Почему утечки данных станут проклятием 2023 года, и как с этим жить

Автор: Александр Зубриков, генеральный директор компании ITGLOBAL.COM Security

2022 год наряду со всеми прочими событиями войдет в историю как год утечек данных. Службы доставки еды, сервис по онлайн-продаже билетов на общественный транспорт, поставщик логистических услуг, сеть медицинских лабораторий и даже «силовики» — в списках жертв фигурируют компании и организации, которых сложно упрекнуть в легкомысленном отношении к данным либо в недофинансировании направления информационной безопасности. Происшествия с конфиденциальной информацией лучше всяких аналитических отчетов показали: проблемы есть везде.

Без технологий и без людей

2023-й год в этом плане рискует стать только хуже по нескольким причинам. Первая - чисто материальная. Утечки не прекратятся, потому что никуда не денется финансовый мотив. Что в 2023-м, что в любой другой период времени, продажа данных и/или шантаж для получения выкупа за них остается актуальным и относительно безопасным способом заработка не только для хакеров, но и для инсайдеров.

Вторая — технологическая изоляция нашей страны. Покупка нового ПО и «железа», а также продление лицензий на существующий ИБ-софт затруднены. Уже весной импортные средства защиты информации от иностранных вендоров могут превратиться в тыкву. Поэтому у компаний есть считанные недели, чтобы понять, как жить без привычных зарубежных решений, эквивалента которым российские вендоры пока не создали. Скажем, есть пробелы в сегменте решений для контроля привилегированных пользователей (PAM) и в технологиях для управления мобильными устройствами (MDM).

Третья — кадровый голод. Из-за особенностей внутренней политики страну покинули дефицитные специалисты в сфере информационной безопасности. Причем уехали действительно сильные и высокооплачиваемые эксперты, у которых хватило ресурсов на релокацию и на обустройство в новых странах. Уже появились новости, что крупная отечественная ИТ-компания под угрозой увольнения требует от сотрудников возвращения в Россию. В условиях общего дефицита кадров подобный ультиматум выглядит так, словно у технологического гиганта есть возможность легко и просто заместить специалистов, которые откажутся возвращаться.

Действительно, есть ли в отрасли резерв? Его нет и в ближайшие несколько лет мы не видим возможностей, чтобы он появился. Недостаток кадров — это общемировая проблема, она характерна не только для нашей страны. Конечно, можно добавить в должностные инструкции обычных «эникейщиков» пункты, связанные с обеспечением кибербеза. Но простым росчерком пера ИБ-компетенций у исполнителей точно не добавится. Так что относительно небольшие компании и организации, где ИБ с самого начала недофинансирована, останутся, как и прежде, беззащитными перед угрозами утечек.

«Кнут есть. Дайте пряник»

На этот счет можно возразить и вспомнить 250-й указ Президента РФ. Этот документ вовлекает в обеспечение ИБ высших руководителей компании и делает кибербез реальной задачей для топов. За просчеты полагается строгое наказание. Но и активность в правильном направлении никак не поощряется. Это минус актуальных регуляторных новаций. Другими словами, пока есть только кнут в виде перспектив персональной ответственности за утечки и оборотных штрафов для компаний, но нет «пряников» — а именно их появление было бы неплохо наконец увидеть.

Для компаний этими «пряниками» - по крайней мере на первых порах - могли бы стать экономические стимулы. Например, субсидирование профессиональной переподготовки айтишников в кибербезопасников. Сюда же — особые условия приобретения и развертывания СЗИ российской разработки. И та, и другая мера помогли бы сбалансировать затраты компаний на средства кибербеза с расходами на инфраструктуру. И в какой-то степени решить проблему хронического недофинансирования ИБ, которую мы видим практически повсеместно.

Экономические стимулы имеет смысл распространить и на ИБ-специалистов. Как минимум - подтянуть в госкомпаниях и бюджетных учреждениях их зарплаты к уровню айтишников. Плюс предоставить специалистам по кибербезопасности социальные блага вроде той же льготной ипотеки. Такая инициатива стала бы важным шагом к избавлению ИБ-специалистов от статуса людей “второго сорта” по сравнению с айтишниками — по крайней мере,внутри профессионального сообщества.

Безальтернативный SECaaS

Как красиво не выглядели бы эти и другие способы развития технологического и кадрового потенциала на национальном уровне, на их реализацию уйдет минимум 3-5 лет. До появления ощутимой выгоды от комплекса мероприятий аутсорсинг ИБ, пожалуй, выглядит наиболее реалистичным способом обеспечить приемлемый уровень кибербеза без доступа к технологиям и лицензиям в условиях дефицита ИБ-кадров.

Во-первых, профильные компании обладают топовыми подходами и технологиями, к которым компаниям с недофинансированной ИБ вряд ли получится прийти самостоятельно в разумные сроки. ИБ-провайдер же “приземляет” их на заказчика в рамках услуги, причем делает это довольно быстро — хороший вариант, когда о защите периметра нужно отчитаться как можно скорее. Однако здесь есть и другая сторона медали. На рынке неминуемо появятся ИБ-компании, которые помогут заказчику обеспечивать «бумажную» безопасность. То есть правильно составлять документы для красивой отчетности регулятору вместо того, чтобы реально противодействовать утечкам и атакам.

Во-вторых, взаимоотношения с ИБ-подрядчиками могут ограничиться разовыми проектами. Это удобно с точки зрения рационального распределения бюджетов. Такими разовыми активностями могут быть пентесты, проверки на уязвимость к фишинговым атакам, а также перенастройка ИБ- и ИТ-обвязки с учетом ее функционирования без обновлений и техподдержки со стороны вендора.

В-третьих, ИБ-компании обладают опытом взаимодействия с заказчиками из разных отраслей. Накопленная экспертиза позволяет им найти оптимальное решение в рамках проектов по ИБ-консалтингу для конкретного заказчика. Это значит, что к высоким технологиям ИБ доступ получают компании практически из любой отрасли российской экономики.

Щепотка оптимизма

Несмотря на обилие технологических, политических и кадровых вызовов перед отраслью ИБ в 2023 году, позволю себе завершить эту колонку на позитивной ноте.

Наступивший год неминуемо принесет рост компетенций в среднем по рынку. Хотя понятно, что эти компетенции будут сосредоточены в компаниях, которые заложили для их развития прочный фундамент несколько лет назад.

Отсюда вывод: ценность ИБ-специалистов для работодателя будет расти органически. Крайне вероятно, что росту помогут сами компании (например, пересмотром уровня компенсаций), и это очень хорошо.

Появятся новые российские продукты, которые в той или иной степени заменят привычные западные решения. ИТ- и ИБ-подразделениям придется работать вместе, чтобы адаптировать эти решения для работы в инфраструктуре. Организациям, которые найдут синергию в гармоничном взаимодействии двух направлений информационных технологий, удастся извлечь из этого дополнительные преимущества. Скажем, в дорожную карту развития ИТ-инфраструктуры изначально будет заложена ИБ-составляющая. Такие проекты будут реализовываться быстрее и выглядеть осмысленнее с точки зрения сохранения инвестиций, да и просто с позиции здравого смысла.

Инициаторы законов и указов, связанных с кибербезом, обратят внимание на потребность стимулирования правильных начинаний и отойдут от категоричности оценок качества ИБ. В этом направлении есть важные подвижки: оборотный штраф за инцидент можно будет существенно сократить, если удастся доказать, что для предотвращения утечки или взлома компания действительно предприняла все от нее зависящее. И это отличная новость, потому что внутри коллективного разума государственной машины уже есть понимание: абсолютной защиты от взлома не существует.