Будущее ИТ: что будет с информационной безопасностью в 2023-2025 годах
Количество кибератак растёт, обновиться невозможно, а регуляторы запретили работать с персональными данными на зарубежных решениях.
Это реалии 2023 года для всех, кто занимается информационной безопасностью в компаниях. Есть ли у бизнеса легкие решения накопившихся проблем? Что делает государство в этой области и какие тренды определят будущее сферы информационной безопасности в России?
Об этом в нашей статье, экспертом которой выступил Андрей Сидорович, ИТ-директор юридической компании “Тактикум”.
Почему инфобез стал проблемой
Защита информации и раньше была одним из приоритетных направлений для российских компаний. Ведь киберинциденты — это риски для бизнеса. В том числе:
– Финансовые. Остановка работы сайта, например, интернет-магазина в день распродажи может привести к миллионным потерям. В эту же “корзину” – непоказанная реклама, потеря позиций в поисковой выдаче, слив SEO-бюджета. В 2023 году средний годовой ущерб от киберинцидентов вырос до 20 млн рублей, что на треть больше чем в прошлом году.
– Репутационные. Компании, по вине которых персональные данные клиентов подверглись угрозе, теряют авторитет и лояльность аудитории. А длительные перебои в работе могут стать серьезным ударом для тех, у кого надежность — важная часть имиджа.
– Технологические. Злоумышленники могут украсть пароли сотрудников, пока компания об этом даже не подозревает. Помимо вероятности потерять важные сведения и риска заражения компьютеров сети вредоносным ПО, существует риск утраты работоспособности всей информационной системы.
– Технические издержки. Устранение последствий ИБ-инцидентов требует дополнительного рабочего времени сотрудников, отвлечения ресурсов с других проектов, разработки плана обновления ПО, модернизации оборудования и пр.
Представители малого и среднего бизнеса ранее не видели угрозы, поскольку не представляли интереса для злоумышленников. Но февраль 2022 года внёс коррективы.
До этого времени больше мы уделяли все внимание отказоустойчивости, повышению производительности приложений и сервисов, которые дали бизнесу. ИБ занимались только базово – где-то роли дать, где-то доступ закрыть. Но отдельных подразделений, как и специалистов по ИБ, в штате не было
– Андрей Сидорович, ИТ-директор “Тактикум”
Если раньше мишенью становились крупные компании, а главной целью было получить материальную выгоду, то сейчас атакам подвергается вся российская ИТ-инфраструктура. Выбираются компании и сегменты, в которых кибератака способна принести значительный, и, главное, видимый ущерб: прежде всего, речь о промышленных и государственных информационных системах, СМИ, ритейле и т.д.
Кроме того, появилось ещё несколько факторов:
- Уход иностранных производителей
В 2022-2023 году Россию покинули более 30 зарубежных компаний ИБ-сегмента – Fortinet, Avast, Norton, Eset и другие. Отечественные организации лишились техподдержки, возможности покупать и обновлять продукты. Фактически оборудование и софт, которое покупали отечественные компании, превратилось в тыкву, а в сегменте кибербезопасности это особенно чувствительно.
По ряду направлений российские решения в ИБ отстают от зарубежных продуктов, уступая по функциональности и производительности. А в некоторых сегментах отечественной альтернативы попросту нет.
- Рост числа кибератак и утечек данных
«Лаборатория Касперского» фиксирует 400 тыс. новых вредоносов каждый день: “Рост атак есть везде, это глобальная проблема. Мы каждый день собираем примерно 400 тыс. новых файлов, которые ни разу не видели до этого, причем именно зловредных файлов. Какие-то из них уже «детектятся», потому что сигнатура хорошо срабатывает, но, конечно, далеко не все” — рассказал глава компании Евгений Касперский.
Число атак хакеров на компании через скомпрометированные данные сотрудников выросло на 10% по сравнению с 2022 годом. На такие атаки пришлось 80% от всех незаконных проникновений в инфраструктуру. При этом, доля автоматизации достигла 80%. Подробнее рассказывали тут.
Помимо численности, всё больше «сложных инцидентов», в том числе «с участием человека». Например, не менее 20 российских организаций стали жертвами новых профессиональных хакеров.
О самых крупных ИБ-инцидентах рассказывали тут.
- Преступники сосредоточились на уязвимостях
Новый тип угроз связан, в том числе, с повсеместным использованием продуктов с открытым исходным кодом. Только за последние 3 месяца найдено 7,5 тыс новых “дыр” в железе и ПО, которые активно используют злоумышленники.
Так, ЦБ отметил всплеск использования уязвимости в CMS Bitrix, популярной у средних банков и подрядчиков. По словам экспертов, кредитные организации затянули с установкой обновлений. Для банков наличие подобных уязвимостей означает риски проникновения во внутреннюю систему, чреватые в том числе несанкционированными операциями и утечками данных.
Шесть уязвимостей, три из которых – критические, обнаружили во встроенном ПО для популярных сетевых хранилищ NAS от Zyxel. С помощью уязвимостей злоумышленники могут получить удалённый доступ к NAS без необходимости проходить процесс аутентификации и выполнять произвольные команды на сетевых устройствах хранения данных.
А 6 декабря сообщили, что десятки тысяч серверов Microsoft Exchange уязвимы перед удаленным выполнением кода.
- Дефицит ИБ-специалистов
В третьем квартале 2023 года почти треть российских компаний собирается нанимать специалистов по кибербезопасности. ИТ-отрасли в России не хватает почти 30 тыс. работников.
Представители ИТ-рынка отмечают, что кадровый голод – одна из основных проблем в ИБ, причем нехватка была еще с 2019 года, а сейчас ситуация только ухудшается. В особенности не хватает специалистов с практическим опытом и знаниями.
Ситуация на рынке труда в этой сфере действительно напряженная. С одной стороны, постоянно растет число киберугроз и количество различных атак, утечек ПДн. С другой, нехватка специалистов — это следствие того, что часть россиян из ИТ-сферы релоцировалась в другие страны, а подготовка в вузах не успевает за потребностями рынка
– управляющий партнер коммуникационного агентства B&C Agency Иван Самойленко.
Какие меры принимает государство
Ограничивающие
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» гласит, что субъекты КИИ, критических информационных инфраструктур, должны:
– Провести категорирование объектов КИИ.
– Интегрироваться в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).
– Принять организационные и технические меры по обеспечению безопасности объектов КИИ.
– Перейти на всё отечественное.
Чтобы выполнить требования ФЗ, организациям предстоит понести значительные затраты.
В мае 2022 закон ужесточили. Теперь не только отдел безопасности, но и сам руководитель организации должен нести персональную ответственность за обеспечение ИБ.
Также изменения претерпел Федеральный закон № 152-ФЗ «О персональных данных» и относящиеся в нему подзаконные акты. Например, Приказ ФСБ России от 13 февраля 2023 г. N 77 обязывает не только объекты КИИ, но и практически всех операторов ПДн обеспечивать взаимодействие с ГосСОПКА. Полный перечень нововведений в ФЗ-152 разместили тут.
За несоблюдение — штраф. 3 декабря был опубликован пакет законопроектов об ужесточении административной и уголовной ответственности за утечки персданных.
Штрафы для юрлиц и ИП составят:
– от 3 до 5 млн руб., если утечка касается от 1 до 10 тыс. субъектов ПДн;
– от 5 до 10 млн руб. за утечку от 10 до 100 тыс. данных;
– от 10 до 15 млн руб., если произошла утечка 100 тыс. и выше данных ИЛИ за утечку специальной информации, например, медицинского характера.
При повторном нарушении грозит оборотный штраф от 0,1 до 3% – от 15 до 500 млн руб.
Действующие меры ответственности за утечку мало кого стимулируют. В результате сегодня на черном рынке круговорот баз с персданными содержит информацию примерно о 80% населения России. По самым скромным оценкам ущерб от утечек только в прошлом году составил около 8 млрд рублей
– первый зампред СФ РФ Андрей Турчак
К уголовной ответственности до 10 лет авторы поправок предлагают привлекать как киберпреступников, так и рядовых сотрудников компаний, которые решили заработать на «сливе» информации.
Всё об ответственности за несоблюдение ФЗ-152 – тут.
Поддерживающие
Минцифры РФ планирует до 2030 года инвестировать в развитие отечественных средств обеспечения информационной безопасности 25 млрд руб. Представители рассчитывают, что в результате все иностранные средства защиты получат российские аналоги, а число инцидентов, связанных с нарушениями безопасности ключевых ГИС, снизится до нуля.
Также ведомство тиражирует технологии безопасной разработки DevSecOps на ключевые государственные ИТ-системы – «Госуслуги», ЕСИА, Системы межведомственного электронного взаимодействия. Далее их планируют распространить и на остальные системы инфраструктуры электронного правительства.
Как компании выстраивают защиту
- Создают ИБ-подразделения и назначают ответственных
Около 77% российских компаний в 2023 году столкнулись с необходимостью расширить штат специалистов по информационной безопасности. При этом в 40% компаний сотрудники, отвечающие за ИБ, признались, что стали заниматься этой темой только в прошлом году. Из этого можно сделать вывод, что во многом проблема нехватки кадров решается путем переквалификации или расширения функционала уже работающих в организациях ИТ‑специалистов.
Информационная безопасность стала одним из ключевых и приоритетных направлений, поэтому мы наделили дополнительным функционалом человека из команды и назначили его администратором ИБ. Часть нагрузки с него сняли и перераспределили
– Андрей Сидорович, ИТ-директор “Тактикум”
- Привлекают подрядчиков
«Лаборатория Касперского» провела исследование, которое показало, что 42% компаний в России обращаются к поставщикам управляемых ИТ- и ИБ-услуг, так как у них не хватает собственных специалистов по информационной безопасности. - Берут готовые решения “под ключ”
Востребована ITSM (IT Service Management) – или сервисная модель. Это работает так: инфраструктура располагается у заказчика. Он ею управляет, а партнёр-подрядчик обслуживает и масштабирует систему под задачи бизнеса. Это удобно: клиент получает гарантированный качественный сервис и не отвлекается сам на эту задачу.
Причин воспользоваться сервисной моделью было несколько:
– Андрей Сидорович, ИТ-директор “Тактикум”
Во-первых, мы работаем в b2b сегменте, с банковскими структурами. Утечка данных – это недопустимые репутационные риски. Банки очень требовательны – у них регулятор ЦБ, банковская тайна и т.д.
Второе – вопрос компетенций. У нас в компании не было специалистов по информационной безопасности. С CORTEL мы работаем давно, в их экспертности уверены, поэтому сомнений, к кому обратиться, не было.
Третье – конкурентное преимущество. С помощью внедрения такого проекта мы соответствуем текущим реалиям и защищаем данные клиентов по ГОСТу, с помощью решений, согласованных ФСТЭК и ФСБ
- Выжидают
Например, 55% российских банков игнорируют требований Федерального закона № 152-ФЗ «О персональных данных» в пользовательских соглашениях. Речь идет в первую очередь об указании конкретных целей сбора и обработки данных, которые банки должны прописывать с 1 сентября 2022 г.
В I квартале 2023 года компания «К2 Интеграция» провела опрос среди компаний и выяснила, что только 3% готовы к выполнению требований закона № 152-ФЗ «О персональных данных», вступивших в силу 1 марта 2023 года.
Но даже если текущая картина не заставила компании принять меры – это сделает будущая.
Что дальше? Тренды ИБ в 2024-2025 гг
- ИИ будут использовать для кибератак
Например, современные чат-боты способны «угадать» массу конфиденциальной информации о пользователе в ходе обычного разговора. На основе короткой переписки ИИ может точно определить возраст, местоположение собеседника и другие данные, которые нужны мошенникам.
- Регуляторы обратят внимание на бизнес
Если взглянуть на статистику утечек персданных – в 95% случаев они приходятся именно на бизнес. Поэтому вопрос, когда регулятор установит для бизнеса те же ограничения, что для КИИ и начнёт контролировать ИБ по всей стране – лишь вопрос времени.
Уверен, что государство обратит внимание на бизнес. На форумах по ИБ представители власти отмечают, что штрафы будут увеличивать, а ответственность – ужесточать.
В том числе, обсуждают, что будет создан единый регулятор по ИБ. Считаю, что это – здоровая и нужная инициатива, пусть Минцифры, например, будут давать рекомендации, правила – как себя защитить, к кому обратиться, чему и как соответствовать.
В отношении штрафов моя позиция проста: если компания сделала максимум для предотвращения утечки, выполнила все требования и защитилась – да, можно сделать предупреждение. А если ты ничего не делал, как и большинство – да, штрафовать резонно, это будет мотивировать остальных.
– Андрей Сидорович, ИТ-директор “Тактикум”
Например, в других странах есть практика – после разработки сервиса отправлять его регулятору на проверку для разрешения на релиз. Есть у тебя сайт, обрабатываешь на нём ПДн – покажи регулятору и пусть его протестирует на ИБ
- Новые подходы к “привычным” атакам
DDoS продолжает быть самой частой причиной сбоев и остановки работ веб-сервисов по всему рынку. Мошеннические схемы становятся всё изощрённее – для фишинга, например, теперь активно используют не только почту, но и мессенджеры. Андрей Сидорович поделился тем, как шифровальщик стал причиной “краха” одного из лидеров рынка:
“Недавно крупную компанию в отрасли ритейла полностью зашифровали и удалили бэкапы. Пострадали филиалы по всей стране – работа остановилась, перешли, грубо говоря, с 1С в Excel. Выкуп платить отказались, в итоге пришлось по крохам собирать товарную номенклатуру, бухгалтерию и т.д.
Причем шифрование было в 2 этапа – ритейлер обращался в российские ИБ-компании, и никто им не смог помочь. Я думал, что шифровальщики – это прошлый век, ан нет. Причем зашифровали не пару компьютеров, а полностью парализовали работу компании”.
- Импортозамещение
Отечественный рынок кибербезопасности активно развивается ввиду политики государства в этой области и разработки довольно строгих стандартов.
Для нас импортозамещение – не просто тренд, а дорожная карта. Мы делегировали виртуализацию CORTEL, железо и ПО заменили. Единственное, что оставим, как прежде – ОС на рабочих местах
– Андрей Сидорович, ИТ-директор “Тактикум”
Мы уже используем российские средства защиты информации для организации “SafeCloud-152” — защищённого облака, соответствующего требованиям ФЗ-152, Роскомнадзора, ФСТЭК и ФСБ. Подробный разбор используемых решений в материалах:
Соболь-4 — подробный обзор ПАК для предотвращения несанкционированного доступа на этапе загрузки.
Kaspersky Endpoint Security — используем для выполнения мер антивирусной защиты 17 и 21 приказов ФСТЭК.
Сканер-ВС — инструмент для тестирования, мониторинга, контроля и анализа защищенности ИС.
Secret Net Studio — комплексное решение для защиты рабочих станций и серверов.
ViPNet — комплекс решений для защиты информации в разных сценариях.
Предыдущие материалы из серии “Будущее ИТ в 2024-2025 гг”:
ИТ-тренды: что будет с российским рынком ПО в 2024-2025 гг?
Железный вопрос: что будет с ИТ-оборудованием в России в 2024 году