Руслан Рахметов, Security Vision: Прорывные технологии рождаются при быстром принятии решений в сложных обстоятельствах
В сложившейся ситуации кратно возросли риски и угрозы безопасности информации. Ежедневно публикуются данные из отчетов ИБ-специалистов, рекомендации по защите ИТ-инфраструктуры и самые громкие случаи кибератак. О том, как помочь своему бизнесу выстоять, сколько времени нужно на создание качественного российского софта, какие перемены ждут рынок российских программных продуктов и о новых возможностях в кризис рассказал CNews генеральный директор Security Vision Руслан Рахметов.
«Качественное российское ИТ-решение невозможно создать «с нуля» за месяц»
CNews: Опишите, пожалуйста, текущую ситуацию с кибербезопасностью в сложившихся условиях. Что изменилось сильнее всего за последние недели?
Руслан Рахметов: Конфронтация в киберпространстве с условным коллективным Западом достигла вероятного пика: это касается и беспрецедентного санкционного давления, и массового спешного ухода западных компаний (вендоров, сервис-провайдеров, консультантов), и, конечно, уровня кибератак и киберугроз. DDoS-атаки на российские сайты достигают невиданных масштабов, происходят крупные утечки данных в результате взломов. Веб-атакам и дефейсам подвергаются многие критически важные ресурсы, в числе которых органы государственной власти, СМИ, финансовые институты, социально значимые веб-сервисы.
В сложившейся ситуации ряд факторов снижает общую защищенность информационных систем: односторонний отказ западных вендоров от поддержки продуктов и предоставления сервисов, аннулирование лицензий и договоров, ненулевая вероятность использования программных или аппаратных закладок в иностранных системах в качестве кибероружия. Сложившаяся ситуация и негативный информационный фон влияют и на специалистов по ИБ, особенно с учетом ставшего уже привычным кадрового дефицита в сфере кибербезопасности и кратно возросшего количества киберинцидентов и киберугроз.
В данной ситуации неоценимую помощь в защите информации окажут отечественные решения для автоматизации реагирования на киберинциденты, отражения DDoS-атак, предотвращения утечек данных, выявления аномалий, а также централизованного управления всеми процессами информационной безопасности.
CNews: Недавно было объявлено о предоставлении существенных преференций российским ИТ-компаниям. Поможет ли это оперативно реализовать процессы импортозамещения в сфере ИБ?
Руслан Рахметов: Действительно, принятый пакет мер поддержки ИТ-разработчиков очень существенный: нулевая ставка налога на прибыль, грантовая поддержка перспективных отечественных решений, льготное кредитование со ставкой не более 3%. При этом есть риск того, что в погоне за данными льготами на рынке появится большое количество компаний-пустышек, предлагающих либо совсем сырые собственные ИТ/ИБ-решения, либо продающих зарубежные коммерческие или Open Source-продукты под своим логотипом. Это не должно вводить потребителей в заблуждение и давать иллюзорную уверенность в возможности создания качественного российского решения «с нуля» за месяц.
Объективными критериями оценки продукта могут быть документально подтвержденные сведения о дате первого релиза, о количестве успешных внедрений, отзывы пользователей, а также наличие технической поддержки, подробной документации, наличие сертификатов ФСТЭК России, присутствие продукта в реестре отечественного ПО. Если российский продукт успешно конкурировал с западными решениями на протяжении последних 5-7 лет и побеждал в открытых конкурсах путем «боевого» сравнения с аналогичным зарубежным ПО, то перед вами, скорее всего, уже зрелое, обкатанное, полнофункциональное решение.
CNews: Вы упомянули Open Source в контексте информационной безопасности. Предстоит ли нам всем в скором времени переходить на Linux?
Руслан Рахметов: В условиях наложенных санкций становится невозможной закупка и обновление большой части зарубежного коммерческого ПО, включая операционные системы и СУБД. Выходом из ситуации может стать использование отечественных решений, а также Open Source-продуктов. Реализованные в России за последние годы проекты по переходу на отечественные ОС и Open Source решения демонстрируют свою работоспособность и функциональность, но при этом, разумеется, требуют квалифицированную поддержку и определенное время на такую миграцию. С точки зрения наших заказчиков, такой переход пройдет с минимальными сложностями, поскольку решения SecurityVision кросс-платформенные и их можно установить как в Windows-среде, так и полностью на базе Open Source: мы поддерживаем работу на Astra Linux Common Edition (релиз «Орел»), Astra Linux Special Edition (релиз «Смоленск»), ALT Linux 10.0 и выше, CentOS 7 и выше, Ubuntu 16.04 и выше, и СУБД, например, PostgreSQL версии 10 и выше.
CNews: Как могут повлиять санкции на разработку ПО в России в целом и в Security Vision в частности?
Руслан Рахметов: Разработку продуктов можно условно разделить на две составляющих: техническую и организационную. С технической точки зрения все современные фреймворки и среды разработки являются либо зарубежными коммерческими продуктами, либо Open Source-решениями. Создание платформы разработки ПО, сопоставимой по сложности, например, с Microsoft Visual Studio — весьма нетривиальная задача, это же, впрочем, касается и замещения зарубежных САПР, систем моделирования и анализа. Однако, данные инструменты хоть и существенно упрощают процессы разработки, но всё же не являются незаменимыми элементами: можно подобрать аналоги или использовать более простые, но доступные в сложившейся ситуации решения.
С организационной точки зрения вопросы «утечки мозгов» в РФ обсуждаются достаточно давно, и, предлагая отечественным разработчикам сверхамбициозные проекты, действительно востребованные и меняющие окружающую действительность в лучшую сторону, страна и мы, в частности, удержим опытных экспертов и привлечем молодых специалистов. В нашей компании организовано плотное взаимодействие с ведущими российскими вузами для привлечения студентов и выпускников, и пришедшие к нам на стажировку получают бесценный опыт и хороший шанс построить карьеру в области кибербезопасности и разработки ПО. Добавлю, что в текущей ситуации ухода с российского рынка ряда зарубежных игроков в области консалтинга, разработки и внедрения, мы ожидаем быстрого закрытия текущих вакансий зрелыми специалистами с релевантным опытом работы в международных компаниях.
CNews: Как вы оцениваете роль инсорсинга в процессе импортозамещения? В каких направлениях компании стремятся разработать ИТ-продукты собственными силами, а где — воспользоваться готовыми продуктами?
Руслан Рахметов: В России есть ряд компаний, изначально выполнявших проекты для какого-то одного крупного заказчика (как пример — «Газинформсервис»), которые затем вышли на широкий рынок с развитыми компетенциями и зрелыми продуктами и услугами. Практика показывает, что внутренняя разработка вполне может перерасти в полноценный независимый конкурентноспособный продукт, который можно применять в различных отраслях, и в сложившейся ситуации выход таких ИТ/ИБ-решений на рынок можно только приветствовать.
При этом выходящим на рынок продуктам требуется достойная маркетинговая поддержка — зачастую о новом интересном отечественном ПО удается узнать только на профильных конференциях или в личных беседах. Разработка же продуктов исключительно «под себя» оправдана в случае реализации узкоспециализированных функций или строгих внутрикорпоративных требований/ограничений, при этом компания лишается возможности монетизировать такую разработку и получить дополнительный источник дохода.
«На российском рынке нет комплексной информационной экосистемы»
CNews: В каких сегментах наиболее высока зависимость от импортных технологий? В каких областях заместить зарубежные решения сложнее всего?
Руслан Рахметов: Одной из основных актуальный проблем на российском рынке, как мне кажется, является отсутствие комплексной информационной экосистемы, обеспечивающей корректное взаимодействие и интеграцию средств защиты с операционными системами, драйверами, системными утилитами, прикладным и аппаратным ПО. Есть ряд отечественных операционных систем, некоторые из которых развиваются уже не первое десятилетие, но до сих пор не достигнута массовость их применения, сопоставимая, например, с ОС от Microsoft, причем как в корпоративном, так и в потребительском сегменте. Отсюда — недостаток разнообразного прикладного ПО, слабая поддержка современного «железа», неразвитое сообщество пользователей и экспертов. При этом точечные решения (офисные приложения, облачные сервисы, средства защиты информации, специализированные отраслевые платформы) развиваются стремительно и успешно, являясь реальной альтернативой импортным продуктам. На примере своей отрасли и ниши автоматизации ИБ мы создали платформу способную воплотить экосистему автоматизации ИБ и комьюнити вокруг вопросов автоматизации.
CNews: Каков ваш прогноз относительно увеличения доли российского софта из-за санкций? В среднесрочной перспективе качественных российских продуктов станет больше?
Руслан Рахметов: Можно без преувеличения сказать, что закончилось время «запрягать», пришло время «быстро ехать». Те организационные вопросы, решение которых в досанкционное время занимало месяцы, теперь закрываются буквально за считанные часы — и это касается в том числе стратегических решений, принимаемых на высоком управленческом уровне. Устранение бюрократических препонов, диалог власти и представителей бизнес-сообщества, разнообразные правительственные льготы и меры поддержки безусловно сыграют свою роль в развитии высокотехнологичного сектора российской экономики, включая разработку софта. В режиме быстрого принятия решений в сложных обстоятельствах зачастую рождаются блестящие идеи и прорывные технологии. Так что мой прогноз однозначен: качественных российских программных продуктов станет больше, они не будут уступать ушедшим с рынка зарубежным решениям.
CNews: Что будет с доступностью зарубежных, особенно западных, публичных облаков?
Руслан Рахметов: Тренд на «приземление» зарубежных сервисов в России шел уже не первый год, это касалось как обработки персональных данных россиян (242-ФЗ от 21 июля 2014 г.), так и обязанности владельцев иностранных ресурсов открывать официальные представительства в России (236-ФЗ от 1 июля 2021 г.). Отключение части зарубежных облачных сервисов уже произошло, и, вероятно, все крупные западные публичные облака станут недоступны для россиян в ближайшее время. При этом переход на отечественные облачные системы может быть ограничен имеющимися аппаратными мощностями — в условиях санкционного давления российские сервис-провайдеры, вероятно, не смогут оперативно масштабировать свои ресурсы для удовлетворения резко возросших потребностей новых клиентов. Вариантом решения может быть гибридная схема, при которой часть инфраструктурных сервисов компании остается «на земле», а часть перемещается в российское публичное облако.
«Критически важна роботизации процессов управления информационной безопасностью»
CNews: Как компаниям защитить свою инфраструктуру в связи с высоким риском кибератак?
Руслан Рахметов: В условиях многократно возросшего количества и качества кибератак критически важным становится вопрос автоматизации реагирования на киберинциденты и роботизации процессов управления ИБ, что позволяет высвободить часть людских ресурсов на решение нетривиальных задач и анализ новых киберугроз.
Для автоматизации процессов реагирования на киберинциденты можно применять системы IRP/SOAR. Системы IRP (Incident Response Platform, платформы реагирования на киберинциденты) используются для автоматизации действий по анализу и обработке киберинцидентов, сбору дополнительной обогащающей информации по инцидентам, а также для интеграции с разнообразными системами для выполнения автоматических/автоматизированных действий по реагированию. Платформы IRP эволюционировали в более совершенные системы SOAR (Security Orchestration, Automation and Response, платформы оркестрации, автоматизации и реагирования на киберинциденты), которые предназначены для комплексной автоматизации процессов реагирования на киберинциденты.
В функционал SOAR-систем входит, как правило, обработка событий ИБ, получаемых непосредственно от средств защиты или из SIEM-решений, автоматизация действий по обработке данных событий в соответствии с рабочими процессами реагирования (playbooks/runbooks), а также непосредственное выполнение действий по реагированию с помощью оркестрации (централизованного управления) ИТ/ИБ-системами. Дополнительный функционал SOAR-решений может включать в себя инструменты совместной работы аналитиков над инцидентами (case management), ведение общей базы знаний и закрытых инцидентов, интеграцию с инструментами обработки данных киберразведки (фидами Threat Intelligence), возможности для визуализации данных, построения timeline инцидентов, расширенной аналитики, в том числе с помощью механизмов обработки больших данных, машинного обучения и искусственного интеллекта.
Для комплексной автоматизации процессов управления ИБ можно использовать системы SGRC (Security Governance, Risk Management and Compliance, системы управления кибербезопасностью, рисками и соответствием законодательству), которые решают задачи автоматизации менеджмента процессов ИБ (управление ИТ-активами, уязвимостями, документами, задачами), управления киберрисками, обеспечения соответствия законодательным, отраслевым и внутренним нормативным актам. Кроме того, SGRC-системы помогают автоматизировать процессы проведения аудитов (внутренних и внешних), предоставления отчетности и визуализации состояния/метрик ИБ, а также обеспечивают интеграцию с информационными системами для мониторинга состояния кибербезопасности и, в некоторых случаях, для управления настройками средств защиты (технология auto-SGRC).
Являясь социально-ответственной компанией, мы стремимся внести посильный вклад в обеспечение информационной безопасности организаций, играющих первостепенную роль в существовании и развитии Российской Федерации, и предоставляем им лицензии на продукты Security Vision на безвозмездной основе.
CNews: Как новая реальность отразится на стратегии Security Vision и планах на 2022 год? Каких это потребует технологических доработок?
Руслан Рахметов: Мы всегда стремимся сделать продукт мирового уровня и конкурировать с лучшими зарубежными решениями.
В планы на 2022 г. и далее входит рост как покрытия рынка, так и проработки специализированных решений. Естественным образом акцент смещается на внутренний рынок, на второй роли страны СНГ и остальной мир уходит на третий план. Бизнес-процессы не сильно меняются, и речи о полном перестроении бизнеса не идет.
Есть перестроение процессов в сторону тиражирования зарекомендовавших решений в области IRP/SOAR/SGRC для более массового покрытия рынка и замены ушедших импортных решений. Мы уже начали публиковать информацию о них.
При этом, безусловно, платформенные внедрения, гибко и глубоко адаптированные под заказчика, остаются и являются одним из важных направлений компании.