Конец декабря – время подведения итогов. Команда ITGLOBAL.COM Security решила не делать исключений: мы подготовили для вас обзор главных итогов уходящего года в российской информационной безопасности.
Забежим вперед – год выдался очень насыщенным и интересным. Был ли он успешным для отрасли, решать вам. Но позитивных пунктов дальше будет куда больше, чем негативных. Итак, приступим.
Увеличение числа кибератак и утечек
Рост количества кибератак, в том числе успешных, отмечают буквально все. Количество утечек персональных данных за первые 7 месяцев 2023 года достигло 150 случаев. За весь 2022 год их было 140, а за 2021 – всего четыре.
По данным ИБ-центра ФСБ, ежедневно совершается более 170 кибератак различного масштаба на инфраструктуру российских компаний.
И если причины этого всплеска вопросов почти ни у кого не вызывают, то вот последствия – вопрос открытый. С одной стороны, плохо всем: данные клиентов становятся общедоступными, коммерческая тайна перестает быть таковой, а работа интернет-сервисов часто нарушается. С другой – всплеск активности хакеров уже стал и продолжает быть мощнейшим драйвером развития ИБ в России: появляется множество новых решений (да, не все из них надлежащего качества), ведется работа по повышению уровня кибербезопасности как со стороны государства, так и со стороны бизнеса.
Сохранится ли такая динамика в 2024 году, и ощутим ли мы позитивный эффект от изменений – узнаем очень скоро.
Увеличение штрафов за утечки персональных данных
Как мы сказали выше, регуляторы не остались в стороне, и активно реагируют на стремительно меняющуюся реальность.
В декабре этого года в Госдуму был внесен законопроект об увеличении штрафов за утечки ПДн, в том числе оборотные штрафы для юридических лиц за повторные нарушения.
Согласно законопроекту, предполагается штрафовать в зависимости от объема скомпрометированной информации:
- от 1 тыс. до 10 тыс. субъектов – штраф для юрлиц составит от 3 млн до 5 млн;
- от 10 тыс. до 100 тыс. субъектов— от 5 млн до 10 млн;
- более 100 тыс. — от 10 млн до 15 млн.
За повторные утечки – оборотные штрафы: от 0,1 до 3 % выручки за календарный год или за часть текущего года, не менее 15 млн рублей и не более ₽ 500 млн.
О последствиях мы рассказали подробно в нашем telegram-канале, поэтому прокомментируем коротко: нововведение полезное, ведь оно повысит стоимость утечки для бизнеса в разы, а значит вырастет вероятность, что общий уровень защищенности российских компаний начнет расти.
ИИ в кибербезе
2023 год запомнится многим, как год популяризации нейросетей и искусственного интеллекта.
Сферу ИБ этот тренд тоже не обошел: ИИ стал незаменимым как для кибербезопасников, так и для злоумышленников.
Технологии ИИ и ML (машинное обучение) активно применяются в антивирусах, межсетевых экранах, DLP и SIEM-системах. Машинное обучение помогает выявлять несанкционированные действия и вовремя пресекать их, а искусственный интеллект значительно повышает эффективность антивирусов.
Но и злоумышленники не остаются в стороне: текстовые модели позволяют сделать фишинговые рассылки практически неотличимыми от реальных, выявлять средства защиты и моделировать поведение для их обхода с помощью ИИ, а также в значительной степени автоматизировать свою деятельность, чтобы повысить количество совершаемых атак.
Биометрия
29 декабря 2022 года Владимир Путин подписал закон о Биометрии. Именно эту дату можно назвать отправной точкой на пути распространения аутентификации граждан по биометрическим данным.
2023 год стал годом массового внедрения средств распознавания биометрии. Во многих магазинах уже можно расплачиваться “улыбкой”, в частности – в магазинах сети X5 Retail. В будущем году Минтранс планирует внедрять возможность оплаты проезда биометрией. И хотя темпы пришлось снизить в связи с отладкой работы с ЕБС, тендеция все равно крайне позитивная.
Но регулятор не забыл и про штрафы – соответствующий закон был подписан уже в декабре этого года.
Пока биометрию с трудом можно назвать неотъемлемой частью нашей жизни, но движение определенно происходит в правильном направлении.
Рост зарплат и кадровый дефицит
В 2023 году спрос на экспертизу в области ИБ значительно вырос. Причины нехитрые: рост числа кибератак и объемов штрафов недвусмысленно мотивирует бизнес инвестировать в цифровую защищенность.
Однако рынок труда пока не смог справиться с новой реальностью. Эксперты отмечают, что рост зарплат в сфере ИБ за год составил порядка 15%, в то время как рост зарплат во всем ИТ составил всего 9% – разница практически вдвое.
При этом сохраняется реальный дефицит специалистов высокого уровня. Реальность такова, что даже за “раздутые” зарплаты сейчас в лучшем случае можно найти начинающего специалиста с опытом в районе года-полутора. Поэтому, даже если у вас есть деньги, нет гарантий, что собрать или усилить команду получится быстро.
Со стороны специалистов же наблюдается смещение в сторону нематериальной мотивации. Крупные российские ИТ-компании давно не могут предложить соискателям что-то принципиально новое. Бесконечные “плюшки” и бонусы уже приелись настолько, что теперь соискатели все чаще обращают внимание на значимость предполагаемой работы для конкретного бизнеса, общества или даже государства. Люди хотят чувствовать свою причастность и значимость. В условиях раздутых зарплат, такая мотивация становится практически ключевой в принятии решения.
Аутсорсинг в тренде
Логически продолжим предыдущий пункт – с ухудшением ситуации на рынке труда, бизнес все чаще обращает внимание на аутсорсинг ИБ.
Логика простая: компания-подрядчик уже имеет всю нужную экспертизу, которая при этом стоит значительно дешевле, чем найм и содержание штатной команды.
Здесь удачно совпали два обстоятельства: сокращение рынка труда и сильный рост спроса. Отсюда – рост интереса к услугам сервисных компаний.
Кибергигиена “идет в народ”
Кроме повышения уровня защищенности со стороны бизнеса, нельзя забывать и про грамотность населения – именно граждане наиболее подвержены риску стать жервтой кибермошенника.
В рамках стратегии развития ИБ на 2023-2025 ЦБ РФ запланировал крупную кампанию по работе с населением, и будет требовать этого от финансовых организаций.
Ожидаем много рекламы и социальных проектов на тему ИБ в ближайшие пару лет.
Регуляторы становятся ближе к бизнесу…
В 2023 году отмечаем тенденцию по сближению регуляторов с бизнесом. Если раньше многие принимаемые решения казались оторванными от реальности, то в этом году был взят курс на активное привлечение участников рынка к работе над новыми требованиями и нормативами.
В частности, на SOC-форуме 2023 была анонсирована инициатива ФСТЭК, в рамках которой планируется регулярное проведение встреч с представителями компаний для разбора типовых ошибок при обеспечении безопасности на объектах КИИ – такой формат взаимодействия внесет прозрачность во внутренние процессы регулятора и поможет бизнесу лучше понять, как пользоваться нормативными актами на практике.
Кроме того, представители Минцифры отметили, что открыты к любым частным инициативам в области ИБ, и готовы оказывать любое содействие для реализации.
… и ведут “капитальный ремонт” правовых актов
Следствие предыдущего пункта – активный пересмотр и обновление правовых актов, с целью сделать их более актуальными современной ситуации в отрасли.
Из конкретных примеров – уже анонсированный 821-П, который должен заменить 719-П, совершенствование законодательства о биометрии, требования к обеспечении защищенности КИИ.
Год Bug Bounty
В 2023 году тренд на запуск бизнесом собственных bug bounty-программ продолжился и охватил уже, кажется, все федеральные компании.
Набирают популярность соответствующие маркетплейсы, где любой желающий может присоединиться к программе и получить вознаграждение за найденную уязвимость. В числе участников такие компании, как VK, Авито, Тинькофф, Сбер и многие другие.
В стороне не осталось и Минцифры – в этом году состоялся первый этап Bug Bounty, затрагивающий Госуслуги и Единую систему идентификации и аутентификации. Уже в ноябре был запущен второй – куда более масштабный, и затрагивающий значительно больше сервисов.
Выигрывают все: бизнес сильно экономит на поиске уязвимостей, и часто находит их в самых неожиданных местах, а специалисты по ИБ получают дополнительную мотивацию и источник дохода.
Стартапов становится все больше
Не смотря на кадровый голод, рынок продуктов ИБ в этом году пополнился большим количеством новых решений. Так, за неполный 2023 год, в свет вышло вдвое больше стартапов в области ИБ, чем годом ранее.
Конечно, далеко не каждый из них представляет реальную ценность. Многие “новые компании” стараются отхватить кусок пирога по-больше, завышая цены на свои продукты. Стоимость годовой лицензии для бизнеса, порой, превышает их капитализацию.
Отметим, с ростом стартапов пропорционально выросло и количество слияний и поглощений – вдвое. В первую очередь укрупняются лидеры рынка, которые выкупают небольшие компании, расширяя свой портфель услуг.
Что случилось у ITGLOBAL.COM Security
В этом году мы отмечаем рост интереса к комплексным проектам: Аудит ИБ + Pentest, Pentest + SOC и схожим форматам. SOC – отдельное открытие этого года. Продукт за этот год стал абсолютно массовым, и показывает отличные результаты на практике.
Самым высоким спросом, что закономерно, пользуется услуга Managed Security (аутсорсинг ИБ). Не отстает и регуляторка – стабильно весомая часть проектов выполнялась для оценки соответствия различным нормативным актам.
Сохраняется статистика по обнаруженным нами уязвимостям: мы успешно доходили до RCE при внешнем пентесте в 40% случаев, а доменную инфраструктуру при внутреннем тестировании смогли скомпрометировать в 95% случаев.
В этом году мы получили лицензию на мониторинг, что позволило нам предоставлять клиентам полностью соответствующий всем стандартам SOC. Провели внутреннюю интеграцию SIEM-системы и платформы SimpleOne: теперь отслеживаем инциденты 24/7/365. Средняя скорость реакции составила 60 минут . Интеграция с SimpleOne позволила нам разработать удобный интерфейс, в результате у клиентов есть возможность видеть буквально все данные, которые собирает и обрабатывает наш SOC.
В будущем году планируем внедрить SOAR-решение и модуль SGRC, которые усовершенствуют наши услуги по мониторингу информационной безопасности и managed security.
Итог
Уходящий год явно получился неоднозначным. Но назвать плохим его едва ли возможно.
Российской ИБ удалось справиться с вызовами и адаптироваться, перейти на новый этап своего развития.
Наступающий год, по всем признакам, станет логическим продолжением года уходящего – будем делать кибербезопасность еще лучше, совершенствовать подходы и постараемся не оставить злоумышленникам ни строчки персональных данных.
А чтобы всегда быть в курсе главных событий мира ИБ, не забудьте подписаться на Банковский Безопасник в telegram – в этом канале мы стараемся своевременно рассказывать вам о новостях из мира ИБ в финсекторе.
Берегите себя в новом 2024 году!