4 апреля 2023 г.
На встрече с журналистами в рамках форума «Цифровая устойчивость и информационная безопасность России» (в народе «Магнитка») Владимир Бенгин, директор департамента обеспечения кибербезопасности Минцифры России поделился видением ситуации, сложившейся на российском рынке ИБ.
Вопрос: Как в Минцифры оценивают вероятность достижения плановых показателей по переходу к концу 2024 г. на 100% использование российского ПО?
Владимир Бенгин: Я как человек, отвечающий за развитие рынка ИБ, обращаю внимание всех его игроков: 1 января 2025 г. — это конечный срок. Знаю, что многие компании начинают серьезно относиться к чему-то только когда это «что-то» уже не только неизбежно, но и просрочено. Поэтому повторю еще раз: переноса срока не будет. Во всех нормативных правовых актах указана конкретная дата. К 1 января 2025 г. все должны успеть перейти на российское ПО. И здесь с точки зрения средств защиты информации (СЗИ) основной документ — Федеральный закон № 250.
250 ФЗ обязателен для всех, а не только для Значимых объектов КИИ (ЗОКИИ), как, например, 166 ФЗ. Он не имеет исключений, и в нем нет процедуры, по которой можно было бы продолжить использовать продукцию из недружественных стран.
При этом мы считаем, что зрелость российского рынка ИБ достаточна, чтобы исполнить его требования. Даже при том, что ИБ-продукты имеют длительный цикл внедрения. Чтобы закончить его к 1 января 2025 г., крупные корпорации должны сделать закупки уже сейчас!
Это важно понимать, хотя многие этого не учитывают. Если 166 ФЗ говорит в первую очередь о запрете закупок, а затем использования, то 250 ФЗ сразу написан про запрет использования ПО из недружественных стран — неважно, купили вы его, получили бесплатно или у вас осталось старое.
Потому что независимо от того, где стоят эти продуты, в закрытом или незакрытом сегменте, отрезаны они от интернета или нет, всегда можно найти брешь. Об этом говорят отчеты по анализу защищенности АСУТП. То, что система «отрезана от зарубежных производителей», не является поводом продолжать на ней работать.
Важно, чтобы рынок понимал, что стоит за нашими требованиями. Отрасль постоянно развивается: заказчики хотят одно, эксперты могут другое; благодаря этой синергии заказчики становятся более защищенными, отрасль — более зрелой.
И в этой истории регулятор должен помогать участникам отрасли стратегически, направлять развитие. Так появляются законы, указы, постановления, «подталкивающие» рынок к правильному решению. При этом наша конечная цель — правильные рыночные отношения. Никто лучше большой госкорпорации не понимает, как защитить собственные активы, не может сформулировать требования к экспертам и рынку. И мы не хотим становиться между игроками рынка на каждом этапе согласования.
Вопрос: Достаточно ли ресурсов отрасли, чтобы в сжатые сроки заменить импортные решения на отечественные, часть из которых появится только в этом году?
В. Б.: Давайте вспомним, сколько времени потребовалось рынку, когда одно западное решение вдруг превратилось в «черный ящик», перестало отвечать на запросы, пропускать сетевые пакеты и т. д. Несколько часов — чтобы хоть как-то начать работать, и несколько дней, чтобы восстановить функции. Когда действительно надо, мы умеем. К сожалению, это такой менталитет, у нас с проектами похожая история: национальный удостоверяющий центр мы создавали 4 года. Но когда вдруг «случилось», мы его с нуля на новых технологиях развернули за 2 недели.
Что касается продуктов, то это вечный спор: российские вендоры утверждают, что готовы закрыть все потребности заказчиков, а крупные госкорпорации — что хороших отечественных решений нет. Поэтому мы организуем диалог между участниками рынка. Например, на встрече, посвященной NGFW (Next Generation Firewall, межсетевой экран нового поколения), были около 80 человек. И сигнал был услышан: практически все крупные отечественные вендоры начали разрабатывать продукты, которых не хватает на рынке. Но пока с рынка не ушли иностранные игроки, пока не появились определенные нормативные акты, этим никто не занимался. NGFW — лишь один из таких примеров.
Обычно во время встреч на нашей площадке сначала производители рассказывают, какие прекрасные продукты они создали. А заказчики смотрят и говорят: «Кажется, у нас какие-то другие продукты установлены». И показывают презентацию с замечаниями, слайдов на 100. И для нас важно, чтобы такой диалог был, и был прозрачным, чтобы проблемы не скрывали. Ведь решить их можно, только если обозначить.
Но создать хорошее решение мало. СЗИ — это сложные продукты, часто требующие большой экспертизы и при внедрении, и при эксплуатации. А у нас на рынке кадровый голод. Если решение надо внедрять 2 года, и требуются 100 специалистов, то, конечно, мы не успеем закончить все процессы к 1 января 2025 г. Поэтому важно научиться создавать не просто хорошие продукты, а хорошие коробочные продукты. Это задача не клиента и не интегратора. Это задача вендоров.
Кстати, у интеграторов главным вызовом
Но на госуровне задача другая: нам важно не идеально защитить один крупнейший банк, а чтобы у всей банковской сферы — 400+ основных банков — был достаточный уровень защиты. И желательно, чтобы рынок сам перестроился под запрос на практическую безопасность. А такой запрос сейчас есть у тысяч организаций. Особенно после того как мы добавили в 250 ФЗ стратегические предприятия, многие из которых не являются ни госкомпаниями, ни КИИ. Они впервые столкнулись с регуляторными требованиями. У них много вопросов к теме ИБ и нет экспертизы. И их тысячи. Многие видя, с какими новыми угрозами и атаками мы сталкиваемся каждый день, меняют отношение к построению систем ИБ. Заказчики теперь в первую очередь боятся не регулятора, а инцидента, который может произойти.
Поэтому задача интеграторов — защитить не только
Вопрос: Рынок ИБ в первую очередь софтверный, но есть и «железная» составляющая, на которой «крутятся» все решения. Хватит ли потенциала этого сегмента, чтобы к 1 января 2025 г. успеть заменить все существующие системы на отечественные или доверенные?
В. Б.: Доверенный, импортозамещенный и отечественный продукт — это разные термины. И иногда иностранное решение из дружественной страны может быть более доверенным с точки зрения недекларируемых возможностей (НДВ), чем отечественное. Доверие — это отдельная сложная история.
И с точки зрения СЗИ было принято решение, что при выборе ПАКов в первую очередь необходимо ориентироваться не на балльную шкалу, а на сертификацию ФСТЭК. Мы считаем, что продукту, прошедшему испытательную лабораторию, можно доверять. Это будет прописано в нормативных документах в рамках ИТ. Сейчас это активно обсуждается в рамках вопроса по ПАКам, где не только говорится об общих нормативных положениях, но и отдельно прописано все, что связано с СЗИ.
Вопрос: Не упадет ли качество отечественных продуктов после введения запрета на использование решений компаний из недружественных стран? Ведь уровень конкуренции сильно снизился.
В. Б.: Увы, конкуренция снижается. Это плохо. Но если нет обычной конкуренции, то мы можем заменить ее здравым смыслом. И мы видим, что сейчас так и происходит: большинство организаций, выбирая ИБ-решения, в первую очередь смотрят на решаемую задачу: борьба с атаками и инцидентами, снижение угроз, ландшафт угроз. Если же на рынке нет того, что нужно заказчикам, они начинают публично говорить об этом, в том числе, на площадке Минцифры. И это заставляет производителей совершенствовать существующие и создавать новые продукты.
Кроме того, мы настроены (об этом неоднократно говорилось в докладах руководства) на поддержку компаний, выходящих на экспорт. Это очень правильный путь. Экспорт — очень хорошее мерило конкурентоспособности решений. Если года через 3 года на зарубежных рынках (например, в Азии) будут присутствовать наши игроки, это будет показателем не только высокого качества отечественных решений, но и того, о чем я говорил выше. Российские вендоры научатся отчуждать продукты от экспертизы.
На российском рынке в разных сегментах уже есть хорошие решения, но их внедрение требует «близости» эксперта к заказчику, что существенно ограничивает развитие экспорта.
Вопрос: Будет ли ужесточаться ответственность заказчиков (в том числе и персональная) за возникновение инцидентов?
В. Б.: Вопрос персональной ответственности поднимается уже не первый раз. Но отношение к этим инициативам очень разные.
Я пока не могу ответить, насколько строгой должна быть ответственность. Но точно знаю, что в компаниях должен появиться сотрудник уровня заместителя руководителя компании, ответственный за ИБ, что позволит повысить значимость вопросов ИБ для бизнеса.
Наша цель очень простая. Всеми возможными путями побудить сами организации выполнять требования не для галочки. Бумажная безопасность появилась не когда были написаны плохие требования, а когда человек не хочет ничего делать. Если ему не интересно, он пытается трактовать рекомендации так, что по итогу это не будет иметь никакого смысла. Богатый русский язык позволяет трактовать документы так, чтобы не надо было ничего делать. И наша задача в том, чтобы побудить занимается правильной реальной и наиболее эффективной ИБ.
Вопрос: Какие изменения произошли в отрасли после 24 февраля 2022 г.?
В. Б.: Первые
Мир изменился. Синергия, о которой я говорил, — это приятное изменение. Но есть и неприятные. Разрушаются базовые институты, исчезает то, что казалось незыблемым.
Интернет всегда был вне политических конфликтов, работал всегда и во всех странах, если только сама страна его не запрещала. Снаружи на него никто не влиял.
Сертификаты безопасности выдавались всегда, санкций никто не вводил, удостоверяющих центров было много. А потом оказалось, что все они сильно зависят от одной страны.
Open Source — идея о том, что все вместе разрабатывают что-то, чтобы мир был лучше и светлее. Правда, к ней всегда было определенное недоверие, так как мало кто готов тратить ресурсы на поиск проблемных мест (хотя бы случайных ошибок). А сейчас убито доверие и ко всему остальному. Реализовались самые большие страхи. Случилось то, о чем года 3 назад можно было услышать только со сцены от регулятора. Тогда казалось, что это страшные сказки, этого никогда не будет. А сейчас надо уже новые сказки придумать — какой еще базовый принцип жизни в сети надо сломать, чтобы еще больше разрушить доверие. И это неопределенность, она всех пугает, с ней тяжело
Но при этом большинство участников рынка стали более открытыми. Скорее всего, потому, что основные проблемы стали общими, и решать их надо всем миром. Так, если раньше многие недооценивали силу рекомендаций регулятора (даже если это были «рекомендации обязательные к исполнению»), то сейчас видно, насколько повысилась отзывчивость участников на любую нашу инициативу.
Кроме того, в отрасли повысился уровень социальной ответственности. Если раньше все разговоры велись на уровне «давайте обсудим, законтрактуемся, это большие затраты, мы готовы помочь, но тогда вы купите еще и другие наши продукты», то за последний год эта история значительно изменилась. Большинство игроков, особенно крупных, готовы помогать срочной экспертизой, помощью в расследовании инцидентов, консалтинговыми работами, предоставлением лицензий. И без обещаний каких-либо преференций".
Источник: Светлана Белова, IT Channel News