2020/05/18 10:59:48

Сергей Шерстобитов, Группа компаний Angara: Проблема ИБ вышла на уровень руководителей и собственников бизнеса

Сергей Шерстобитов, основатель и генеральный директор группы компаний Angara, в интервью TAdviser рассказал о потенциале рынка ИБ, роли государства в его формировании и росте спроса на тиражируемые услуги безопасности.

Сергей
Шерстобитов
Для обеспечения здоровой конкуренции и высокого уровня сервиса на рынке ИБ нужны сильные и независимые игроки

Тематика информационной безопасности на протяжении ряда лет остается одной из самых ярких в ИТ-сфере. Какие проявления традиционного противостояния «щита и меча» в течение последнего года Вы назовете наиболее значительными? Каким образом они повлияли на развитие индустрии средств ИБ?

Сергей Шерстобитов: В прошлом году инструменты как нападения, так и защиты развивались по эволюционному пути: появлялись все более изощренные атаки, и, как реакция, новые способы борьбы с ними.

Многие отрасли становятся высокотехнологичными, количество информационных систем (ИС) и их сложность растет. Они-то и являются мишенью для злоумышленников. Поэтому, если раньше мы ассоциировали киберугрозу в первую очередь с финансовыми потерями, то теперь взлом ИС потенциально может нанести вред здоровью и жизнедеятельности не только конкретного человека, но и общества, государства. Например, проникновение ИТ в медицину повышает доступность и уровень услуг, в то же время делая сферу более уязвимой для хакеров. Например, в апреле массовым атакам подверглись американские и британские организации здравоохранения и исследовательские центры, задействованные в борьбе с коронавирусом.

Отдельного внимания заслуживает тема приватности данных. Все организации в погоне за персонализацией предложений и реализацией KYC аккумулируют огромные массивы данных о пользователях. Попадая в руки злоумышленников, эта информация используется для организации мошеннических схем, позволяя построить доверенную коммуникацию с потенциальной жертвой. Многие государства не просто демонстрируют озабоченность, но переходят к активному регулированию в этой области. Перед странами встает важная этическая задача – соблюсти принцип равновесия между драйверами развития бизнеса и заботой о безопасности граждан (при консолидации их данных), с одной стороны, и уважением к их частной жизни, с другой стороны. Российский рынок HR-tech: оценки, перспективы, крупнейшие поставщики. Обзор TAdviser 100.1 т

Средства ИБ становятся сложнее, появляются инструменты на базе machine learning, которые нацелены не столько на защиту от конкретной «болячки», сколько на выявление нетипичных операций и аномального поведения, на прогнозирование возможных кибератак. Защита все больше пользуется аналитическими платформами, наполняет смыслом и содержанием свои SOC. Это позволяет быстрее реагировать на угрозы либо вообще их предотвращать, но также резко повышает требования к квалификации исполнителя.

В целом проблема ИБ вышла на уровень руководителей и собственников бизнеса.

События последнего времени буквально заставляют пересматривать традиционные подходы к обеспечению информационной безопасности: тотальный перевод сотрудников на удаленную работу радикально меняет понятие периметра корпоративной сети, а доступность в «темном секторе» Интернета мощных и недорогих средств атаки превращает целевые APT-атаки в массовый инструмент. Как влияют происходящие изменения на требования, которые предъявляются к системам и средствам ИБ?

Сергей Шерстобитов: Концепции BYOD, CYOD и того же самого Zero Trust появились более 10 лет назад. Поэтому сказать, что мы столкнулись с чем-то новым с точки зрения методологии нельзя. Уже давно и специалисты по безопасности, и бизнес говорили, что в будущем периметр ИБ может и вовсе перестать существовать, поскольку с каждым годом все больше сотрудников предпочитает выполнять свои обязанности «anywhere» с любого рабочего места. Но если до самоизоляции работа из дома была опцией, то сейчас для многих это обязательное требование для продолжения операционной деятельности. И это уже проблема. Потому что мало компаний успели реализовать у себя подобные проекты до начала массового перехода на «удаленку».

Растущая активность злоумышленников и доступность средств атаки только усугубляет ситуацию. Похоже, самое время пересмотреть свои модели угроз и риски информационной безопасности. Многие организации могут предоставить удаленный доступ к ресурсам, но далеко не все готовы обеспечить безопасность рабочих мест, коммуникаций, безопасную работу с конфиденциальной информацией, обеспечить тот же уровень реагирования на инциденты. Потому что одно дело, когда у пользователя что-то случается в офисе на стандартизированном рабочем месте и эту проблему может решить дежурный специалист, вооруженный накопленными знаниями, и совсем другое, когда сотрудник сталкивается с непредвиденной ситуацией, работая у себя дома на своем личном устройстве. Как решать такие ИТ-задачи? Это, по сути дела, те самые best practices, которые раньше были теоретически описаны, а теперь нам всем предстоит их воспроизвести и отшлифовать в реальных условиях и в режиме вынужденного быстрого перехода от проектирования к реализации.

При реализации проектов BYOD также возникает еще один момент – безопасность личных данных пользователя. Ведь компания может иметь доступ к устройству пользователя, на котором хранится его конфиденциальная информация. Не уверен, что многие готовы довериться ИТ-службам работодателя. Здесь роль ИБ как проводника знаний в этой области только возрастает, пользователю необходимо осознавать угрозы не только для компании, но и для себя и предпринимать необходимые меры. Мы в свое время анализировали возможность запуска услуги, обеспечивающей безопасность устройств C-Level, похоже, многие практики необходимо распространять и на других работников, активно мигрирующих на личные устройства.

При этом надо понимать, что с точки зрения экономической эффективности требования становятся все более жесткими, потому что многие компании сталкиваются не только с ухудшением макроэкономической среды, но и с наступившим или приближающимся спадом показателей своей деятельности. Может, мы увидим всплеск интереса к виртуализации рабочих мест (VDI) или даже рабочим местам по сервисной модели (device as a service).

Глобально требования по ИБ не поменяются. Все равно надо будет обеспечивать конфиденциальность, целостность и доступность. А вот детали, вместе с изменением внешней среды, безусловно, будут претерпевать изменения. Мы увидим новые парадигмы, в которых будут работать компании. Это повлечет пересмотр требований к ИБ на операционном уровне в тактических и стратегических горизонтах компаний. Следом появятся новые решения, адаптированные под новые требования. В будущем эти вопросы станут гораздо актуальнее для многих заказчиков.

Какие тренды или события определяли, по Вашему мнению, состояние и динамику российского рынка ИБ в прошлом году? Чем он запомнится Вашей компании?

Сергей Шерстобитов: По мере движения в цифровое будущее проблемы ИБ нарастают. В прошлом году мы наблюдали активный рост как числа атак, так и их методов. В целом год запомнился новыми взломами и масштабными утечками информации, растущей обеспокоенностью состоянием ИБ объектов критической инфраструктуры, ограничениями для ряда китайских компаний на глобальном уровне, масштабными мошенническими кампаниями.

Жертвами хакеров становились международные интернет-компании, зарубежные авиакомпании, гостиничные сети – в общем, организации, владеющие максимально большим количеством персональных данных. Американская Risk Based Security насчитала в 2019 году 5 183 случаев утечки информации, назвав его самым худшим за всю историю.

Ответной реакцией государства является нарастающее регулирование в области ИБ. Законы о защите персональных данных, безопасности КИИ, суверенном Рунете (последний вступил в силу в ноябре прошлого года и обязал операторов связи проводить киберучения), а также нормативно-правовые акты Центробанка, ФСБ и ФСТЭК и федеральный проект «Информационная безопасность» способствуют формированию в стране комплекса систем всесторонней защищенности национального масштаба. Позитивное влияние отраслевого законотворчества мы можем отчетливо наблюдать в финансовом, телекоммуникационном, государственных секторах, а также во всех остальных отраслях экономики, к которым относятся субъекты КИИ.

Государство выстраивает инфраструктуру для того, чтобы не утратить возможности управления. А также потому что общественная, политическая и экономическая жизнь стремительно перемещается в цифровую среду.

Кроме того, в 2019 году усилился тренд в области консолидации ИТ- и ИБ-активов. Причем крупнейшими покупателями являются госкомпании или компании с госучастием. Если процесс поглощений продолжится с такой же силой, то с большой долей вероятности отрицательно отразится на качестве и доступности услуг. На рынке ИБ достаточно поглотить несколько крупных игроков, чтобы превратить его из конкурентного в монополизированный. Ведь для обеспечения здоровой конкуренции и высокого уровня сервиса нужны сильные и независимые игроки.

Чтобы не допустить такого сценария, возможно, придется разработать ряд мер по ограничению инвестиций государства в ИТ-инфраструктуру. В США, допустим, государство активно заставляет сокращать инвестиции государственных структур (Data Center Optimization Initiative), поддерживая в качестве альтернативы использование аккредитованных поставщиков облачных услуг (FedRAMP certification). Так поддерживается конкуренция и уровень качества предоставляемых услуг для разных категорий потребителей при сохранении высоких требований по безопасности.

Заметила ли Ваша компания рост интереса к средствам ИБ в результате перехода компаний на удаленную работу в период карантина?

Сергей Шерстобитов: Безусловно. В качестве аргументации сразу приведу статистику нашей компании. Менее чем за месяц с начала периода всероссийской самоизоляции загрузка наших технических специалистов выросла на 20%!

Запросов становится больше, в работе много пресейлов, размещаются заказы и осуществляются новые отгрузки. Это обусловлено тем, что компаниям требуется оперативно выстроить систему защиты удаленного режима работы.

Интерес вырос в первую очередь к определенным классам решений: модернизации инфраструктуры, на базе которой можно строить эти удаленные сервисы, и системам, которые позволяют контролировать удаленный доступ к конкретным приложениям и данным. Мы со своей стороны идем навстречу нашим клиентам, понимая всю сложность ситуации, консультируем их по возникающим вопросами и делимся экспертизой и опытом. Отдельно выделю вклад вендоров, которые не пытались на этом заработать, а, наоборот, поддержали бизнес широким стеком бесплатных тарифов и лицензий. Главный критерий – выполнить преобразования максимально быстро.

Результат оперативной модернизации инфраструктуры отразился на росте инцидентов ИБ. Это подтверждают данные исследования нашего Центра киберустойчивости. Так, всего за месяц доля установки неразрешенного ПО среди всех событий ИБ составила 25% против 1% месяцем ранее. При этом число заражений вредоносным ПО только за первую неделю «каникул» выросло на 15% к предыдущей неделе.

Период неопределенности и «ломки» – самое подходящее время для проведения массовых атак как на инфраструктуру, так и на растерянных пользователей ИТ-сервисов. Пока что бизнес-процессы только перестраиваются, и мы не видим всей глубины ИБ-проблем. Однако через месяц-два, когда все устаканится, нам еще предстоит собрать «камни».

Как менялось соотношение проектной и сервисной составляющей в Группе компаний в течение прошедшего года? Просматривается ли здесь какой-либо тренд?

Сергей Шерстобитов: Мы наблюдаем большой всплеск интереса к тиражируемым сервисам информационной безопасности. В структуре выручки группы компаний Angara это направление пока не стало доминирующим, но с точки зрения темпов роста оно демонстрирует впечатляющий результат.

Увеличение востребованности сервисных услуг ИБ объясняется рядом преимуществ, которые стали возможны благодаря как скачкообразному развитию облачных технологий (фундамент предоставления SeCaaS), так и превалированию экспертизы опытных провайдеров MSS над экспертизой внутренних ИБ-служб компаний, вызванному кадровым дефицитом на рынке.

Angara Professional Assistance, высокотехнологичный сервис-провайдер группы компаний Angara, представляет широкий набор тиражируемых услуг кибербезопасности под брендом ACR: от недорогой Security Health Check до комплексных услуг обеспечения киберустойчивости. Заказчик может выбрать любой набор сервисов либо делегировать нам обеспечивать комплексную защиту инфраструктуры. MSS подразумевает скорость развертывания сервисов, перевод расходов из CAPEX в OPEX, решение проблемы с кадровым дефицитом и недостаточно квалифицированным персоналом, а также экономию на ФОТ. Кроме того, сервисная модель предполагает гибкую тарификацию, а значит обеспечить ИБ высокого уровня может даже средний и малый бизнес.

Ситуация с переходом на удаленный формат работы дополнительно подстегнет бизнес, в первую очередь людей, принимающих решения, к более активному потреблению MSS. Пример массового применения того же Zoom демонстрирует, что сервис может быть привлекательнее воспроизведения аналогичной технологии в собственной инфраструктуре. Понятно, что быстрее, качественнее и удобнее воспользоваться профессиональным провайдером той или иной услуги. И этот же пример хорошо демонстрирует, что вопросам безопасности стоит уделять внимание.

Вместе с тем хочется добавить, что по проектным активностям мы видим изменение ожиданий клиентов в сторону более высокого качества. Вопрос стоимости не всегда имеет доминирующее значение, в большей степени клиенты ориентируются на экспертизу и опыт конкретной компании, и на то, как она себя проявила в рамках PoV (proof of value).

Вспомните одно из следствий закона Мерфи (`Anything that can go wrong will go wrong`), сформулированное Артуром Блохом, – «Всякое решение плодит новые проблемы». Развитие ИТ-ландшафта приводит к появлению очередных угроз. ИБ является аналогом иммунной системы – реагирует на новые угрозы, вырабатывая к ним антитела.

И у нападения, и у защиты набор доступных технологий одинаковый, поэтому не стоит рассчитывать на существенный перевес одной из сторон.

Конкуренция – базовое условие развития всего вокруг. И именно она всегда имеет место быть между защитниками и нападающими. Я бы оценивал успех этого соревнования не по тому, что сейчас нет колоссального прорыва, а по тому, что нет колоссальных потерь. Это мне кажется уже немалым достижением.

В таких условиях крайне важно использовать высокоинтеллектуальные средства защиты, которые могут в режиме реального времени фиксировать подозрительные активности и реагировать на них. Именно так обстоят дела с SOC, в основе которых лежат зрелые инструменты.

Умные системы проактивной аналитики для распознавания подозрительных ситуаций, в частности, SIEM-системы, могут оказать существенную помощь?

Сергей Шерстобитов: SIEM-системы являются важной и значимой частью комплексной системы ИБ, но не самой умной. С приходом высокоинтеллектуальных систем детектирования угроз (например UEBA, NTBA, EDR) действительно произошел скачок в детектировании.

По прошлому году мы видели, что растет запрос на такие сложные аналитические системы. Более того, мы первыми на рынке активно продвигали эти решения и даже создали свою платформу Dataplan, способную выявлять подобные аномалии в различных данных.

Вопрос в том, сможет ли бизнес корректно пользоваться такой системой, настроить ее под свои потребности и свою инфраструктуру самостоятельно. Это как с аппаратами ИВЛ. В «Яндексе» один из популярных запросов прошлого месяца был «купить аппарат ИВЛ». Но приобрести его недостаточно, нужны специалисты, которые сумеют его обслуживать. Конечно, есть люди состоятельные, которые могут содержать штат медсотрудников, но большинству россиян без специалистов толку от этого аппарата будет мало.

Для бизнеса детектирование не является самоцелью – ему надо предотвращать инциденты ИБ. А предотвращать – это еще один огромный виток дополнительной работы и высочайший уровень профессионализма людей.

На одном из мероприятий наши эксперты демонстрировали особенности работы SOC. С одной стороны сидели представители SOC, а с другой – хакеры, которые взламывали инфраструктуру в режиме реального времени. Это лучше один раз увидеть, потому что специалисты ИБ должны реагировать за секунды, поскольку атаки развиваются стремительно.

Поэтому сейчас растет спрос на средства автоматизации процедур реагирования, платформы для повышения эффективности команд, реагирующих на инциденты, такие как SOAR.

Ожидалось, что хорошим стимулом для развития отрасли ИБ в РФ станет реализация требований по ИБ объектов критической информационной инфраструктуры (КИИ). Это случилось?

Сергей Шерстобитов: Это действительно происходит. Нормативная база за прошедшие годы сформирована, количество субъектов, подпадающих под действие закона, исчисляется тысячами.

Это очень важное и значимое направление в обеспечении комплексной безопасности жизни нашего общества, промышленных предприятий, непрерывности функционирования сложных взаимосвязанных цепочек поставок. Это про конкурентоспособность и лидерские амбиции государства в новой цифровой среде.

Осенью 2019 года компания Angara Professional Assistance подписала соглашение о взаимодействии с НКЦКИ в рамках выполнения функций оператора ГосСОПКА для субъектов КИИ. В качестве корпоративного центра предоставляет полный комплекс услуг по обеспечению выполнения заказчиками 187-ФЗ, а именно: реагирование на компьютерные инциденты в порядке, указанном в законе; принятие мер по ликвидации последствий компьютерных атак; проведение мероприятий по информированию о компьютерных инцидентах федеральных органов исполнительной власти. Часто так бывает, что потребности клиентов толкают бизнес к новым шагам. Оператором ГосСОПКА мы стали по просьбе клиентов. И уже подготовились к масштабированию этого вида услуг.

Мы прогнозируем увеличение как спроса, так и предложений по услугам SOC в ближайшие несколько лет. Рост спроса будет обеспечиваться в том числе требованиями 187-ФЗ. Увеличение предложения будет происходить за счет российских компаний, как крупных и уже успешных в этом направлении, так и новых нишевых – сфокусированных на конкретном секторе экономики, возможно, региональных образований, которые тоже будут работать.

Но в условиях текущей ситуации и протекционизма со стороны государства наш рынок окажется в лучшем состоянии, чем рынок операционных систем или офисных приложений до недавнего времени. Мы этот спрос будем удовлетворять своими силами. Мы не видим крупных иностранных участников на этом рынке, которые могли бы составить конкуренцию отечественным провайдерам.

Ваша компания работает с многими вендорами, как российскими, так и зарубежными. По Вашей оценке, можно ли сегодня реализовывать самые передовые и сложные проекты ИБ, опираясь исключительно на российские продукты и решения ИБ?

Сергей Шерстобитов: Мы с вами живем в большом, тесно интегрированном мире. Это говорит о том, что некоторые зарубежные поставщики, понимая ценность российского рынка, локализуют здесь производство. И в том случае, если продукция соответствует всем текущим требованиям регуляторов, мы можем называть ее условно «российской».

Российским ИБ-игрокам пока еще сложно конкурировать на международных рынках, потому что экспортная ориентация отрасли слабая и рынки развитых стран для нас по-прежнему закрыты. С другой стороны, я вижу существенный прогресс предложений за последние несколько лет, рост спроса в регионах планеты, которые более лояльны к российским разработчикам. Те события, которые последовали после санкций, довольно положительно влияют на российскую индустрию и разработчиков в частности. Они привлекают большие инвестиции и могут вкладывать достаточные средства в разработку, технологический рост, развитие и продвижение.

В прошлом году мы вместе с «Лабораторией Касперского» запустили уникальную для российского рынка услугу защиты от сложных угроз и целенаправленных атак – ACR Service AntiAPT&EDR. Наша совместная работа позволила вывести на рынок самые современные решения по сервисной модели и за счет этого дать возможность среднему сегменту рынка повысить уровень собственной информационной безопасности без существенных вложений в программное обеспечение и квалифицированный персонал. С помощью сервиса заказчики могут автоматизировать процессы выявления и реагирования на инциденты, своевременно и корректно определять степень критичности угрозы и поднять на качественно новый уровень защищенность инфраструктуры от кибератак. Услугой уже заинтересовались представители SMB, в том числе банки второго эшелона.

Допускаю, что сервисная модель может помочь российским игрокам быстрее преодолевать границы и выходить на новые рынки. При сохранении текущей динамики через два-три года открывается перспектива делать сложные и передовые проекты, опираясь на российские решения и не жертвуя качественными характеристиками создаваемых систем.

В каких сегментах рынка ИБ и в каких технологических направлениях Вы ожидаете наибольшей активности рынка в 2020-м году? По каким направлениям ожидаете технологического прорыва? Какие направления бизнеса компании будет, по Вашим ожиданиям, самыми востребованными и загруженными работой в 2020-м году?

Сергей Шерстобитов: Мы с оптимизмом смотрим в будущее и рассчитываем увидеть очередной рост рынка. Наши ожидания связаны не только с нашим желанием, а именно с объективной картиной мира, трансформацией, которая подстегнет спрос на услуги ИБ практически по всем направлениям.

Несмотря на то, что сохраняется высокая неопределенность, мы планируем реализовать все наши планы по рабочей загрузке и, соответственно, финансовым показателям. В выручке за 2020 год мы рассчитываем прирасти не менее чем на 30%. Группа компаний Angara ориентирована на увеличение емкости ИБ-рынка. Мы продолжаем активно развивать и инвестировать в нашу экспертизу – в прошлом году в 1,5 раза выросла численность технического блока, мы запустили новые направления (практика анализа защищенности), сейчас с некоторым опережением подготавливаем инфраструктуру под планируемые потребности текущего года.

Из практик, которые будут расти быстрее остальных, – это консалтинг, практика систем мониторинга, SIEM-инструменты, защита от целевых атак, сервисы ИБ и анализ защищенности. Вместе с этим в более традиционных областях мы ожидаем либо сохранение загрузки, либо повышение спроса с большой вероятностью.

В технологическом плане мы видим следующие точки роста – мониторинг и защиту облачных сред, защиту контейнеризации, системы автоматизации операций ИБ (SOAR, automated network pen-testing, breach and attack simulation), решения для развития SOC, включая услуги по разработке процессной модели, поставку современных средств детектирования (EDR, UEBA, NTBA, Deception technologies и др.), подготовку персонала.

Как Вы думаете, станет ли когда-нибудь «безопасник» другом «айтишника», а не тем человеком, который мешает творческим порывам ИТ-специалиста?

Сергей Шерстобитов: Давайте перестанем доставать скелеты из шкафов. Мы живем уже в другом мире, где не остается места и возможностей для жесткой внутренней конкуренции, которая идет в разрез с интересами компании, с ее бизнес-целями. Единственным условием выживания и укрепления является внутренняя консолидация в каждой организации. Эти процессы происходят на протяжении последних лет. И 2019 год является ярким тому подтверждением и продолжением линии, когда внутренние распри и раздоры уходят на второй план, а ответственные, вовлеченные сотрудники ориентированы на достижение консенсуса. «Безопасники» уже давно не вставляют палки в колеса и точно так же стараются искать новые прорывные технологии и предлагать их бизнесу.

Мы можем вспомнить совсем старую историю, когда «безопасники» не считались «айтишниками». Сейчас все специалисты ИБ такие же технические специалисты, только еще с дополнительным багажом навыков. Люди, занимающиеся сетевой безопасностью, – это «сетевики». А эксперты по прикладной безопасности разбираются в операционных системах, виртуализации и контейнеризации. Они все высококлассные ИТ-специалисты.

Любая компания похожа на человеческий организм, когда его здоровье определяется физическим состоянием и мощностью мышц, уровнем иммунитета, балансом работы всех органов и систем. Попробуйте представить себе человека, у которого легкие борются с печенью, и все они вместе противостоят сердцу или мозгу. Так не бывает, или бывает не долго.

Технологии обеспечивают коммуникации, но только согласованная и эффективная работа всех элементов системы позволяет эффективно противостоять угрозам.

Сейчас, несмотря на физическую удаленность, командный дух и soft skills – залог успеха бизнеса.