Андрей Янкин, «Инфосистемы Джет»:
Актуальность направления DevSecOps и Big Data Security сильно выросла
Российский рынок информационной безопасности увеличивается год от года, стабильно опережая показатели роста рынка ИТ в целом. Об угрозах, которые чаще всего беспокоят отечественных заказчиков, и актуальных решениях, способных их защитить, в интервью TAdviser рассказал Андрей Янкин, директор Центра информационной безопасности компании «Инфосистемы Джет».
Как вы оцениваете текущее состояние российского рынка информационной безопасности? Какие задачи, на ваш взгляд, наиболее актуальны сейчас для этой сферы?
Андрей Янкин: Если говорить об ИБ как о рынке, то мы наблюдаем его бессменный рост как минимум последние лет 10, причем темпы этого роста стабильно опережают показатели роста рынка ИТ. Рынок ИБ растет вслед за ростом информатизации, безналичной оплаты, интернет-коммерции и в целом увеличения зависимости бизнеса от ИТ, но всегда находится что-то, что дополнительно его раскручивает. Как правило, это ужесточение требований регуляторов, массовые громкие взломы или компьютерные эпидемии.
Рынок, конечно, год от года становится более зрелым и, можно сказать, прозаичным. В крупных компаниях обеспечение ИБ стало рутинной и привычной задачей. Обращений в духе «мы никогда ничего не делали, нас взломали, и теперь нам нужно купить всё по ИБ» почти не осталось, а лет 5-7 назад это было обычным делом. Растет конкуренция, снижается маржинальность поставочных контрактов, увеличивается доля консалтинга и аутсорсинга – рынок ИБ идет ровно тем же путем, что и классический рынок ИТ-инфраструктуры, но с некоторой задержкой.
Какие угрозы в сфере ИБ чаще всего беспокоят российские компании?
Андрей Янкин: Если говорить именно о наиболее часто реализующихся угрозах ИБ, а не о самых разрушительных, то тут все довольно приземленно: это вирусные атаки (больше всего неприятностей последние пару лет приносят шифровальщики) и сетевые атаки на веб-сайты и периметр сети. В большинстве случаев речь идет о массовых угрозах, не направленных против конкретной организации, однако и они доставляют множество хлопот. Только за последнее время нас дважды привлекали к разбору инцидента ИБ, в рамках которого из-за случайного заражения управляющих станций АСУ ТП шифровальщиками вставало производство. Внутренние нарушения, связанные с хищением конфиденциальной информации, также достаточно обыденная вещь, особенно в крупных организациях.
Насколько сильно отличаются приоритеты в направлении информационной безопасности бизнеса и госсектора?
Андрей Янкин: В России немало коммерческих компаний незначительно отличаются от госсектора с точки зрения подходов к ИБ: основная задача – дотянуть организацию до уровня обязательных требований, чтобы пройти все необходимые проверки. В целом это не так страшно, как может показаться. Нормативка и создается для того, чтобы подтянуть организации с низким уровнем зрелости по ИБ к некоторому минимально приемлемому уровню. Чтобы было хотя бы на «троечку», пусть и не очень эффективно. Однако по мере роста инвестиций в ИБ бизнес все чаще не довольствуется объяснениями в духе «так требуется» и «это лучшая практика». Безопасникам старой закалки приходится перестраиваться и искать аргументы, почему выбрали именно такой подход, почему не рассмотрели аутсорсинг, почему не внедряют своими силами, почему такая методика тестирования, как новое решение снижает риски ИБ и т.д. Мы работаем преимущественно с коммерческим сектором и последние 5 лет наблюдаем одну и ту же картину: проекты из года в год становятся ощутимо сложнее. Применением типовых решений, как это было повсеместно раньше, никто не ограничивается. К проектам по ИБ все чаще привлекаются целые сборные: инженеры, аналитики, юристы, консультанты из разных компаний. На мой взгляд, эта тенденция не может не радовать.
Как, по вашим данным, отечественные организации выполняют требования законодательства о безопасности критической информационной инфраструктуры (КИИ)? Какие сложности возникают в этом направлении?
Андрей Янкин: Типовыми сложностями для организаций при выполнении требований 187-ФЗ и его подзаконников являются неоднозначность многих формулировок и отсутствие их официального трактования, а также отсутствие наработанной практики как у самих организаций, так и у регуляторов. Уже вследствие этих проблем возникают сложности с определением скоупа, критичности ОКИИ, пониманием сроков выполнения работ и с правильной последовательностью действий. Конечно, есть организации, которые бросили все силы не на то, чтобы выполнить требования, а на попытки обосновать отсутствие такой необходимости. Нам встречались кейсы, когда это даже включалось в KPI безопасников.
Впрочем, такая ситуация абсолютно типична для любой нормативки по ИБ в РФ. Ситуация с 187-ФЗ сейчас очень напоминает времена принятия 152-ФЗ «О персональных данных», разве что развивается несколько быстрее.
Какие продукты и услуги вашей компании, связанные с информационной безопасностью, пользуются наибольшим спросом в настоящее время?
Андрей Янкин: Последние 2-3 года на фоне масштабных убытков бизнеса от хакерских атак и вирусных эпидемий сохраняется устойчивый рост спроса на средства защиты от направленных атак (в первую очередь «песочницы») и решения по управлению уязвимостями (vulnerability management). С появлением 187-ФЗ наметилась тенденция к повышению интереса компаний к решениям по защите АСУ ТП, в частности я имею в виду специализированные индустриальные системы обнаружения вторжений (IDS). Помимо этого, за последнее время увеличилось и число проектов по внедрению решений для защиты рабочих станций и серверов — Endpoint Detection and Response.
Если говорить об услугах, то здесь важную роль для нас играет Центр мониторинга и реагирования на инциденты ИБ Jet CSIRT. Он работает с августа прошлого года и объединяет в себе услуги традиционного коммерческого SOC по мониторингу и детектированию инцидентов, а также продвинутые сервисы реагирования, эксплуатации средств защиты, тестирования на проникновение и многое другое. Суть комплексной услуги в том, чтобы закрывать вопросы обработки инцидентов и эксплуатации многочисленных СЗИ у заказчиков в режиме 24х7 «под ключ».
Какую роль в ИБ-решениях могут играть технологии искусственного интеллекта и машинного обучения? Актуально ли их применение и используются ли они в ваших разработках?
Андрей Янкин: ML и AI в решениях по ИБ, конечно, использоваться могут и уже используются, но зачастую это скорее маркетинговые лозунги, чем реальное применение чего-то сложнее, чем простые статистические методы и обнаружение простых аномалий. Эти механизмы применяются в ИБ давно, но раньше этому таких громких названий не давали. ML и AI наиболее перспективны там, где есть много данных и тяжело сформулировать однозначные правила их обработки. Например, в SOC в целом и в SIEM в частности.
Мы применяем технологии машинного обучения в нашем решении по детектированию и блокированию мошеннических транзакций – Jet Detective. Эта область просто идеальна для ML, хотя львиную долю детектов все также генерируют простые экспертные правила. Тем не менее, здесь технологии машинного обучения, и правда, часто выявляют что-то, о чем никто до этого даже не подозревал: неожиданную схему мошенничества или, например, неотслеживаемый сбой в бизнес-процессе.
Расскажите о наиболее интересных и важных ИБ-проектах, выполненных компанией «Инфосистемы Джет» за последние годы.
Андрей Янкин: Интересных проектов было множество. Например, летом 2018-го года нам потребовалось всего 3 месяца для того, чтобы провести детальный комплексный аудит по ИБ компании федерального масштаба. Одновременно на проекте работали 40 наших специалистов и 3 крупных иностранных вендора на подряде. В итоге удалось успешно завершить проект и, что очень важно, не дать остальным проектам просесть (у нас в работе их всегда более сотни параллельно). Помимо этого, в 2018-м для нас были очень важны и интересны первые сервисные контракты нашего Jet CSIRT.
В последние 2 года у нас стало много проектов по комплексному обследованию и построению стратегии развития ИБ и дорожной карты на несколько лет. Заказчиками работ часто выступает руководство или собственники компаний. Выполнять такие проекты и защищать их результаты всегда интересно: удается глубоко погрузиться в жизнь конкретной организации, отрасли. И здесь всегда оказывается, что самые критичные риски ИБ вовсе не типовые и специфика крайне важна. Если компания еще и международная, с площадками в нескольких странах, то я и сам порой начинаю завидовать нашим консультантам из-за того, что уже не имею возможности принимать непосредственное участие в обследованиях.
С 1 января 2019 года в компании «Инфосистемы Джет» начал работу Центр прикладных систем безопасности. Для чего был создан этот центр и каковы ожидания от его работы?
Андрей Янкин: За последние 3 года направление информационной безопасности в нашей компании выросло в несколько раз. Это касается и выручки, и численности нашей команды. Столь масштабный рост стал для нас импульсом к выделению направлений по противодействию мошенничеству и управлению доступом в отдельную команду. Почему именно они? Проекты по интеграции антифрод-систем и IdM-платформ отличаются от классических внедрений ИБ-продуктов и ИБ-консалтинга. Как правило, они связаны с большим числом изменений бизнес-процессов в компаниях, что требует более глубокого погружения и повышенного контроля со стороны интегратора. К тому же, к задачам на таких проектах гораздо чаще приходится подключать разработчиков. Мы ожидаем, что создание Центра прикладных систем безопасности, объединившего эти направления, поможет нарастить экспертизу по ним и повлияет как на качественные, так и на количественные показатели, безусловно, в лучшую сторону. Думаю, что уже в конце этого года можно будет говорить о первых результатах.
В целом каковы планы и перспективы развития направления ИБ в вашей компании. На чем будет акцентироваться внимание в ближайшей перспективе?
Андрей Янкин: Мы делаем большую ставку на интеграцию нашего Jet CSIRT с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак – ГосСОПКА. Эти работы вовсю ведутся и будут завершены в ближайшее время. Здесь нам интересно прежде всего закрыть потребность в качественном мониторинге и реагировании на инциденты ИБ для организаций, которых прежде всего волнует «реальная безопасность», а не формальное выполнение требований регуляторов.
Помимо этого, на первый план в этом году у нас вышли направления DevSecOps и Big Data Security. Крупные компании активно вкладываются в DevOps и «Большие данные», завязывают на них критичные бизнес-процессы, но при этом решения по ИБ, как правило, либо не закладываются в создаваемые системы, либо их просто нет на рынке. Поэтому актуальность этих направлений для нас сильно выросла.
И, разумеется, мы продолжаем вкладываться в направление защиты технологических сегментов и АСУ ТП. Компетенций по этому направлению на рынке очень мало, и для нас оно выглядит перспективным.
За дополнительной информацией можно обращаться к специалистам компании «Инфосистемы Джет».