Участники SOC Forum 2024 смогли больше узнать о достижениях центров реагирования на киберинциденты. На сессии с регуляторами были высвечены новые задачи, международный трек помог оценить потенциал экспорта, дискуссия вокруг NGFW — разобраться в новых российских решениях. Это был полезный обмен мнениями, направленный на успешное противостояние киберугрозам.
- Введение
- ИБ как фундамент цифрового общества
- Успехи в отрасли ИБ за прошедший год
- Экспортный потенциал российской ИБ
- Сотрудничество игроков или жёсткая конкуренция?
- Чего ждать в будущем?
- Выводы
Введение
В начале ноября в Москве прошёл юбилейный десятый SOC Forum 2024. Было представлено более 150 докладов. В работе форума приняли участие представители более чем 1400 компаний. Среди них были вендоры в сфере ИБ, разработчики ПО, интеграторы, сервис‑провайдеры, поставщики цифровых экосистем, телеком‑операторы.
Главное отличие нынешнего SOC Forum 2024 от предыдущих — смещение тематики из плоскости обсуждения только технических проблем, связанных с работой центров мониторинга и реагирования на инциденты (Security Operations Center), к теме комплексной кибербезопасности. Название форума от этого не изменилось, но аббревиатура в названии стала расшифровываться иначе. SOC Forum 2024 был посвящён теме «Security Opportunities and Challenges» (возможности и проблемные задачи в области ИБ). Поэтому он объединил под одной крышей всех, кто рассматривает тему киберзащищённости как элемент развития «компании, города и страны».
Отметим, что тренд на «уточнение формулировки» проявляется уже не в первый раз. Например, многие компании уже отходят от привычного использования слова SOC, заменяя его на «центр противодействия киберугрозам / кибератакам». Тем самым отражается сущность происходящего: отход от концепции технического поиска сигнатур и компрометаций в сторону комплексного анализа по широкому спектру киберугроз. Всё это указывает на то, что область ИБ в России обретает зрелость.
Рисунок 1. Название «SOC Forum» обрело новое содержание
ИБ как фундамент цифрового общества
Тот факт, что направление развития продуктов и сервисов в сфере ИБ стало наиболее значимым признаком развития цифрового общества в России и в мире, отмечали все участники форума.
Михаил Волков, гендиректор «Почты России», назвал РФ страной технооптимистов, ссылаясь на готовность клиентов использовать как можно больше цифровых сервисов и отсутствие у них неприятия и страха по отношению ко всему новому. Он отметил, что «необходимо обеспечивать доступность классических услуг и их стабильную работу». Это порождает доверие граждан к цифровым сервисам. Риски он видит в снижении у людей общего «уровня собственной ответственности за соблюдение правил кибергигиены».
Рисунок 2. Пленарная сессия на SOC Forum 2024
Усилению рисков способствует недостоверный контент, который оказывает пагубное влияние, особенно на детей. «Дезинформация поступает через те каналы коммуникаций, которые привычны детям: соцсети, чаты, игры, сообщества по интересам. Развитие ИИ, появление медийного и фотоконтента, наделённого высокой степенью достоверности, обостряют проблему ещё больше», — добавил Максим Борзов, основатель компании Ruvents.
Было отмечено, что население страны столкнулось с ситуацией, когда огромный объём персональной информации находится в открытом доступе и активно используется злоумышленниками. Публично доступны данные практически о 90 % взрослого населения страны. Такая широкая доступность породила многочисленные мифы относительно источников возникновения проблем. Как отметил Станислав Кузнецов, зампредседателя правления «Сбера», на долю кредитных организаций приходится не более 2 % утечек. Основным источником он назвал интернет-магазины и медицинские учреждения. Многие из них относятся к предприятиям малого бизнеса, где до сих пор уделяется очень мало внимания соблюдению мер кибербезопасности.
Понимание этих проблем уже есть у государства, заверил Максут Шадаев, глава Минцифры России. Их возникновение он отнёс к издержкам развития цифровой экономики, подчеркнув, что «граждане всегда жаждали применять новые цифровые сервисы. Они активно пользуются ими сейчас, поэтому сворачивать с выбранного пути нельзя».
Рисунок 3. Глава Минцифры России Максут Шадаев на SOC Forum 2024
Можно предположить, что проблема может лежать также в плоскости масштаба: службы ИБ не успевают за темпом появления новых угроз. В этой ситуации регулятор и министр возлагают большие надежды на кратный рост оборотных штрафов за утечки. По их мнению, страх перед финансовыми потерями заставит большинство участников рынка и граждан изменить своё отношение к ИБ. Случится ли это на самом деле?
Бизнес смотрит на решение этих проблем более осторожно. Михаил Осеевский, президент компании «Ростелеком», выделил три главных «гаранта», которые будут способствовать повышению уровня кибербезопасности. «Первое — это импортозамещение и применение решений на российской программной базе. Второе — круглосуточный мониторинг в SOC-центрах с целью быстрого реагирования. Третье — широкое внедрение систем управления доступом для сотрудников и подрядчиков».
Рисунок 4. Заседание секции MSSP SOC для госкорпораций на SOC Forum 2024
Успехи в отрасли ИБ за прошедший год
Если вспомнить перечень угроз, которые были выделены на SOC Forum 2023, то основные направления борьбы с ними можно было свести к решению следующих задач: 1) противодействие угрозам массовых кибератак, 2) повышение готовности к отражению кибератак квалифицированных злоумышленников и 3) импортозамещение начиная с объектов КИИ. Поэтому на SOC Forum 2024 можно было ждать ответа на вопрос о том, насколько хорошо удалось решить эти задачи.
Беспрецедентный по своей массовости шквал кибератак хактивистов в 2022 году постепенно ушёл на «среднестатистический уровень» благодаря «внешним причинам» (эта тема требует специального анализа на Anti-Malware.ru). В то же время бороться с телефонным мошенничеством пришлось собственными силами служб ИБ. Усилия дали положительные результаты благодаря их действенности.
Как рассказал Станислав Кузнецов, в период пика этой проблемы (социальной инженерии) службы ИБ «Сбера» фиксировали до 20 млн мошеннических телефонных звонков в сутки, а в среднем — 6–7 млн в сутки. Благодаря маркировке спам-звонков и доверенных абонентов, вводу ограничений в отношении сим-карт, развитию облачных технологий для защиты от подмены номеров, внедрению антифрод-платформ угрозу удалось уменьшить.
Рисунок 5. Ситуация на рынке ИБ далека от безоблачной (SOC Forum 2024)
Признаки успешного отражения атак из области телефонного мошенничества сейчас налицо. Без такого заслона, по оценкам Станислава Кузнецова, потери граждан могли составить 250 млрд рублей, а экономике мог быть нанесён ущерб в размере до триллиона рублей.
В целом спикер следующим образом охарактеризовал динамику развития отрасли ИБ в России: «появление импортонезависимых продуктов, более высокая скорость принятия решений для противодействия угрозам, прогресс во взаимодействии и консолидации усилий игроков рынка».
Экспортный потенциал российской ИБ
Важным признаком SOC Forum 2024 стало появление в его повестке нового направления, связанного с развитием международной кибербезопасности. Ещё в первый день форума Максут Шадаев заявил, что «отрасль кибербезопасности — это наша надежда», отметив, что к российским технологиям защиты проявляют большой интерес в мире. По мнению министра, именно направление ИБ может стать «продуктом номер один в сфере экспорта технологий» в будущем.
Высокий потенциал этого направления подтвердил Игорь Ляпунов, гендиректор ГК «Солар», приведя данные исследования агентства McKinsey. Согласно прогнозу, глобальный рост сектора «Кибербезопасность» составит 1,2 трлн долларов США к 2040 году. Основными драйверами роста названы атаки хакеров, генеративный ИИ, действия государств в отстаивании своих геополитических интересов, военные конфликты.
Рисунок 6. Выступление Игоря Ляпунова на пленарном заседании SOC Forum 2024
В то же время, если охарактеризовать выступления международных участников SOC Forum 2024, то они, скорее, приглядывались к возможностям российского рынка ИБ, изучали новых игроков и обсуждаемые вопросы. Явно выделялось то, что все международные участники, среди которых были представители стран Азии, Африки и Латинской Америки, с большим интересом изучали российский опыт киберпротивостояния, признавая, что масштаб решаемых в России проблем повышает статус российских ИБ-игроков в мире как достойных партнёров для сотрудничества.
На SOC Forum 2024 у делегатов из других стран была возможность познакомиться с решениями российских ИБ-компаний и интеграторов. На выставке экспортных решений были представлены технологии «Солара», «Лаборатории Касперского», Security Vision, Innostage, «Кода Безопасности», Angara Security и «Газинформсервиса». Коллективный стенд стал точкой притяжения для делегатов из 16 стран Ближнего Востока, Юго-Восточной Азии, Латинской Америки, стран СНГ и Африки.
По словам Алана Хубаева, руководителя международных проектов ГК «Солар», кибербезопасность становится главным несырьевым экспортным продуктом. Эксперты международного трека подчеркнули, что практическое образование (киберполигоны), совместная инженерная разработка продуктов, обмен информацией о киберугрозах (Threat Intelligence) могут стать ключевыми направлениями для международного экспорта.
Как отметил Артур Люкманов, директор департамента международной ИБ МИД России, «даже в непростой геополитической обстановке России удаётся объединять усилия разных государств в борьбе с международной киберпреступностью». Он обратил внимание на то, что в ООН недавно был согласован проект Конвенции по борьбе с международной киберпреступностью. Она создана впервые. Благодаря этому правоохранительные органы получили мощный инструмент для противодействия хакерам на глобальном уровне. Но для выхода на внешние рынки и экспорта российских технологий ИБ потребуются большие усилия. Предложить готовые решения и ждать, что внешний рынок сам сделает выбор, опрометчиво.
Директор по клиентской работе «Российского экспортного центра» Алексей Мудраков подчеркнул, что вендоры и поставщики услуг в сфере ИБ могут воспользоваться мерами поддержки со стороны государства. Например, РЭЦ перезапустил программу «Сделано в России» для развития несырьевого экспорта — ИТ-услуг, программного обеспечения и технологий кибербезопасности, чтобы снизить барьеры для выхода на новые рынки.
Рисунок 7. Заседание международной секции на SOC Forum 2024
Сотрудничество игроков или жёсткая конкуренция?
Многие участники SOC Forum 2024 рассматривали форум как широкую площадку для начала активного продвижения своих продуктов с акцентом на обсуждение технических тем и общение с заказчиками. Первый рубеж — это выход на рынок новых продуктов класса NGFW. По оценке Александра Баринова, директора портфеля продуктов сетевой безопасности ГК «Солар», в 2023 году произошло «надувание пузыря NGFW»: рынок вырос с десятка ключевых вендоров до сорока, а в денежном выражении — с 5 млрд до 50 млрд рублей (а по некоторым оценкам — и до 100 млрд). По прогнозу «Солара», к 2030 году рынок скорректируется. Компания намерена остаться в числе ключевых игроков и занять около 30 % рынка.
Станет ли парад новых продуктов NGFW сигналом для нарастания конкурентной борьбы между решениями различных вендоров? Теме продвижения NGFW был посвящён особый круглый стол, на котором участники — представители наиболее активных игроков в этом сегменте рынка — отвечали на острые вопросы заказчиков и рассказывали, чем именно их продукты лучше, чем у других. Противостояние началось, но правильный ли был сделан выбор? Можно ли следующий этап рассматривать через призму развития не только конкуренции, но и сотрудничества между вендорами ИБ?
Рисунок 8. Дискуссия о «самом правильном NGFW» на SOC Forum 2024
По вопросу выбора между сотрудничеством и конкуренцией пока нет консенсуса. Например, Ирина Лебедева, вице-президент «Ростелекома» по продуктам массового сегмента, считает, что сотрудничество в области кибербезопасности «должно видоизмениться до межотраслевого стандарта и представлять собой некую конвенцию между организациями».
С её позицией трудно не согласиться. Когда российский рынок ИБ находится в условиях сильного противостояния извне, излишняя конкуренция внутри будет действовать на него разрушительным образом. Участие в такой борьбе будет отвлекать игроков от главной задачи: реализации политики импортозамещения и создания продуктов уровня не ниже, чем у глобальных игроков рынка ИБ.
В качества примера ИБ-инициативы Ирина Лебедева привела то, что сервис проверки на утечки Solar Aura стал доступен бесплатно для абонентов оператора t2. Она отметила, что технические решения помогают выявлять картину реальных угроз, а не оставаться в плену маркетинговых шаблонов для презентации продуктов. «Мы делим аудиторию на отдельные группы, определяем наиболее уязвимых участников — и это не всегда пожилые или дети, как думают многие. Такой взаимосвязи мы не видим. Мошенники могут ввести в стресс и экономически активных людей».
Свой ответ дал Дмитрий Миклухо, директор департамента ИБ «Промсвязьбанка». Он заявил: «От торговли страхом надо отходить. Это стало неактуально. Все и так знают, что должно быть безопасно, что есть регуляторы, что мы априори должны это выполнять. Поэтому мы пошли через сервисную модель и заявляем клиенту: мы сделаем не только то, что должны по закону, но ещё больше и лучше, сложнее».
Тем самым Дмитрий Миклухо подсказывает, что вендоры могут нацелиться на эволюцию их продуктов и предложение дополнительных услуг, преимуществ, индивидуализации под конкретных заказчиков. В этом может состоять «сотрудничество». Тогда рынок сможет диверсифицироваться на более узкие ниши, а каждый вендор — найти для себя место с учётом наиболее удачного сочетания предлагаемых функций и услуг.
Рисунок 9. Участники пленарной сессии о конкурентных преимуществах ИБ на SOC Forum 2024
«Алгоритм поиска» таких ниш подсказал Игорь Душа, директор портфеля продуктов по ИБ НОТА КУПОЛ («Холдинг Т1»). Он отметил: «Пока пользователь не испытывает угрозы, конкурентное преимущество не имеет для него сильного значения. Но если напор возрастает, то оценка преимущества сразу меняется». Поэтому вендорам надо не только наращивать функциональный набор в своих продуктах, но и уметь находить угрозы, с которыми уже сталкиваются или могут столкнуться заказчики. Сформированный список угроз поможет сегментировать продукты и сделать их более привлекательными для определённой группы заказчиков, формируя тем самым отраслевые ниши.
Чего ждать в будущем?
Ещё несколько лет назад к главным стимулам развития киберпреступности причисляли финансовую выгоду, «жажду славы» и развлечения. На смену им в 2022 году пришли хактивизм, промышленный шпионаж и адресные атаки.
Согласно оценке Петра Белова, замдиректора Национального координационного центра по компьютерным инцидентам (НКЦКИ), теперь противник отходит от тактики «громких», демонстративных атак и старается нанести максимальный ущерб. 70 % инцидентов, рассмотренных в НКЦКИ, были направлены на уничтожение информации. При этом механизмы кибератак изменились несильно: критические уязвимости, фишинг, атаки через подрядчиков.
Рисунок 10. Участники регуляторного трека SOC Forum 2024
То, что цель нанесения ущерба начинает преобладать над другими, отмечается уже не впервые. Как подчеркнул Алексей Петров, референт Совета Безопасности РФ, «сегодня никто, ни одна компания или организация не должны рассчитывать, что они находятся за пределами внимания киберпреступников. Любой может стать целью для нападения: общий вектор воздействия хакеров направлен не только на нанесение ущерба самому объекту, но и на вызов социально-экономических последствий для государства. Самые опасные зоны — это растущая взаимосвязанность информационных систем, развитие технологий, зауженный периметр защиты со стороны служб ИБ».
До сих пор разработка большинства ИБ-продуктов была нацелена прежде всего на использование в крупных организациях, обладающих большими бюджетами на ИБ. Небольшие компании из сектора СМБ часто даже не задумывались о развитии собственных служб ИБ. Они ограничивали свои запросы установкой антивируса и стандартной защитой информационных систем, обслуживание которых обычно передавалось на аутсорсинг, причём на нерегулярной основе.
По мнению Алексея Петрова, «необходимо создать единый правовой режим, который будет распространяться на все системы безопасности, от которых зависит существование общества и государства, улучшать механизмы контроля и создавать новые». Тем самым он поддержал мнение, что внедрение более широкого набора инструментов ИБ должно затронуть все компании, работающие на рынке, в том числе и малые. Как эти компании будут изыскивать финансовые возможности? Какую ответственность будут нести в случае возникновения инцидентов?
Пока предложен только механизм наложения штрафов за утечки. Подразумевается, что этот механизм позволит переломить ситуацию, потому что главную причину рисков регулятор видит в нерадивости организаций и их нежелании защищать себя (уделять задачам ИБ должное внимание).
Но так ли это на самом деле? Могут ли все участники рынка уже сейчас инвестировать в развитие своих систем ИБ в той же степени, как это делают крупные компании? Пока ответа на этот вопрос нет.
Очевидно, что для этого нужны не только продукты с подходящим ценником и нужными функциональными возможностями. Необходим также подготовленный персонал, который разбирается в технических вопросах ИБ и может обеспечивать работу соответствующих инструментов.
На глобальном рынке такие решения часто предлагаются в виде облачных услуг. Однако в России облачная тематика пока развивается не так стремительно, как за её пределами.
Выводы
Мир стоит на пороге новых глобальных угроз, связанных с ИБ. Особенность России состоит ещё и в том, что против неё ведётся сильная геополитическая борьба, которая выражается в усилении кибератак и их диверсификации. Новые угрозы позволяют не только ускорить создание новых решений в области ИБ, но и делать их значительно лучше, испытывая их «в бою». Готовы ли российские вендоры ИБ к такому «сотрудничеству», или они пойдут по пути усиления конкуренции между собой? Это был главный вопрос прошедшего SOC Forum 2024.
