Киберзащитники родины: как рынок информационной безопасности адаптируется к новой реальности
Компаниям сектора информационной безопасности удалось успешно выстоять и нарастить прибыль в 2023 году, не говоря уже про 2022-й, когда бизнесу приходилось отбивать атаки буквально со всего мира. Сейчас сегмент растет за счет перераспределения долей «западных» вендоров, но в будущем российских игроков ждут несколько существенных вызовов: в первую очередь необходимость найти рынки сбыта за пределами России.
В 2021 году ФСБ по подозрению в госизмене арестовала главу и создателя Group-IB — одной из самых известных в России компаний по предотвращению и расследованию киберпреступлений. Тогда многие участники рынка решили, что это первый шаг к глобальному переделу рынка. Не секрет, что многие компании в сфере информационной безопасности (ИБ) создаются или курируются бывшими или даже действующими силовиками. Даже создателя крупнейшего игрока этого рынка «Лаборатории Касперского» Евгения Касперского Forbes в свое время довольно неаргументированно обвинял в связях с КГБ. Сачков был ярко выраженным «частником», не стремившимся дружить с государством, разместившим штаб-квартиру компании в Сингапуре. Поэтому его арест многие приняли за старт кампании против независимых игроков и за переход всего рынка в руки окологосударственных и государственных структур. Возможно, такие планы и были, но после начала СВО в 2022 году правила игры кардинально поменялись для всех: и для «частников», и для «государственников».
Полный DDoS
События после февраля 2022 года коренным образом повлияли на направленность хакерских атак. Если до этого злоумышленники чаще всего преследовали меркантильные цели, то в этот период их основной задачей стал вывод из строя критически важных систем, рассказывает РБК гендиректор Angara Security Сергей Шерстобитов. Именно тогда российский бизнес и государственные организации столкнулись с беспрецедентной по мощности волной DDoS-атак (массированных атак на IT-инфраструктуру, направленных на нарушение ее работоспособности). Атакам подверглись сайты Кремля, правительства РФ, Госдумы, Совета Федерации, практически всех федеральных и многих муниципальных министерств и ведомств, арбитражных судов России. Какое-то время были недоступны порталы Госуслуг и Системы быстрых платежей. «Ложились» сайты Роскосмоса, РЖД и целого ряда других крупных компаний.
«Интенсивность атак была такой, что пришлось отключить доступ к сайтам для пользователей с IP-адресами, находящимися за пределами России, потом немного изменился вектор атак, начался поиск уязвимостей сайта и попытки взлома IT-инфраструктуры, пришлось также отключить доступ к ряду критически важных ресурсов компании вообще для всех, кроме сотрудников, находящихся в „белом списке“. Причем интенсивность атак не спадала до осени 2022 года и только потом начала очень медленно снижаться», — говорит источник в крупной металлургической компании.
Летом 2022 года президент России подписал указ, регулирующий подходы к информбезопасности для стратегических предприятий. Два главных требования — создать новую структуру, ответственную за ИБ и подчиняющуюся первому лицу компании, и запрет на использование программ и технологий, созданных в недружественных странах. Действие указа распространяется на федеральные органы исполнительной власти и высшие исполнительные органы государственной власти субъектов Федерации, а также на фонды и компании, созданные на основании федерального закона, например «Росатом», «Газпром», «Русгидро», РЖД и другие.
Для компаний из сектора информационной безопасности первая половина 2022 года стала не только одним из самых сложных периодов в истории, но и тем моментом, когда к ним реально стал прислушиваться бизнес. «Мы десятки лет говорили всем, что риски ИБ могут быть критичными для жизнеспособности компании, но в итоге чаще всего от нас отмахивались и давали какие-то незначительные деньги, чтобы соблюсти формальности и отчитаться, что все хорошо. В 2022 году они стали возвращаться со словами „а, то есть вы вот это имели в виду, когда говорили о рисках“», — рассказывает IT-директор промышленной компании.
«Ключевой тренд рынка сейчас — обеспечение реальной, а не декларируемой безопасности. Это подразумевает под собой гарантированную защиту, недопущение неприемлемых для бизнес-процессов последствий от кибератак», — соглашается Павел Волчков, заместитель директора центра информационной безопасности компании «Инфосистемы Джет».
Вторым важнейшим событием стал уход практически всех западных вендоров решений. Подавляющее большинство иностранных вендоров ИБ ушли с рынка еще в 2022 году, вспоминает Павел Волчков. При этом чаще всего уход компании не означал автоматическое прекращение работоспособности ее оборудования или ПО. Многие организации продолжают использовать зарубежные решения, пусть и с урезанным функционалом. «Доли ушедших вендоров ожидаемо перераспределились между ключевыми российскими игроками рынка ИБ — Kaspersky, Positive Technologies, UserGate, „Код безопасности“ и др.», — говорит Волчков. Эти два фактора позволили ИБ-рынку в России пережить кризисный период сравнительно без потерь. По данным Центра стратегических разработок, рынок кибербезопасности РФ по результатам 2022 года оценивался в 193,3 млрд рублей, прирост общего объема рынка кибербезопасности (продукты и услуги) по сравнению с 2021 годом составил чуть менее 4%, в то время как в 2022 году ЦСР прогнозировал падение рынка на 10%.
Взять и поделить
В 2023 году многие игроки рынка, разобравшись с последствиями первых волн кризиса, занялись перестройкой бизнеса и разделом оставшихся «в наследство» от западных коллег контрактов.
«Рынок IТ и ИБ в 2023 году рос небольшими темпами, по разным оценкам — 15–20%. В некоторых сегментах рынка в связи с прекращением поддержки иностранных решений происходило заметное перераспределение доходов между участниками, в результате которого некоторые российские игроки, включая нашу компанию, выросли кратно, — сказал заместитель генерального директора группы компаний „Гарда“ Рустэм Хайретдинов. — Сегодня ни у кого нет надежд 2022 года, что „скоро все образуется и будет как прежде“, поэтому импортозамещением занимаются даже убежденные „ждуны“, поскольку выполнять задачи цифровой трансформации на иностранных решениях уже слишком рискованно. Везде, где можно было заместить иностранных производителей без существенных потерь качества, это было сделано в прошлом году. Там, где использование российских решений ведет к деградации функций цифровых систем и требуется более существенная перестройка корпоративной архитектуры, импортозамещение началось, но иностранные системы пока продолжают эксплуатироваться на невендорской поддержке, часто силами собственной команды заказчика. Долю иностранных производителей забрали российские решения всех типов: оригинальные разработки, решения на базе решений с открытым кодом, собственные разработки крупных заказчиков».
«По итогам 2023 года отгрузки Positive Technologies показали рост на 76%, что в два раза опережает прогнозировавшийся аналитиками рост рынка кибербезопасности в целом. На базовом уровне эта динамика обеспечилась за счет расширения нашей клиентской базы и продуктовой линейки. В своей работе мы исходим из того, что в защищаемых нами компаниях недопустимые события в результате хакерских атак должны быть невозможны. Это стало стратегией и сутевой основой нашего роста. Для того чтобы этого добиться, в 2023 году мы вложились в развитие R&D: пересобрали структуру команд и подходы к управлению ими. С учетом всех инвестиций в развитие R&D (а в прошлом году эта цифра достигла 5 млрд рублей) мы удерживаем планку маржинальности бизнеса в 35% и планируем держать этот показатель на уровне не ниже 30% в будущем, сохраняя необходимые для этого темпы генерации чистой прибыли», — сказал Денис Баранов, генеральный директор Positive Technologies.
На 2024 год доля иностранных вендоров на рынке информационной безопасности в России составляет около 25%. «В связи с текущей геополитической ситуацией эта доля ежегодно сокращается, и к 2027 году ожидается, что она уменьшится до 5–7%. Из-за санкций с российского рынка ушли крупные американские компании, которые ранее занимали значительные позиции. Остальные иностранные вендоры пока пытаются приспособиться к новым условиям, но их будущее неясно. Рынок информационной безопасности в России будет переходить в руки отечественных вендоров, увеличивая их долю и влияние на рынке», — заявляет Дмитрий Степанов, директор по маркетингу «Атом безопасность» (входит в ГК «СКБ Контур»).
На рынке информбезопасности в России прослеживается явный тренд на создание экосистем. Вместо борьбы отдельных продуктов сейчас идет конкуренция между целыми экосистемами решений. Этот тренд отражается в увеличении количества слияний и поглощений вендоров, которые стремятся создать единые платформы для всесторонней защиты информации, отмечает Степанов.
«После ухода зарубежных вендоров ключевым показателем стала скорость выпуска решений, способных занять освободившиеся ниши. Для этого крупные игроки стали приобретать малоизвестные компании с уже готовыми продуктами вместо того, чтобы разрабатывать решения самостоятельно. Учитывая стремление бизнеса к расширению собственных продуктовых линеек, тренд на M&A сохранится», — сказала Мария Зализняк, директор экосистемы в области информационной безопасности «НОТА КУПОЛ».
Суверенитет на экспорт
Российским компаниям в сфере информационной безопасности в определенном смысле повезло с экспортными ограничениями. В отличие от коллег по софтверному рынку, они уже давно привыкли жить в системе, где мир делится на «своих» и «чужих». Например, в США в некоторых сферах бизнеса, связанных с космосом или обслуживанием ВПК, российские антивирусные продукты всегда были под негласным запретом. Например, американское правительство еще в 2017 году запретило госучреждениям пользоваться продукцией «Лаборатории Касперского», а в этом году и вовсе полностью запретили продажу продуктов компании. С другой стороны, ряд арабских стран и государств Азии и Латинской Америки, наоборот, не слишком доверяют специалистам по кибербезопасности из США, что открывает широкие возможности для россиян.
«Итогом 2023 года можно считать сформированный интерес к технологиям отечественной кибербезопасности среди зарубежных клиентов. Так, практика нашей компании показывает, что в дружественных странах (Латинской Америки, Ближнего Востока, некоторых странах Азии, Африки) существует запрос на обеспечение киберсуверенитета: страны хотят быть вендоронезависимы, и часть из них находят возможность для этого через использование решений и продуктов разных производителей, миксуя подходы, вендоров, дублируя защиту. При этом в первую очередь востребованы технологии, доказавшие свою эффективность во время массовых атак», — рассуждает Елена Бастанжиева, директор по развитию бизнеса Positive Technologies в России.
Минувший год ознаменовался ухудшением мировой политической и экономической ситуации, что повлияло на ландшафт киберугроз. Киберпреступность и атаки на критическую инфраструктуру становятся одними из главных факторов в современных геополитических конфликтах. Эта тенденция сохранится и в 2024 году, предупреждают эксперты компании.
«Многие российские компании в сфере информационной безопасности пытаются расширить свое присутствие в Индии. „Лаборатория Касперского“ является одной из самых известных и занимает хорошую долю рынка. Есть и другие компании, которые имеют очень выгодное предложение и пытаются сейчас выйти на рынок», — сказал Субхам Саркар, директор CIRTC (Палаты по индийско-российскому технологическому сотрудничеству).
Зловредный интеллект
2023 год, бесспорно, стал годом «хайпа» по поводу генеративного ИИ, и сферу информационной безопасности это не обошло. В Сети можно найти огромное количество сообщений о «суперчервях» на базе ИИ, которые постоянно модифицируют себя сами и поэтому их невозможно обнаружить никаким антивирусом, а от их атаки невозможно защититься. В даркнете продаются различные решения на базе ИИ, которые якобы позволяют любому школьнику с минимальными навыками в IT взламывать системы практически любой сложности. Редакции удалось обнаружить такие сообщения, но не убедиться в работоспособности кода.
«Киберпреступники тоже могут использовать ИИ, создавая более сложные угрозы. Например, применять ИИ для обхода традиционных антивирусных программ, выявляя их слабые места, или с помощью ML-моделей анализировать профиль пользователя и создавать персонализированные фишинговые сообщения, которые труднее будет распознать», — подтверждает Никита Ануфриев, специалист центра машинного обучения «Инфосистемы Джет». По мнению эксперта, искусственный интеллект действительно стал важным инструментом в информационной безопасности, но ожидания, что он полностью изменит правила игры, пока не оправдались. Конечно, ИИ помогает в автоматизации обнаружения угроз и реагирования на инциденты, но не является панацеей. В первую очередь потому, что ИИ требует больших объемов данных для обучения и для новых типов атак их недостаточно.
«Технологии искусственного интеллекта принесли пользу как защищающим, так и атакующим. Компаниям они помогли повысить эффективность процесса обнаружения угроз и реагирования на них, а киберпреступникам — улучшить схемы нападений. На GitHub появилось много разных инструментов, основанных на использовании генеративных моделей ИИ для различных задач ИБ. ML помогает обеспечивать результативную кибербезопасность. Команда Positive Technologies тоже активно работает с технологиями ML, адаптируя их под свои продукты с прицелом на результат», — рассуждает представитель Positive Technologies.
«ИИ успешно используется для автоматизации анализа больших объемов данных, выявления подозрительной активности и поиска уязвимостей, улучшения систем детектирования угроз и создания более точных моделей рисков. Но пока ИИ не привел к революции в области ИБ — для разработки эффективных моделей нужны большие объемы данных и специализированных знаний, которых на рынке пока недостаточно», — сказал Дмитрий Степанов из «Атом безопасность».
«Компании в области информационной безопасности давно используют ИИ в бизнесе, — говорит Рустэм Хайретдинов из „Гарды“. — Мы видим, что атакующие активно используют ИИ в атаках, а значит, нам так или иначе придется противостоять этому: человек не может соперничать с ИИ там, где нужна обработка больших массивов данных, каковыми являются трафик, события в инфраструктуре или транзакции в цифровой системе. Мы экономим ресурсы, выигрываем в скорости принятия решений, но качественного скачка ИИ не дает пока ни нам, ни атакующим. Предсказания в нынешней ситуации делать сложно».