Как отечественные разработчики отвечают на вызовы кибербезопасности

Фото: Максим Стулов / Ведомости / ТАСС

Число и разнообразие киберугроз продолжает расти. За последние полтора года наряду с активностью групп, которые атакуют с целью шпионажа и финансовой выгоды, например шифровальщиков, набирает обороты угроза хактивизма, отмечают аналитики «Лаборатории Касперского»: «Атакующие обращают внимание на организации со слабой защитой, без привязки к конкретной индустрии, используя любые доступные инструменты в открытой сети».

В целом центр противодействия кибератакам Solar JSOC за первые шесть месяцев 2024 года выявил 676 тыс. событий информационной безопасности (ИБ) разной степени критичности, что на 10% превышает показатели аналогичного периода прошлого года. При этом доля высоко критичных инцидентов существенно превышает показатели даже периода массовых атак на российские компании в начале 2022 года, отмечают в ГК «Солар»: в первом полугодии 2024 года она достигла 7 против 2% за аналогичный период 2023 года.

«Такая динамика может говорить о постоянном усложнении техник и тактик злоумышленников и более точечных кибератаках, которые учитывают особенности инфраструктуры конкретной организации», — отмечают аналитики ГК «Солар». По данным центра по мониторингу и реагированию на инциденты информационной безопасности Solar JSOC, большинство (46%) инцидентов высокой степени критичности пришлось на несанкционированный доступ к информационным системам и сервисам. На втором месте (42%) находится заражение вредоносным ПО. Этот инструмент злоумышленники используют и для массовых атак, и для целевых ударов по ключевым объектам российской инфраструктуры, отмечают аналитики. Еще более трети атак оцениваются как инциденты средней критичности.

Сегодня огромное количество персональных данных, критической информационной инфраструктуры, государственных информационных систем нуждается в защите, отмечает руководитель комитета по информационной безопасности ассоциации «Руссофт», заместитель генерального директора Zecurion Александр Ковалев. По его словам, само развитие цифрового функционала создает киберриски: «Сегодня автомобили как смартфоны обновляются дистанционно. И встает вопрос, не сможет ли кто-то удаленно заблокировать автомобиль, отключить тормоза или взломать систему». По мнению эксперта, в мире все большую популярность приобретает концепция Cybersecurity First, IT Second, когда приоритет отдается защите, а уже потом развитию технологий. Идет к этому и Россия, уверен Александр Ковалев, ужесточаются требования регулятора к участникам рынка.

Так, в 2025 году вступает в силу указ президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», который ужесточает требования к защите персональных данных. Параллельно готовятся поправки в КоАП и Уголовный кодекс, предусматривающие крупные штрафы за нарушения в сфере ИБ. За утечку данных более 100 тыс. человек, в частности, будет введен штраф в размере до 15 млн руб. вместо прежних 100 тыс. руб. За повторные нарушения, согласно законопроекту, предусмотрены оборотные штрафы с верхним порогом в 500 млн руб. Кроме того, в новой редакции указ запрещает с 2025 года госорганам, стратегическим и системообразующим организациям страны использовать не только ИБ-сервисы, но и услуги поставщиков из недружественных стран.

По оценкам BI.ZONE, эти меры коснуться по меньшей мере 500 тыс. организаций, в том числе субъектов критической информационной инфраструктуры (КИИ) в различных отраслях экономики.

Рынок ИБ в условиях новых вызовов

Требования регуляторов, санкции и рост зрелости российских вендоров стимулируют процесс импортозамещения в области ИБ, отмечают аналитики «Центра стратегических разработок» (ЦСР).

По итогам 2023 года рынок кибербезопасности (продукты и услуги) в России увеличился на 28,5%, до 248,5 млрд руб., по данным «Прогноза развития рынка кибербезопасности в Российской Федерации на 2024–2028 годы» ЦСР. Усиливается доминирующее положение российских компаний, отмечают аналитики ЦСР: 89% рынка продаж средств защиты информации (СЗИ) приходится на отечественных поставщиков, по сравнению с 70% в 2022 году. Иностранные решения по итогам 2023 года занимают до 11% в совокупных затратах российских компаний против 30% годом ранее.

На подавляющее большинство зарубежных продуктов уже имеются российские аналоги, отмечают в ЦСР: так, более 84% зарубежных решений на объектах КИИ могут быть заменены отечественными.

По одним классам продуктов импортозамещение уже было на высоком уровне, как например в DLP-системах (Data Leak/Loss Prevention — системах защиты организации от утечек конфиденциальной информации); по другим наблюдаются недостаток отечественных аналогов, в частности, в сфере многофункциональных межсетевых экранов нового поколения (NGFW), говорит Александр Ковалев. Кроме того, по его словам, для поддержки новой, уже импортозамещенной инфраструктуры требуются дополнительные ресурсы: «Средствам ИБ необходимо взаимодействовать с большим количеством разных решений, которые сделаны под разные платформы, что создает дополнительные трудности».

Импортозамещение сделало российский рынок более восприимчивым к отечественным продуктам, говорит генеральный директор «Солидсофт» Денис Гамаюнов. Десять лет назад, по его словам, конкуренция на рынке WAF — систем программных мониторов и фильтров, предназначенных для обнаружения и блокирования сетевых атак на веб-приложение — затрудняла развитие российских решений. Кроме того, благодаря импортозамещению, отечественным разработчикам ИБ-решений теперь доступно российское системное программное обеспечение. Например, система управления базами данных PostgreSQL и операционная Astra Linux Special Edition так же быстро развиваются по функциональности и одновременно являются надежными поставщиками, которые не откажут в сервисной поддержке.

Поддержка государства, в свою очередь, по словам Дениса Гамаюнова, позволяет отечественным разработчикам инвестировать в развитие продуктов и расширение их функционала.

Развитие отечественных ИБ-решений при поддержке государства

Замещать импортные ИБ-технологии и создавать новые решения с учетом опыта эксплуатации зарубежных продуктов, а также вызовов времени отечественным разработчикам помогает национальный проект «Цифровая экономика». Напомним, что он был запущен в 2019 году и направлен в том числе на поддержку отечественных цифровых решений, обеспечение кибербезопасности граждан и бизнеса и создание условий для высокотехнологичного российского бизнеса.

По нацпроекту осуществляется, в частности, грантовая поддержка отечественных ИТ- и ИБ-решений. Операторами государственных мер поддержки выступают Российский фонд развития информационных технологий (РФРИТ), фонд «Сколково» и Фонд содействия инновациям (ФСИ). Программы поддержки рассчитаны на проекты на разных этапах развития.

По итогам 2023 года РФРИТ в целом было поддержано 190 ИТ-проектов на 29,2 млрд руб., фондом «Сколково» — 37 проектов на 5,2 млрд руб., ФСИ — 829 проектов на 10,2 млрд руб., следует из «Белой книги цифровой экономики 2023»

Так, «Солидсофт» в 2022 году получила грант в размере 50 млн руб. от ФСИ на реализацию проекта в области защиты веб-приложений от бот-атак с использованием машинного обучения, WAF-решений, аналогичных американским Imperva и Fortinet, а также транснациональной F5.

Компания c 2014 года разрабатывает решения по защите веб-приложений. Флагманский продукт «Солидсофт» — интеллектуальный сетевой экран для защиты веб-приложений SolidWall для обнаружения и блокировки кибератак. Основной особенностью решения является машинное обучение для анализа трафика: более 20 интерпретируемых моделей обучаются на легитимном трафике приложения, чтобы сформировать его нормальную модель поведения, что позволяет моделям автоматически выявлять аномалии и подозрительные активности.

SolidWall позволяет выявлять бот-атаки, онлайн-мошенничества и направленные атаки на бизнес-логику. Вредоносная бот-активность — довольно широкое понятие, говорит Денис Гамаюнов: «Сюда включаются и настоящие атаки, направленные на взлом серверной стороны приложения через уже известную или даже неизвестную уязвимость, которые реализуются злоумышленниками при помощи специально разработанного для этой задачи ПО. Сюда же включаются атаки перебора учетных записей с использованием крупных баз данных утекших учетных записей с различных сервисов. В этом случае расчет злоумышленников строится на том, что люди часто используют одни и те же пароли на разных сервисах в интернете. Наконец, под вредоносной бот-активностью мы можем понимать и скрапинг, или автоматизированный сбор открытой информации с веб-сайтов, например, актуальных цен на горячие товарные позиции в интернет-магазинах».

Все эти вредоносные бот-активности можно и нужно обнаруживать и фильтровать с помощью автоматических методов, которые позволяют отличить такую активность от нормальной активности легитимных пользователей, отмечает глава «Солидсофт». При этом оппонируют защитному решению высококлассные специалисты, которые пишут атакующее программное обеспечение, говорит Денис Гамаюнов. Поэтому подобным решениям постоянно требуется развитие.

Государственный грант, по его словам, в частности, позволил больше ресурсов направить на разработку новых методов обнаружения бот-активности: «Все они связаны с развитием ансамбля алгоритмов машинного обучения для обнаружения автоматизированной бот-активности, улучшением точности, покрытием новых для нас кейсов». Конкретные результаты вложенных за счет грантовой поддержки средств в виде новых функций SolidWall WAF компания планирует выпустить в релиз в начале 2025 года.

Грантовую поддержку по нацпроекту также получил независимый разработчик ИТ-решений в области резервного копирования и защиты данных «Киберпротект». В 2022 году грант от РФРИТ в размере 28,3 млн руб. помог в полтора раза увеличить скорость доработки решения и в начале 2023 года — вывести на рынок новую версию универсального решения для резервного копирования и восстановления данных с защитой от вирусов-шифровальщиков «Кибер Бэкап». Общая стоимость проекта составила 72 млн руб.

Как отмечают в компании, с уходом из России западных разработчиков ПО для резервного копирования данных, в частности Commvault, Veritas и Veeam, у отечественных заказчиков резко выросли риски утраты важной информации. Решение российского разработчика защищает физические и виртуальные среды, а также различные приложения, его можно интегрировать в ИТ-системы любого размера и использовать на предприятиях малого, среднего, крупного бизнеса и в госорганизациях.

По словам Дениса Гамаюнова, для дальнейшего развития и повышения конкурентоспособности российских разработчиков на международных рынках необходимо стимулировать укрупнение отечественных вендоров и развитие ими «пакетные предложения»: «В кибербезопасности есть большой спрос на широкие линейки продуктов или сервисов, которые закрывают все или большинство потребностей клиентов, и это осложняет конкуренцию российским вендорам, которые продают лишь отдельные компоненты».

В целом, по словам Александра Ковалева, ключевыми вызовами и в то же время возможностями для развития рынка кибербезопасности в ближайшее время будет рост данных и необходимость в усилении их защиты. Не исключены ускорение миграции в облачную инфраструктуру и развитие соответствующих решений ИБ, а также рост потребности рынка в квалифицированных кадрах.