16 сентября 2021 г.
Для ИТ-рынка 2020 год c точки зрения бизнеса был успешным. И одним из его драйверов стало направление информационной безопасности (ИБ). О том, как развивается этот сегмент, рассказывает Михаил Прибочий, управляющий директор «Лаборатории Касперского» в России и странах СНГ.
CRN/RE: Что было самым востребованным в мире ИБ в 2020 г.?
Михаил Прибочий: Пандемия изменила огромное количество бизнес-процессов в компаниях в первой половине 2020 года, многие организации попали в тяжёлое финансовое положение. Но несмотря на эти обстоятельства, как мы видим, большинство компаний подняли кибербезопасность выше в списке своих приоритетов. Это напрямую связано с «удалёнкой» и необходимостью обеспечивать защиту распределённым по разным точкам сотрудникам.
Если посмотреть на «Лабораторию Касперского», то у нас в России выросли все направления бизнеса (общий рост продаж +16% в рублёвом эквиваленте), кроме розницы: магазины были закрыты, «коробки» не продавались (эти продажи ушли в онлайн). Заметнее всего вырос крупный корпоративный сегмент — до 28%, а новые направления бизнеса выросли на четверть. Наверное, уже нет таких компаний, где не было бы хоть какого-то антивируса (лицензионного, бесплатного или хотя бы взломанного), поэтому рост сместился в сегмент более сложных решений и сервисов: защита от таргетированных атак, защита промышленных предприятий, обучение сотрудников и ИБ-специалистов, тестирование и проверки на уязвимость.
Приятной неожиданностью 2020 года стал рост продаж решений для малого и среднего бизнеса. Многие компании останавливали работу или вообще закрылись, а мы часть своих продуктов предоставляли безвозмездно, чтобы поддержать небольшие организации. В разгар пандемии примерно 7% компаний малого бизнеса получили наши продукты бесплатно и даже с учётом этого наши продажи в МСБ выросли на 3%. Более того, по нашим исследованиям, за год (с июня
Миссия «Лаборатории Касперского» — строить безопасный мир. Поэтому медицинским организациям, которые в тяжелейшем 2020 году боролись с эпидемией, наши продукты поставлялись бесплатно. Только в России и странах СНГ защиту «Лаборатории Касперского» получили 1200 медицинских организаций.
Наконец, чтобы развенчать все мифы о пандемии коронавируса и помочь другим компаниям безопасно перестроиться на удалённый формат работы, наши эксперты разработали бесплатный онлайн-курс «Безопасность во время пандемии: в жизни и бизнесе» в рамках направления Kaspersky Security Awareness. Он помогает повысить уровень цифровой грамотности и знаний о COVID-19.
CRN/RE: А что происходит в 2021 году?
М. П.: Потребность в безопасности только растёт, и наши результаты очень хорошие. Перейти на онлайн были вынуждены все виды бизнеса, даже крайне консервативные. Офисы, внутри которых «никакого BYOD, работаем только на защищённом оборудовании», вдруг оказались вынужденными поддерживать ещё и домашние рабочие места сотрудников, работающих с телефонов, планшетов и компьютеров с их онлайн-играми и интернет-сёрфингом. С ослаблением ограничений большинство организаций готовы к более сложному, гибридному формату работы сотрудников.
Пандемия сделала нас цифровыми, и ИБ стала базовой потребностью для всех. Компании увидели, сколько стоит минута простоя, какова цена потери данных или их компрометация. А ещё оказалось, что регулярные бэкапы не на все сто процентов спасают в случае атак шифровальщиков. Сейчас злоумышленники зачастую требуют выкуп не только за возвращение данных, но и за то, что не будут выкладывать их в открытый доступ. Получается, что затраты на устранение последствий атаки гораздо выше, чем на построение системы безопасности.
CRN/RE: Неужели защиту нужно ставить буквально везде?
М. П.: Да. Например, один из быстро растущих трендов, драйверов ИБ-рынка — защита АСУ ТП. Пока мир спасает только то, что злоумышленникам сложно монетизировать атаки на такие компании.
Сейчас все заводы в разной степени автоматизированы: задвижка открывается, помпа качает, горелка нагревает, и всем этим управляет диспетчер. Но когда это внедрялось, никто не думал про киберзащиту, подобные угрозы не брались в расчёт. Вдруг оказалось, что злоумышленники могут войти в систему и украсть данные или нарушить работу предприятия. Так, например, на одном немецком металлургическом заводе киберпреступники перехватили управление промышленной сетью, что повлекло цикл аварий в самих доменных печах. Последствие остановки домны — необходимость полного демонтажа и построение производства заново.
На днях, в сентябре, наше подразделение Kaspersky ICS CERT представило свой отчёт по кибератакам на производства. Так вот, за полгода доля компьютеров в АСУ, где было обнаружено что-либо вредоносное, составила аж 40%. Вдумайтесь: это почти каждый второй компьютер АСУ ТП! Наша страна по этому показателю находится на
Обычная, или «коммерческая», киберпреступность атаки на критические объекты (пока ещё) считает слишком рискованными. Так, остановка группировкой Darkside работы американского трубопровода Colonial Pipeline вызвала переполох на рынке. Такое внимание и противодействие силовых структур привели к тому, что группа потеряла контроль над собственной инфраструктурой и до недавнего времени не проявляла активности.
Сейчас киберпреступники только прощупывают промышленные предприятия, осторожно примеряется к новому для себя сегменту. Но что будет, когда они научатся безопасно для себя «работать» с объектами КИИ? Последствия могут быть катастрофическими.
CRN/RE: А изменилось ли, в связи со всем вышесказанным, отношение бизнеса к бюджету на ИБ?
М. П.: Реалии прошлого года потребовали от компаний увеличения инвестиций в информационную безопасность. По данным опроса, который мы проводим ежегодно, 58% компаний ожидают, что в следующие три года расходы на информационную безопасность у них вырастут и один из главных драйверов (его отметили 40% опрашиваемых) — необходимость повышать киберграмотность сотрудников.
Всё это прямая иллюстрация последствий пандемии. Те компании, особенно небольшие, которые смогли выжить и вовремя перестроить свою работу в условиях коронавируса, вынуждены больше тратить на ИТ и ИБ. Каждый пятый отметил, что решение вложить деньги в усиление информационной безопасности было принято после киберинцидента внутри организации, в том числе после случаев утечки данных. В большинстве российских компаний вопрос защиты данных является главной проблемой.
В общем, понимание ситуации, отношение собственников бизнеса к информационной безопасности меняется к лучшему.
CRN/RE: А российский рынок ИБ отличается от мирового?
М. П.: В разных странах активны или пассивны разные команды. Во-первых, злоумышленники не любят «работать» там, где живут, это небезопасно. А ещё не из каждой страны одинаково легко можно вывести средства. Поэтому вредоносное ПО, прежде чем проявить себя, изучает, куда оно попало и есть ли смысл заражать данный компьютер. Например, REvil, активно проявившийся в 2019 году в 20 с лишним странах, не станет запускаться в сетях, в которых используется одна из нескольких десятков раскладок, считающихся владельцами инструмента нежелательными. И кириллица — одна из них. Иные же вымогатели, наоборот, работают только на конкретно заданных раскладках, например, ПО, распространяемое эксплойт-китом Magnitude, работает только тогда, когда раскладка клавиатуры соответствует одной из стран Азиатско-Тихоокеанского региона.
Если говорить про Россию, то у нас чуть реже, чем в других странах, случаются атаки шифровальщиков, зато гораздо чаще встречаются атаки с использованием WhatsApp.
А вот кибершпионаж распространён по всему миру примерно одинаково. Мы находим и блокируем вредоносное ПО, которое никак не проявляет себя иногда годами, и просто собирает ту или иную информацию, зачастую финансовую. Что за преступник будет сидеть на денежных потоках и не попытается перехватить хоть толику малую?
Возможно, за этим стоят не группы злоумышленников, а спецслужбы, которым важнее не деньги, а информация, где и что происходит. Это очень опасная тенденция. В случае полномасштабной кибервойны первой мишенью для нападения окажется ключевая инфраструктура страны, поэтому государства сейчас должны не только отдавать себе отчёт, насколько это серьёзно, но и делать всё, чтобы защитить своих граждан.
Еще интересной общемировой тенденцией стала деглобализация. Нам кажется, что импортозамещение — это наша российская придумка, но нет — государства по всему миру осознали, что пользуются «чужими» железом и софтом. И что кто-то может, например, отказать в поставке или «выключить» уже официально купленный продукт. Или задействовать бэкдоры. Поэтому многие страны озабочены развитием собственного производства и жёстко регулируют применение ИТ в ключевых областях жизни. Иначе катастроф не избежать.
Важный вопрос — как стране/предприятию обезопасить себя от подобных рисков? Мы считаем, что только через эволюционный скачок — переориентацию с защиты от киберугроз на выстраивание кибериммунитета. Здесь «Лаборатория Касперского» продвигает подход, при котором атаки не могут повлиять на функции системы. Кибериммунная система основана на принципе: всё, что не разрешено, запрещено. Части системы могут выполнять только те функции, которые были определены на стадии разработки. Злоумышленник, даже взломав один из компонентов, не сумеет никак навредить или получить доступ к системе в целом.
CRN/RE: А не способствуют ли такие апокалиптические картины развитию хайпа вокруг ИБ?
М. П.: Нет. Все технологии ИБ, которые сейчас развиваются, даже если речь идёт о каких-то локальных вещах, действительно нужны. И к одним из прорывных я бы отнёс защиту от таргетированных атак. В 2020 году крупные корпоративные заказчики резко ощутили свою незащищённость. Люди разошлись по домам, и монолитная крепость, которой раньше был офис, распалась, рухнули стены.
Одна из группировок выложила имевшиеся у неё данные частных пользователей в открытый доступ. Мы посчитали: если бы с каждого человека они попросили 100 рублей, эта база стоила бы 2 миллиарда рублей. А злоумышленники выкинули это со словами: «забирайте бесплатно, мы займёмся более перспективным направлением». Они, конечно, говорили про корпоративный сегмент.
Важно понимать, что киберпреступность — это давно уже не про кинематографичных хакеров, которые защищают свои принципы и свободы. Внутри настоящего крупного и циничного киберкриминала есть своя специализация: одни группы пишут вредоносные программы и ищут уязвимости в системах, другие придумывают фишинговые схемы и отрабатывают приёмы социальной инженерии, третьи занимаются выводом и отмыванием полученных денег, а кто-то занимается организацией всего процесса. Есть и те, кто оказывают аутсорсинговые услуги другим злоумышленникам, помогая осуществлять их задумки. Причём у них есть круглосуточная техподдержка 24/7 с возможностью пожаловаться боссу, как в обычном бизнесе.
CRN/RE: А как вы относитесь к «безопасности как сервис»?
М. П.: Вспомните, раньше мы ремонтировали наши автомобили своими руками. У водителей был свечной ключ и ареометр, мы умели выровнять плотность аккумулятора, проверить зазоры и отрегулировать карбюратор. Сейчас ещё можно представить ремонт своими силами, но в большинстве своём мы предпочли отдать это профессионалам. Ситуация с безопасностью похожа: клиенты готовы получить её как качественный сервис и потому в «Лаборатории Касперского» это направление показывает очень хорошую динамику.
Отвечая на изменения рынка, мы пересмотрели концепцию безопасности для разных групп заказчиков. Мы предлагаем защиту любого масштаба: от лёгкого универсального решения для малого предприятия (без выделенного ИТ-специалиста) до мощных систем и сервисов для крупного заказчика, имеющего свой Security Operations Center и строящего тотальную защиту.
К каждому покупателю нужен свой подход. Нельзя сказать: «У нас есть красная таблетка и синяя, выбирайте, а лучше берите две». Прежде чем что-то предложить, необходимо провести аудит, понять, что у клиента уже есть, проверить «здоровье», сделать прогноз, где и что может заболеть (может быть, явно не болит, но печень барахлит и лечение требуется срочное), написать концепцию построения системы ИБ, и только затем: установка, внедрение, сопровождение. И мы ориентируем наш канал на выполнение подобных работ, тем более что работать в парадигме классического «боксмувинга» для ИТ-компаний уже почти невозможно: доходность на «коробках» небольшая, конкурировать и повышать доход можно качественным сервисом.
Технологии меняются очень быстро, и только топовые заказчики могут содержать службы ИБ, способные успевать за этими изменениями. Остальные клиенты, скорее всего, будут доверять свою безопасность внешним профессионалам. Уровень сервисов будет расти, и партнёры, которые смогут эти сервисы предложить большому количеству заказчиков, будут и экономить на масштабе, и оттачивать своё мастерство, что позволит им занять привилегированное положение в канале.
CRN/RE: И последний вопрос: что нас ждет? Аналитики говорят, что сложен не сам кризис, а последующие
М. П.: Думаю, в этот раз самым сложным был именно кризис. Мир не был готов к полному переходу в онлайн, для большинства организаций это стало шоком. Компании с разными политиками безопасности (в том числе и жёсткими «никакого Wi-Fi») в течение нескольких дней, в авральном режиме, переходили на удалёнку. Не хватало ноутбуков — давали права работать с домашних компьютеров, срочно закупали и перенастраивали все необходимое оборудование... Понимая, как сложно рынку, какой опасности подвергаются наши клиенты во всём мире, сотрудники «Лаборатории Касперского» весной-летом 2020 года работали практически без выходных. Звонок в 12 ночи с просьбой срочно решить возникшую проблему был относительно штатной ситуацией. Сейчас стало легче. Мир стал чуть защищённее, и я горд, что мы в очередной раз внесли свой весомый вклад в безопасность.
Источник: Светлана Белова, crn.ru