В четверг, 13 июня, Владимир Путин подписал указ, уточняющий действие его же указа №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» от 1 мая 2022 года. Документ устанавливал запрет госструктурам, госкорпорациям и субъектам критической информационной инфраструктуры использовать системы защиты из недружественных стран с 1 января 2025 года. Новый указ расширяет запрет и на сервисы (работы или услуги) по кибербезопасности от компаний из таких государств. Forbes опросил участников рынка ИБ, как это повлияет на заказчиков и какие будет иметь последствия для бизнеса
Унифицировать компетенции
Указ двухлетней давности №250 («О дополнительных мерах по обеспечению ИБ Российской Федерации») излагал новые обязательные меры по защите от кибератак. Документ распространяется на предприятия с госучастием (от ведомств до госфондов), стратегические предприятия, системообразующие организации и субъекты критической инфраструктуры. В частности, указ запрещает им использовать средства защиты (СЗИ) из «недружественных» стран с 2025 года, а также обязывает назначить ответственных руководителей по ИБ и создать спецотдел, отвечающий за это направление.
Новый указ №500 можно разделить на две части. Первая гласит: должны быть установлены требования к аккредитованным центрам, которые будут привлекаться для реагирования на инциденты и их расследование в ведомствах и субъектах критической информационной инфраструктуры (КИИ), а также порядок аккредитации, ее приостановления и отзыва.
«Основной пул изменений коснулся центров ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации), а именно аккредитованных центров, — поясняет руководитель отдела консалтинга и аудита Angara Security Александр Хонин. — В целом это и логично, так как известно, что в настоящее время Федеральная служба безопасности (ФСБ) разрабатывает соответствующие правила аккредитации таких центров. И 250-й указ был скорректирован с учетом этой инициативы».
Аккредитованные ФСБ центры играют важную роль в обнаружении, предотвращении и устранении последствий компьютерных атак на информационные ресурсы, которые находятся в ведении субъектов КИИ, говорит архитектор проектов по информационной безопасности R-Vision Максим Струпинский: «Они сотрудничают с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) в рамках ГосСОПКА». НКЦКИ должен быть уверен, что остальные центры реагирования работают с одинаковым набором компетенций, экспертизы и имеют персонал нужной квалификации, добавляет советник генерального директора Positive Technologies Артем Сычев.
Закрепление статуса-кво
Вторая часть указа расширяет действие «предшественника» (указа №250) на сервисы (работы или услуги) по кибербезопасности от компаний из «недружественных» государств. По словам гендиректора Security Vision Руслана Рахметова, в контексте современного киберландшафта услуги по ИБ могут включать в себя, например, предоставление облачных инфраструктур и средств защиты по подписочной модели, защиту от DDoS-атак, обеспечение безопасности учетных записей (мультифакторная аутентификация), проведение работ по оценке защищенности интернет-ресурсов, оказание услуг по консалтингу, внедрению, сопровождению ИБ-решений.
Начиная с 2023 года практически весь бюджет заказчиков на средства защиты информации в секторах B2G и B2B будет потрачен на продукцию российских вендоров, что дает возможность роста этой части рынка в четыре раза, c 113 млрд рублей в 2021 году до 446 млрд рублей в 2026-м, следует из отчета аналитиков Центра стратегических разработок, опубликованного в августе 2022 года. В целом же в ближайшие пять лет (2022–2026) отечественный рынок кибербезопасности предположительно вырастет с 185,9 млрд рублей до 469 млрд рублей (в 2,5 раза), оценивали в ЦСР.
«Новые требования запрещают использование подобных сервисов от «недружественных» поставщиков — это убирает определенную лазейку для российских организаций, которые ранее могли ссылаться на отсутствие установленных западных СЗИ, но продолжать пользоваться облачными СЗИ по подписке», — рассуждает Руслан Рахметов. В настоящее время очень немногие зарубежные компании-производители и поставщики коммерческих ИБ-услуг позволяют российским клиентам пользоваться их защитными решениями: блокируется доступ к сайтам по географическому признаку, невозможно произвести оплату, комплаенс-процедуры зарубежных компаний стали гораздо строже в части соблюдения санкционных ограничений. Поэтому основные сложности, по его мнению, могут возникнуть не с коммерческими сервисами, а с предоставляемыми бесплатно: «Например, тот же GitHub контролируется Microsoft, а значит, его использование в целях кибербезопасности также окажется под запретом для госорганов, госкомпаний и субъектов КИИ».
Впрочем, по мнению опрошенных Forbes экспертов, большого воздействия на ситуацию на российском рынке ИБ документ не окажет. «С точки зрения трактовки указа до сих пор оставались вопросы, что относится к СЗИ, а что — нет, — размышляет Артем Сычев. — Например, такими сервисами являлись некоторые решения IBM, Amazon и Google. При этом нельзя сказать, что они пользовались популярностью у российских компаний».
«С одной стороны, звучит громко, но с другой — такие сервисы у нас уже не используются в результате санкций. Многие иностранные компании из-за рубежа уже закрыли доступ к своим различным сервисам, в том числе предоставляемым на базе СЗИ», — констатирует Александр Хонин. Значительного влияния на российские компании ожидать не стоит, заключает он.
Показательны в этом смысле данные исследования аналитического центра StormWall, с результатами которого ознакомился Forbes. В StormWall изучили использование отечественных и зарубежных решений по защите от DDoS-атак среди российских компаний из списка топ-500 и обнаружили, что в 2024 году 93,5% организаций предпочитают профессиональные отечественные решения для отражения DDoS-атак (годом ранее этот показатель составлял 90%). Самые высокие показатели применения российских сервисов — в госсекторе (99,2% организаций), финансовой сфере (98,4%) и телекоме (97,6%). При этом больше всего в 2024 году иностранные сервисы востребованы в нефтяной отрасли (8,1% компаний), энергетике (7,4%) и ретейле (5,3% компаний).
«По нашим оценкам, российские компании в основном завершили переход на отечественные решения в области ИБ, — делится наблюдениями Максим Струпинский. — Однако примерно 15% компаний только начали этот процесс из-за ограниченного бюджета и неготовности IT-инфраструктуры». Доля рынка услуг в области кибербезопасности из «недружественных» стран «существенно снизилась и продолжает снижаться», продолжает он: зарубежные компании массово покинули российский рынок, отключили заказчиков от возможности получения обновлений, технической поддержки. «Компании, которые используют зарубежные решения, оказываются в сложной ситуации. Поддержка этих решений уже прекращена или прекращается, связь с зарубежными партнерами обрывается, а системы продолжают работать только до истечения срока лицензии. В результате компании оказываются в информационном вакууме», — резюмирует Струпинский.
Зарубежные услуги и сервисы за последние два года себя изжили, в том числе и благодаря тем санкциям, которые «недружественные» страны ввели, говорит генеральный директор SafeTech Lab Александр Санин. К формулировкам указа теоретически можно притянуть техподдержку какого-то иностранного софта, но его и так нельзя было купить легально в России уже давно, кроме как через параллельный импорт, считает он, добавляя, что с 1 января и параллельный импорт таких сервисов и услуг будет вне закона. «В целом тренд понятен и адекватен существующим вызовам и реалиям. Недружественные страны закручивают гайки, мы тоже отвечаем», — рассуждает Санин.