационной инфраструктуры. Необходимость предотвращения деструктивного информационно-технического воздействия на российские объекты критической информационной инфраструктуры была в том числе отмечена в новой «Стратегии национальной безопасности». В этом году также вступили в силу новые виды ответственности для субъектов критической информационной инфраструктуры (КИИ), в частности за нарушение требований к созданию и обеспечению работы систем безопасности значимых объектов КИИ. Это послужило стимулом для оживления на рынке обеспечения ИБ для объектов критической информационной инфраструктуры — мы наблюдаем появление новых заказчиков и новых крупных проектов. И это — перспективный драйвер роста индустрии ИБ в нынешний непростой период, характеризующийся как внешними политическими угрозами, так и общей нестабильной ситуацией в мире, вызванной пандемией.

CNews: С учетом этих факторов в каком направлении, по-вашему мнению, будет развиваться рынок защиты информации в ближайшие два-три года?

Сергей Заречнев: Полагаю, основной тенденцией в сфере защиты информации в ближайшее время станет переход от наложенных средств защиты информации, которые функционируют в некоторой недоверенной операционной среде (как правило, иностранного происхождения) и реализуют в ней доверенные функции безопасности, к сертифицированному по требованиям безопасности информации системному программному обеспечению.

Это связано с тем, что в результате проводимой политики импортозамещения стало практически невозможным предлагать для государственных закупок операционные системы зарубежных вендоров. С другой стороны, реестр российского ПО уже содержит достаточное количество отечественных операционных систем, которые к тому же сертифицированы ФСТЭК России как средства защиты информации: Astra Linux, «Альт 8 СП», РОСА «Кобальт», «Ред ОС» и другие. Часть из них является фактически бесплатной для государственных ведомств — например, операционная система типового дистрибутива АИС ФССП России «Гослинукс», — и их внедрение несет ощутимый экономический эффект. Применение таких сертифицированных ОС делает ненужной закупку ряда дополнительных средств защиты информации, что упрощает эксплуатацию информационных систем и уменьшает затраты.

Некоторые из российских ОС имеют в своем составе средства виртуализации и уже начинают вытеснять на государственном рынке зарубежное программное обеспечение виртуализации. Системы виртуализации от лидеров мирового рынка — VMware, Citrix Systems — пока еще удерживают ведущие позиции в центрах обработки данных, на которых функционируют государственные информационные системы, но в ближайшее время ситуация начнет изменяться и в этой сфере. Есть уже сертифицированные российские платформы виртуализации («Скала-Р» компании Rubytech), проходят сертификацию и другие решения в сфере организации виртуальных и облачных систем, например TIONIX Cloud Platform компании «Тионикс».

Что касается аппаратных платформ СЗИ, то здесь ситуация сложнее. Требования к российскому происхождению и требования доверия для аппаратных платформ ужесточаются. В прошлом году ФСТЭК России выпустила новую редакцию «Требований по безопасности информации», устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Согласно этому документу, используемые для СЗИ аппаратные платформы, процессоры, микроконтроллеры, элементы памяти, сетевые карты, графические адаптеры должны быть включены в Единый реестр российской радиоэлектронной продукции. Но для российских производителей hardware, в отличие от производителей software, не существует аналога открытого и бесплатного ПО, используя который можно быстро производить собственные продукты. Поэтому будущее отечественных аппаратных платформ и компонентов пока выглядит туманно. С другой стороны, эти требования начинают действовать поэтапно: для разных уровней доверия срок вступления в силу начинается от 2022 года и доходит до 2028 года. За это время ситуация с доверенными российскими компонентами должна как-то проясниться.

Таким образом, в ближайшем будущем на рынке ИБ ожидается выход новых интегрированных решений, которые будут иметь российское происхождение и сертификаты регуляторов по высоким классам защиты. При этом речь идет не о классических средствах защиты от несанкционированного доступа, а о продуктах, которые являются, скажем, операционной системой, гипервизором, системой удаленного доступа, платформой для оказания облачных услуг. И в то же время они будут сертифицированы как средства защиты информации.