Борис Симис, заместитель генерального директора по развитию бизнеса, о цифрах, трендах и новых идеях Positive Technologies
По итогам 2020 года отечественный рынок информационной безопасности вырос на 25%. Если коротко, то такой рост обусловлен тремя причинами.
Во-первых, тематика информационной безопасности становится все более актуальной в том числе и в силу объективных причин: число угроз и активность киберпреступников в целом растут год от года. Проблематика кибербезопасности все больше понятна и близка руководству различных компаний и, соответственно, во главу угла все чаще ставится принцип невозможности реализации тех или иных бизнес-рисков. Очевидно, что построение практической безопасности такого рода идет рука об руку с увеличением соответствующих бюджетов.
Во-вторых, кибербезопасность КИИ, как концепция, начавшаяся несколько лет назад с обследований, категоризации и проектирования, наконец-то дошла до периода реальных внедрений. И это, в свою очередь, обеспечивает рост оборотов производителей средств защиты и их интеграции.
В-третьих, нельзя не отметить, что в этом году бизнес, понимая, что будущий год в новых условиях изменится и с точки зрения привычного бюджетирования на IT и ИБ, стремился максимально реализовать планы, намеченные на 2020 год, и использовать имеющиеся для этого ресурсы.
COVID по всем фронтам
Нельзя сказать, что пандемия COVID-19 никак не повлияла на рынок кибербезопасности. Однако, в реальности на эту тему было больше разговоров, чем практического влияния. К концу первого квартала 2020 года начала складываться ситуация, вызывавшая ряд опасений: резко снизилось общее число пилотных проектов. И совершенно понятно, почему это произошло — в обновленных условиях (локдаун, спешный переход на удаленный формат работы) эти проекты стало объективно сложнее (а иногда и вовсе невозможно) проводить на площадках компаний.
Одновременно с этим было понятно, что те же самые обновившиеся условия работы заставили бизнес не замораживать проекты по развитию собственной кибербезопасности. В совокупности оба момента рисовали весьма опасную ситуацию, в которой компании-заказчики могли отказаться от пилотирования технологий (как критерия выбора) и начать ориентироваться только на формальные ценовые признаки. Но эти опасения так и остались опасениями: здоровая конкуренция на отечественном рынке ИБ осталась прежней, а общая ориентированность бизнеса именно на практическую безопасность не позволила компаниям пойти по упрощенному пути выбора средств защиты.
Любопытно, что на протяжении 2020 года мы видели два мощных всплеска финансово-проектной активности. Первый, как это ни удивительно, случился в тот момент, когда страна ушла на карантин: службы информационной безопасности на стороне бизнеса к тому моменту уже имели четко сформированные задачи на год, подтвержденные бюджетные планы, но внешние условия схлопнули видимость горизонта планирования практически до нуля. Поэтому часть игроков рынка пошла по пути форсирования проведения конкурсов, старта (или завершения) проектов и т.д. В итоге апрель продемонстрировал первый всплеск финансовой и связанной с нею проектной активности на рынке. Вторая волна трат на ИБ произошла в четвертом квартале и была связана все с той же необходимостью реализовать утвержденные планы. В целом именно это позволило рынку информационной безопасности в России вырасти, невзирая на все перипетии 2020-го года.
Курс на реальный инфобез
Мы уже отмечали, что парадигма ИБ меняется в принципе: некоторое время назад сообщество отказалось от идеи «построения киберзаборов» и пришло к осознанию того, что цель любой системы безопасности состоит в максимально быстром обнаружении атакующего внутри информационных систем (так как в принципе нет системы защиты, которую невозможно взломать). На практике в течение последнего года эта идея несколько эволюционировала: мы осознали, что вполне реально выстроить такую систему защиты, которая будет гарантированно не допускать реализации потенциальным злоумышленником конкретных бизнес-рисков. Этот подход подразумевает, что любая компания так или иначе может быть взломана в ходе атаки, и задача информационной безопасности — не дать возможности злоумышленнику нанести сколько-нибудь существенный урон. Это тренд, который окончательно оформился буквально в течение прошедшего года, и с большой долей вероятности он будет главенствовать в ближайшие годы. В связи с этим на первый план выйдут задачи создания SOC нового типа — в качестве SLA, оперирующих не доступностью в режиме 24/7 или скоростью реакции на инцидент, а намного более конкретным показателем, основанным на гарантированном недопущении реализации злоумышленником неприемлемых для организации рисков. То есть эффективность такого SOC будет оцениваться в буквальном смысле на уровне «да/нет» — реализован риск или не реализован. В этой концепции особое значение приобретают качественные практические киберучения, как единственное мерило эффективности выстроенной системы защиты. В информационной безопасности легко скатиться в неконкретность оценок, и только правильно организованные киберучения дают возможность не скатиться к потемкинским деревням и максимально конкретизировать результат. Такой подход, в конечном счете, расширяет рынок, качественно его меняя и оставляя право на жизнь только тем решениям и технологиям, которые реально влияют на результат. То есть мы имеем дело со своего рода интерпретацией теории Дарвина на уровне технологий: выживут только те, кто способен вовремя выявить активность злоумышленника, заблокировать его, исключить возможности для развития атаки и в принципе «вычистить» его из инфраструктуры. И мы, как вендор, также работаем над созданием интеллектуального автоматизированного инструмента, который позволит решать эту задачу быстро и эффективно.