Александр Хонин, Angara Security: Возвращение западных партнеров явно не прогнозируется, в ближайшие 10 лет нужно адаптироваться к отечественному ПО

Главным трендом кибербезопасности уходящего года, безусловно, стала тема импортозамещения. Западные вендоры покинули российский рынок, и предпосылок к их возвращению нет. О том, как финансовый сектор адаптировался к новой реальности, мы поговорили с одним из спикеров конференции АБИСС — руководителем отдела консалтинга и аудита Angara Security Александром Хониным.

О спикере:

Окончил Пензенский государственный университет по специальности «Комплексное обеспечение информационной безопасности автоматизированных систем».

Профессиональный путь начал на стороне заказчика. После чего перешел в интеграторский сегмент и около 5 лет проработал в крупном системном интеграторе, где непосредственно занимался консалтингом в области ИБ.

С 2017 года работает в компании Angara Security, в зоне ответственности которого находятся такие направления, как ПДн, ГИС, банковский сегмент, КИИ и др.

Cyber Media: Какие темы из программы конференции вам показались наиболее интересными?

Александр Хонин: Программа сформирована из актуальных проблем и вопросов, которые сейчас существуют в финсекторе. Все секции полезны с практической точки зрения. Очень радует, что такие мероприятия начинают появляться (вернее их становится все больше), потому что не хватает площадок для общения между консультантами, финансовыми организациями. Здесь можно посмотреть на опыт со стороны, поделиться своим опытом, послушать коллег, понять, в одну ли сторону мы бежим, пообщаться в кулуарах. Это информационное взаимодействие очень важно, и АБИСС в этом плане радует. Хочется надеяться, что конференция станет ежегодным мероприятием. 

Один из самых актуальных вопросов, который сейчас всех волнует — реализация оценки по ОУД4. Как это должно проводиться — до конца участникам рынка не ясно. И этот вопрос на конференции достаточно подробно рассматривается. Причем мы обсуждаем не просто то, что написано, а уже реализацию требований, практические шаги.

Cyber Media: Какие актуальные регуляторные проблемы стоят перед финансовой отраслью в настоящий момент? Какие риски находятся на первом плане?

Александр Хонин: Как ни странно, это вопросы импортозамещения. Это главный риск, с которым мы сейчас сталкиваемся, потому что большинство иностранных игроков либо уже нас покинуло, либо находится в процессе покидания. А в финансовых организациях многие системы безопасности были выстроены именно на зарубежных производителях. 

Поэтому, во-первых, встал вопрос миграции на отечественные решения. А во-вторых, помимо СЗИ, у нас есть и основная инфраструктура: операционные системы, виртуализация и так далее. Все это также необходимо импортозаместить, и это сделать оказалось еще сложнее, чем в случае СЗИ. 

В целом, интерес злоумышленников к банкам не пропадает, истории с кражей денег со счетов и из переводов получают свое развитие. Нормативная документация растет и развивается, поэтому и к банкам и финансовому сектору в целом, наверно, сейчас предъявляется самое большое количество требований. 

Cyber Media: Какие основные проблемы вы могли бы выделить в сфере регулирования?

Александр Хонин: Здесь все стандартно — в принципе не хватает общения с Центробанком, который выпускает очень много нормативных документов.

Простой пример: на первой секции обсуждались вопросы управления операционными рисками, в том числе управление киберрисками. По этой теме идет очень много разнообразных пояснений и разъяснений. К тому же, документы обычно написаны непростым языком, понять их достаточно сложно. И регуляторика в конечном счете выглядит так: документ выпускается, разъяснений не дается, а тем временем уже начинаются проверки и карательные мероприятия. 

Это, с моей точки зрения, не совсем правильный подход, потому что в первую очередь нужно помогать банкам выстраивать безопасность и не использовать инструмент контроля в качестве одной лишь карательной меры.

Cyber Media: В своем выступлении вы отмечали, что сейчас можно много раз прочитать закон или какие-то требования и ничего из этого не вынести.

Александр Хонин: Да, это прежде всего мой личный опыт, потому что Angara Security как интегратор знакомится с большим количеством нормативных документов. Заказчики разные, кейсов очень много, поэтому есть возможность смотреть на ситуацию по-разному. И практика показывает, что, чтобы понять документ, его нужно перечитать очень много раз, переложить на практику, сделать, переделать — и тогда у вас будет какой-то результат. 

У крупных банков, как правило, есть внутренний ресурс для создания подразделения по информационной безопасности. Мелким и средним организациям по части вопросов лучше привлекать консультантов. Очень помогают такие мероприятия, как конференция АБИСС, где можно встретиться с коллегами, закрепить контакты и обменяться информацией. Это даже в какой-то степени может избавить от необходимости обращаться к консультантам. Общение с соседями может дать больше пользы, нежели если какой-то специалист в банке будет в одиночку пытаться разобраться в возникшем вопросе или проблеме.

Cyber Media: Другими словами, участникам финансового сообщества стоит больше взаимодействовать между собой.

Александр Хонин: Да, и не только банкам как заказчикам, но и аудиторам. Нужно вместе вырабатывать правильную стратегию — как идти к полезным результатам.

Cyber Media: С какими запросами вы сейчас сталкиваетесь?

Александр Хонин: Импортозамещение — это отдельная тема, которая лежит не столько в плоскости банков, сколько в плоскости отечественной IT-инфраструктуры. Кредитные организации все относятся к субъектам критической информационной инфраструктуры. В этой сфере очень много постановлений правительства относительно того, что с 2025 года мы будем уходить на отечественные СЗИ, инфраструктурные решения и так далее.

Что касается замены СЗИ, это относится больше к операционной деятельности — в срочном порядке заменить, например, те же сетевые средства защиты, которые превратились в одночасье «в кирпич». И требуется это сделать оперативно, чтобы система обеспечения информационной безопасности не ослабла и продолжила функционировать.

Также сейчас встают инфраструктурные вопросы, о которых я говорил: системы виртуализации, прикладное ПО, операционные системы. Это намного больнее, чем СЗИ, где по большей части решения есть. В части инфраструктуры сложнее, и на этих решениях работает бизнес — одномоментно инфраструктуру поменять нельзя. И полноценной замены западным решениям, к сожалению, практически нет. Приходится что-то придумывать.

Если говорить про нашу практику, у нас такой опыт есть. Мы предлагаем определенные решения, разворачиваем пилоты, но это процесс небыстрый. В ближайшие пять лет нас ждет привыкание «к текущим реалиям» и переход на отечественные продукты. 

Cyber Media: Как это будет соотноситься с процессами выстраивания экосистем, которыми сейчас занимаются и многие финансовые организации, и компании из других отраслей?

Александр Хонин: Преимущество экосистемы в том, что основной функционал концентрируется в одной точке и далее функции раздаются в качестве сервисов. Соответственно, это позволяет централизовать подходы по построению и обеспечению информационной безопасности.

В этой схеме плюс в том, что импортозамещать придется системы в рамках одной экосистемы, где есть законченная архитектура, понимание, что где находится. Также система информационной безопасности здесь выстраивается централизованно и, как правило, построена на должном уровне. Этот же момент может быть и минусом — если что-то упадет на одном участке, то пострадает весь бизнес, который на эту экосистему завязан.

Cyber Media: Рискованное мероприятие получается.

Александр Хонин: Весь процесс импортозамещения — это рискованное мероприятие. Но, как показывает практика последних событий в нашей стране, мы от этого не уйдем.

До февраля тема импортозамещения развивалась очень долго: были разнообразные проекты, постановления, обсуждения того, что должно замещаться. Не только в банковском секторе — весь бизнес рассказывал, что это невозможно, нерентабельно, бюджетов нет, все встанет. И

такие разговоры про возможное импортозамещение тянулись не один год.

После февраля, к сожалению, все побежали очень быстро, постановления стали выходить одно за другим, и уже не было вариаций на тему «перейдем — не перейдем». Четко написано, что с 2023 года мы переходим на это, с 2025 — на то. И это, я думаю, не последние установки в теме импортозамещения. Нужно понимать, что это реалии, в которых нам придется жить. Возвращение западных партнеров явно пока не стоит ожидать, как минимум в ближайшие лет 10, поэтому нужно как-то адаптироваться к отечественным производителям.

Cyber Media: Недавно было сообщение от одной не очень известной израильской компании, которая занимает пророссийские позиции и хочет войти в реестр Минцифры. Они себя позиционируют как израильский бренд с некими уникальными продуктами. Как вы полагаете, каковы шансы у западной компании войти в список отечественных продуктов?

Александр Хонин: Я бы по-другому смотрел на эту историю: западные вендоры ушли, и активизировались другие страны. Вы сказали про Израиль. Еще очень активизировался Китай, у нас есть определенное пилотное сотрудничество. Причем если до определенного момента китайские компании очень неохотно заходили в Россию, то сейчас, видимо, партия дала добро, и к нам хлынуло очень много решений.

Например, мы работаем с одним производителем по сетевой безопасности. У них достаточно сильные продукты в области межсетевого экранирования, есть свои VPN-ы, которые они тоже пытаются проталкивать. Хотя здесь все сложнее, потому что мы идем в направлении госшифрования. Будет труднее обосновать покупку VPN китайского производства, опять же с точки зрения регуляторики и нормативной документации.

Но в целом эти истории «имеют место быть». Эти вендоры могут занять место западных, но нужно иметь в виду один нюанс: они тоже являются нероссийскими, и в любой момент может что-то измениться во внешней политике. Если смотреть на область КИИ и 250 указ президента, который с 2025 года запрещает использовать СЗИ из недружественных стран — есть постановление, которое этот перечень закрепляет, но, как мы понимаем, он может меняться. Если вдруг что-то поменяется и, например, Китай попадет в число недружественных стран, то мы снова можем прийти к ситуации, когда мы вложили деньги, а получили «кирпич». 

Поэтому у российских вендоров есть преимущество — с ними в этом плане меньше неприятностей может случиться. И на них можно ориентироваться.

Cyber Media: Один из экспертов, с которым мы общались, говорил, что развитие сервисной модели в финансовой отрасли тормозит отсутствие нормативов по подтверждению защищенности при привлечении аутсорсинговых компаний. Ваше мнение, насколько это актуально и как можно исправить ситуацию?

Александр Хонин: Это актуальная история. Есть большой дефицит кадров в IT-сфере, в информационной безопасности. И это касается всех сфер.

Как правило, к аутсорсингу обращаются, когда компания арендует мощности у стороннего поставщика. У заказчиков формируется ложное представление о том, что если у них вся инфраструктура находится на стороне подрядчика, то они ничего делать толком не должны — безопасность якобы тоже там. Когда мы проводим аудит в такой организации, мы сталкиваемся с тем, что в самой компании практически ничего не реализовано, а о том, что отдано на откуп подрядчику, информации нет. Есть договор, NDA и все такое прочее, но что происходит в данной организации — непонятно.

В качестве аудитора запрашивать какие-то данные у подрядчика мы не имеем права, потому что проверяем только компанию, которая нас пригласила. Поэтому возникает очень много вопросов, и брешь остается за скоупом наших мероприятий. 

Регуляторный пробел есть. Здесь, наверно, имеет смысл налаживать процедуры аудитов соответствия, которые проходили бы компании, предоставляющие массовые сервисы. Как пример: этим путем давно идут все крупные ЦОДы. Зайдите на сайты «Яндекса», «Крока» — их ЦОДы, как правило, аттестованы по нескольким направлениям. Защита персональных данных, критическая информационная инфраструктура, аудит по ГОСТу ЦБ, если речь про банки, PCI DSS. Если мы проводим аудит и компания заявляет, что размещается в ЦОДе, у которого есть аттестат, мы прикладываем эти данные, им уже можно доверять.

К сожалению, этот вариант подходит только для больших ЦОДов. Что касается мелких и средних, есть огромный пробел, и что у них происходит с безопасностью — большой, большой вопрос. 

Cyber Media: То есть для заказчика арендовать у кого-то часть инфраструктуры — это рискованное предприятие?

Александр Хонин: Для заказчика это предприятие прежде всего выгодное, потому что компания с себя снимает очень много операционных проблем: наличие и обслуживание инфраструктуры, персонал. С другой стороны, да, если что-то случится, претензии регуляторов и, не дай бог, других органов, пойдут в сторону заказчика.

Cyber Media: Получается, что не выйдет передать ответственность какому-то подрядчику?

Александр Хонин: Полностью передать ответственность, к сожалению, нельзя. Если компания все-таки передает какую-то часть, ей нужно подтверждение. Правильно будет выстраивать отдельные процессы взаимодействия с третьими лицами. Об этом нам говорят и западные практики — что это должен быть отдельный домен, что мы должны управлять этими отношениями. Потому что атаки через подрядчиков — это реалии текущего дня, с которыми мы сталкиваемся все чаще. Это и истории, когда ломают самого подрядчика, и случаи, когда через подрядчика попадают в контур самого заказчика. 

Поэтому и необходимо выстроить полноценный процесс. Сначала нужно предъявлять требования по безопасности, которые должен выполнять подрядчик, а потом он должен предоставить доказательства, что действительно их выполняет. И лучше, чтобы это была внешняя оценка, потому что когда компания оценивает сама себя, она, так же, как любой человек, накидывает полтора балла сверху.

И потом процессы должны пересматриваться, необходим постоянный мониторинг. Подрядчик должен подтверждать, что занимается информационной безопасностью, не один раз, при подписании договора, а на периодической основе. Иначе могут возникать истории, когда оценка соответствия проведена и после вопросы информационной безопасности уходят на задний план. Такое тоже бывает.