В 2022 году российский рынок кибербезопасности начал меняться как никогда динамично. Рекордно выросшее количество кибератак повлекло ужесточение регулирования и усиление контроля за работой российской IT-инфраструктуры. При этом многие западные продукты и игроки покинули страну. Но даже при таких, казалось бы, благоприятных условиях и снижении конкуренции расстановка сил на рынке информбезопасности меняется медленно, не слишком быстро меняются и его объемы. Однако цены на продукты и услуги начали устойчиво расти, и предпосылок для их снижения пока нет.
Фото: Евгений Павленко, Коммерсантъ
Фото: Евгений Павленко, Коммерсантъ
Отечество в киберопасности
К концу 2022 года число кибератак на российскую IT-инфраструктуру, резко взлетевшее после начала военных действий на Украине, не только не сократилось, но даже увеличилось. Поводом для массовых кибератак стало начало вооруженного конфликта на Украине: только с 1 по 5 марта число атак на российские IT-системы в три раза превысило их количество за февраль 2021 года. В «Лаборатории Касперского» в феврале отразили «в 4,5 раза больше DDoS-атак, чем за аналогичный период 2021 года, причем более 60% из них произошли 24–28 февраля». Жертвами чаще всего становились госструктуры: Росавиация, Федеральная антимонопольная служба, Минкульт, Минцифры, Роскомнадзор, правительство Москвы.
В третьем квартале число инцидентов выросло на 10% по сравнению со вторым и на 33% год к году, подсчитали в Positive Technologies. По данным «РТК Солар», в третьем квартале зафиксировано 214 тыс. кибератак (в первом — 184 тыс.). В «Лаборатории Касперского» ожидают, что в четвертом квартале доля пользователей в России, столкнувшихся с вредоносным ПО, может превысить 30% (21% в первом квартале).
Число «инцидентов, имевших последствия, в том числе финансовые, для российских организаций» к четвертому кварталу увеличилось на 54% по сравнению с первым, отмечают в «РТК Солар». Средний ущерб от инцидента вырос с 2,6 млн до 5 млн руб. Он складывается из регуляторных рисков и таких потерь, как, например, отток клиентов из-за недоверия к организации.
Крупнейшие последние атаки хакеров
Контекст
Одной из последних громких атак стал взлом в ноябре подведомственного Роскомнадзору Главного радиочастотного центра (ГРЧЦ), в результате которого в сети оказались скриншоты внутренней переписки организации и другая закрытая информация (см. «Ъ» от 18 ноября). Ответственность за атаку взяли на себя участники белорусской группировки «Киберпартизаны», в ГРЧЦ инцидент признали.
В конце ноября — начале декабря в сеть были также выложены базы пользователей сервиса «Газпром-медиа» Yappy, интернет-провайдера «Дом.ру», сотрудников «Вымпелкома», клиентов «Вкусвилл» и других компаний.
В начале декабря ВТБ сообщил о самой мощной за все время работы банка кибератаке из-за рубежа. Согласно отчету Positive Technologies, по итогам тестирования российских компаний в 2022 году 96% организаций оказались не защищены от проникновения извне.
Сами атаки изменились: если раньше их целью чаще всего было обогащение, то с началом военного конфликта нападения хакеров стали способом выражения политической позиции непрофессиональных игроков, которых в российской отрасли кибербезопасности окрестили «хактивистами». На сайтах жертв хакеры размещали баннеры с антироссийскими лозунгами и изображениями.
Смена мотивации нарушила стратегию защиты сервисов, например нефинансовых, которую еще недавно можно было описать фразой «да кому мы нужны, у нас красть нечего», говорит независимый эксперт по кибербезопасности Рустэм Хайретдинов. По его мнению, внимание властей при этом привлекли в первую очередь не политические лозунги, а утечки информации.
По данным «Лаборатории Касперского» от 8 декабря, объем персональных данных, которые попали в сеть вследствие самых крупных утечек в 2022 году, превысил 1,5 млрд записей. «Стало очевидно, что ИБ-отрасль в России должна меняться, причем уже в авральном режиме — и регулирования, замещения иностранных вендоров, да и самого бизнеса, переходя от "бумажного" к "реальному"»,— отмечает гендиректор Group-IB в России и СНГ Валерий Баулин.
У шести нянек хакеры без глаза
Реакция государства оказалась достаточно быстрой. Уже 1 мая президент подписал указ №250 «О дополнительных мерах по обеспечению кибербезопасности РФ», который распространяется на предприятия с госучастием (от ведомств до госфондов), стратегические и системообразующие предприятия и субъекты критической информационной инфраструктуры (КИИ, банки, операторы связи, ТЭК и др.). Указ запрещает использовать средства защиты из недружественных стран с 2025 года, а также обязывает назначить замруководителя по кибербезопасности и создавать спецотдел, отвечающий за это направление.
Документ дал начало другим изменениям. Только за октябрь—ноябрь появилось почти 60 нормативных актов и проектов в сфере кибербезопасности: законопроекты, внесенные в Госдуму, подписанные приказы и опубликованные методические документы, которые затронули КИИ, идентификацию пользователей, персональные данные и другие IT-аспекты, следует из ежемесячного дайджеста экспертов по кибербезопасности.
Как защитят персональные данные
Правила игры
В конце октября, например, Роскомнадзор подписал приказ «Об утверждении требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения закона "О персональных данных"». Он вводит три уровня вреда: высокий, средний и низкий. К высокому, например, отнесена биометрия, а также персональные данные, характеризующие политические взгляды граждан, состояние здоровья или интимную жизнь. Компании, обрабатывающие личные данные граждан, должны оценивать уровень вреда, который будет нанесен гражданину в случае утечки.
В Роскомнадзоре “Ъ” уточнили, что ответственность за неисполнение приказа не установлена, но в случае утечки наличие оценки вреда будет учитываться при проведении проверки и «избрании меры административного наказания судом».
Однако специалисты по защите персональных данных от приказа Роскомнадзора «пришли в некоторое удивление», говорит преподаватель Moscow Digital School Олег Блинов. Ведомство считает, что оператор должен оценить вред, а в следующем пункте сам же заранее оценил его, «такой формалистический подход сводит попытки защитить частную жизнь граждан к соблюдению формы, а не содержания», объясняет он. Пока все изменения со стороны регуляторов носят организационный характер, отмечает руководитель направления разрешения IT&IP-споров юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле.
Самой яркой оказалась идея Минцифры о введении оборотных штрафов за утечки данных пользователей (подробнее см. колонку). Также правительство планирует обязать СМИ проводить регулярную оценку безопасности своей IT-инфраструктуры (см. “Ъ” от 10 ноября). Министр Максут Шадаев в конце ноября говорил, что подготовлены поправки к закону о КИИ, которые ужесточают категорирование информсистем и использующих их компаний. Документ наделит правительство полномочиями определять по каждой отрасли типы информсистем, которые будут обязательно относиться к КИИ.
Но динамика кибератак и их последствий к концу года продемонстрировала, что пока регуляторные меры всерьез не повлияли на ситуацию. В третьем квартале 2022 года почти в каждой второй атаке организации сталкивались с утечкой конфиденциальной информации (53% инцидентов), тогда как во втором квартале этот показатель составлял 40%.
Еще в середине года стало понятно, что многочисленные новые требования и поручения по обеспечению ИБ могут дублироваться и даже противоречить друг другу, говорит источник “Ъ” в правительстве: «Единого органа управления, который бы, в частности, занимался исполнением указа президента и курировал обеспечение кибербезопасности, нет». Ответственными за это оказались сразу шесть ведомств: ФСБ, ФСТЭК, Минцифры, Роскомнадзор (в части персональных данных), ЦБ (в финансовом секторе) и даже Совет безопасности. Последний, в частности, распределяет поручения по органам власти по итогам совещаний с главой государства.
Рост числа поручений разным структурам порождает «бумажную кибербезопасность», говорят участники рынка. По мнению собеседников “Ъ”, ведомства, которым поручения «спускают», не всегда понимают, почему именно они должны заниматься их исполнением. Возникают и межведомственные разногласия. Так, ФСБ и ФСТЭК руководствуются консервативным подходом, то есть не приветствуют, например, тестирование государственных систем белыми хакерами, на чем настаивают в Минцифры, отмечает один из источников “Ъ”: «Силовики считают программы bug bounty (поиск уязвимостей в системах за вознаграждение) легализацией хакинга».
Нередко возникают вопросы на стыке компетенций и ответственности разных ведомств, подтверждает гендиректор «Кода безопасности» Андрей Голов, их было бы проще решать «при наличии отдельного куратора, некоего единого координационного центра». Разговоры об этом начались не вчера, уточняет Артем Сычев, но у каждого регулятора своя компетенция: «Имеет смысл говорить о структуре, способной оперативно координировать работу разных госорганов».
Инерционный рынок
Тем временем на фоне бурления хакеров и регуляторов начал меняться и сам рынок. С началом военных действий из России ушли IBM (занимала 3% рынка в 2021 году), Cisco (6%), Fortinet (6%) и другие вендоры, к которым привыкли заказчики (см. инфографику). По оценке Центра стратегических разработок (ЦСР), в 2021 году в РФ было реализовано зарубежных решений по кибербезопасности на 73 млрд руб. и к 2026 году объем может снизиться до 23 млрд руб. Продажи российских решений вырастут со 113 млрд до 446 млрд руб. соответственно.
Причем расширяются не только специализированные игроки, инвестировать в бизнес в области кибербезопасности начинают крупные непрофильные корпорации. Так, МТС в августе сообщила о создании в своей структуре «Серенити сайбер секьюрити», которая планирует выводить на рынок собственные продукты, в первую очередь уже использующиеся оператором. Интегратор Softline в октябре объявил о покупке индийской Value Point Systems. В конце ноября стало известно, что переговоры о покупке «Кода безопасности» ведет «Росатом».
Однако даже к концу года изменения оказались далеко не столь радикальными, как ожидали эксперты и участники рынка. По данным «РТК-Солар», в первом квартале доля отечественных средств защиты информации в российских компаниях составляла 29%, а к третьему кварталу выросла всего до 35%. В госсекторе показатели составили 38% и 43% соответственно.
Крупнейшими игроками рынка, если оценивать выручку и количество продуктов, остаются «Лаборатория Касперского», Positive Technologies, «Код безопасности» и еще несколько зрелых компаний (см. инфографику), никому из новых или просто небольших компаний не удалось занять существенную долю.
Всего, по оценке экспертов, крупные игроки сейчас занимают порядка 80% рынка кибербезопасности (см. “Ъ” от 14 октября). Небольшие компании остаются в своих нишах, а количество сделок с профильными стартапами снизилось до нуля, в то время как в 2021 году их объем составлял $400 млн.
Вместо бурного развития рынка ограничения и снижение конкуренции привели к бурному росту цен. Хотя около 70% российских решений «не дотягивает» по функционалу до зарубежных, в течение года они подорожали почти на порядок, подчеркивает собеседник “Ъ” в крупной IT-компании. Об этом же говорил замдиректора ФСТЭК Василий Лютиков на BIS Summit. По его словам, вендоры объясняют увеличение цен «неподъемными требованиями» по сертификации продуктов и ростом зарплат.
В 2022–2024 годах отечественные вендоры должны «закрыть дыры», образовавшиеся в связи с уходом зарубежных поставщиков, отмечает руководитель направления «Цифровое развитие» ЦСР Александр Малахов, а вывод новых продуктов на рынок — «дорогостоящий и длительный процесс».
Таким образом, российские покупатели решений в области информбезопасности оказались под двойным давлением: с одной стороны, они обязаны в кратчайшие сроки перейти на отечественные решения и не допустить новых инцидентов, с другой — заплатить «сразу и за себя, и за компанию-разработчика», которая, как говорят собеседники “Ъ”, «никогда не дает 100% гарантии, что отразит атаку».
В следующем году рынок увеличится на 20–30%, считает директор технологической практики «Технологии доверия» Юрий Швыдченко. На больший рост рассчитывать не стоит, полагает он, «учитывая ограниченность ресурсов как производителей, так и заказчиков».
«Динамика цен сохранится, в первую очередь будут дорожать программно-аппаратные решения, так как они зависимы от поставок западных комплектующих, стоимость которых продолжит расти»,— добавляет господи Швыдченко. Он полагает, что из-за высокого спроса продолжат дорожать и остальные продукты кибербезопасности.
В то же время руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев допускает, что в 2023 году конкурентная борьба усилится и часть вендоров может пойти на снижение стоимости лицензий.