«ЭЛВИС-ПЛЮС» Рынок средств информационной безопасности имеет серьезную специфику. Во-первых, сама проблема безопасности остается одним из главных приоритетов компаний, благодаря чему рынку удается не «проседать» даже в непростые времена. Во-вторых, на нем крайне важную роль начинает играть доверие. И наконец, это та сфера, где импортозамещение действительно происходит. О доверии и прочих тенденциях развития рынка ИБ мы поговорили с генеральным директором компании «ЭЛВИС-ПЛЮС» Юрием Ивашковым, первым заместителем генерального директора Виктором Басиным, а также с заместителями генерального директора Сергеем Акимовым и Сергеем Пановым.

Компания работает на рынке ИБ очень давно. Как за прошедшие годы изменился рынок?

Басин Виктор Борисович
Басин Виктор Борисович, первый заместитель Генерального директора АО "ЭЛВИС-ПЛЮС"

Виктор Басин: Действительно, нашей компании исполнилось 25 лет. Можно сказать, мы начали работать еще до появления рынка ИБ, наблюдали все стадии его формирования. Поначалу было очень мало информации, ни у интеграторов, ни у заказчиков не было квалифицированных специалистов, и вся работа сводилась к обычной продаже «коробок». Именно тогда и началась история «ЭЛВИС-ПЛЮС» в качестве высокотехнологичной компании, имеющей подготовленные кадры: появился ряд заказчиков, которые не могли самостоятельно внедрить решения, и мы вышли на рынок интеграторских услуг – довнедряли ИТ-системы за другими компаниями и настраивали их. Это был наш «пробный шар» по исполнению задач системной интеграции. Позитивные результаты действительно вызывали у заказчиков уважение.

Если посмотреть на рынок спустя четверть века, ситуация совершенно другая – он стал цивилизованным. У многих заказчиков не просто появились хорошие специалисты – сформированы целые департаменты и управления. Они предъявляют высочайшие требования к квалификации и опыту интегратора, а зачастую – и к отраслевой экспертизе. Ни один заказчик не приобретет решение только потому, что ему показали красивую презентацию. Как правило, речь заходит про пилотные проекты, приходится доказывать, что компании подходит именно это решение, зачастую – представлять несколько вариантов проекта. Не менее суровы требования к интеграторам и со стороны разработчиков систем.

Панов Сергей Борисович

Панов Сергей Борисович, заместитель Генерального директора по производственной деятельности АО "ЭЛВИС-ПЛЮС"

Сергей Панов: Выйдя на рынок с первым собственным продуктом – VPN «ЗАСТАВА», мы активно занимались пресейлом, убеждали заказчиков в пользе применения совершенно нового на рынке решения. Попутно, выясняя нужды заказчиков, накапливали свою экспертизу, которая в дальнейшем помогла компании стремительно вырасти как интегратору ИБ. Как стало понятно значительно позже, фактически мы одними из первых занимались формированием рынка. У компаний-заказчиков были средства, а еще – трудно формулируемые представления о своих потребностях в вопросах информационной безопасности. Мы пытались эти представления привести к чему-то конкретному и понятному – показать, например, что есть проблема с обеспечением конфиденциальности при передаче данных по каналам связи и что она важна. Первыми заказчиками были коммерческие банки – там только что появились филиалы и отделения, и проблема защиты передаваемых данных поднималась в полный рост.

Сейчас компании прекрасно знают, что им нужно, причем как на уровне специалистов, которые занимаются ИБ, так и на уровне топ-менеджеров уверенно связывают управление безопасностью с бизнес-процессами компании, включая управление финансовыми рисками. С одной стороны, работать стало легче, потому что напротив сидят люди, говорящие с нами на одном языке. С другой – сложнее, потому что уровень требований теперь несоизмеримо выше. Но мы к этому готовы и уверены в своих силах и возможностях.

Акимов Сергей Леонидович
Акимов Сергей Леонидович, заместитель Генерального директора АО "ЭЛВИС-ПЛЮС"

Сергей Акимов: На западном рынке, да и у нас в России в некоторых, наиболее продвинутых компаниях, безопасность уже давно продается финансовым и генеральным директорам. К сожалению, в большинстве компаний ответственность по-прежнему лежит на подразделениях безопасности, которые не всегда знают реалии бизнеса и ориентированы прежде всего на решение технологических проблем. Тем не менее, точкой принятия решений все больше становится бизнес, он начинает явно осознавать свои потребности, понимать, что защищенные бизнес-процессы открывают новые возможности, а их эффективность может быть достигнута за счет меньших средств и ресурсов. Хотя этот переход и находится пока что на начальной стадии, вопросы безопасности, принятие решений по ним действительно выходят на уровень совета директоров.

Ивашков Юрий Витальевич

Ивашков Юрий Витальевич, Генеральный директор
АО "ЭЛВИС-ПЛЮС"

Юрий Ивашков: Основным фактором, формирующим рынок ИБ, является государственное регулирование. Так, принятие закона о персональных данных как минимум на пять лет предопределило развитие рынка. Появление новых документов от наших законодателей будет формировать и дальнейшие его тенденции.

Сейчас к этому фактору добавились изменения во внешней политике, разговоры о гибридных войнах, появляется такой принципиально новый рынок, как защита АСУТП. Нам приходится балансировать между требованиями рынка, диктуемыми развитием бизнеса, и требованиями регуляторов, которые необходимо выполнять.

Как за последние несколько лет изменились взгляды заказчиков? Что для них стало актуальным?

Виктор Басин: Сейчас вопросы безопасности выходят на уровень бизнеса, становятся интересными руководству компаний, поэтому появляются такие потребности, как хорошая визуализация результатов мониторинга. Очень важны надстройки к аналитическим инструментам, позволяющие оценить риски в финансовом выражении, свести статистику в диаграммы – то, что можно показать руководителю.

Становятся популярными и высокоуровневые решения, позволяющие совершать проактивные действия, когда заказчик может смоделировать, как скажутся те или иные изменения на его инфраструктуре, как изменение настроек систем повлияет на безопасность.

Наши клиенты – ключевые игроки рынка и даже регуляторы. Они ценят экспертизу, их постоянно надо удивлять, быть на шаг впереди. Интегратор по безопасности сродни семейному доктору. Должны быть доверие на всех уровнях и уверенность в его квалификации.

Сергей Акимов: Заказчики прекрасно понимают, что «ЭЛВИС-ПЛЮС» не всегда может обладать нужными ресурсами, но они уверены в нас как в компании, способной организовать работу и координировать субподрядчиков. Такое доверие не покупается, а чтобы его заслужить, нужны годы, и его очень легко потерять из-за нескольких неверных действий.

Юрий Ивашков: Заказчик в конечном итоге ценит не только систему, соответствующую требованиям технического задания, но и решение своих проблем, зачастую таких, о которых он раньше даже не подозревал или которые возникли в ходе реализации проекта. Проектная деятельность часто сводится к проблемам взаимодействия – с заказчиком и даже внутри его подразделений. Менеджеры высокого уровня ценят именно умение решать подобные проблемы. Именно на этом базируется доверие, и нам становится проще доказывать свою ценность для конкретного проекта.

Для рынка ИБ характерно то, что киберпреступники всегда идут на шаг впереди. Как можно бороться с ними?

Юрий Ивашков: Киберпреступники впереди уже потому, что они ничем не регламентированы, у них развязаны руки, это влияет в том числе на скорость создания новых инструментов. А вот нам приходится действовать в рамках жестких регламентов. Любой продукт подлежит сертификации, на нее уходит не меньше времени, чем на саму разработку.

Сергей Панов: Отрасль безопасности достигла того уровня, что с обеих сторон – и атакующей, и защищающейся – сидят бизнесмены. У атакующей стороны есть много инструментов, на которых строится отдельный бизнес, и сформирован свой теневой рынок услуг, включая и разработку, и консалтинг, и аутсорсинг.

Нельзя позволять киберпреступности  находиться на шаг впереди. Инициатива исходит от них, и потому они имеют преимущество. Всему этому можно противостоять только сообща, силами уже сформировавшегося сильного профессионального сообщества, включающего регуляторов, системных интеграторов, разработчиков средств защиты и специалистов ИБ. Если целенаправленно идти по пути  интеграции усилий, обмениваться опытом, информацией и технологиями, то мы, безусловно, способны противостоять угрозам.

Сергей Акимов: Да, консолидация усилий государства и бизнеса может быть вполне эффективной. Деятельность государства в области законотворчества и обобщения лучших практик заметно активизировалась. Мы являемся непременным и – что важно – активным участником многих создаваемых в последнее время рабочих групп и технических комитетов. Как разработчик и одновременно интегратор мы способны подходить к вопросам комплексно, и нам есть чем поделиться с профессиональным сообществом.

Виктор Басин: Создаваемые средства защиты всегда вполне адекватны стоящим вызовам. Другое дело, что при технологических скачках они могут стремительно устаревать, делаясь почти бесполезными, как неприступные крепости перестали быть таковыми с появлением авиации. Правильная постановка задачи приводит к адекватной защите, главное – верно определить угрозы.

Цифровая трансформация, без которой не могут обойтись компании, если они хотят остаться на рынке, радикально повышает их риски. Под ударом оказывается буквально все: интеллектуальная собственность, персональные данные, клиентские базы и другие виды конфиденциальной информации, которые необходимо защищать. Как должна измениться стратегия их защиты?

Сергей Панов: Стратегия остается всегда одна: компания должна анализировать ценность своих активов, моделировать вероятные угрозы и применять адекватные средства защиты. Мир ИТ меняется непрерывно – появляются новые сервисы, связанные с ними современные технологии, которые могут таить в себе и неизвестные угрозы, а значит, требуются новые методы защиты. Например, при осуществляемом для повышения удобства пользователя переходе к массовому применению биометрических средств идентификации на мобильных устройствах требуется решить, что изменить в системе, чтобы поддержать необходимый уровень безопасности.

Однако главные изменения все же напрямую связаны с вопросами комплексности защиты. Усложняется реализация бизнес-систем, растет взаимопроникновение систем и ИТ-сервисов. Следовательно, нужен намного более пристальный контроль за происходящими в них процессами. Следовательно, нужен  намного более строгий контроль за происходящими в них процессами. Необходима информация обо всех стадиях обработки данных, нужны ее интеллектуальный анализ, выявление критичных точек, оперативная выработка и реализация методов компенсации угроз. В идеале всё должно происходить в автоматическом режиме, то есть система должна быть самообучаемой.

Можно выделить четыре вида активностей: предотвращение атак, их обнаружение, реагирование и прогнозирование. В реализации первых двух мы широко применяем свои продукты «ЗАСТАВА», а третий и четвертый – это наши услуги и экспертиза. Решение «Базовый доверенный модуль» (БДМ) для защиты рабочих мест, в том числе мобильных, позволяет компенсировать часть угроз – например, те, что связаны с системами дистанционного банковского обслуживания. VPN «ЗАСТАВА» дает возможность нейтрализовать угрозы в каналах связи. Наконец, стоит упомянуть систему обнаружения и предотвращения атак «ЗАСТАВА СОА».

Сергей Акимов: Безусловно, новые технологии рождают и новые риски. Но характеристики безопасности, которые необходимо обеспечить в современных условиях, остались практически теми же: конфиденциальность, целостность, доступность. Акценты сместились. Если раньше мы чаще говорили  про конфиденциальность, то теперь, например,  в мире Интернета вещей, технологий В2В больше внимания уделяем идентификации – датчиков, сенсоров, шлюзов. В Интернете вещей есть два отдельных мира: Промышленный интернет вещей, где технологии защиты используются активно и достаточно давно, и Потребительский интернет вещей, где за последствия отвечают сами пользователи. Наибольший риск возникает в местах их соприкосновения. Например, умные часы у администратора, настраивающего политики безопасности корпоративной  информационной системы, или у оператора АСУТП оборонного предприятия – не совсем безобидная вещь, она перестает быть частным делом конкретного человека. И последствия гораздо существеннее, вплоть до техногенных, экологических катастроф.

В связи с крайне быстрым изменением ландшафта угроз компаниям катастрофически не хватает собственных компетенций и квалифицированного персонала. Как, по-вашему, следует решать эту проблему?

Виктор Басин: Это палка о двух концах. Разумеется, дефицит специалистов позволяет нам зарабатывать. С другой стороны, очень сильная нехватка негативно сказывается на бизнесе и рынке в целом. Мы наблюдаем самые разные ситуации, порой бывает так, что департамент из нескольких человек пытается реализовывать десятки проектов в год и потом не может обеспечить эксплуатацию систем.

При разумном подходе заказчик должен обладать ключевыми компетенциями, а все остальное, включая аутсорсинг и аутстаффинг, могут предложить подрядные организации. Предложений на рынке много, и все проблемы вполне решаемы, просто кто-то соглашается на аутсорсинг, а кто-то – нет. Надо отметить, что все наши основные заказчики наращивают собственные возможности. Однако аутсорсинг все равно будет востребован: часть процессов компании вынуждены делегировать. Например, статья 19 закона «О персональных данных» предписывала всем операторам персональных данных, которых на тот момент было несколько миллионов, всерьез заняться безопасностью – создать у себя соответствующую службу, провести комплекс необходимых работ. Понятно, что далеко не все могут иметь в штате хотя бы одного хорошего специалиста ИБ. И на рынке появилось много компаний, специализирующихся на данной задаче.

Сергей Панов: Сама идея аутсорсинга может возникать не только из-за нехватки персонала. Чтобы использовать аутсорсинг, бизнес должен иметь модель, адаптируемую для его использования, тогда это будет экономически выгодно.

Однако уже упоминавшийся вопрос доверия здесь плавно перетекает в вопрос ответственности. Какую ответственность и в каком объеме несет аутсорсер перед бизнесом? Сейчас это слабо отрегулировано даже в самом ИТ-сообществе, не говоря уже про законодательный уровень.

Целенаправленные атаки признаны самой большой проблемой в области ИБ. Их тщательно готовят и разрабатывают так, чтобы они были максимально эффективными. Поэтому они зачастую неотразимы. Есть ли, на ваш взгляд, рецепт для борьбы с ними?

Сергей Панов: По ту сторону баррикад тоже находятся профессионалы, и векторы угроз сейчас заметно сместились: все больше предпринимается целенаправленных атак. Преступники отказались от рутинного взлома межсетевых экранов и действуют творчески, разрабатывая комплекс действий высокой эффективности. Их цель – оказаться на месте легитимного пользователя. Раньше главным образом говорили о несанкционированном доступе, теперь же, когда злоумышленник получит возможность работать, например, от лица операциониста банка, это совсем другая ситуация и реагировать надо по-иному. Следует понимать и отслеживать, насколько действия от имени пользователя соответствуют  бизнес-логике роли, которую он исполняет.

Чтобы увидеть картину целиком, требуется собрать и обработать массу информации из различных источников. То есть чем сложнее становятся атаки, тем все более комплексный и глубокий характер должны приобретать меры защиты от них. Здесь не обойтись без решения трех проблем: это подготовка специалистов и экспертов,  разработка и внедрение стандартов защиты, методических материалов и разработка современных технических платформ, позволяющих комплексно реализовать взаимоувязанные меры и решения по защите.

ИБ – чуть ли не единственное направление, где импортозамещение не только декларируется, но и активно происходит. Ощущаете ли вы эту тенденцию на себе и какие шаги предпринимаете для импортозамещения?

Юрий Ивашков: В ИТ-секторе такого всплеска, как в сельском хозяйстве, конечно, не произошло. Все-таки мы не помидоры выращиваем – продукция гораздо сложнее. Тем не менее, определенную динамику рынку придать удалось как для разработчиков отечественных продуктов, так и для интеграторов. Это зримо ощущается. Многие заказчики «взяли под козырек» и приступили к выполнению рекомендаций правительства, тем более что в связи с сокращением бюджетов и курсовыми колебаниями ряд продуктов оказался недоступен.

Сергей Акимов: Мы занимаемся разработкой средств защиты, в том числе криптографической. В силу жесткого регулирования в этой сфере практически ничего не изменилось. А вот что касается внедрения других систем – действительно, явно прослеживается тенденция перехода на отечественные решения. У нас неожиданно появились заказчики, задумавшиеся о переходе на отечественные разработки при наличии внедренных и хорошо работающих импортных. Для многих крупных компаний, даже не подпадающих под какие-либо ограничения, рекомендации со стороны правительства не являются пустым звуком, тем более в такой чувствительной области, как информационная безопасность. Кстати, позиция государства в этом вопросе – достаточно весомый аргумент в пользу повышения активности отечественных компаний в вопросах разработки не только средств защиты, но и отечественных операционных систем. И здесь отдельно стоит упомянуть о совместной разработке в рамках ассоциации «Тайзен.ру» отечественной доверенной операционной системы, которая будет положена в основу создания защищенной среды для мобильных устройств и Интернета вещей. Вместе с тем ничто импортное нам не чуждо, особенно это относится к лучшим практикам. Можно вспомнить протокол IPsec, позволяющий создавать сверхбезопасные соединения. Наши специалисты входят в состав международной рабочей группы, выступают в качестве экспертов, принимают участие в совещаниях, внося посильный вклад в его развитие.

Сергей Панов: Можно сказать, что именно сегмент ИБ в свое время явился пионером импортозамещения. Фактически у нас импортозамещение  началось уже давно, задолго до недавнего осложнения отношений с рядом стран Запада. Сейчас же мы как интегратор и разработчик средств защиты активно занимаемся развитием технологического партнерства с производителями средств АСУТП. Импортозамещение – серьезный стимул для формирования новых экосистем вокруг критически важных направлений развития ИТ.