Перспективы импортонезависимой кибербезопасности в России

Перспективы импортонезависимой кибербезопасности в России

Перспективы импортонезависимой кибербезопасности в России

Чем импортозамещение отличается от импортонезависимости? Как государство стимулирует переход на отечественные решения в сфере информационной безопасности и достаточно ли этих усилий? Достижимы ли планы России стать к 2025 году импортонезависимой страной в области ИБ и ИТ? Какие риски для заказчиков несёт использование отечественных СЗИ и не превышают ли они риски от применения западных разработок, полученных по каналам параллельного импорта?

 

 

   

  1. Введение
  2. Что такое импортонезависимость
    1. 2.1. Чем импортонезависимость отличается от импортозамещения
    2. 2.2. Возможна ли импортонезависимость на уровне аппаратных средств
    3. 2.3. Роль государства в процессе импортозамещения
    4. 2.4. Допустимо ли ограничение конкуренции в кибербезе
  3. Проблемы и вызовы импортонезависимости
    1. 3.1. Использование опенсорс-кода
    2. 3.2. Цена рисков
    3. 3.3. Возможно ли возвращение западных вендоров
  4. Прогнозы экспертов
  5. Выводы

Введение

После ухода из России большинства западных ИБ-вендоров перед организациями и государством встал острый вопрос о замещении иностранной продукции отечественными средствами защиты информации. Несмотря на то что в течение последних лет рынок постепенно двигался в сторону импортозамещения, резкий переход на российский кибербез выявил множество проблем, которые по мере возможности решаются как производителями, так и профильными ведомствами. На первом в 2023 году прямом эфире проекта AM Live мы собрали представительную компанию экспертов, чтобы обсудить с ними ключевые аспекты формирования импортонезависимой индустрии кибербезопасности.

Среди тем онлайн-конференции были риски от импортозамещения для заказчика, роль государства и его возможные действия по стимулированию перехода на всё отечественное, обсуждение причин роста цен на российские ИБ-продукты. Спикеры AM Live и зрители прямого эфира поделились своими мнениями о готовности отрасли выполнить планы правительства по переходу на отечественные решения в течение ближайших трёх лет, а также попытались понять, что делать с открытым исходным кодом, используемым в российских СЗИ.

 

Рисунок 1. Гости прямого эфира проекта AM Live

Гости прямого эфира проекта AM Live

 

Гости прямого эфира:

  • Анна Кулашова, управляющий директор компании «Лаборатория Касперского» в России и странах СНГ;
  • Эльман Бейбутов, директор по развитию продуктового бизнеса компании Positive Technologies;
  • Рустэм Хайретдинов, заместитель генерального директора компании «Гарда Технологии»;
  • Алексей Раевский, генеральный директор компании Zecurion.

Ведущий и модератор дискуссии: Всеслав Соленик, директор по кибербезопасности АО «СберТех».

 

Что такое импортонезависимость

Чем импортонезависимость отличается от импортозамещения

Для начала ведущий предложил спикерам прямого эфира поделиться своими мнениями о том, что следует вкладывать в понятие «импортонезависимость», чем оно отличается от импортозамещения.

Эльман Бейбутов:

— Импортозамещение все воспринимают как процесс движения в сторону российских продуктов и ухода от западных вендоров. Импортонезависимость — это некое состояние, которого необходимо достигнуть, либо в котором, в некоторых сегментах, мы уже оказались. Это некая точка, к которой нам надо прийти в кратчайшие сроки.

 

Эльман Бейбутов, директор по развитию продуктового бизнеса компании Positive Technologies 

Эльман Бейбутов, директор по развитию продуктового бизнеса компании Positive Technologies

 

Анна Кулашова:

— Для меня импортозамещение и импортонезависимость — это соотношение тактики и стратегии. Импортозамещение — это тактика: то, что мы делали и будем продолжать делать в какой-то момент. Импортонезависимость — это стратегия обеспечения технологического суверенитета, которой мы занимаемся вместе с государством.

Алексей Раевский:

— Импортонезависимых стран на самом деле очень мало. Следует понимать, что импортонезависимость — показатель количественный: можно быть импортонезависимым на 10, 20, 50 %. Мне больше нравится термин «технологический суверенитет», поскольку он не предполагает деградации: ведь можно вернуться в каменный век и быть импортонезависимым.

 

Алексей Раевский, генеральный директор компании Zecurion 

Алексей Раевский, генеральный директор компании Zecurion

 

Рустэм Хайретдинов: 

— Мне кажется, в контексте государства цель ставится так: мы должны быть импортонезависимы настолько, насколько какие-то технологические продукты и сервисы могут быть использованы для давления на государство. Поэтому нет ничего страшного, если в каких-то системах используются зарубежные компоненты, если они не могут стать рычагом давления.

Комментируя высказывания экспертов, Всеслав Соленик отметил, что важно определить ключевые направления, по которым импортонезависимость критически значима. К ним можно отнести сетевые технологии, операционные системы, целый пласт технологий из области виртуализации, контейнеризации и так далее.

 

Всеслав Соленик, директор по кибербезопасности АО «СберТех» 

Всеслав Соленик, директор по кибербезопасности АО «СберТех»

 

Большая часть зрителей прямого эфира AM Live считают, что отечественную кибербезопасность можно будет считать импортонезависимой, когда российские СЗИ перестанут зависеть от импортных компонентов и «железа». Такого мнения придерживаются 30 % участников проведённого нами опроса. Ещё 24 % респондентов предполагают, что для этого нужна своя независимая экосистема ИТ, а 17 % выбрали вариант «когда все потребности страны будут закрываться российскими СЗИ». За проверку стороннего кода, включая Open Source, выступают 7 % опрошенных. Считают импортонезависимость мифом 22 % наших зрителей. За то, что российский кибербез уже импортонезависим, не проголосовал никто.

 

Рисунок 2. В каком случае кибербезопасность России можно считать независимой от импорта?

В каком случае кибербезопасность России можно считать независимой от импорта?

 

Возможна ли импортонезависимость на уровне аппаратных средств

Продолжая обсуждение импортонезависимости, ведущий спросил у экспертов, насколько она достижима сейчас с точки зрения аппаратных средств, на которых основаны многие средства безопасности. Эксперты отметили, что их компании, безусловно, тестируют отечественные компоненты и чаще всего находят возможным разворачивать на них свои ИБ-решения, однако пока неясно, насколько готовы российские производители к масштабным поставкам, закрывающим потребности рынка.

Импортонезависимость аппаратных средств достижима для относительно простых технологий, однако если речь идёт о работе высоконагруженных сред, где необходимо обеспечивать высокую производительность, возникают проблемы. В сфере программного обеспечения дело обстоит лучше, поскольку некоторые игроки рынка уже давно разрабатывали ключевые ИТ-системы и сейчас готовы поставлять их на рынок.

Спикеры отметили, что движение в правильном направлении идёт, компании инвестируют в разработку «железа», однако это — небыстрый процесс. Одним из направлений, где наиболее заметен прогресс, является разработка собственных интегральных схем специального назначения (ASIC) под конкретные задачи, такие, например, как разбор трафика в NGFW.

Пока же заказчики вынуждены в ряде случаев выбирать: переходить на не всегда совершенное отечественное оборудование или же надеяться на параллельный импорт. Последний порождает другую проблему: зарубежные компоненты должны быть доверенными, не содержать закладок, которые могут угрожать безопасности. Таким образом, рынку очень нужна услуга проверки импортного «железа» и программных средств на «киберчистоту». Кроме того, серые каналы поставки очень ненадёжны: в случае угрозы репутации, скандала из-за продажи запрещённых технологий российским компаниям вендор найдёт способ их закрыть.

Роль государства в процессе импортозамещения

Как отметил модератор дискуссии, настоящая импортонезависимость достижима только благодаря усилиям государства, как главной заинтересованной стороны в этом вопросе. Мы решили спросить у зрителей AM Live, как они оценивают действия государства по стимулированию импортонезависимости. Как оказалось, 44 % опрошенных считают, что текущих усилий недостаточно и страна должна действовать активнее. Ещё 23 % не видят общей стратегии и смысла этого процесса, а 9 % и вовсе думают, что такие усилия бесполезны. Тех, кто считает, что государство всё делает правильно, больше, чем тех, кто придерживается мнения, что такая активность скорее мешает игрокам рынка (10 % против 4 %). Затруднились с ответом 10 % участников опроса.

 

Рисунок 3. Как вы оцениваете действия государства по стимулированию импортонезависимости?

Как вы оцениваете действия государства по стимулированию импортонезависимости

 

Так какие же меры могло бы принять государство для обеспечения импортонезависимости и стимулирования импортозамещения? Эксперты отметили, что на многие компании, не являющиеся государственными и не работающие с объектами критической инфраструктуры, можно повлиять только опосредованно — например, формируя механизм льгот и субсидий за использование отечественных СЗИ. Помимо прочего, это будет стимулировать спрос, а значит, и развитие технологий, да и рынка в целом.

При этом государство весьма много делает для замещения импортных систем отечественными — в первую очередь разрабатывая нормативные акты, которые подталкивают предприятия к такому переходу. Большую роль в стимулировании процессов импортозамещения сейчас играет Министерство цифрового развития, связи и массовых коммуникаций России. По мнению экспертов, возросшая роль этого ведомства в первую очередь обусловлена кадровыми перестановками в нём. Команда Минцифры разрабатывает матрицу импортозамещения и оперативно подсвечивает пробелы в ней, давая ориентир для развития участникам рынка.

Ещё одной возможной мерой поддержки со стороны государства эксперты назвали определение пула перспективных технологий и подготовку достаточного числа специалистов по этим направлениям. Существуют и проблемы. В частности, включение продуктов в реестр российского ПО сейчас представляет собой весьма длительный процесс, сравнимый по затратам ресурсов с сертификацией. В качестве одного из решений данного вопроса эксперты предложили децентрализовать систему и обязать заказчиков самостоятельно проверять принадлежность выбранного продукта к российскому ПО.

Допустимо ли ограничение конкуренции в кибербезе

В продолжение беседы мы затронули тему селекции продуктов со стороны государства. Речь идёт о реестрах по классам решений, определяющих, например, несколько отечественных операционных систем, на которые должны ориентироваться компании при импортозамещении. По этому поводу наши эксперты отметили, что если мы по-прежнему находимся в рамках рыночной экономики, то никаких ограничений числа доступных решений со стороны государства быть не должно. Рынок всё расставит на свои места.

При этом государство может пойти и по нерыночному пути, сформировав техническое задание на разработку определённых защитных решений и выбрав в рамках конкурса компании, которые будут их разрабатывать. Наши спикеры напомнили, что именно такая система существует в оборонной промышленности, а сфера ИБ сегодня может рассматриваться и в контексте обеспечения безопасности страны.

Проблемы и вызовы импортонезависимости

Использование опенсорс-кода

Следующий вопрос, который ведущий предложил обсудить гостям студии Anti-Malware.ru, — риски связанные с использованием Open Source. Поскольку многие отечественные продукты изначально строились на открытых решениях, в отдельных системах доля стороннего кода может доходить до 80 %. Необходимо ли его как можно быстрее заменять на оригинальный, собственный или принципы импортозамещения позволяют использовать такие «не полностью отечественные» решения?

Спикеры онлайн-конференции заметили, что нет ничего плохого в использовании открытого кода на начальных этапах разработки нового продукта. Однако если этот код разработан и развивается одним вендором, то такие включения влекут за собой весьма высокие риски. Код, который разрабатывается открытым сообществом, в этом смысле более безопасен, так как исключает зависимость от одной компании. В то же время надо понимать, что «Open Source» не означает «безопасно». Любые включения стороннего кода в продукт необходимо проверять и оценивать с точки зрения возможных закладок, уязвимостей и других рисков. Одним из вариантов подобной проверки является сертификация ФСТЭК России, которая выступает для заказчика гарантией безопасности продукта.

Цена рисков

Какие ещё риски несёт в себе импортонезависимость в кибербезе? Большинство зрителей прямого эфира назвали главным риск технологического отставания. Такой точки зрения придерживаются 42 % опрошенных. Опасаются снижения качества защиты 27 % респондентов, а её серьёзного удорожания — 22 %. Не видят никаких рисков в импортонезависимости 6 % опрошенных. Ещё 3 % затруднились с выбором ответа.

 

Рисунок 4. Каков, на ваш взгляд, главный риск от усиления импортонезависимости в российском кибербезе?

Каков, на ваш взгляд, главный риск от усиления импортонезависимости в российском кибербезе

 

В продолжение темы опроса ведущий прямого эфира предложил поговорить о том, насколько заказчики готовы платить за импортонезависимость в информационной безопасности, поскольку риски неминуемо влекут за собой дополнительные затраты. Гости студии отметили, что за последние месяцы менталитет заказчиков изменился: теперь они видят необходимость покупки отечественных разработок, причём речь идёт не только о давлении со стороны государства, но и о большем риске от использования западных решений.

При этом многие российские решения с началом импортозамещения стали дороже. Во многом это связано с тем, что раньше отечественным вендорам приходилось конкурировать с западными производителями, которые воспринимали Россию как развивающийся рынок и предоставляли значительные скидки. Местные компании были вынуждены снижать цены и недополучать прибыль. Сейчас цены вернулись к нормальному уровню, что в ряде случаев воспринимается клиентами как их повышение. В определённом смысле нынешнее несоответствие функциональных возможностей и цены можно считать инвестицией в будущее развитие продукта. Кроме того, не стоит забывать, что издержки разработчиков в нынешней ситуации также растут.

Возможно ли возвращение западных вендоров

Однако возможно ли возвращение докризисной ситуации? Что будет, если западные вендоры снова начнут предлагать свои решения на рынке? Оказалось, только 7 % зрителей AM Live готовы покупать зарубежные средства защиты информации, если они вернутся в Россию. Гораздо больше (35 %) респондентов считают, что импортные инструменты безопасности себя дискредитировали, и не планируют более иметь с ними дело. Ещё 30 % готовы использовать те системы, которые не подвели их в 2022 году. Ставят ответ на этот вопрос в зависимость от политической обстановки 28 % опрошенных.

 

Рисунок 5. Будете ли вы покупать импортные СЗИ, если они вернутся в Россию?

Будете ли вы покупать импортные СЗИ, если они вернутся в Россию

 

По мнению экспертов, если западные игроки вернутся в Россию, то им придётся выступать в роли догоняющих. В данный момент все регулирующие правовые акты «заточены» на продвижение отечественных СЗИ. Таким образом, замещать понадобится уже российские решения, и это будет непросто. Более того, российские игроки получили конкурентное преимущество на некоторых по-прежнему доступных им зарубежных рынках. Технологический рост, связанный с импортозамещением, позволил им активнее соперничать с западными игроками.

Прогнозы экспертов

В финальной части дискуссии мы решили задать экспертам вопрос: реально ли к 2025 году прийти к полноценному импортозамещению с точки зрения всей экосистемы безопасности, включая аппаратные средства, инфраструктуру и собственно защитные решения?

Алексей Раевский: 

— Если говорить про кибербез, то ситуация достаточно хорошая. Практически во всех классах существуют российские решения, а вендоры достаточно активно адаптируют их под изменившиеся условия. Проблемы больше в инфраструктуре — в «железе», общесистемном софте, базах данных, средствах виртуализации и так далее.

Рустэм Хайретдинов: 

— Соглашусь, что в сфере ИБ мы наиболее близки к выполнению требований обозначенных указами руководства страны. Удастся ли достигнуть импортозамещения к 2025 году, зависит от очень многих факторов: экономического состояния страны, наличия денег у заказчиков, потенциальной децифровизации.

 

Рустэм Хайретдинов, заместитель генерального директора компании «Гарда Технологии»

Рустэм Хайретдинов, заместитель генерального директора компании «Гарда Технологии»

 

Анна Кулашова: 

— Действительно, отрасль кибербезопасности находится в хорошем состоянии. Вопрос — в том, какие вызовы ещё будут появляться. Мы пережили беспрецедентный шквал атак, уход западных вендоров, но внешние факторы никто не отменял, и мы не можем предсказать, как они повлияют на то, что мы делаем.

 

Анна Кулашова, управляющий директор компании «Лаборатория Касперского» в России и странах СНГ

Анна Кулашова, управляющий директор компании «Лаборатория Касперского» в России и странах СНГ

 

Эльман Бейбутов: 

— Я оптимист в сфере кибербезопасности, но пессимист в части ИТ, приложений и бизнес-систем. Западные вендоры обладают наработанной за десятки лет экспертизой, и до сих пор в наших критических структурах работают их мейнфреймы. У меня есть здоровый скепсис по поводу того, что их удастся быстро заместить.

Следует отметить, что Всеслав Соленик как представитель ИТ-вендора не разделил пессимизма коллег из сферы информационной безопасности. По мнению ведущего онлайн-конференции, в 2023-2024 году практически любой ИТ-продукт на любом уровне можно будет заменить на отечественный.

В конце эфира мы провели итоговый опрос, где узнали у зрителей, как они оценивают перспективы российского кибербеза. Половина опрошенных смотрит в будущее с большим оптимизмом. Менее позитивно настроены 40 % респондентов, которые считают, что им придётся выживать в непростых условиях. Всего 2 % участников придерживаются мнения, что импортонезависимость почти достигнута, остались лишь последние усилия. Примерно столько же (3 %) находятся на другом полюсе мнений и считают, что нас ждут большие проблемы. Нейтральную позицию выбрали 5 % опрошенных.

 

Рисунок 6. Как вы оцениваете перспективы импортонезависимости российского кибербеза?

Как вы оцениваете перспективы импортонезависимости российского кибербеза

 

Выводы

В процессе интереснейшей, более чем двухчасовой дискуссии представители лидирующих на рынке вендоров сформулировали ряд тезисов, которые позволяют лучше понять тенденции отечественного рынка информационной безопасности с точки зрения перехода на решения отечественных вендоров. В первую очередь, спикеры пояснили, что импортонезависимость — это цель, а не процесс, некое состояние, к которому отрасль должна прийти. Достигнуть его индустрия информационной безопасности может только совместно с ИТ, а также при помощи государства. При этом некоторые компании могут самостоятельно принимать на себя риски связанные с продолжением использования импортных решений или же выбрать другие риски — в частности, повышение цены на продукты отечественных производителей при не всегда соответствующих функциональных возможностях.

Государственное регулирование несёт много хороших инициатив, а со стороны Минцифры проводится весьма серьёзная работа. При этом некоторые меры, в том числе и селекционная работа, направленная на ограничение рыночной конкуренции, возможно, в данный момент не нужна рынку, поскольку может негативно повлиять на развитие отечественных технологий. Открытый исходный код не является препятствием для импортонезависимости, однако по ряду других причин вендорам необходимо постепенно заменять его на собственный.

В целом игроки рынка позитивно оценивают перспективы реализации планов правительства по импортозамещению в ИБ и даже в ИТ к 2025 году, однако реальное их исполнение зависит ото множества факторов. За развитием ситуации мы будем наблюдать вместе с гостями проекта AM Live, который стал площадкой, где регулярно обсуждаются самые актуальные для индустрии темы. Чтобы не пропускать свежие выпуски онлайн-конференции, обязательно подпишитесь на YouTube-канал Anti-Malware.ru. До встречи в эфире!

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru