2024/10/17 09:54:31

Услуги анализа защищенности (рынок России)


Основные статьи:

2024: Законопроект о легализации деятельности пентестеров в РФ принят в первом чтении

Законопроект, который предлагает внесение поправок в статью 1280 части четвертой Гражданского кодекса РФ для легализации деятельности специалистов по информационной безопасности или пентестеров в России, прошел первое чтение в Госдуме. Об этом 16 октября 2024 года сообщила пресс-служба члена комитета ГосДумы РФ по информационной политике, информационным технологиям и связи Антона Немкина.

Авторы законопроекта - представители партийного проекта «Цифровая Россия» Антон Немкин, Геннадий Панин, Игорь Марков и комитета Госдумы по информационной политике Вячеслав Петров и Антон Ткачев – предлагают внести ряд поправок в статью 1280 части четвертой Гражданского кодекса РФ.

Один из авторов законопроекта, Антон Немкин, выступая на пленарном заседании Госдумы, напомнил, что 37% российских компаний подвергаются атакам хакеров минимум раз в месяц. Только за первую половину 2024 года количество DDoS-атак на российские организации выросло до 355 тысяч, что на 16% больше, чем за весь 2023 год. При этом под ударом зачастую оказываются объекты критической информационной инфраструктуры. Например, в сентябре 2024 года количество DDoS-атак на [телекоммуникация и связь|телеком]]-компании выросло на 74%.

«
На фоне увеличившегося количества кибератак нашим государственным органам и компаниям уже мало просто иметь собственный штат ИТ-специалистов, важно систематически проводить аудит защищенности своих систем при помощи независимых профессионалов – так называемых пентестеров. Их работа должна стать такой же необходимой и систематической, как например, независимый внешний аудит финансовой отчетности или сторонние юридические проверки бизнеса. Особенно это важно, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам, - отметил депутат.
»

По словам Немкина, поправки в статью 1280 Гражданского кодекса - первый из пакета подготовленных законопроектов, направленных на регулирование работы пентестеров, которые не спешат выходить из тени в виду существующих рисков привлечения к ответственности.

Так, для проведения тестирования защищенности систем российских компаний пентестерам требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы. Выполнение тестирования без таких разрешений может повлечь нарушение авторских прав, и их могут обязать выплатить компенсации в размере от 10 тысяч рублей до 5 миллионов рублей, либо в двукратном размере стоимости права использования соответствующей программы.

«
Нашим законопроектом предусмотрена возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром программы для ЭВМ, либо лицом, действующим по его поручению, в целях выявления его уязвимостей для исправления явных ошибок. При этом указанные действия осуществляются исключительно в отношении программ, функционирующих на технических средствах пользователя. С целью защиты прав и интересов правообладателей программы, мы предусмотрели запрет на передачу информации о выявленных недостатках третьим лицам. В то же время мы предлагаем установить обязанность лица, выявившего недостатки, сообщить о них правообладателю в течение пяти рабочих дней со дня их выявления, - пояснил Немкин.

»

На октябрь 2024 года в онлайн-пространстве действуют уже не сотни, а десятки тысяч хакеров, большинство из них поддерживаются и финансируются спецслужбами недружественных стран. Их цель – любой ценой украсть персональные данные граждан, которые потом будут использованы в противоправных целях, а также через уязвимости добиться вывода из строя критически важных систем. В случае успеха таких атак последствия могут быть катастрофическими и затронут миллионы граждан, если заранее не принять меры для их недопущения.

«
Пентестеры работают на то, чтобы определить логику потенциальных хакеров-преступников, модифицировать уязвимые места и усилить защиту информационных систем и ресурсов. Поэтому трансформация законодательства в части их работы особенно актуальна, - заключил парламентарий.
»

2023: Проанализированы тенденции российского рынка анализа защищенности

Компания Angara Security проанализировала более 200 реализованных проектов и конкурсных процедур в сфере анализа защищенности за 2022-2023 гг. Основные выводы исследования:

  • Около 60% проектов по анализу защищенности реализуется в рамках двух ценовых сегментов: от 500 тыс. рублей до 1 млн рублей (23,7%) и от 1 млн до 2 млн рублей (37%).
  • По сравнению с 2022 годом доля проектов в отмеченных ценовых сегментах выросла в среднем на 65%.
  • Услуги анализа защищенности наиболее востребованы среди финансовых организаций и страховых компаний (около 40% проектов и конкурсных процедур), телеком- и ИТ-компаний (28,8%).

В число наиболее востребованных услуг в сфере анализа защищенности вошли такие направления:

Бюджет от 500 тыс. до 1 млн рублей: услуги внешнего и внутреннего пентеста, анализ защищенности веб- и мобильных приложений. Рост числа проектов в этой ценовой категории аналитики Angara Security связывают с запросами на проверку уровня защищенности пользовательских цифровых сервисов и приложений, а также с интересом со стороны компаний малого и среднего бизнеса, ИТ-разработчиков, которые ранее не уделяли особого внимания информационной безопасности.

Бюджет от 1 млн до 2 млн рублей: чаще всего в эту категорию входят услуги, которые требуют автоматизированного анализа защищенности и экспертного подхода к оценке рисков и управлению уязвимостями. К ним относятся услуги анализа кода, социотехнические исследования, тестирование с помощью инструментов социальной инженерии, мониторинг защищенности внешнего периметра, критических информационных систем.

«
Рост проектов в этой категории чаще связан с повторными обращениями заказчиков, которые уже имеют опыт проведения пентестов, понимают, какой результат им необходим от такого типа тестирования и повышают требования к экспертизе и опыту команды, организующей оценку защищенности, — сказал Андрей Макаренко, руководитель отдела развития бизнеса Angara Security.
»

Аналитики также отмечают спрос на решения для мониторинга эффективности средств защиты информации на внешнем периметре, поэтому на рынке также востребованы услуги комплексной симуляции кибератак (red team) с проверкой реакции сотрудников внутренних SOC-центров и ИБ-подразделений в филиалах крупных компаний.

«
Также растет спрос на анализ защищенности в режиме "белого ящика". Такие пентесты выявляют практически все уязвимости приложений и имеют наибольшую эффективность. При этом предъявляются высокие требования к профессионализму, обучению и сертификации команды исполнителей, − дополнил Михаил Сухов, руководитель отдела анализа защищенности Angara Security.
»

Среди перспективных направлений в сфере анализа защищенности аналитики Angara Security также отмечают автоматизацию проверок, которые могут проводиться без привлечения экспертов, а также объединение в комплексные услуги пентестов инструментов OSINT и анализа фишинговых атак, управление поверхностью атаки внешнего периметра, сопоставление актуальных для отрасли техник и атак.