Тимофей Матреницкий, Guardant: Обеспечив безопасность КИИ, мы обеспечим стабильность российской экономики
О ключевых тенденциях российского рынка информационной безопасности в интервью TAdviser рассказал Тимофей Матреницкий, руководитель Guardant, компания "Актив".
Что, в силу изменившейся геополитической ситуации, произошло с российским рынком информационной безопасности в 2022 году?
Тимофей Матреницкий: Любые геополитические потрясения только усиливают роль кибербезопасности в государстве. Так произошло в 2022 году. Фактически в мае в стране была объявлена реформа системы кибербезопасности, подписан известный указ президента №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». В результате мы наблюдаем масштабный переход российского ИБ на отечественные рельсы. Причем сразу по целому ряду направлений, начиная от софта и оборудования, и заканчивая системой образования и изменением регуляторики.
Говоря о системе образования в сфере кибербезопасности, в чем была проблема прежней системы?
Тимофей Матреницкий: Система образования была построена так, что российские высшие учебные заведения выпускали крайне мало специалистов по ИБ. В результате сегодня сложился серьезный дефицит, выступающий значительным сдерживающим фактором для развития отрасли. Сейчас на рынке труда за квалифицированного, скажем, пентестера идет настоящая борьба. А тем молодым специалистам, которых ежегодно выпускают ВУЗы, требуется пара лет на адаптацию в профессии.
Именно поэтому уже сейчас становится все более востребованным ИБ аутсорсинг. Однако ряд задач, таких как обеспечение конфиденциальности и корпоративных интересов, полностью делегировать по понятным причинам невозможно. Их предстоит решать штатным специалистам.
Как, на ваш взгляд, идет процесс импортозамещения оборудования? Какие проблемы стоят здесь наиболее остро?
Тимофей Матреницкий: Наиболее острые проблемы — это отсутствие необходимых производственных мощностей, способных полностью покрыть требования рынка, а также регуляторные вопросы.
К примеру, некоторое время назад вступило в силу положение ЦБ РФ о необходимости замены в финансовой сфере зарубежных HSM на российские. Но несмотря на то, что российские производители готовы поставлять модули, обеспечить ими рынок быстро не получается. Российским требованиям по криптографии отечественные платежные HSM полностью соответствуют, и это будет подтверждено соответствующими заключениями ФСБ России. A вот то, как будет подтверждаться их соответствие международным стандартам, пока еще находится на этапе обсуждения. Сейчас в силу геополитических причин отечественным разработчикам получить международные сертификаты соответствия весьма затруднительно. Известный писатель-фантаст Сергей Лукьяненко выступит на TAdviser SummIT 28 ноября. Регистрация
Кроме того, нельзя не сказать о проблемах в российском производстве микроэлектронной компонентной базы. Многое из того, что сейчас очень нужно микроэлектронщикам - чипы, светодиоды, конденсаторы - в России практически не делают. А приобрести их за рубежом стало несколько сложнее. Отдельный вопрос - полупроводниковая промышленность. Россия в этой сфере имеет серьезное технологическое отставание от ряда зарубежных стран. Поэтому на пути импортозамещения нам предстоит в первую очередь решить задачи улучшения технологических процессов и наращивания производственных мощностей.
А что насчет софта?
Тимофей Матреницкий: Говоря об импортозамещении программных продуктов и ИТ-технологий в сфере кибербезопасности, замечу, что у нас хорошие DLP, антивирусы и т.д., однако пока не все классы отечественных продуктов соответствуют мировому уровню.
Разумеется, процесс разработки собственного софта – дело не быстрое и затратное. К счастью, руководствуясь необходимостью как можно скорее перейти на российские решения, правительственные фонды (например, РФРИТ и «Сколково») выдают гранты российским ИТ-компаниям для создания и развития отечественного ПО, а также его внедрения.
Какие еще конкретные шаги были предприняты в 2022 году для усиления кибербезопасности?
Тимофей Матреницкий: Самое ключевое и основополагающее, что было сделано в этом направлении – это изменение регуляторики в сфере ИБ. Были подписаны два Указа Президента: №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» и №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации». Объем требований к субъектам КИИ в области кибербезопасности существенно вырос. И далеко не все оказались способными им соответствовать, к примеру, выдержать установленные Указом №166 сроки по импортозамещению, переходу на отечественные ПО и ПАК. Ключевая причина - не для всех зарубежных решений есть российские аналоги. Разумеется, представители бизнеса и государства в составе различных комитетов и ассоциаций активно решают вопрос, однако на создание собственных продуктов требуется время, и они должны пройти необходимую сертификацию, зачастую международную, на соответствие требованиям информационной безопасности.
Известно о целом ряде мер в поддержку российских ИТ производителей. Это и льготное налогообложение, и ИТ ипотека, и пересмотр требований Реестра российского ПО и целый ряд других. Что еще вы считаете необходимым сделать?
Тимофей Матреницкий: Первое, что было бы полезно сделать, это ввести льготы для производителей программно-аппаратных комплексов (ПАК) по аналогии с теми, которые действуют для производителей ПО. Сейчас рынок находится в ожидании принятия регуляторики, определяющей понятие ПАК, а также правил включения комплексов в Реестр ПО (от редакции - Постановление правительства №2461 вышло, когда интервью уже версталось). Активная работа по аргументации введения льгот для производителей ПАК ведется по инициативе АПКИТ и ряда компаний сферы кибербезопасности, в том числе Компании «Актив». Планируется создать совет, который постарается повлиять на внесение изменений в законодательство, выработает критерии отнесения оборудования к ПАК, а также будет помогать продвижению таких комплексов на зарубежные рынки.
Говоря о бизнесе Компании «Актив», как вас коснулись изменения на рынке, в расстановке сил игроков?
Тимофей Матреницкий: «Актив» - российская многопрофильная ИБ компания. Бизнес-направление Рутокен, специализирующееся на создании решений и продуктов для электронной подписи и строгой аутентификации только укрепило лидерство на рынке и статус ключевого для рынка поставщика. Если говорить о направлении Guardant, которое я возглавляю, оно специализируется на разработке решений для защиты, лицензирования и управления продажами ПО, и сейчас является стандартом де-факто для всего российского рынка разработки коммерческого софта. Все изменения этого года на рынке ИБ нас коснулись непосредственно. В начале года, как и многие, мы решали проблемы по организации новых логистических цепочек, оперативно переводили все существующие продукты Guardant на новую аппаратную базу. Нам это удалось, и сейчас мы уже вновь вернулись к задачам развития платформы Guardant, которая поможет вендорам не только в вопросах лицензирования и защиты программных продуктов, но и подскажет, как наиболее эффективно монетизировать софт, управляя его продажами.
Возвращаясь к ситуации на рынке ПО, на котором работает Guardant, с какими проблемами сейчас сталкивается это направление?
Тимофей Матреницкий: Любой кризис так или иначе увеличивает спрос на пиратское ПО. Вендоры вынуждены повышать стоимость своих продуктов, а нестабильность курса рубля ослабляет возможности покупателей, что вместе создает благодатную почву для использования нелицензионных программных продуктов.
Кроме того, зарубежные разработчики систем защиты ПО, покинувшие российский рынок, поставили своих клиентов в сложное положение, продукты защищать стало просто нечем. Упали объемы продаж. Они «пересаживаются» сейчас на Guardant, но, разумеется, это вопрос времени. Замечу, что многие представители отрасли, некоторое время назад восприняли тренд на импортозамещение как руководство к действию, поэтому их переход на Guardant произошел относительно быстро, не вызвав остановки бизнеса.
И, наконец, нам видна проблема, ставящая под удар отрасль в целом. Отечественный софт зачастую содержит зарубежные компоненты, в том числе целые ПАКи и автономное ПО. Например, системы лицензирования и защиты софта от нелегального копирования. При этом по закону продукты с зарубежными компонентами считаются российскими и входят в Реестр отечественного ПО.
А в чем состоит риск для отрасли в целом? Мы же до сих пор продолжаем использовать многие зарубежные программные продукты, операционные системы, библиотеки и пр.
Тимофей Матреницкий: Да, это так. Но, когда речь идет о частных компаниях и пользователях – это одна история. Однако ситуация с объектами КИИ, госорганами, предприятиями оборонной промышленности и пр. совсем иная. Например, объектам КИИ уже четко установлены сроки полного перехода на сугубо отечественные программные продукты. Как известно, софт считается таковым, если он включен в Реестр российского ПО. То есть заказчик уверен в безопасности такого продукта, хотя фактически в момент его приобретения в инфраструктуру КИИ вместе с отечественным попадает и зарубежный софт. И уже известны прецеденты, когда подобным образом проводился несанкционированный сбор и отправка данных, нарушение работы ИТ-систем, отключение оборудования и пр.
И что вы предлагаете?
Тимофей Матреницкий: В первую очередь необходимо серьезно пересмотреть методику проверки ПО для включения в Реестр, а также периодически проводить аудит внесенных продуктов. «Чистки» уже начали осуществлять, однако они в основном направлены на выявление несоответствия вендоров, а не их продуктов. При этом очевидно, что единственный способ полностью гарантировать безопасность продукта – это проверять его исходные коды. Сделать это для всего софта в стране невозможно. Никаких ресурсов не хватит. Однако в методике проверки ПО уже сейчас приведен перечень зарубежных компонентов, запрещенных к использованию. Данный список необходимо постоянно расширять.
Мы постоянно взаимодействуем с российскими отраслевыми ассоциациями, объединяющими в том числе производителей ПО, и буквально ведем просветительскую деятельность. Как эксперты в области информационной безопасности, выступаем на конференциях, участвуем в дискуссиях и стараемся донести мысль, что нельзя допускать риска «красной кнопки». Особенно, когда речь идет о госструктурах и субъектах КИИ.