Журнал "Information Security/ Информационная безопасность" #4, 2023

Таким заказчикам придется создавать тестовые стенды, исследовать ПО, чтобы убедиться в его работоспособно- сти, обучать персонал им пользоваться. Небольшая компания справится, а вот организациям, где работают десятки тысяч сотрудников и отстроены процес- сы, будет очень непросто. А представьте, если во время атаки на компанию перестанет работать уста- новленное в ней импортное оборудова- ние и ПО? Мы вернемся в каменный век. Вероятность такого совпадения невелика, но все равно этот риск нужно учитывать. Ситуация в регионах осложнена нехваткой ресурсов и необходимых знаний. Понимая эти особенности, с 2022 г. мы сделали упор на регио- нальные проекты, коих стало в десятки раз больше. Осознал ли бизнес необхо- димость инвестиций в кибербезопас- ность? Ответ: если в 2021 г. мы могли гово- рить о том, что основная цель атак – это компании финансового сектора и ретейла, а прочие рискуют меньше, то в прошлом году акцент сместился в сторону госсегмента, объектов крити- ческой информационной инфраструк- туры, СМИ и всего, что связано с охра- ной важных объектов. Сейчас атака идет в первую очередь на организации, где можно получить информацию, которая может приго- диться врагу. Фактически хакеры враж- дебных стран используются как кибер- войска, чтобы получить эту информа- цию. Самый популярный запрос звучит сей- час так: "У нас ничего нет. Сделайте так, чтобы у нас все было правильно". А если серьезно, то запросы самые разные, начиная от "Нас взломали, помогите!" и заканчивая "Мы не дове- ряем нашим сотрудникам". Естественно, основной объем запро- сов поступает на мониторинг событий информационной безопасности. Основ- ной наш продукт RuSIEM дает понима- ние о происходящем внутри инфра- структуры, позволяет вычислить зло- умышленника до момента, когда он причинит реальный ущерб, и принять необходимые меры, чтобы купировать инцидент. Рост интереса к SIEM со сто- роны малого и среднего бизнеса – еще одна тенденция, которую мы зафикси- ровали в 2022 г. С нашей точки зрения, необходимость в мониторинге и реаги- ровании на инциденты становится базо- вой потребностью для компаний, где кибербезопасности уделяют должное внимание. Без скидок на масштаб биз- неса. Растет также число обращений, свя- занных с потребностью отслеживания состояния инфраструктуры для обес- печения ее бесперебойного функцио- нирования. Поток запросов настолько плотный, что мы решились на выпуск специализированного продукта RuSIEM Monitoring и тем самым поспособство- вали заказчикам в решении задачи доступности инфраструктуры. – Кто сейчас более активен в плане усиления защиты, бизнес или госсектор? – Если раньше приходилось тратить немало усилий на объяснение важности защиты, то в нынешних условиях вопро- сы обеспечения информационной без- опасности и непрерывности бизнеса стали первостепенными для заказчиков любого уровня и отраслевого сегмента. Если говорить об активности, то самыми активными являются все-таки органи- зации банковского сегмента и структуры КИИ. – Как за последние полтора года изменились риски для орга- низаций, какие основные угрозы существуют сегодня? – Изменения связаны с двумя ключе- выми датами: 24 февраля и 21 сен- тября 2022 г. После 24 февраля поня- тие о кибербезопасности в России изменилось принципиально. Если раньше мы всем миром боролись про- тив киберпреступников, то теперь киберпреступники стали кибервойска- ми – официально, не скрываясь и не таясь. Предположим, есть некая пре- ступная группировка в недружествен- ной нам стране, которая занималась тем, что выманивала деньги у ком- мерческих структур. За это они рис- ковали попасть в тюрьму, поскольку спецслужбы разных стран сообща с ними боролись. Теперь совместной борьбы не стало. Напротив, за взлом российских организаций, будь то ком- мерческие или госструктуры, могут даже заплатить. Второе большое изменение произош- ло 21 сентября. Если в начале весны 2022 г. мы наблюдали первую волну оттока людей и компаний, то вторая, осенняя, была значительно больше. Многие специалисты живут за рубежом, работают на российских разработчиков и могут иметь доступ к системам, кри- тическим с точки зрения информацион- ной безопасности. Помимо этого, многие игроки просто ушли с российского рынка, оставив здесь только небольшую долю своего бизнеса. Я повторяю одну и ту же фразу каж- дый год, а в прошлом году она стала еще более актуальной: атакуют всех. Если раньше мы говорили о цели выманить побольше денег, то сейчас атакуют просто для того, чтобы отклю- чить систему. Любой компании, неважно, есть у нее деньги или нет. Если это госструктура, целей может быть несколько: нарушение конфиденциальности, разрушение недоступности систем. То есть доба- вился политический момент. – Каковы основные сложности, с которыми сталкиваются ком- пании в процессе перехода на отечественные решения, и как с ними справиться? – Нельзя путать импортозамещение со сменой лейблов. Некоторые органи- зации хитрят: берут западную продук- цию, на нее наносят наклейку – и теперь это российский сервер. С ПО немного тяжелее. Иногда российский продукт создается на базе зарубежных решений Open Source. Это законно. А псевдо- российский продукт, конечно, позволяет какое-то время формально выполнить требования регулятора, но где гарантия, что Минцифры России не исключит его из реестра? Подобные примеры уже есть. Скупой платит дважды. Поэтому нужно в первую очередь тесно взаимо- действовать с бизнесом: составить дорожную карту, понять, какие системы придется замещать, что уже есть на рынке, либо заказать частную разра- ботку. Есть отраслевые сообщества, которые составляют единую дорожную карту, выбирают единого исполнителя и разрабатывают универсальное реше- ние. – Эксперты рынка отмечают, что высококвалифицированных ИТ-специалистов не хватало все- гда. Сегодня ситуация обостри- лась? – Кадровый вопрос всегда актуаль- ный и комплексный. Его решение с точки зрения любой компании в какой- то степени зависит от состояния рынка труда, однако именно эта зависимость открывает новые возможности для организаций, намеревающихся разви- вать и наращивать свой продуктовый портфель. Первым делом имеет смысл повысить зарплаты специалистам информационной безопасности по крайней мере до уровня классических айтишников, чтобы подняться над медианным уровнем вознаграждения. Причем если это сделать на опереже- ние, есть шанс собрать с рынка гра- мотных специалистов раньше, чем это сделает кто-то другой. Важно не просто выращивать ИБ- специалистов внутри организации, а показать им траектории их профес- сионального и зарплатного роста, чтобы мотивировать оставаться с конкретной компанией так долго, как это будет им интересно. l • 25 SIEM www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ RUSIEM см. стр. 70 NM Реклама