Выйти из системы

Сменить пользователя

Будущее ИТ: что будет с информационной безопасностью в 2023-2025 годах

Количество кибератак растёт, обновиться невозможно, а регуляторы запретили работать с персональными данными на зарубежных решениях. 

Это реалии 2023 года для всех, кто занимается информационной безопасностью в компаниях. Есть ли у бизнеса легкие решения накопившихся проблем? Что делает государство в этой области и какие тренды определят будущее сферы информационной безопасности в России?

Об этом в нашей статье, экспертом которой выступил Андрей Сидорович, ИТ-директор юридической компании “Тактикум”.

Почему инфобез стал проблемой

Защита информации и раньше была одним из приоритетных направлений для российских компаний. Ведь киберинциденты — это риски для бизнеса. В том числе:

Финансовые. Остановка работы сайта, например, интернет-магазина в день распродажи может привести к миллионным потерям. В эту же “корзину” – непоказанная реклама, потеря позиций в поисковой выдаче, слив SEO-бюджета. В 2023 году средний годовой ущерб от киберинцидентов вырос до 20 млн рублей, что на треть больше чем в прошлом году. 

Репутационные. Компании, по вине которых персональные данные клиентов подверглись угрозе, теряют авторитет и лояльность аудитории. А длительные перебои в работе могут стать серьезным ударом для тех, у кого надежность — важная часть имиджа. 

Технологические. Злоумышленники могут украсть пароли сотрудников, пока компания об этом даже не подозревает. Помимо вероятности потерять важные сведения и риска заражения компьютеров сети вредоносным ПО, существует риск утраты работоспособности всей информационной системы.

Технические издержки. Устранение последствий ИБ-инцидентов требует дополнительного рабочего времени сотрудников, отвлечения ресурсов с других проектов, разработки плана обновления ПО, модернизации оборудования и пр. 

Представители малого и среднего бизнеса ранее не видели угрозы, поскольку не представляли интереса для злоумышленников. Но февраль 2022 года внёс коррективы. 

До этого времени больше мы уделяли все внимание отказоустойчивости, повышению производительности приложений и сервисов, которые дали бизнесу. ИБ занимались только базово – где-то роли дать, где-то доступ закрыть. Но отдельных подразделений, как и специалистов по ИБ, в штате не было

– Андрей Сидорович, ИТ-директор “Тактикум”

Если раньше мишенью становились крупные компании, а главной целью было получить материальную выгоду, то сейчас атакам подвергается вся российская ИТ-инфраструктура. Выбираются компании и сегменты, в которых кибератака способна принести значительный, и, главное, видимый ущерб: прежде всего, речь о промышленных и государственных информационных системах, СМИ, ритейле и т.д. 

Кроме того, появилось ещё несколько факторов:

  1. Уход иностранных производителей
    В 2022-2023 году Россию покинули более 30 зарубежных компаний ИБ-сегмента – Fortinet, Avast, Norton, Eset и другие. Отечественные организации лишились техподдержки, возможности покупать и обновлять продукты. Фактически оборудование и софт, которое покупали отечественные компании, превратилось в тыкву, а в сегменте кибербезопасности это особенно чувствительно. 

По ряду направлений российские решения в ИБ отстают от зарубежных продуктов, уступая по функциональности и производительности. А в некоторых сегментах отечественной альтернативы попросту нет.

  1. Рост числа кибератак и утечек данных
    «Лаборатория Касперского» фиксирует 400 тыс. новых вредоносов каждый день: “Рост атак есть везде, это глобальная проблема. Мы каждый день собираем примерно 400 тыс. новых файлов, которые ни разу не видели до этого, причем именно зловредных файлов. Какие-то из них уже «детектятся», потому что сигнатура хорошо срабатывает, но, конечно, далеко не все” — рассказал глава компании Евгений Касперский. 

Число атак хакеров на компании через скомпрометированные данные сотрудников выросло на 10% по сравнению с 2022 годом. На такие атаки пришлось 80% от всех незаконных проникновений в инфраструктуру. При этом, доля автоматизации достигла 80%. Подробнее рассказывали тут.

Помимо численности, всё больше «сложных инцидентов», в том числе «с участием человека». Например, не менее 20 российских организаций стали жертвами новых профессиональных хакеров. 

О самых крупных ИБ-инцидентах рассказывали тут.

  1. Преступники сосредоточились на уязвимостях

Новый тип угроз связан, в том числе, с повсеместным использованием продуктов с открытым исходным кодом. Только за последние 3 месяца найдено 7,5 тыс новых “дыр” в железе и ПО, которые активно используют злоумышленники.

Так, ЦБ отметил всплеск использования уязвимости в CMS Bitrix, популярной у средних банков и подрядчиков. По словам экспертов, кредитные организации затянули с установкой обновлений. Для банков наличие подобных уязвимостей означает риски проникновения во внутреннюю систему, чреватые в том числе несанкционированными операциями и утечками данных.

Шесть уязвимостей, три из которых – критические, обнаружили во встроенном ПО для популярных сетевых хранилищ NAS от Zyxel. С помощью уязвимостей злоумышленники могут получить удалённый доступ к NAS без необходимости проходить процесс аутентификации и выполнять произвольные команды на сетевых устройствах хранения данных. 

А 6 декабря сообщили, что десятки тысяч серверов Microsoft Exchange уязвимы перед удаленным выполнением кода.

  1. Дефицит ИБ-специалистов

В третьем квартале 2023 года почти треть российских компаний собирается нанимать специалистов по кибербезопасности. ИТ-отрасли в России не хватает почти 30 тыс. работников.

Представители ИТ-рынка отмечают, что кадровый голод – одна из основных проблем в ИБ, причем нехватка была еще с 2019 года, а сейчас ситуация только ухудшается. В особенности не хватает специалистов с практическим опытом и знаниями.

Ситуация на рынке труда в этой сфере действительно напряженная. С одной стороны, постоянно растет число киберугроз и количество различных атак, утечек ПДн. С другой, нехватка специалистов — это следствие того, что часть россиян из ИТ-сферы релоцировалась в другие страны, а подготовка в вузах не успевает за потребностями рынка

– управляющий партнер коммуникационного агентства B&C Agency Иван Самойленко.

Какие меры принимает государство

Ограничивающие

Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» гласит, что субъекты КИИ, критических информационных инфраструктур, должны:

– Провести категорирование объектов КИИ.

– Интегрироваться в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

– Принять организационные и технические меры по обеспечению безопасности объектов КИИ.

– Перейти на всё отечественное.

Чтобы выполнить требования ФЗ, организациям предстоит понести значительные затраты.

В мае 2022 закон ужесточили. Теперь не только отдел безопасности, но и сам руководитель организации должен нести персональную ответственность за обеспечение ИБ.

Также изменения претерпел Федеральный закон № 152-ФЗ «О персональных данных» и относящиеся в нему подзаконные акты. Например, Приказ ФСБ России от 13 февраля 2023 г. N 77 обязывает не только объекты КИИ, но и практически всех операторов ПДн обеспечивать взаимодействие с ГосСОПКА. Полный перечень нововведений в ФЗ-152 разместили тут.

За несоблюдение — штраф. 3 декабря был опубликован пакет законопроектов об ужесточении административной и уголовной ответственности за утечки персданных.

Штрафы для юрлиц и ИП составят: 

– от 3 до 5 млн руб., если утечка касается от 1 до 10 тыс. субъектов ПДн; 

– от 5 до 10 млн руб. за утечку от 10 до 100 тыс. данных; 

– от 10 до 15 млн руб., если произошла утечка 100 тыс. и выше данных ИЛИ за утечку специальной информации, например, медицинского характера.

При повторном нарушении грозит оборотный штраф от 0,1 до 3% – от 15 до 500 млн руб. 

Действующие меры ответственности за утечку мало кого стимулируют. В результате сегодня на черном рынке круговорот баз с персданными содержит информацию примерно о 80% населения России. По самым скромным оценкам ущерб от утечек только в прошлом году составил около 8 млрд рублей

– первый зампред СФ РФ Андрей Турчак

К уголовной ответственности до 10 лет авторы поправок предлагают привлекать как киберпреступников, так и рядовых сотрудников компаний, которые решили заработать на «сливе» информации. 

Всё об ответственности за несоблюдение ФЗ-152 – тут.

Поддерживающие

Минцифры РФ планирует до 2030 года инвестировать в развитие отечественных средств обеспечения информационной безопасности 25 млрд руб. Представители рассчитывают, что в результате все иностранные средства защиты получат российские аналоги, а число инцидентов, связанных с нарушениями безопасности ключевых ГИС, снизится до нуля.

Также ведомство тиражирует технологии безопасной разработки DevSecOps на ключевые государственные ИТ-системы – «Госуслуги», ЕСИА, Системы межведомственного электронного взаимодействия. Далее их планируют распространить и на остальные системы инфраструктуры электронного правительства.

Как компании выстраивают защиту

  1. Создают ИБ-подразделения и назначают ответственных
    Около 77% российских компаний в 2023 году столкнулись с необходимостью расширить штат специалистов по информационной безопасности. При этом в 40% компаний сотрудники, отвечающие за ИБ, признались, что стали заниматься этой темой только в прошлом году. Из этого можно сделать вывод, что во многом проблема нехватки кадров решается путем переквалификации или расширения функционала уже работающих в организациях ИТ‑специалистов.

Информационная безопасность стала одним из ключевых и приоритетных направлений, поэтому мы наделили дополнительным функционалом человека из команды и назначили его администратором ИБ. Часть нагрузки с него сняли и перераспределили

– Андрей Сидорович, ИТ-директор “Тактикум”
  1. Привлекают подрядчиков
    «Лаборатория Касперского» провела исследование, которое показало, что 42% компаний в России обращаются к поставщикам управляемых ИТ- и ИБ-услуг, так как у них не хватает собственных специалистов по информационной безопасности.
  2. Берут готовые решения “под ключ”
    Востребована ITSM (IT Service Management) – или сервисная модель. Это работает так: инфраструктура располагается у заказчика. Он ею управляет, а партнёр-подрядчик обслуживает и масштабирует систему под задачи бизнеса. Это удобно: клиент получает гарантированный качественный сервис и не отвлекается сам на эту задачу.

Причин воспользоваться сервисной моделью было несколько:
Во-первых, мы работаем в b2b сегменте, с банковскими структурами. Утечка данных – это недопустимые репутационные риски. Банки очень требовательны – у них регулятор ЦБ, банковская тайна и т.д.

Второе – вопрос компетенций. У нас в компании не было специалистов по информационной безопасности. С CORTEL мы работаем давно, в их экспертности уверены, поэтому сомнений, к кому обратиться, не было.

Третье – конкурентное преимущество. С помощью внедрения такого проекта мы соответствуем текущим реалиям и защищаем данные клиентов по ГОСТу, с помощью решений, согласованных ФСТЭК и ФСБ

– Андрей Сидорович, ИТ-директор “Тактикум”
  1. Выжидают

Например, 55% российских банков игнорируют требований Федерального закона № 152-ФЗ «О персональных данных» в пользовательских соглашениях. Речь идет в первую очередь об указании конкретных целей сбора и обработки данных, которые банки должны прописывать с 1 сентября 2022 г. 

В I квартале 2023 года компания «К2 Интеграция» провела опрос среди компаний и выяснила, что только 3% готовы к выполнению требований закона № 152-ФЗ «О персональных данных», вступивших в силу 1 марта 2023 года.

Но даже если текущая картина не заставила компании принять меры – это сделает будущая.

Что дальше? Тренды ИБ в 2024-2025 гг

  1. ИИ будут использовать для кибератак 

Например, современные чат-боты способны «угадать» массу конфиденциальной информации о пользователе в ходе обычного разговора. На основе короткой переписки ИИ может точно определить возраст, местоположение собеседника и другие данные, которые нужны мошенникам.

  1. Регуляторы обратят внимание на бизнес
    Если взглянуть на статистику утечек персданных – в 95% случаев они приходятся именно на бизнес. Поэтому вопрос, когда регулятор установит для бизнеса те же ограничения, что для КИИ и начнёт контролировать ИБ по всей стране – лишь вопрос времени.

Уверен, что государство обратит внимание на бизнес. На форумах по ИБ представители власти отмечают, что штрафы будут увеличивать, а ответственность – ужесточать. 

В том числе, обсуждают, что будет создан единый регулятор по ИБ. Считаю, что это – здоровая и нужная инициатива, пусть Минцифры, например, будут давать рекомендации, правила  – как себя защитить, к кому обратиться, чему и как соответствовать. 

В отношении штрафов моя позиция проста: если компания сделала максимум для предотвращения утечки, выполнила все требования и защитилась – да, можно сделать предупреждение. А если ты ничего не делал, как и большинство – да, штрафовать резонно, это будет мотивировать остальных.
Например, в других странах есть практика – после разработки сервиса отправлять его регулятору на проверку для разрешения на релиз. Есть у тебя сайт, обрабатываешь на нём ПДн – покажи регулятору и пусть его протестирует на ИБ

– Андрей Сидорович, ИТ-директор “Тактикум”
  1. Новые подходы к “привычным” атакам
    DDoS продолжает быть самой частой причиной сбоев и остановки работ веб-сервисов по всему рынку. Мошеннические схемы становятся всё изощрённее – для фишинга, например, теперь активно используют не только почту, но и мессенджеры. Андрей Сидорович поделился тем, как шифровальщик стал причиной “краха” одного из лидеров рынка:

“Недавно крупную компанию в отрасли ритейла полностью зашифровали и удалили бэкапы. Пострадали филиалы по всей стране – работа остановилась, перешли, грубо говоря, с 1С в Excel. Выкуп платить отказались, в итоге пришлось по крохам собирать товарную номенклатуру, бухгалтерию и т.д.

Причем шифрование было в 2 этапа – ритейлер обращался в российские ИБ-компании, и никто им не смог помочь. Я думал, что шифровальщики – это прошлый век, ан нет. Причем зашифровали не пару компьютеров, а полностью парализовали работу компании”.

  1. Импортозамещение
    Отечественный рынок кибербезопасности активно развивается ввиду политики государства в этой области и разработки довольно строгих стандартов.

Для нас импортозамещение – не просто тренд, а дорожная карта. Мы делегировали виртуализацию CORTEL, железо и ПО заменили. Единственное, что оставим, как прежде – ОС на рабочих местах

– Андрей Сидорович, ИТ-директор “Тактикум”

Мы уже используем российские средства защиты информации для организации “SafeCloud-152” — защищённого облака, соответствующего требованиям ФЗ-152, Роскомнадзора, ФСТЭК и ФСБ. Подробный разбор используемых решений в материалах:

Соболь-4 — подробный обзор ПАК для предотвращения несанкционированного доступа на этапе загрузки.

Kaspersky Endpoint Security — используем для выполнения мер антивирусной защиты 17 и 21 приказов ФСТЭК.

Сканер-ВС — инструмент для тестирования, мониторинга, контроля и анализа защищенности ИС.

Secret Net Studio — комплексное решение для защиты рабочих станций и серверов.

ViPNet — комплекс решений для защиты информации в разных сценариях. 

Предыдущие материалы из серии “Будущее ИТ в 2024-2025 гг”:

ИТ-тренды: что будет с российским рынком ПО в 2024-2025 гг?

Железный вопрос: что будет с ИТ-оборудованием в России в 2024 году