Руслан Рахметов, Security Vision - о новых рисках и изменениях в спросе на российском ИТ-рынке
Security Vision – единственная российская ИТ-платформа, позволяющая роботизировать до 95% программно-технических функций оператора информационной безопасности. Выполнена на уровне лучших мировых аналогов, получила широкое признание экспертного сообщества и успешно работает в Сбере, Евразе, Норникеле, Альфа банке, банке «Открытие», Газпромбанке, Гознаке, ФСО России, Ростехе, Гознаке, Черкизово, Почте России и многих других государственных органах и коммерческих структурах. Является 100% российской разработкой. Обеспечивает 100% импортозамещение систем класса IRP/SOAR, SGRC, TIP.
О ситуации на российском ИТ и ИБ рынке, перспективах и важных аспектах импортозамещения редакции TAdviser рассказал генеральный директор Security Vision Руслан Рахметов.
Рахметов
Российские компании уже два месяца живут в условиях жесточайших международных санкций. Какие стереотипы в этой связи могут возникать у бизнеса (к примеру, нас санкции не коснутся потому-то и потому-то) и как их опровергнуть?
Руслан Рахметов: Следует признать, что в настоящий момент наша страна и практически все сферы бизнеса столкнулись с экстраординарными обстоятельствами и беспрецедентным давлением, и опыта преодоления таких вызовов нет ни у кого в мире. При этом велик соблазн предположить, что ограничения вскоре будут сняты в том или ином виде, а зарубежный бизнес вернется к российским клиентам, привыкшим к определенному уровню сервиса и готовым за это платить.
Однако, опыт последних месяцев показал, что даже объявившие сперва о «временной» приостановке деятельности игроки уходят в итоге насовсем: западный бизнес принимает во внимание как возможные санкционные и репутационные риски продолжения присутствия в России, так и вклад отечественного рынка в общую структуру доходов (как правило, его доля составляет не более 2-3%), а также усложнение логистики и снижение платежеспособности российских граждан и организаций. В сложившихся обстоятельствах отечественные руководители зачастую принимают решение о взаимодействии с компаниями из стран СНГ или с китайскими партнерами для обхода наложенных санкционных ограничений. При этом следует учесть, что за несоблюдение санкционного режима американское Управление по контролю за иностранными активами (OFAC) накладывает существенные штрафы, компании-нарушители также рискуют попасть под действие вторичных санкций, а санкционные ограничения могут применяться в том числе к средствам разработки и к объектам интеллектуальной собственности США и их партнеров. Все это заставляет наших партнеров из Китая и СНГ лишний раз тщательно взвешивать все «за» и «против» на каждом этапе взаимодействия с отечественными компаниями.
Описанные риски достаточно существенны для российского бизнеса, однако, возможно, кардинальным изменениям для оперативного ответа на текущие вызовы могут препятствовать также и определенные психологические аспекты: неизбежные глобальные перемены в жизни готовы быстро принять далеко не все, и это оттягивание неизбежного принятия сложного решения зачастую играет против нас.
Западные ИТ-вендоры ушли из России. Но у многих заказчиков инфраструктура построена именно на западных продуктах и ПО. Перестраивать все - слишком дорого и грозит перебоями и остановками бизнеса. Что нужно сделать, чтобы последствия были минимальными: и для бизнеса, и для его клиентов?
Руслан Рахметов: Разработка стратегии обеспечения непрерывности деятельности компании в случае отключения ключевых ИТ-систем (по различным причинам) должна быть одним из приоритетных направлений при управлении рисками, а опасность зависимости от иностранных вендоров регулярно подчеркивалась с 2014 года, в том числе и на государственном уровне. С того момента российские продукты добились значительного прогресса, как качественного, так и количественного, и на сегодняшний день с импортозамещением основных ИТ-систем сложностей быть не должно. В сложившейся ситуации тем компаниям, которые не смогли заранее провести миграцию на импортозамещающие решения, можно посоветовать провести аудит текущего состояния ИТ-инфраструктуры: какие бизнес-процессы зависимы от решений ушедших вендоров, каков статус лицензий (отозвана, подходит срок окончания действия, бессрочная), доступны ли обновления для продукта (в том числе обновления безопасности), полнофункционален ли продукт на данный момент. Последний пункт особо критичен для облачных решений и средств защиты: первые могут вовсе оставить клиентов без инфраструктуры и данных, а вторые теряют свою эффективность буквально через несколько часов при отсутствии обновлений сигнатур, данных киберразведки и репутационного анализа. Оценив зависимость бизнеса от импортных продуктов, можно составить план оперативной миграции, в первую очередь замещая потерявшие функционал продукты, от которых зависят критичные бизнес-процессы, затем - те, лицензии для которых истекают и их уже невозможно продлить. При этом с точки зрения управления уязвимостями важно применять компенсирующие меры защиты для продуктов, обновления безопасности которых перестали предоставляться вендорами, например, с помощью отключения уязвимых служб, ограничения сетевого доступа, применения виртуального патчинга.
Никто не знает ИТ-продукты лучше, чем сам вендор, их разработавший. Но западные ИТ-компании ушли из России, громко «хлопнув дверью», китайские уходят «по-тихому». Кто и как сможет оказывать поддержку клиентам в этой ситуации? Где и как в России найти таких партнеров, которые смогут взять эту задачу на себя?
Руслан Рахметов: Следует отметить, что большинство ушедших западных вендоров работали в России через партнерскую сеть отечественных ИТ-интеграторов, которые обладают соответствующими компетенциями, ресурсами и квалифицированными кадрами. Их экспертиза и сейчас высока, и для поддержки имеющихся решений можно воспользоваться по-прежнему предоставляемыми услугами. Следует, вероятно, ожидать роста количества российских ИТ-компаний, которые будут специализироваться на реализации проектов по импортозамещению, на внедрении решений на базе Open Source, а также выполняющих заказные разработки ПО для закрытия потребностей заказчиков в замене решений ушедших зарубежных игроков.
Можно ожидать аналогичного тренда и в области оказания услуг для обеспечения информационной безопасности: потребуется как некоторое время сопровождать имеющиеся зарубежные средства защиты, так и внедрять новые отечественные системы кибербезопасности. Также виден всплеск интереса к классу услуг «кибербезопасность как сервис», которые помогут заказчикам спрогнозировать расходы на обеспечение ИБ, получить согласованный уровень ИБ-услуг, решить проблему с нехваткой квалифицированных кадров.
В российском бизнесе оценка рисков (даже если есть специальные подразделения, и оценка проводится) не всегда является основанием для принятия бизнес-решений. Изменится ли это негласное правило в нынешней ситуации с беспрецедентными санкциями, которые появляются и обновляются чуть ли не каждый день?
Руслан Рахметов: Как правило, в крупных зрелых компаниях авторитет комитета по управлению рисками достаточно высок, и вынесенные этим органом решения обязательны для исполнения. Санкционные же риски давно стали рутиной для тех компаний, которые столкнулись с западными санкциями еще несколько лет назад. Таким образом, в стране уже сформирована определенная практика по работе с такими видами рисков, однако текущая ситуация отличается от ранее введенных ограничений и масштабом, и уровнем. Пожалуй, процессы риск-менеджмента сегодня должны стать краеугольным камнем при принятии управленческих решений: игнорирование рисков ИБ, рисков информационных систем, репутационных и санкционных рисков может привести к непоправимым последствиям, а верно выбранная стратегия по их минимизации, передаче или избеганию поможет целесообразному применению мер защиты и эффективному расходованию ресурсов.
Одним из серьезных рисков для бизнеса всегда была информационная безопасность. В нынешней ситуации западные ИБ-вендоры отказываются от российских клиентов, а со стороны государства принимаются решения о запрете использования ИБ-продуктов из недружественных стран в госструктурах и госкомпаниях. Как в этой ситуации действовать ИТ- и ИБ-руководителям российских организаций, какие стратегические меры необходимо принять?
Руслан Рахметов: Действительно, в Указе Президента №250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» вводится ряд организационных и технических требований, среди которых - запрет на использование госорганами, госкомпаниями и субъектами КИИ с 2025 года средств защиты информации, произведенных в недружественных странах или подконтрольных им. По аналогии с зарубежным ИТ-решениям, вопросы о доверии к западным средствам защиты информации, подчас обеспечивающим безопасность ключевой информации в компаниях, поднимались неоднократно на различных уровнях. В текущей ситуации основными рисками являются отказ западных вендоров от поддержки ИБ-продуктов и предоставления сервисов по кибербезопасности, частичное или полное отключение защитного функционала, аннулирование лицензий и договоров, ненулевая вероятность использования программных или аппаратных закладок в иностранных средствах защиты в качестве кибероружия. В сложившейся ситуации ИТ/ИБ-руководителям российских организаций можно порекомендовать выработать стратегию перехода на отечественные средства защиты, которая учтет бизнес-процессы, кибербезопасность которых будет снижена до неприемлемого уровня при выходе из строя зарубежных ИБ-решений, а также учтет функционал имеющихся импортных продуктов в сравнении с их российскими аналогами и наличие внутренних компетенций по тем или иным системам. Российские ИБ-вендоры во многих направлениях кибербезопасности предлагают продукты, конкурентноспособные при независимом сравнении с западными решениями: антивирусные системы, решения по защите от утечек данных, системы криптографической защиты информации, сканеры уязвимостей, SIEM-системы, SOAR-решения развиваются российскими командами разработчиков не первый год, так что заказчикам есть из чего выбирать.
| Классы средств защиты | Зарубежные вендоры | Продукты зарубежных вендоров | Российский вендор | Продукт | Полное наименование согласно реестру | Ссылка на внешний источник |
| Автоматизация процессов реагирования на инциденты ИБ (SOC/IRP/SOAR) | Cisco (USA) | SecureX | Security Vision | Security Vision SOC Security Vision IRP/SOAR | Security Vision Security Operation Center (SOC) Security Vision Incident Response Platform (IRP / SOAR) Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью | Обзор мирового рынка SOAR-систем Обзор мирового рынка SOAR-платформ |
| PaloAlto (USA) | Cortex XSOAR (ранее - Demisto) | |||||
| Fortinet (USA) | FortiSOAR Vision IRP/SOAR | |||||
| IBM (USA) | IBM Security QRadar SOAR (Resilient SOAR) | |||||
| Cyberbit (USA, Israel) | Cyberbit SOC 3D | |||||
| Siemplify (USA, Israel) | Siemplify Siemplify SOAR | |||||
| The Hive | The Hive SOAR/IRP | |||||
| Ayehu (USA) | Ayehu Platform | |||||
| Micro Focus (USA) | Micro Focus ArcSight SOAR | |||||
| Ayehu (USA) | Ayehu Platform | |||||
| CA (USA) | CA Automic Service Orchestration | |||||
| Microsoft (USA) | Microsoft Sentinel | |||||
| Автоматизация процессов ИБ (GRC/SGRC/auto-SGRC) | EMC RSA (USA) | RSA Archer GRC Platform | Security Vision | Security Vision SGRC Security Vision a-SGRC Security Vision CRS | Security Vision Security Governance, Risk Management and Compliance (SGRC / a-SGRC) Security Vision Cyber Risk System (CRS) Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью | Сравнение систем SGRC |
| IBM (USA) | OpenPages with Watson | |||||
| SAS (USA) | OpRisk Management | |||||
| SAP (Germany) | Enterprise Risk Management | |||||
| Автоматизация процесса соответствия трбованиям ФЗ-187 (КИИ) | Security Vision | Security Vision КИИ | Security Vision Критическая информационная инфраструктура Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью | Подробнее о Security Vision КИИ | ||
| Киберразведка (Threat Intelligence Platform) | Anomali (USA) | Anomali Altitude | Security Vision | Security Vision Threat Intelligence Platform | Security Vision Threat Intelligence Platform Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью | Подробнее о Security Vision Threat Intelligence Platform 50 оттенков Кобальта: ретроспектива целевых атак на инфраструктуру |
| ThreatConnect (USA) | ThreatConnect Platform | |||||
| ThreatQuotinet (USA) | ThreatQ | |||||
| EclecticIQ (Europe) | EclecticIQ Fusion Center и EclecticIQ Platform | |||||
| Open source Threat Intelligence Platform | Your Everyday Threat Intelligence (YETI) | |||||
| Open source Threat Intelligence Platform | Malware Information Sharing Platform (MISP) | |||||
| Автоматизация процесса управления активами uCMDB | Microfocus (США) | Microfocus Universal Discovery (uCMDB) | Security Vision | Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью | Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью | Подробнее о модуле «Управление активами и инвентаризация» на платформе Security Vision |
| Автоматизация процесса управления уязвимостями | Anomali (США) | Anomali | Security Vision | Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью | Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью | Подробнее о модуле «Управление уязвимостями» на платформе Security Vision |
Чтобы ненароком не попасть под новые санкции, бизнесу необходимо усилить контроль сделок, клиентов, контрагентов и т.д. Какие процессы нужно усовершенствовать и кто должен этим заниматься?
Руслан Рахметов: В крупных международных компаниях, вынужденных соблюдать ограничения различных юрисдикций, за соблюдением санкционных требований следят рабочие группы из юристов и риск-менеджеров. Разумеется, что увеличение масштаба санкций и их практически ежедневное расширение не могут не привести к нагрузке на такие подразделения, при этом последствия ошибок будут весьма существенными. В такой ситуации логично будет максимально автоматизировать процессы по контролю соблюдения законодательных и санкционных ограничений, выявить имеющиеся взаимосвязи и зависимости от подрядчиков и поставщиков, найти узкие места и потенциальные «точки отказа» в бизнес-процессах и цепочках поставок. Для автоматизации этих действий, а также решения ряда других задач, в том числе связанных с обеспечением кибербезопасности, существуют системы класса SGRC (Security Governance, Risk Management and Compliance, системы управления кибербезопасностью, рисками и соответствием законодательству), которые решают задачи автоматизации управления киберрисками, обеспечения соответствия законодательным, отраслевым и внутренним нормативным актам, менеджмента процессов ИБ (управление ИТ-активами, уязвимостями, документами, задачами). Кроме того, SGRC-системы помогают автоматизировать процессы проведения аудитов (внутренних и внешних), предоставления отчетности и визуализации состояния/метрик, а также обеспечивают интеграцию с информационными системами для мониторинга состояния кибербезопасности.
Бизнес не стоит на месте. Реализуются новые проекты, открываются новые направления. Как в условиях санкций выбирать ИТ-поставщиков, чтобы обезопасить себя от возможных рисков?
Руслан Рахметов: Недавно принятый пакет мер поддержки ИТ-компаний предлагает существенные привилегии: нулевую ставку налога на прибыль, грантовую поддержку перспективных отечественных решений, льготное кредитование со ставкой не более 3%, а также социальную поддержку ИТ-специалистов. В данной ситуации есть риск того, что в погоне за этими льготами на рынке появится большое количество компаний-пустышек, предлагающих либо совсем сырые собственные решения, либо продающих зарубежные коммерческие или Open Source продукты под своим логотипом. Это не должно вводить потребителей в заблуждение и давать иллюзорную уверенность в возможности создания качественного российского решения «с нуля» за полгода. Объективными критериями оценки продукта могут быть документально подтвержденные сведения о дате первого релиза продукта, о количестве успешных внедрений, реальные отзывы пользователей, а также наличие технической поддержки, подробной документации, присутствие продукта в реестре отечественного ПО, наличие сертификатов российских регуляторов (в случае средств защиты информации). Если отечественный продукт успешно конкурировал с западными решениями на протяжении последних 5-7 лет и побеждал в открытых конкурсах путем «боевого» сравнения с аналогичным зарубежным ПО, то перед вами, скорее всего, уже зрелое, обкатанное, полнофункциональное решение.
