Информационная безопасность в России: итоги 2022 года и планы на 2023

Как изменилось отношение к информационной безопасности

Рост цифровизации в последние несколько лет привел к тому, что количество атак и инцидентов сильно возросло. Роскомнадзор сообщает, что в прошлом году зафиксировано около 150 крупных утечек персональных данных, и это не говоря о других типах атак, а также случаях, которые не попадают в публичное поле. Множество факторов, в том числе геополитическая ситуация, привели к тому, что за информационную безопасность взялись всерьез все три стороны: хакеры, бизнес, регуляторы.

Очевидные и ожидаемые изменения, например, оборотные штрафы, ужесточение ФЗ-152 – далеко не все, что нужно иметь в виду, чтобы ориентироваться в современном законодательстве и выстроить правильную стратегию информационной безопасности компании.

В этой статье специалисты ITGLOBAL.COM Security рассказывают о главных нововведениях и о том, как подготовиться к переменам.

Основные изменения в законодательстве и в требованиях регуляторов в России в 2022 году

1. Рост регуляции и ужесточение законодательства Прежде чем говорить о конкретных изменениях, стоит отметить, что 2022-й — год рекордного количества регуляционных активностей со стороны государства/надзорных органов. Речь идет не только о постановлениях, которые вступают в силу мгновенно, но и о планируемых в 2023-м и 2024-м годах изменениях.
2. Регуляция КИИ, ФЗ-187
   a. Среди дополнений к ФЗ-187 «О безопасности критической информационной инфраструктуры» самое обсуждаемое изменение — 250-й указ Президента РФ о персональной ответственности руководителей компаний за инциденты, связанные с субъектами КИИ.
   b. 127-е постановление правительства — изменения в категоризации объектов КИИ: детализация и более строгая трактовка значимых субъектов.
   c. 187-ФЗ вышел в 2017 году, и до 2022 года многие компании не подавали данные как «не субъекты» КИИ или пытались представить себя незначимыми субъектами КИИ, что позволяло уходить от контроля, в частности, от соблюдения требований 239-го приказа ФСТЭК. Сейчас таким компаниям придется пересмотреть свой подход к защите конфиденциальной информации.
3. Персональные данные, ФЗ-152
   a. Введение оборотных штрафов анонсировано, законопроект ожидается в 2023 году. Сейчас уже примерно понятно его содержание и объем штрафов (1% от оборота за утечку данных от 10 000 человек и 3% за утечку, которую попытались скрыть).
   b. Изменились правила трансграничной передачи данных — о факте нужно будет уведомлять Роскомнадзор с 1 марта 2023 года.
   c. Почти всем теперь (с 1 сентября 2022 года) нужно уведомлять РКН о факте обработки и хранения данных, также нужно сообщать об изменении или прекращении обработки ПД их уничтожении, всех инцидентах утечек.
   d. Новые требования к согласию на обработку ПД и политике конфиденциальности.
   e. Сейчас ведется работа по созданию законопроекта об уголовной ответственности за незаконную обработку персональных данных.
4. Детализация и ужесточение требований к финансовому сектору
   a. Положение 802 о требованиях к защите информации в платежной системе Банка России, положение 787 об операционной надежности.
   b. С 1 февраля вступили в силу ГОСТ Р 57580.3 и ГОСТ Р 57580.4 об управлении рисками реализации информационных угроз и об операционной надежности, которые регламентируют работу с рисками для некредитных и кредитных финансовых организаций, а также описывают необходимый уровень операционной надежности.
   c. В ближайшее время ожидается выход рекомендаций по оценке эффективности соблюдения этих ГОСТов, так что затягивать с соответствием не стоит (лучше начинать сейчас и планировать на год вперед).
5. Развитие импортозамещения

   Не секрет, что многие ключевые вендоры ушли из страны, что побудило российские компании актуализировать решения. Примеры: новая версия Astra Linux, обновление русской Arch Linux, появляются новые и развиваются старые СЗИ (напоминаем, что все они должны быть сертифицированы ФСТЭК или ФСБ), вышли новые продукты у Информзащиты, Positive Technologies, Group IB.

6. Рост стоимости российских решений и затрат на ИБ

   Согласно исследованию, опубликованному Ростелеком-Солар еще в мае 2022 года, участники рынка отмечают заметный рост стоимости российских решений для информационной безопасности. ФСТЭК упростила некоторые процессы, с которыми могло быть связано подорожание, но цены так и не опустились, поэтому вопрос, возможно, будет передан в ФАС.

Пока что практики применения нововведений практически нет, пояснений к новым правилам минимум, они только планируются, а мораторий на плановые проверки РКН действует (на момент написания статьи) до 31 декабря 2024 года, так что есть время подготовиться и определить приоритеты исходя из доступных ресурсов и возможных последствий.

К чему привели изменения

1. Появление «культуры» ИБ Более осознанный подход к ИБ и управлению процессами, повышение качества ИБ в России как на государственном уровне, так и на местах.
2. Высокий спрос на специалистов информационной безопасности Появляется больше образовательных специальностей, государство выделяет на них больше средств, но пока новые люди учатся, зарплаты старых растут.
3. Рост затрат на ИБ Они растут как в абсолютном значении, так и в качестве доли в операционных расходах компаний, причем больше всего потратят те, кто вынужден выстраивать процессы и инфраструктуру с нуля или практически с нуля. Как правило, это компании, чья деятельность регулировалась минимально или «спустя рукава», то есть значительная часть среднего и малого бизнеса.
4. Болезненное импортозамещение С проблемами столкнулись те, кто много лет выстраивал свою инфраструктуру на решениях западных вендоров, таких как Cisco, IBM, Fortigate, им пришлось искать альтернативы или обходные пути.
5. Есть время подготовиться к изменениям Но не слишком долгое: самый ранний срок вступления изменений в силу — полгода, более реальный — от года до полутора. Поэтому лучше полноценно ознакомиться со всеми поправками заранее, чтобы планировать бюджеты и ресурсы, в том числе человеческие, хотя бы на год вперед.

Что ждет рынок ИБ в 2023 году

Сокращение технологического разрыва между РФ и остальным миром В РФ внедрение всех классов систем обеспечения безопасности идет с задержкой. SIEM-решения (для сбора и анализа данных о событиях безопасности) применяются за рубежом с 2006 года, а у нас они стали массово использоваться примерно в 2016-м. Сейчас во всем мире внедряют XDR-решения (обнаружение и блокировка активности на сетевых узлах), а в России к этому только приближаются. Главное в новом году — попытки ускорить прогресс и сократить разрыв благодаря выходу новых продуктов на рынок.

Расширение использования ИИ и машинного обучения в продуктах для ИБ Например, в SIEM и SOC-решениях (security operations center) искусственному интеллекту уже можно отдать написание правил и парсеров. Зарубежные вендоры, скорее всего, в обозримом будущем будут использовать машинное обучение во многих своих продуктах.

В антивирусах ML используется уже какое-то время, но сфера его применения будет расширяться. Дальше оно появится в endpoint-решениях, потом в WAF, XDR, IPS/IDS решениях. В любом случае машинное обучение будет использоваться для обнаружения потенциально вредоносных событий.

Что делать с информационной безопасностью прямо сейчас

1. Начинайте ей заниматься, если не занимались раньше, или подходите к ИБ максимально серьезно.
2. Не стесняйтесь обращаться к консалтинговым и аудиторским компаниям. Квалификации инхаус-аналитики может быть недостаточно, чтобы в полной мере оценить защищенность контура. Сложность атак растет, кадров не хватает, и не все компании смогут позволить себе полноценную команду, а одним универсальным безопасником обойтись, скорее всего, не получится. Аутсорс-компании регулярно повышают квалификацию и обычно подтверждают ее сертификатами, а качество и объем услуг прописывается в SLA. Немаловажно, что аутсорс, как правило, несет большую ответственность, чем инхаус-команда: от возможного прекращения контракта до репутационных рисков.
3. Создайте долгосрочную стратегию развития ИБ в компании, подходите к планированию зрело и выделяйте на информационную безопасность достаточно ресурсов (предположительно, больше, чем раньше).
4. Защищайте все данные, а не только интеллектуальную собственность и ПД клиентов: никогда нельзя знать наперед, какая информация окажется бизнес-критичной.
5. Не рассчитывайте на то, что вам повезет, не стоит надеяться, что ваши уязвимости не обнаружат, и не стоит предполагать, что вам не придется за них заплатить.