Рустам Хайбуллов: «Развитие рынка ИБ во многом определяет госсектор»
О тенденциях российского ИБ-рынка, особенностях защиты информационных систем в разных секторах экономики и о том, как системный интегратор может решить задачу разработки ИБ-продуктов, рассказал Рустам Хайбуллов, директор по развитию ИБ-направления компании INLINE Technologies.
CNews: Как изменилась динамика российского рынка решений в сфере информационной безопасности в 2015 году по сравнению с 2014 годом?
Рустам Хайбуллов: По нашей оценке, по сравнению с предыдущим годом в целом рынок ИБ-решений в 2015 году вырос на 5–10 %. При этом по отраслям изменение происходило неравномерно. Так, государственный и энергетический сегменты показали незначительный рост, а в финансовом и медиасекторе наблюдалось некоторое падение активности в области внедрения продуктов и использования услуг информационной безопасности.
CNews: Коррелируют ли финансовые показатели вашей компании с оценкой динамики рынка?
Рустам Хайбуллов: Распределение заказчиков и проектов у нашей компании «индивидуальное», поэтому ее финансовые показатели коррелируются с рыночными не полностью.
Например, ИБ-направление INLINE Technologies развивается, опять же по нашей оценке, активнее, чем рынок в целом. Результаты за 2015 год еще не подведены, а по 2014-му скажу: рост выручки от проектов по внедрению систем информационной безопасности, реализованных компанией, в сравнении с 2013 годом составил около 22 %, что было выше показателей по рынку почти в два раза.
CNews: Какие тенденции, на ваш взгляд, являются сегодня определяющими для рынка ИБ?
Рустам Хайбуллов: Здесь существует два аспекта – интеграторский и вендорский. В отношении внедрения систем безопасности можно сказать, что мы находимся в мировом мейнстриме: на российском рынке работают достаточно квалифицированные специалисты, которые внимательно следят за опытом зарубежных компаний и быстро перенимают передовые решения.
Основными тенденциями глобального рынка безопасности является концентрация решений в международных корпорациях-вендорах, преимущественно американских, и ориентация на так называемую практическую безопасность. Под практической безопасностью я имею в виду Best practices, применение которых имеет свои преимущества: можно, глубоко не углубляясь в суть проблем безопасности, использовать готовые решения по готовым шаблонам. Это и дешевле, и понятнее для руководства, и обеспечивает приемлемый уровень безопасности.
При таком, вендорском подходе на первый план выходят крупные и авторитетные производители, которые имеют широкий ассортимент промышленных массовых продуктов, поддерживающих комплексные решения по безопасности. Главным же критерием при выборе вендора и продукта становятся не технические характеристики этого продукта и даже, в разумных пределах, не его стоимость, а репутация и квалификация самой компании: ее финансовая надежность и устойчивость, техническая поддержка решений, уровень сервиса и т. п. И даже если продукт «дырявый», это бывает не столь важно. Гораздо важнее, чтобы «дыры» своевременно закрывались.
Такая модель не плоха и не хороша, она существует и объективно востребована западным рынком. В результате зарубежные компании, в первую очередь также американские, получают, образно говоря, ключи от всех мировых информационных сейфов.
Понятно, что данная модель неприменима к российскому рынку. Ведь, если мы откроем шлюзы, отечественные разработки будут быстро вымыты западными решениями, а компании потеряют бизнес. Поэтому наш рынок разработки систем безопасности всегда будет следовать собственному вектору, отличающемуся от мирового.
Конечно, сегодня определяющим для российского рынка ИБ является путь на импортозамещение в условиях существующего санкционного перечня государственных и окологосударственных заказчиков. Это продиктовано жесткой необходимостью. В коммерческом же сегменте мы видим стремление клиентов получить максимальную отдачу от использования существующей инфраструктуры ИБ, эффективно решать приоритетные, локальные задачи по обеспечению ИБ в рамках различных бюджетных ограничений.
CNews: Сегодня говорится о том, что импортозамещение в сфере ИБ во многом состоялось. Согласны ли вы с таким мнением? По каким направлениям ощущается нехватка отечественных решений?
Рустам Хайбуллов: Понятно, что создание отечественного конкурентоспособного продукта корпоративного уровня требует времени и значительных финансовых вложений. При этом специфика отрасли информационной безопасности такова, что ее продукты конечному пользователю прибыли не приносят, они ее лишь защищают.
Вложения в разработку решений по безопасности возможны, если в целом ИТ-рынок хорошо развит, на нем есть свободные деньги, которые работают. Между тем больших вложений в поддержку отечественных разработок мы сейчас не видим, поэтому импортозамещение чаще всего, к сожалению, сводится к замене шильдиков, а в лучшем случае – к копированию зарубежных технологий. Однако есть и исключения – отечественные ИБ-продукты, которые стали конкурентными не только на внутреннем рынке, но и успешно экспортируются.
Существенная часть отечественных решений ориентирована на нормативные требования ФСТЭК России, ФСБ России, Роскомнадзора. Таким образом, нехватка решений особенно ощущается в технологических направлениях, для которых соответствие каким-либо требованиям регуляторов не является обязательным, а таких проектов реализуется довольно много.
CNews: С какими трудностями сталкивается компания, специализирующаяся на собственной разработке? Являясь системным интегратором, вы занимаетесь разработкой ИБ-продуктов?
Рустам Хайбуллов: Первая трудность общеизвестна. Для того чтобы создать продукт серьезного уровня, требуются не менее серьезные финансовые вложения. По прошествии времени этот продукт будет иметь спрос на рынке, будет хорошо продаваться, причем в нынешних условиях не обязательно, чтобы он был конкурентоспособным на мировом рынке. Но это потом, а деньги нужны сейчас. Реально, мало кто из потребителей хочет и может вкладываться в разработку, но все готовы уже сейчас покупать готовый отечественный сертифицированный продукт. Поэтому решение данной задачи мы предложили нашему стратегическому партнеру – компании Setec, осуществляющей технологическое взаимодействие с ведущими российскими и китайскими производителями ИТ- и ИБ-решений. Setec постепенно переводит производство оборудования своих партнеров в Россию, поэтапно расширяя степень локализации, начиная с собственного брендирования и заканчивая полнофункциональным производством, поддержкой и получением официального статуса «продукция российского происхождения». Таким образом, Setec избегает необходимости единовременных крупных инвестиций, делая проекты более сбалансированными.
Вторая проблема не столь очевидна. Я имею в виду некоторое несовершенство нашего законодательства в части определения, что считать российским продуктом. Государство декларирует поддержку отечественного производителя, но для этого надо четко понимать, кого следует считать отечественным производителем и что такое отечественный продукт. Часто путают понятия «российское производство» и «российское происхождение», это приводит к тому, что в изделии от российского производителя отечественная только этикетка. Такие примеры на рынке есть.
CNews: Каковы особенности защиты государственных информационных систем?
Рустам Хайбуллов: Госсектор во многом определяет развитие рынка информационной безопасности. Те факторы, о которых я уже говорил, приводят к тому, что госсектор – это один из источников стабильной и существенной поддержки ИБ. Компания, получившая госзаказ, может уверенно смотреть в будущее: это и признание ее квалификации, умения работать с заказчиком, это и надежное финансирование. Другими словами, госсектор является одним из столпов отечественного ИБ-рынка.
Говоря о защите государственных информационных систем (ГИС), хочу отметить, что с момента выпуска Приказа ФСТЭК России № 17 от 11.02.2013 г., который определяет требования к защите государственных информационных систем, не прекращаются дискуссии о том, какие системы следует считать государственными. Поэтому к ГИС довольно часто причисляются системы, которые таковыми не являются и требования к защите которых неправомерно завышаются.
Ключевыми проблемами защиты ГИС, на мой взгляд, является недостаточное количество функциональных отечественных ИБ-решений, не всегда обоснованное требование о применении исключительно сертифицированных средств защиты информации, а также тенденция к снижению финансирования проектов по обеспечению ИБ.
CNews: На каких принципах, по вашему мнению, должна строиться безопасность инфраструктур АСУ ТП?
Рустам Хайбуллов: При выборе стратегии защиты в первую очередь надо учитывать, что целью ИБ является обеспечение надежного функционирования АСУ. Следовательно, любое вмешательство в работу АСУ – а надстройка по безопасности является прямым или косвенным вмешательством – не должно ее дестабилизировать. Как правило, сбой в работе АСУ ТП может по цепочке вызвать нарушения в функционировании промышленных потребителей. Нельзя не учитывать также, что работа АСУ ТП в режиме реального времени существенно ограничивает возможность использовать активные методы обеспечения информационной безопасности. Например, если корректная команда управления будет воспринята средством защиты как потенциально опасный трафик, это вызовет блокировку АСУ, и, соответственно, нарушится нормальный ход технологического процесса.
Анализируя защищенность АСУ ТП, мы неоднократно обнаруживали возможность получения несанкционированного доступа к системам управления режимами работы. Это являлось следствием эксплуатации таких уязвимостей, как: слабая парольная политика, вероятность вирусного заражения и другие. Данный факт заставляет акцентировать внимание на защите инфраструктуры АСУ ТП и повышении осведомленности персонала в вопросах информационной безопасности.
CNews: Уже практически не вызывает дискуссий необходимость защищать виртуальные среды с помощью специально созданных ИБ-технологий. Как обеспечение информационной безопасности систем виртуализации отражено в бизнесе вашей компании?
Рустам Хайбуллов: Действительно, традиционные требования к обеспечению информационной безопасности часто неприменимы к виртуальным системам. Например, для определенного класса сертифицированных криптографических средств строго обязательно наличие аппаратного модуля доверенной загрузки. Но как это соблюсти, если криптографическое средство применяется в виртуальной операционной системе? Прежде всего нужно существующие требования к безопасности адаптировать для применения в виртуальных средах. Кроме этого, сами виртуальные среды являются отдельным объектом как для построения требований, классификаций и уровней защиты (так называемая бумажная безопасность), так и для построения специфических средств защиты информации, работающих или взаимодействующих с ними (практическая безопасность). За последнее время нами опять же в партнерстве с компанией Setec выполнено несколько крупных проектов по комплексной защите среды виртуализации и инфраструктуры рабочих мест пользователей с помощью решения «Тринити», которое, по сути, является системой защиты виртуализации и терминального доступа. Это решение позволяет подстраиваться под различные требования заказчиков, потому что в нем реализована поддержка протоколов виртуализации рабочих столов Virtual Desktop Infrastructure (VDI) ведущих мировых поставщиков VMware, Citrix, Microsoft и др.
CNews: Какие изменения нормативных требований в финансовой сфере в части ИБ произошли за 2015 год?
Рустам Хайбуллов: Одним из ключевых изменений законодательства, регламентирующего деятельность кредитно-финансовых учреждений, является переход на отечественные ИБ-решения с необходимостью обосновывать использование импортных продуктов. Это, безусловно, окажет влияние на бюджеты и структуры проектов. Мы также видим активности, нацеленные на изменение нормативных требований к криптографическим средствам, применяемым в создаваемой национальной платежной системе «Мир».
CNews: Назовите проекты, реализованные вашей компанией в 2014–2015 годах, которые вы можете отнести к наиболее значимым и интересным с точки зрения решенных задач и масштабности.
Рустам Хайбуллов: Особое место, без сомнения, занимает комплексный проект по защите АСУ ТП для одной из ведущих энергетических компаний страны. Хочу подчеркнуть, что интерес со стороны потенциальных нарушителей к АСУ ТП на предприятиях энергетики в последние годы проявляется наиболее заметно.
В ходе выполнения проекта мы спроектировали и реализовали ситуационный центр ИБ АСУ ТП, защитили транспортную территориально распределенную инфраструктуру АСУ ТП и рабочие места ее администраторов и операторов.
Сложность проекта заключалась в согласовании и стендировании технических решений с поставщиками инфраструктуры АСУ ТП, организации бесперебойной работы критичных производственных систем.
Ранее мы говорили о защите ГИС, которая в 2015 году оставалась востребованной. Поэтому логично упомянуть проект по внедрению комплексной ИБ-системы в крупном государственном заказчике, который компания успешно завершила в текущем году. Этот проект реализовывался с целью организовать эффективную защиту ИТ-систем от актуальных угроз информационной безопасности в рамках выполнения требований законодательства РФ в области защиты информации ограниченного распространения. Комплексная система информационной безопасности включила в себя довольно много подсистем: сетевой безопасности, защиты систем виртуализации, защиты прикладных систем и др. Большая часть этих подсистем была создана на базе отечественных решений.