Максим Едуков
Технический директор компании ARinteg
Профессиональный стаж в области информационных технологий и информационной безопасности — более 20 лет, из них последние 15 лет в системной интеграции.
В течение своей карьеры работал на различных позициях — от системного администратора, пресейла, BDM, АМ, руководителя по развитию комплексных проектов в ИТ и ИБ до технического директора.
Имеет богатый опыт в реализации проектов и комплексных услуг для крупных банков и компаний нефтегазового сектора, а также в формировании ИТ-подразделения, подборе и адаптации сотрудников.
Социально-политические изменения в стране серьёзно отразились на отечественной ИТ-индустрии, особенно в сфере информационной безопасности. Как следствие, в законодательстве сейчас происходят постоянные изменения, отслеживать которые становится всё труднее. Есть ли возможность облегчить жизнь сотрудников организаций и автоматизировать комплаенс? Существуют ли в данный момент на российском рынке предложения, способные решить эту задачу? На наши вопросы ответили Максим Едуков, технический директор компании ARinteg, и его заместитель по консалтингу и аудиту Алексей Пастоев.
Коллеги, год уже заканчивается, и в целом для страны он оказался весьма сложным. Произошло много событий, в том числе и таких, которые напрямую затронули отрасли ИТ и ИБ. Давайте поговорим о рынке информационной безопасности. Как вы считаете, самое трудное уже позади или в 2023 году нам следует ожидать ещё больших трудностей?
Максим Едуков: Несомненно, 2022 год выдался богатым на события, которые значительно повлияли на рынок ИТ и информационной безопасности. Особенно сильное влияние оказали социально-политические события февраля этого года, а также всё продолжающиеся санкции и, как результат, уход западных вендоров с российского рынка.
Сейчас мы наблюдаем такую картину: многие проекты, которые заказчики планировали в начале года, или заморожены, или перенесены, или просто отменены.
Алексей Пастоев: Необходимо также отметить, что большое влияние на ситуацию в отрасли оказали и продолжают оказывать законодательные изменения в части регулирования вопросов информационной безопасности.
Вы сразу затронули два основных фактора изменения рынка. Давайте поговорим о них по порядку и более детально. Итак, с российского рынка ушло много зарубежных вендоров. Каков ваш экспертный взгляд на это событие? Изменилась ли ситуация на рынке к лучшему или нас ещё ждут какие-то последствия?
М. Е.: Получилось так, что с уходом зарубежных вендоров освободились ниши, которые поспешили занять отечественные игроки. При этом если в целом в ИТ-отрасли появился параллельный импорт, то в сфере информационной безопасности всё-таки приходится отталкиваться от отечественных решений.
Сейчас на рынке формируется здоровая конкурентная среда, что немаловажно для конечного потребителя.
В борьбе за заказчиков производители вынуждены более оперативно дорабатывать свои решения и выводить на рынок новые продукты.
Раньше мы видели, что производители не вкладываются в своё развитие, сейчас же многие из них уже в следующем году планируют вывести на рынок решения, создание которых долгое время планировалось на далёкую перспективу. Также важно отметить, что у компаний в ИТ-отрасли появился дополнительный стимул в виде субсидий со стороны государства. В целом же можно сказать, что на 2023 год мы смотрим более позитивно.
В каких сегментах рынка ИБ, на ваш взгляд, импортозамещение идёт наиболее динамично, а где, наоборот, есть большие трудности?
А. П.: Очевидно, что импортозамещение активнее всего происходит там, где оно регулируется законодательно. Это касается прежде всего государственных, системообразующих предприятий, а также субъектов критической информационной инфраструктуры.
М. Е.: Коммерческие заказчики также понимают важность импортозамещения. Если в начале года многие из них выбрали выжидательную позицию, то на текущий момент они пересматривают свои планы на год будущий и готовятся к перезагрузке всей своей ИБ-инфраструктуры.
Не секрет, что многие отечественные продукты по факту очень зависят от импортных компонентов, как программных, так и аппаратных, и в частности это касается Open Source. Не является ли наше импортозамещение некой фикцией, можем ли мы стать по-настоящему импортонезависимыми?
М. Е.: Многие производители действительно в какой-то части строят свои решения на открытом коде.
Со стороны аппаратной части по-прежнему есть зависимость от западных комплектующих, но их доля постепенно уменьшается.
Учитывая высокий уровень подготовки отечественных специалистов в ИТ- и ИБ-отраслях, а также господдержку, мы надеемся, что импортозамещение в сфере информационной безопасности — не за горами.
Я хотел бы уточнить по поводу использования Open Source (Anti-Malware.ru писал об этом здесь). Когда началась СВО, произошёл целый ряд атак на цепочки поставок. Эти атаки в своей основе как раз использовали Open Source. Изменялся код, библиотеки потом расходились по российским компаниям, и таким образом производились атаки. Как можно защититься от этого вектора, коль скоро именно Open Source стал основой для развития российского ПО?
М. Е.: Наверное, основной подход — не использовать решения, которые целиком полагаются на Open Source. Вместо этого лучше брать отдельные компоненты. Ведь гораздо труднее подменить, например, отдельные части библиотеки и понимать при этом, где они будут использоваться в конечном счёте.
А как тогда проверить этот код на отсутствие недекларированных возможностей?
М. Е.: Нужно разбирать каждый код, и именно поэтому лучше брать не целый опенсорсный продукт, а какие-то библиотеки, которые всё-таки проще разобрать и просмотреть — возможно, даже частично в ручном режиме.
Каждая компания должна это делать сама?
М. Е.: Безусловно, прямо сейчас каждая компания сама отвечает за свою безопасность. Я не думаю, что у нас в ближайшее время может появиться какая-то структура, способная в краткие сроки обеспечить формат взаимодействия локализованного опенсорс-сообщества.
Складывается впечатление, что из-за всех этих событий у многих российских заказчиков сейчас просто нет времени внедрять что-то действительно новое, нет ресурсов для серьёзных новых проектов. Согласны ли вы с этим? Насколько сильно это может зависеть от конкретной организации?
М. Е.: С этим можно согласиться лишь отчасти. Действительно, в 2022 году компаниям пришлось пересматривать свои планы. Если, как мы говорили, до лета многие не понимали, как будут развиваться события, и взяли паузу, то с середины лета все перешли в активную фазу.
Ситуация осложняется тем, что зачастую проекты по информационной безопасности длятся от нескольких месяцев до нескольких лет, и к середине лета у многих компаний уже были выбраны решения и проведены пилотные проекты. Возможно, уже даже была осуществлена какая-то часть внедрения, и она была просто приостановлена.
На текущий момент всем нужно пересмотреть свои планы с оглядкой на импортозамещение.
Это — новая данность, с которой всем нам приходится жить.
Стоит вспомнить и о том, что произошли подорожания. Кроме того, в среднем для замены одного зарубежного решения необходимы два, а иногда и три российских. Как следствие, проекты становятся сложнее и дороже.
М. Е.: Безусловно, подорожания произошли, и связано это с тем, что на текущий момент заказчикам приходится не просто устанавливать какие-то «тяжёлые» экзотические продукты, а делать перезапуски и начинать с базовых внедрений.
Таким образом, они вынуждены замещать то, что уже давно внедрено и успешно использовалось. То есть заказчики сейчас тратят не только средства, но и время, которого, как обычно, мало.
Возможно, есть такие сегменты рынка, которые ушли на второй план, и если раньше о них много и часто говорили, то сейчас никто даже и не вспоминает. Какие сегменты, решения и продукты сейчас особенно интересны заказчикам? Что прямо сейчас является «горячими» темами?
М. Е.: Начнём с базовых вещей, а именно — защиты на границе сети: файрволы и конечные точки, антивирусы, решения класса EDR и защита от утечек информации.
Также нужно отметить массовую замену решений по управлению привилегированными пользователями и IDM-систем. Кроме того, безусловно, по-прежнему высок спрос на решения классов SIEM и IRP.
А. П.: Не будем забывать и об изменениях в законодательстве, которые произошли за последние годы — в частности, об утверждении ГОСТ Р 57580. В то же время новые постановления Банка России, такие как № 747, № 683 и № 719, привели к тому, что изменился спрос на услугу проведения проверок по комплаенсу.
Если раньше коммерческие банки и другие финансовые организации могли исполнять многие требования ЦБ РФ в виде самооценки, то теперь они вынуждены привлекать независимых аудиторов для проведения проверки на соответствие требованиям ГОСТа и постановлениям Банка России.
Поэтому сейчас мы наблюдаем резкое повышение спроса на такого рода услуги.
Кроме того, по-прежнему строгим остаётся требование ЦБ РФ проводить самооценку защищённости и пентесты. В последнее время нашу компанию буквально захлестнула волна заказов на эти услуги.
Пентесты — тема очень горячая. Они фигурировали в том числе и в Указе № 250. Думаю, так или иначе эти требования будут распространяться и дальше.
А. П.: Следует ожидать, что этот тренд сохранится, потому что Банк России требует проводить самооценку защищённости и пентесты на регулярной основе. В среднем — один раз в два года.
Давайте тогда подведём некий итог. Каков сейчас топ-5 самых «горячих» продуктов и услуг?
А. П.: Начнём с аудита на соответствие требованиям законодательства, а именно ГОСТ Р 57580 и положениям ЦБ РФ. Далее следуют пентесты и оценки защищённости. Эти два понятия следует разделять, потому что пентест — это всё-таки попытка получения несанкционированного доступа.
Оценка защищённости — это, можно сказать, часть пентеста: взгляд на то, как выглядит инфраструктура со стороны, например из интернета, и насколько велика вероятность того, что у нас есть те или иные уязвимости.
Кроме того, мы регулярно получаем от клиентов заказы на проведение аудита информационной безопасности различного направления. Это может быть оценка соответствия лучшим практикам по построению и настройке компьютерных сетей, использования различных современных технологий.
Действительно, спрос растёт. Если ещё несколько лет назад пентесты и аудиты делались только тогда, когда уже произошёл какой-то инцидент, то сегодня мы видим, что организации заказывают их всё чаще и чаще, уже в качестве профилактической меры.
Алексей Пастоев
Заместитель технического директора по консалтингу и аудиту
Сертифицированный специалист по безопасности информационных систем (CISSP).
Профессиональный стаж Алексея включает в себя более 20 лет работы в области разработки и оценки систем компьютерной безопасности и аудита информационных систем и более 10 лет в сфере ИТ.
Алексей Пастоев оказывал услуги в области информационной безопасности крупным российским и международным компаниям. В рамках этих проектов он неоднократно проводил аудит информационных систем, занимался разработкой и реализацией политик и процедур, оценкой рисков и диагностикой систем безопасности внешних и внутренних информационных систем.
Алексей Пастоев — автор ряда статей по информационной безопасности, опубликованных в журнале «Открытые системы».
Максим, давайте теперь сделаем такой же рейтинг по продуктам и выберем топ-5 решений. Что ещё, кроме IDM?
М. Е.: Я бы добавил ещё файрволы, а также продукты для защиты конечных точек: антивирусы и EDR. Очень многие начали внедрять EDR, и за последний год в этом направлении был сделан действительно огромный шаг. Важными направлениями являются также IDM и защита привилегированных пользователей, то есть PAM. Кроме того, очень востребованны сейчас SIEM- и IRP-системы. Если раньше они были скорее экзотикой, то за последний год запросов на эти решения стало гораздо больше.
Возможно, не все наши читатели знают о том, что у компании ARinteg есть ещё и свои собственные разработки. Я имею в виду модуль 1С УПДн. Что это такое и какие задачи решает этот продукт?
А. П.: УПДн — это управление персональными данными. Изначально это был некоммерческий проект, собственная разработка, созданная для того, чтобы облегчить работу нашим сотрудникам отдела кадров, в частности специалистам по обработке персональных данных. Мы выбрали 1С, так как именно она у нас уже была установлена.
Теперь о том, какие задачи решает модуль 1С УПДн. Согласно закону о персональных данных № 152-ФЗ, предприятие должно отдельным приказом назначить ответственного за обработку персональных данных. Для этого необходимо разработать целый комплекс нормативных документов.
Нужен чёткий регламент того, кто, когда и по каким правилам эти персональные данные обрабатывает, хранит, уничтожает, отвечает на запросы по ним и так далее. Всё это предполагает большой объём бумажной работы, но все эти действия можно автоматизировать.
Так мы и создали модуль 1С, который подсоединяется к базе данных отдела кадров и «видит» сотрудников и должности, а также изменения в штатном расписании. Поэтому если у нас меняется ответственный за обработку персональных данных, то для того, чтобы выпустить новый приказ, достаточно просто нажать кнопку. После этого нормативная база по персональным данным автоматически перестраивается.
Что же касается самой базы данных, то она создана в соответствии с рекомендациями Роскомнадзора и содержит порядка 79 различных документов, среди которых — различные виды извещений Роскомнадзора, согласия на обработку данных, а также договоры на передачу персональных данных для обработки.
Таким образом, база содержит целый массив документов, и с помощью модуля 1С вся она легко и непринуждённо содержится в актуальном состоянии.
Поскольку многие компании используют конфигурацию «1С:ЗУП», наше решение оказалось интересным для значительного сегмента рынка. По сути, все, кто использует этот модуль программы 1С, потенциально заинтересованы в автоматизации работы по обеспечению соответствия закону о персональных данных.
Ещё один положительный момент состоит в том, что если у вас уже установлена программа 1С, то вам не нужно ничего покупать дополнительно, кроме этого одного модуля 1С УПДн. Если у вас есть эта программа, значит, ваша система соответствует техническим требованиям для использования нашего решения.
Действительно, охват рынка для вашего продукта очень велик. Программа 1С — это де-факто стандарт для большинства отечественных юридических лиц, а ваше решение автоматизирует бумажную рутину, связанную с комплаенсом.
А. П.: И эта бумажная рутина как раз и составляет самую трудоёмкую часть работ по обеспечению соответствия закону № 152-ФЗ.
Нужно понимать, что базу данных необходимо всё время поддерживать в актуальном состоянии.
Так, например, когда вышел новый закон № 266-ФЗ об изменениях в законе о персональных данных, те, кто пользуется нашим модулем, сразу же получили новую версию, а вместе с ней — и новые готовые документы, на которые достаточно было просто поставить печать и утвердить их приказом. Таким образом, им совершенно не пришлось тратить своё время и усилия на учёт изменений, прописанных в этом законе.
С каждым обновлением нормативных требований, очевидно, происходит и обновление вашего решения. Какое лицензирование у модуля 1С УПДн? Это — подписка или разовая оплата?
А. П.: Мы предлагаем годовую подписку. Она стоит относительно недорого, и любая компания, которая её покупает, получает все необходимые обновления, связанные с изменениями в законодательстве.
М. Е.: Лицензия — бессрочная, но она имеет включённую годовую поддержку, которую можно каждый год продлевать и, соответственно, получать актуальные версии продуктов, обновлённые с учётом изменений в нормативной базе.
Теперь я хотел бы расспросить вас об очень интересном, с моей точки зрения, продукте — ARinteg Next Generation (ARING). Расскажите, пожалуйста, как появилось это решение и на чём оно основано.
М. Е.: Появилось оно на базе опенсорс-решения, ядро — FreeBSD. Используется как классический файрвол нового поколения. Кроме базовых модулей имеет прокси, ограничитель трафика, различные варианты VPN и фильтрацию по приложениям на седьмом уровне.
Главное отличие решений класса NGFW от обычных — это как раз возможность L7-фильтрации. А есть ли какие-то дополнительные функции — сетевой антивирус, DLP, IPsec?
М. Е.: Возможна интеграция с «Антивирусом Касперского»; на текущий момент мы дорабатываем свой продукт. Возможна также интеграция и с DLP-решениями.
Сетевая безопасность — это большая доля рынка безопасности инфраструктурной. Делаете ли вы серьёзную ставку на этот продукт в связи с уходом зарубежных вендоров с отечественного рынка?
М. Е.: Да, на текущий момент предложений на рынке действительно не так много, поэтому мы позитивно смотрим на коммерческие возможности нашего решения. С другой стороны, в связи с тем, что запросов на него довольно много, хотелось бы со всеми из них справиться, а не только обещать.
Сетевая безопасность в значительной степени зависит от «железа». Зарубежные вендоры, как правило, поставляют свои NGFW в виде готовых ПАК, то есть у них имеются и своё «железо», и аппаратные ускорители, и архитектура, и так далее. А какой подход практикуется у вас?
М. Е.: На текущий момент существует два варианта поставки: либо ПАК, либо отдельное программное обеспечение. ПАК пока — на базе Intel, а использование российских процессоров сейчас хотя и рассматривается, но, буду откровенен, предвещает огромный пласт работы. Вряд ли это произойдёт раньше, чем через два квартала. Здесь очень много нюансов, и поэтому трудно назвать определённые сроки. Но мы работаем в этом направлении.
На какую архитектуру сейчас следует делать ставки? Многие ещё питают иллюзии по поводу возобновления производства «Эльбрусов», а я лично знаю несколько компаний, которые всё ещё живут на запасах. Так в какую же сторону стоит смотреть вендорам?
М. Е.: В том-то и дело, что смотреть можно будет только после того, как мы поймём, что на рынке есть решения, которые действительно стабильно и активно развиваются. Эти решения не должны быть узкоспециальными, то есть работать только под наш продукт, они должны быть широко востребованными на рынке.
Мы не хотим быть первопроходцами и принимать на себя все тяготы и лишения от внедрения новой элементной базы.
У нас сейчас и так большой фронт работ: необходимо переписать и реализовать процентов 80 всего написанного ранее. Это будет очень трудно сделать, сохранив и производительность, и функциональность. И если с функциональностью всё понятно, то по поводу производительности на новой элементной базе — вопрос весьма шаткий.
Поэтому всё-таки сначала нужно посмотреть, как она будет работать. И если мы говорим, что это будет не ПАК, а ПО и мы, возможно, как многие, будем использовать файрволы на базе виртуализации, то здесь возникает ряд вопросов. Какая это будет виртуализация и как она будет работать на отечественных процессорах?
Слишком много вопросов, поэтому нельзя с уверенностью называть какие-то сроки. Нужно смотреть, как будет развиваться рынок. Мы не можем отвечать за вендоров. С одной стороны, развитие было; были созданы какие-то процессоры, но пока не совсем понятно, как это будет развиваться дальше. Непонятна дорожная карта их развития на ближайшие год-два.
Существуют новые решения кроме «Эльбрусов» и «Байкалов», но пока сложно судить, насколько всё это реально.
Многое зависит от государственной поддержки этого направления, и тогда, возможно, что-то получится.
Я хочу верить, что не только в сфере ИБ, но в целом в отрасли ИТ будет сделан некий прорыв. Как я уже упомянул, если на рынке информационной безопасности у нас есть и решения, и специалисты, то в ИТ-области, например, в части той же самой элементной базы мы несколько остановились в развитии.
Коллеги, хотелось бы узнать о ваших планах на следующий год. Чего ожидать от вашей компании? Чем удивите рынок, возможно, не только российский?
М. Е.: В начале первого квартала или ближе к его концу мы планируем зарегистрировать ARING в Едином реестре Минцифры. Кроме тех разработок, о которых мы сегодня уже рассказали, у нас есть архиватор ARZip и SAVA Analytics.
Также мы планируем до конца года зарегистрировать ещё одно своё решение. Оно называется VRATA. Это — аппаратный комплекс с двумя изолированными друг от друга контурами и программно-аппаратным переключателем.
Говоря простым языком, это два компьютера с разнесённой элементной базой, абсолютно изолированные друг от друга. Это решение предназначено для использования на предприятиях, когда возникает необходимость работать и в корпоративной среде, и в технологической, разделив их между собой. Данный продукт помогает в исполнении закона № 187-ФЗ. Благодаря ему нет необходимости переключаться между несколькими компьютерами.
Кроме этого, к концу года мы планируем открыть свой собственный консультационно-тренинговый центр, где будут проводиться различные семинары, обучение, демонстрация наших внутренних разработок. Там же, возможно, будем устанавливать и демостенды партнёров.
А. П.: Продолжая разговор о развитии спектра наших услуг, добавлю, что мы планируем развиваться в соответствии с нуждами рынка, то есть в сторону комплаенса, проверки соответствия требованиям Банка России и законодательства (в том числе по критической информационной инфраструктуре) в сфере защиты персональных данных.
Также займёмся проектами, которые я бы назвал «ручными»: это специализированный тематический аудит информационной безопасности. Мы делаем оценку инфраструктуры заказчика, вникаем в то, как у него всё устроено, и на выходе даём рекомендации в части того, как следует рационально сформировать бюджет и произвести перестройку ИТ-инфраструктуры.
Не планируете ли вы запускать отраслевой консалтинг для промышленных предприятий? Совсем недавно у нас был эфир по защищённости АСУ ТП, на котором эксперты как раз говорили о нехватке такого рода консалтинга. Заказчикам не хватает общего понимания того, что им нужно делать для выполнения всех требований по законодательству: 187-ФЗ, отраслевые стандарты, внутренний комплаенс. Нужно, чтобы кто-то всё это собрал и сделал отраслевые практики.
А. П.: Это — очень интересное направление, потому что часто происходит так, что отдельные специалисты имеют квалификацию только в одном узком направлении. Например, кто-то хорошо разбирается в сфере персональных данных, другой — в области государственных информационных систем, а третий — в КИИ. При этом люди не видят общей картины.
В такой ситуации руководителям предприятий трудно принимать правильные управленческие решения по поводу того, что же делать со своей информационной безопасностью.
Как, например, соединить 21-й приказ ФСТЭК России с её же 17-м приказом? Как это сделать для разных типов предприятий?
Или, например, вы подпадаете под действие законодательства о КИИ, но у вас нет значимых объектов критической информационной инфраструктуры. Это отнюдь не означает, что вам можно расслабиться и ничего не делать. На вас распространяется приказ ФСТЭК России № 31, и в соответствии с ним нужно принять меры, которые во многом совпадают с теми, что разработаны для третьей категории объектов КИИ.
Таким образом, для нас очевидно, что на рынке есть большой спрос на повышение квалификации в области ИБ-управления. Руководители департаментов информационной безопасности не должны бегать по консультантам и спрашивать, что же им делать в следующем году, когда и какие постановления Банка России им нужно исполнять, а также что делать, когда эти требования меняются.
Мы видим большой спрос на такого рода консалтинговую услугу, и, возможно, на базе нашего нового тренингового центра мы будем проводить именно такие учебные мероприятия.
М. Е.: Это может быть и формат семинаров, консультаций и обсуждения всех этих насущных проблем. Таким образом сотрудники, которые отвечают за информационную безопасность, смогут отслеживать актуальные изменения в законодательстве и чётко видеть, в какую сторону им необходимо в ближайшее время двигаться.
Как вы смотрите на экспорт своих продуктов и экспертизы в другие регионы, за пределы России?
М. Е.: Давайте говорить откровенно. Безусловно, экспертиза у нас есть, расширение «бизнеса для бизнеса» — это первоочередное, а мы всё же не меценаты, а коммерческая структура.
Опыт этого года — бесценный, и работы в этом году, как ни странно, стало только больше. И поток запросов, пилотных проектов во второй половине 2022 года — просто колоссальный. Такого массированного тестирования российских продуктов, проверки и внедрения гипотез в предыдущие годы просто не было.
Поэтому мы надеемся, что будем и дальше наращивать свою экспертизу, которая позволит прямо сейчас справиться с растущими запросами российского рынка, а уже дальше, в будущем, поможет нам выйти в соседние регионы.
Коллеги, большое спасибо за интересное интервью! Желаем вам реализации всех ваших планов в 2023 году. А нашим читателям мы, как всегда, желаем всего самого безопасного!