Информационная безопасность в России: итоги 2022 года и планы на 2023
Как изменилось отношение к информационной безопасности
Рост цифровизации в последние несколько лет привел к тому, что количество атак и инцидентов сильно возросло. Роскомнадзор сообщает, что в прошлом году зафиксировано около 150 крупных утечек персональных данных, и это не говоря о других типах атак, а также случаях, которые не попадают в публичное поле. Множество факторов, в том числе геополитическая ситуация, привели к тому, что за информационную безопасность взялись всерьез все три стороны: хакеры, бизнес, регуляторы.
Очевидные и ожидаемые изменения, например, оборотные штрафы, ужесточение ФЗ-152 – далеко не все, что нужно иметь в виду, чтобы ориентироваться в современном законодательстве и выстроить правильную стратегию информационной безопасности компании.
В этой статье специалисты ITGLOBAL.COM Security рассказывают о главных нововведениях и о том, как подготовиться к переменам.
Основные изменения в законодательстве и в требованиях регуляторов в России в 2022 году
- Рост регуляции и ужесточение законодательства Прежде чем говорить о конкретных изменениях, стоит отметить, что 2022-й — год рекордного количества регуляционных активностей со стороны государства/надзорных органов. Речь идет не только о постановлениях, которые вступают в силу мгновенно, но и о планируемых в 2023-м и 2024-м годах изменениях.
- Регуляция КИИ, ФЗ-187
a. Среди дополнений к ФЗ-187 «О безопасности критической информационной инфраструктуры» самое обсуждаемое изменение — 250-й указ Президента РФ о персональной ответственности руководителей компаний за инциденты, связанные с субъектами КИИ.b. 127-е постановление правительства — изменения в категоризации объектов КИИ: детализация и более строгая трактовка значимых субъектов.c. 187-ФЗ вышел в 2017 году, и до 2022 года многие компании не подавали данные как «не субъекты» КИИ или пытались представить себя незначимыми субъектами КИИ, что позволяло уходить от контроля, в частности, от соблюдения требований 239-го приказа ФСТЭК. Сейчас таким компаниям придется пересмотреть свой подход к защите конфиденциальной информации.
- Персональные данные, ФЗ-152
a. Введение оборотных штрафов анонсировано, законопроект ожидается в 2023 году. Сейчас уже примерно понятно его содержание и объем штрафов (1% от оборота за утечку данных от 10 000 человек и 3% за утечку, которую попытались скрыть).b. Изменились правила трансграничной передачи данных — о факте нужно будет уведомлять Роскомнадзор с 1 марта 2023 года.c. Почти всем теперь (с 1 сентября 2022 года) нужно уведомлять РКН о факте обработки и хранения данных, также нужно сообщать об изменении или прекращении обработки ПД их уничтожении, всех инцидентах утечек.d. Новые требования к согласию на обработку ПД и политике конфиденциальности.e. Сейчас ведется работа по созданию законопроекта об уголовной ответственности за незаконную обработку персональных данных.
- Детализация и ужесточение требований к финансовому сектору
a. Положение 802 о требованиях к защите информации в платежной системе Банка России, положение 787 об операционной надежности.b. С 1 февраля вступили в силу ГОСТ Р 57580.3 и ГОСТ Р 57580.4 об управлении рисками реализации информационных угроз и об операционной надежности, которые регламентируют работу с рисками для некредитных и кредитных финансовых организаций, а также описывают необходимый уровень операционной надежности.c. В ближайшее время ожидается выход рекомендаций по оценке эффективности соблюдения этих ГОСТов, так что затягивать с соответствием не стоит (лучше начинать сейчас и планировать на год вперед).
- Развитие импортозамещения
Не секрет, что многие ключевые вендоры ушли из страны, что побудило российские компании актуализировать решения. Примеры: новая версия Astra Linux, обновление русской Arch Linux, появляются новые и развиваются старые СЗИ (напоминаем, что все они должны быть сертифицированы ФСТЭК или ФСБ), вышли новые продукты у Информзащиты, Positive Technologies, Group IB.
- Рост стоимости российских решений и затрат на ИБ
Согласно исследованию, опубликованному Ростелеком-Солар еще в мае 2022 года, участники рынка отмечают заметный рост стоимости российских решений для информационной безопасности. ФСТЭК упростила некоторые процессы, с которыми могло быть связано подорожание, но цены так и не опустились, поэтому вопрос, возможно, будет передан в ФАС.
Пока что практики применения нововведений практически нет, пояснений к новым правилам минимум, они только планируются, а мораторий на плановые проверки РКН действует (на момент написания статьи) до 31 декабря 2024 года, так что есть время подготовиться и определить приоритеты исходя из доступных ресурсов и возможных последствий.
К чему привели изменения
- Появление «культуры» ИБ Более осознанный подход к ИБ и управлению процессами, повышение качества ИБ в России как на государственном уровне, так и на местах.
- Высокий спрос на специалистов информационной безопасности Появляется больше образовательных специальностей, государство выделяет на них больше средств, но пока новые люди учатся, зарплаты старых растут.
- Рост затрат на ИБ Они растут как в абсолютном значении, так и в качестве доли в операционных расходах компаний, причем больше всего потратят те, кто вынужден выстраивать процессы и инфраструктуру с нуля или практически с нуля. Как правило, это компании, чья деятельность регулировалась минимально или «спустя рукава», то есть значительная часть среднего и малого бизнеса.
- Болезненное импортозамещение С проблемами столкнулись те, кто много лет выстраивал свою инфраструктуру на решениях западных вендоров, таких как Cisco, IBM, Fortigate, им пришлось искать альтернативы или обходные пути.
- Есть время подготовиться к изменениям Но не слишком долгое: самый ранний срок вступления изменений в силу — полгода, более реальный — от года до полутора. Поэтому лучше полноценно ознакомиться со всеми поправками заранее, чтобы планировать бюджеты и ресурсы, в том числе человеческие, хотя бы на год вперед.
Что ждет рынок ИБ в 2023 году
Сокращение технологического разрыва между РФ и остальным миром В РФ внедрение всех классов систем обеспечения безопасности идет с задержкой. SIEM-решения (для сбора и анализа данных о событиях безопасности) применяются за рубежом с 2006 года, а у нас они стали массово использоваться примерно в 2016-м. Сейчас во всем мире внедряют XDR-решения (обнаружение и блокировка активности на сетевых узлах), а в России к этому только приближаются. Главное в новом году — попытки ускорить прогресс и сократить разрыв благодаря выходу новых продуктов на рынок.
Расширение использования ИИ и машинного обучения в продуктах для ИБ Например, в SIEM и SOC-решениях (security operations center) искусственному интеллекту уже можно отдать написание правил и парсеров. Зарубежные вендоры, скорее всего, в обозримом будущем будут использовать машинное обучение во многих своих продуктах.
В антивирусах ML используется уже какое-то время, но сфера его применения будет расширяться. Дальше оно появится в endpoint-решениях, потом в WAF, XDR, IPS/IDS решениях. В любом случае машинное обучение будет использоваться для обнаружения потенциально вредоносных событий.
Что делать с информационной безопасностью прямо сейчас
- Начинайте ей заниматься, если не занимались раньше, или подходите к ИБ максимально серьезно.
- Не стесняйтесь обращаться к консалтинговым и аудиторским компаниям. Квалификации инхаус-аналитики может быть недостаточно, чтобы в полной мере оценить защищенность контура. Сложность атак растет, кадров не хватает, и не все компании смогут позволить себе полноценную команду, а одним универсальным безопасником обойтись, скорее всего, не получится. Аутсорс-компании регулярно повышают квалификацию и обычно подтверждают ее сертификатами, а качество и объем услуг прописывается в SLA. Немаловажно, что аутсорс, как правило, несет большую ответственность, чем инхаус-команда: от возможного прекращения контракта до репутационных рисков.
- Создайте долгосрочную стратегию развития ИБ в компании, подходите к планированию зрело и выделяйте на информационную безопасность достаточно ресурсов (предположительно, больше, чем раньше).
- Защищайте все данные, а не только интеллектуальную собственность и ПД клиентов: никогда нельзя знать наперед, какая информация окажется бизнес-критичной.
- Не рассчитывайте на то, что вам повезет, не стоит надеяться, что ваши уязвимости не обнаружат, и не стоит предполагать, что вам не придется за них заплатить.