Сегодня (9 октября) состоялся «Positive Security Days» (https://psd.ptsecurity.com/), за что огромное спасибо Positive Technologies https://www.ptsecurity.com/ru-ru.
Началось мероприятие с обсуждения “зрелости” российского рынка информационной безопасности и если спикеры (Positive Technologies, Ростелеком-Солар, Инфосистемы-Джет, ДиалогНаука, Рубитех, Angara Security) сконцентрировались в оценках между 3-6 баллами (из 10), то мнение зала оказалось несколько оптимистичнее (на картинке).
Далее перешли к насущному вопросу, что с февраля 2022 кратно увеличился интерес мирового хакерского сообщества к российскому сегменту сети Интернет, в том числе благодаря негласному разрешению правительств некоторых стран работать хакерам по российским информационным системам. Как следствие, в марте 2022 года утвержден Указ Президента РФ № 166, запрещающий органам государственной власти с 01 января 2025 в критически важных информационных системах (объекты КИИ) использовать иностранное ПО и оборудование, майский Указ Президента РФ № 250 также расширил действие запрета на иностранные средства защиты информации, которые устанавливаются обеспечения требований защиты информации.
По оценке спикеров импортозамещение (или как его здесь окрестили “импортозамес”) средств защиты информации на текущий момент составляет порядка 80%, что нельзя сказать об используемом программном обеспечении и аппаратных средствах. Кстати, по вопросам импортозамещения мнение экспертов и зала снова разделилось 😂.
По оценке спикеров, российские информационные системы наиболее зависимы от магистрального сетевого оборудования, систем хранения данных и средств виртуализации.
Среди средств защиты информации проблемным особняком стоят средства межсетевого экранирования (отвечают за противодействие взлому, несанкционированному доступу, DDoS-атакам). Результаты исследования рынка межсетевых экранов рассказал представитель компании Positive Technologies Олег Хныков.
Помимо жестких требований к оборудованию, используемому в высоконагруженных информационных системах, свой весомый вклад в импортозависимость внесла ориентация банков на соответствие требованиям международного стандарта PCI DSS, определяющего правила обеспечения безопасности платежных данных. В развитие темы, одним из экспертов выражена мысль, что в текущих реалиях не так важно импортозаместить всё, куда важнее научиться безопасно жить на неимпортозамещенном.
В продолжение темы, обозначено, что после окончания перехода в 2024 на отечественные продукты, построенные на иностранных информационных технологиях (в том числе open source), будет важным начать переход на продукты построенные на отечественных технологиях (есть ли такие спикер умолчал).
Также проведена красная линия о неэквивалентности импортозамещения и перехода на продукты китайского производства с отечественными шильдиками. Как следствие, на рынке информационных технологий ожидается серьезный «импортозамес, во всех смыслах этого слова».
Отдельно затронуты проблемы нехватки и подбора квалифицированных кадров, для чего казалось бы неплохо создать систему сертификации ИБ-специалистов практиков, что позволило бы повысить общий уровень специалистов отрасли и исключит непрерывную миграцию неквалифицированных кадров.
Радикальным решением приема построенной системы информационной безопасности предложено считать не установку средств защиты и подписание актов, а публикации защищенной информационной системы в программе Bug Bounty, предусматривающей вознаграждение от владельца ресурса “белым хакерам” за найденные уязвимости, что заставит владельцев систем и фирмы-интеграторы серьезнее относиться к обеспечению. Ложкой дегтя является факт, что из числа игроков ИБ-рынка на систему Bug Bounty пока оказались готовы только “Positive Technologies”, плюс о намерениях публикации сообщила казанская “Innostage”.
Время простых программ прошло и для построения сложных информационных систем владельцы вынуждены обращаться к другим компаниям, часть услуг функций передавать на аутсорс, в связи с чем экспертам видится логичным построение системы требований к подрядчикам с периодической оценкой их защищенности, включающих не только “бумажные” требования, но и тестирование на проникновение (пентесты).
Подытоживая, хочется сказать, что мнения спикеров разнились и где-то противоречили друг другу, но все они сошлись в одном мнении: февраль прошлого года оказался серьезным драйвером развития сектора информационной безопасности и роста компетенции кибербезопасников, руководители компаний стали серьезней относиться к потенциальным угрозам своему бизнесу, что в ближайшие 2-3 года повлечет изменения не только в выпускаемых ИБ-решениях, но сфере ИБ.
Да прибудет с нами сила.