CNews: Какие тренды и тенденции на рынке информационной безопасности вы можете отметить в текущем году?

Александр Пуха: Прежде всего, это активный переход российских компаний на отечественные средства защиты, а также замена отдельных компонентов инфраструктуры – операционных систем, телекоммуникационного и серверного оборудования.

В контексте непрекращающихся атак на критическую инфраструктуру мы видим рост объема задач по оценке защищенности систем и сетей, смещение запроса заказчиков в сторону практической безопасности. Вместо условных «лучших практик» и решений из топ рейтингов и квадрантов, в текущих условиях у компаний есть запрос на понятный и ощутимый результат внедрения отдельных решений. То есть переход к реальной или, как сейчас нередко любят говорить, результативной кибербезопасности, направленной на обеспечение устойчивости к кибератакам.

Из общемировых трендов, которые также становятся актуальны и в России, можно отметить повышение интереса к экосистемному подходу. Развитие экосистем в различных областях является тенденцией последних лет, информационную безопасность она также затронула.

CNews: Что такое экосистема в контексте информационной безопасности?

Александр Пуха: Как правило, под экосистемой понимают использование различных решений и технологий, глубоко интегрированных и связанных между собой. Решения внутри экосистемы дополняют друг друга, их взаимосвязь позволяет решать задачи на стыке технологий. В результате такое объединение дает пользователю определенное технологическое преимущество.

Традиционно в составе экосистемы, в первую очередь, рассматривались решения одного производителя, интегрированные между собой, имеющие единую шину, объединяющую продукты и позволяющую осуществлять взаимодействия между ними. Но мы видим, что с учетом текущих вызовов и в условиях постоянного роста компьютерных атак и разнообразия угроз, организации нуждаются в комплексном продуманном подходе к построению систем безопасности и к обеспечению эффективной защиты. В таких условиях один производитель, даже крупный и высокотехнологичный, как правило, не предоставляет всех необходимых решений, в том числе достаточно функциональных и проверенных временем. Поэтому все чаще возникают вопросы открытости отдельных продуктовых экосистем для сторонних решений, то есть наличия возможности интеграции в «основу» продуктов других разработчиков, смежных систем.

CNews: Готовы ли отечественные разработчики к такому сотрудничеству?

Александр Пуха: По нашим наблюдениям, многие производители потенциально готовы к партнерству и интеграциям с другими разработчиками и системами или предоставляют отдельные встроенные инструменты для данных задач в своих продуктах, однако, ожидаемо, в первую очередь делают акцент на построении экосистем вокруг собственных продуктов. Помимо экономической составляющей тут есть и технологическая – как правило, требуется дополнительная и обширная проработка и проверка всех внешних интеграций и взаимодействий, а ответственность за работоспособность всего комплекса в глазах пользователя может ложиться на основного производителя, т.е. повышается ответственность последнего перед пользователем экосистемы.

CNews: Как должна выглядеть современная экосистема?

Александр Пуха: Если смотреть на вопросы развития экосистем ИБ шире, в контексте задачи обеспечения комплексной безопасности по всем векторам и технологиям, стоит рассматривать сам термин «ИБ-экосистема» немного иначе. В отличие от традиционного подхода с включением в состав экосистемы решений ИБ и СЗИ, современные реалии требуют, в том числе, более тесной интеграции в части технологий и процессов с решениями, применяемыми в защищаемой ИТ-инфраструктуре, корпоративных системах, решениями АСУ ТП, MES, ERP, персональными устройствами пользователей (гаджеты, телефоны и даже IoT устройства). Такое расширение ведет к изменению требований как к самим решениям, так и специалистам.

Во-первых, непрофильные для ИБ системы оснащаются дополнительными функциями защиты (возможность регистрировать и отдавать события безопасности, контролировать целостность собственного ПО и т.п.), а СЗИ дополняются инструментами анализа и обработки специфических видов трафика. Во-вторых, расширяются компетенции ИБ-специалистов и представителей других специальностей, связанных с поддержкой ИТ-инфраструктуры, прежде всего, ИТ-блока (администраторов, служб технической поддержки), технологического блока. Соответственно формируется тенденция на появление и развитие комплексных взаимно совместимых решений, протестированных производителями.

CNews: Как изменился подход к построению комплексных систем ИБ в контексте импортозамещения? Для всех ли СЗИ есть отечественные аналоги? С какими направлениями ситуация обстоит особенно остро?

Александр Пуха: К сожалению, рынок решений ИБ в России не так велик в сравнении с мировым, поэтому после ухода иностранных производителей отдельные классы решений оказались для компаний полностью недоступны или доступны с определенными ограничениями, в т.ч. функциональными. К тому же, российские производители, в первую очередь, делали упор на развитие продуктов и решений, требуемых регуляторами. Однако, полноценное замещение продуктов ушедших вендоров - это лишь вопрос времени, так как мы видим устойчивое развитие отечественного рынка ИБ практически по всем видам решений. В контексте ранее упомянутой практической безопасности нельзя не отметить, что на нашем рынке активно развиваются продукты и сервисы по проактивному выявлению и противодействую угрозам и компьютерным атакам, в частности, TI платформы, решения по автоматизации процессов управления инцидентами класса IRP, позволяющие выстроить эффективное противодействие атакам.

Что касается наиболее проблемных направлений, правильнее говорить не о конкретных решениях, а, скорее, о «сервисе», который текущие производители решений могут предложить рынку. К сожалению, общая для всех «болевая точка» - неготовность компаний к быстрому, взрывному росту, как того требует рынок. Это касается буквально каждого процесса. Ситуация понятна – к сожалению, очень сложно, да практически невозможно закончить школу за 1-2 года. Но мы видим, что отечественные разработчики прилагают усилия, чтобы по-максимуму сократить этот срок.

В целом можно говорить, что сейчас на российском рынке представлен практически весь класс ИБ-решений, а компании, которые их предлагают, постоянно повышают свою зрелость. Процесс этот, как нам кажется, «встал на рельсы», и мы видим появление вполне конкурентных образцов и для мирового рынка.

CNews: Есть ли какие-либо особенности интеграции решений ИБ в технологических системах, например, в АСУ ТП? В чем специфика и сложность?

Александр Пуха: Сегмент АСУ ТП длительное время был изолированным и в части программного, и в части аппаратного обеспечения. Там применялись и продолжают применяться специфические решения, обеспечивающие выполнение задач конкретной отрасли, производства. Следует отметить, что появление даже относительно привычных/ стандартных корпоративных продуктов в этом сегменте, как-то электронная почта, контроллеры домена, телефония и т.п. проходило не быстрый и не простой путь. В части ИБ ситуация еще более сложная. Это связано, во-первых, с тем, что сегменты АСУ ТП и ИБ представляют собой совершенно разные области знаний, ранее концептуально почти не пересекающиеся. Во-вторых, с тем, что продукты и решения ИБ часто включают «активные функции» (могут что-то блокировать, запрещать, ограничивать) - как следствие, их применение в АСУ ТП воспринимается как порождающее значимые риски для технологических процессов и инфраструктуры. В-третьих, интеграция решений ИБ и АСУ ТП ставит совершенно новые задачи в части аппаратных и программных решений. Эти три аспекта вместе порождают еще и кадровую проблему, которая, пожалуй, сейчас является одной из ключевых в данном направлении и усугубляется тем, что исторически и географически большое количество производств, объектов энергетики и т.п. находятся на значительном удалении от крупных городов и агломераций.

CNews: Тяжело ли сочетать решения разных производителей, в том числе отечественных и зарубежных? Какой стратегии лучше придерживаться компаниям для обеспечения защиты?

Александр Пуха: Безусловно, есть ряд трудностей. Они связаны с тем, что каждый крупный производитель, особенно если речь о транснациональной корпорации, выстраивая свое решение, часто опирается на собственные технологии, которые включают в себя проприетарные протоколы, «прошивки», инструменты интеграции, обновления и поддержки. Эти сложности усугубляются тем, что после начала СВО ряд производителей, их службы технической поддержки стали просто недоступны для конструктивной коммуникации и решения организационно-технических вопросов. Как следствие, и интеграторы, и вендоры на ИТ и ИБ рынках ищут компромиссные варианты поддержки такой инфраструктуры и интеграции в нее новых решений. Одной из успешных стратегий, на наш взгляд, является максимальная локализация, или, если хотите, изоляция сегментов сетей с «наследованным» иностранным ПО и последовательное решение задач по импортозамещению и интеграции в условиях развития отечественных решений в долгосрочной перспективе. Это позволит более предметно управлять рисками и хорошо понимать точки взаимодействия иностранных решений с внешним миром (в том числе, организационные точки взаимодействия с иностранными представительствами и контрагентами).

CNews: Сегмент ИБ стремительно импортозамещается, драйвером выступают российские законодатели. Насколько тяжело компаниям уложиться в сроки? Как «АМТ-Груп» реагирует на эти вызовы?

Александр Пуха: Действительно, в контексте импортозамещения мы видим высокую активность среди заказчиков и партнеров по тестированию и переходу на отечественные решения для замены используемых зарубежных, особенно в текущем году. До 2025 года остается совсем мало времени.

Помимо очевидных вопросов с выделением финансирования на модернизацию и замену оборудования, нередко есть технологические сложности. В частности, как уже отмечалось выше, не для всех типов решений существуют отечественные аналоги. Несмотря на то, что относительно ИТ в целом, российский ИБ-сегмент достаточно зрелый, и в нем мы давно видим устойчивый тренд на импортозамещение, отдельные типы решений в принципе отсутствуют на отечественном рынке или уступают по функциональности ушедшим.

Важно учесть, что любой продукт необходимо не только заменить, но и настроить для эффективной работы, защиты от угроз. По практике, для отдельных решений это весьма трудоемкий и длительный процесс (например, SIEM, специализированные системы обнаружения вторжений, межсетевые экраны). В контексте критических инфраструктур, например, технологических сетей, встает ребром вопрос надежности отдельных решений, т.к. прерывание процессов и потоков информации в данном случае недопустимо даже на короткое время – в таких ситуациях задачи замены оборудования, например, МСЭ, для крупной территориально-распределенной инфраструктуры требуют тщательного планирования и реализации.

Как разработчик СЗИ мы активно поддерживаем и развиваем нашу продуктовую линейку и уже достаточно давно. Поэтому текущий виток импортозамещения не создал непреодолимых сложностей как с точки зрения процессов производства, так и поддержания уровня сервиса. Как интегратор, мы активно ведем работу по тестированию и сравнению отдельных решений на рынке, оценке их плюсов и минусов, чтобы предлагать нашим заказчикам проверенные продукты, с учетом характера их задач и нашего опыта.

CNews: Расскажите, в каком направлении планируете развивать продуктовую линейку, выход каких продуктов ожидается в ближайшее время? Какова их целевая аудитория? Что за типовые решения планируете представить рынку, в чем их отличие от уже существующих?

Александр Пуха: На данный момент одним из наших флагманских продуктов является InfoDiode. Это целая линейка продуктов аппаратной защиты, реализующая принципы однонаправленной передачи данных в качестве инструмента защиты. В связи с требованиями законодательства спрос на продукты по изоляции критической инфраструктуры растет, и на данный момент мы присутствуем практически во всех отраслях российской экономики. Этот опыт мы стараемся максимально учитывать в наших продуктах и предлагать нашим заказчикам все более комплексные и системные решения и сервис. Но рынок и конкурентная среда диктуют, в том числе, и функциональное развитие продуктов. Поэтому мы движемся и в направлении повышения скорости обмена через наши устройства, и в направлении увеличения количества интеграционных кейсов, и предоставлений функций по контролю за передачей данных. Новые функции и решения, как мы ожидаем, должны дополнить уже выстраивающиеся экосистемы с применением InfoDiode и закрепить «диоды данных» в качестве достаточно типового решения, эшелонирующего периметр значимого предприятия или организации.