Нас к этому готовили: инициация импортозамещения в ИБ
На самом деле, вопрос импортозамещения поднимался ещё с 2014 года. Тогда очевидно проявилась зависимость большинства секторов российской экономики от политики санкций западных стран. Непредсказуемые ограничения негативно сказывались практически на каждом крупном бизнесе, в то время как технологическая зависимость от цепочек поставок программного и аппаратного обеспечения поставила под вопрос процесс реализации многих масштабных проектов, в том числе и переход на цифровую экономику.
До 2014 года большинство отечественных производителей не считали целесообразным инвестировать в разработку собственных решений для ИБ. С одной стороны, это казалось вполне логичным, ведь весь рынок занимали западные игроки с огромными маркетинговыми бюджетами. Дальнейшие же события показали, насколько подобный подход был недальновиден. Только сейчас мы понимаем, что киберконфликты даже не нуждаются в разрушительном кибероружии и достаточно отключить лицензии, подписки и облачные сервисы.
Еще в 2015 году был подписан закон, в рамках которого был создан Реестр отечественных программ и рассмотрена возможность ограничений использования зарубежного программного обеспечения при наличии подходящего российского аналога. Уже тогда отечественные компании заняли 50 % рынка программных продуктов и приблизительно 30 % продаж сегмента аппаратных решений. Все ждали 2016 год, полагаясь, что цикл разработки российских решений ИБ займет от полутора до трех лет. В последующие годы компании действительно стали больше интересоваться аналогами российского производства, хотя заказчики не спешили добровольно отказываться от зарубежных решений, которые еще не окупили себя.
Системный архитектор Angara Security Тимофей Коптяев
С 2019 года Федеральной службой по техническому и экспортному контролю (ФСТЭК) был утвержден новый перечень требований, касающийся процессов разработки, производства и поддержки безопасности средств для защиты информации (СЗИ) в зависимости от уровня доверия. Новые правила устанавливали для СЗИ шесть уровней доверия, где самым низким был шестой, а самым высоким - первый. Требования вступили в силу с 1 июня 2019 года, а уже к 1 января 2020 года ФСТЭК потребовала от разработчиков и производителей СЗИ предоставить оценку соответствия своих решений. В то же время Минцифры подготовило проект приказа, в котором определялась форма и порядок предоставления информации о централизованных закупках антивирусного ПО.
Удалиться и мигрировать
Во время пандемии организации массово стали переводить персонал на удаленный режим работы, что привело к ослаблению контроля деятельности сотрудников и обнаружению их тотальной безграмотности в вопросах информационной безопасности. Это повлияло на рост утечек конфиденциальной информации, что отражалось не только на финансовом, но и на имиджевом положении компаний. Ряд ограничений экспорта из других стран заставил правительство еще больше задуматься о создании отечественных аналогов, которые способны обеспечить бесперебойную работу цифровых систем.
2022 год преподнес дополнительные трудности в виде внешних кибератак и массового ухода иностранных IT-компании. Причем стратегии у них разные: некоторые IT-компании полностью прекратили деятельность на территории РФ, другие решили пока не отказываться от взятых на себя обязательств и продолжили оказывать услуги по сопровождению своих продуктов, но остановили их продажу. К этому же добавилось усиление тренда на импортозамещение в нормативно правовой деятельности государства. Например, для ЗОКИИ по Указу Президента РФ № 166 юридические лица, перечисленные в Федеральном законе от 18 июля 2011 г. № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц», не могут закупать иностранное программное обеспечение без согласования с уполномоченным Представительством РФ федеральным органом исполнительной власти. И пусть данный закон предусматривает полный запрет на использование иностранного ПО с января 2025 года, зарубежные ИБ-решения в итоге придется заменить уже сейчас. Даже если у компании не истек срок действия лицензии и продукт работает стабильно, необходимо запланировать планомерный переход на отечественный аналог после детального изучения рынка.
Правильный алгоритм
Для качественного и безболезненного перехода на отечественные решения в вашей ИБ-среде необходимо обратить внимание на следующие критерии, которые в той или иной степени будут влиять на результат в зависимости от общей ИТ-архитектуры ваших бизнес-процессов и приоритетов компании.
Критерий 1 – Критичные сервисы. Для успешного импортозамещения важно определиться с тем, что необходимо защитить в первую очередь, выделить наиболее критичные для бизнеса информационные системы и процессы.
Критерий 2 – Требования регуляторов. В зависимости от рода деятельности и характера обрабатываемых данных на некоторые компании распространяются требования нормативной документации (ФЗ 187, ФЗ 152, приказ президента РФ №250), которая регламентирует применение соответствующих СЗИ. Если вы попадаете под действие какого-либо нормативного документа, то необходимо определить, на какие системы в вашей ИТ-среде он распространяется, и в приоритетном порядке импортозаместить СЗИ, обеспечивающие защиту таких систем.
Критерий 3 – Функциональность. Немаловажную роль играет функциональность текущих СЗИ, их достаточность и оптимальность. Может возникнуть ситуация, когда отечественное СЗИ не в полной мере по функционалу отвечает имеющейся: для замены одной импортной СЗИ придется установить три отечественные и потратить немалые усилия на их взаимную интеграцию. В таких случаях самое главное - отталкиваться от реальных потребностей бизнеса и особенностей информационных систем и процессов. Для обеспечения наилучшей защиты ключевых систем и процессов следует провести технический аудит, выделить наиболее уязвимые места в ПО и архитектуре искомых систем, и исходя из выявленных узких мест уже сформировать требования к функционалу защиты.
Критерий 4 – Компетенции. При выборе решения очень важно обратить внимание на имеющиеся в вашем распоряжении компетенции, на сколько ваш персонал готов к внедрению нового решения и его администрированию, потому как большинство отечественных продуктов, хоть и имеют схожий графический интерфейс управления с зарубежными аналогами, в своей основе содержат открытые программные модули, с которыми придется так или иначе работать через интерфейс командной строки, а для этого, возможно, потребуется дополнительное обучение сотрудников.
Критерий 5 – Лояльность вендора. При выборе отечественного СЗИ также важно иметь представление о компетенциях службы поддержки самого вендора – нередки случаи, когда поддержка либо не знает прямого ответа на вопрос, либо дает неправильные рекомендации, либо неприлично долго затягивает с ответом. Отдельно стоит обратить внимание на готовность вендора вносить доработки в продукт по вашим пожеланиям, на общую лояльность в рамках R&D по совместному совершенствованию решения.
Критерий 6 – Зрелость решения. Перед покупкой того или иного отечественного СЗИ стоит обратить внимание на зрелость решения. Здесь важно учитывать, как долго вендор на рынке, как много продуктов у него в портфеле, как много релизов того или иного ПО выходило, насколько полна документарная база по продуктам, какие успешные инсталляции имеются в портфолио и как часто появляется информация о продуктах в профильном медиапространстве.
Критерий 7 – Сложность замещения. Если вы приняли решение по импортозамещению всего вашего парка ИБ-решений, то сперва необходимо провести инвентаризацию всех имеющихся СЗИ и разбить их на классы по сложности замещения, после чего двигаться от простого к сложному. Весь набор ИБ-решений условно можно разделить на три класса, отражающих сложность замещения СЗИ на отечественные аналоги, где А – легко заменяемые СЗИ, Б – средне сложные по замене СЗИ и В – трудно заменимые.
- Класс А – зрелые решения, уже хорошо зарекомендовавшие себя на отечественном рынке с отработанными сценариями внедрения, такие как антивирусы, защита от НСД, сканеры уязвимостей, DLP и PAM. Эти системы могут быть легко развернуты на имеющихся аппаратных платформах и в различных средах виртуализации, могут быть импортозамещены в кратчайшие сроки и с минимальными рисками проблем при внедрении.
- Класс Б – к этому классу относятся всякого рода аналитические системы, которые используют множество каналов интеграции (SIEM, IRP, NAC), а также системы, работающие с источниками внешней статистики и репутационными базами (WAF, IPS/IDS/DPI, SMG, Sanbox). Такие системы также хорошо представлены на отечественном рынке, но трудность вызывает недостаточная полнота внутренних репутационных баз данных, а также сложность внедрения в существующую инфраструктуру.
- Класс В – аппаратные платформы высокой производительности, а также системы, предполагающие работу с большим количеством трафика, такие как NGFW, IPS/IDS/DPI, защита от DDoS, NTA, UEBA. По состоянию рынка высокопроизводительных сетевых устройств, ввиду недоступности платформ из-за санкций, очередь на поставку таких устройств с полной предоплатой в некоторых вендорах уже расписана до апреля 2023 года.
- Также стоит заметить, что есть западные решения, которые пока что в принципе не имеют аналогов на отечественном рынке и которые импортозаместить в ближайшей перспективе не удастся. К таким системам относятся SSL offloading, балансировщики (LB), контроль доставки приложений (ADC), граничные сервисы безопасного доступа (SASE и CWPP).
Критерий 8 – Пилотирование. Никогда не принимайте цифры в даташитах на веру. Показатели производительности зачастую сильно завышены и требуют кратного перезаклада при масштабировании решения. Функционал интеграции со сторонними сервисами также часто не отвечает действительности и не отрабатывает корректно. Основной профильный функционал тоже не всегда отвечает заявленным характеристикам. Всегда проводите пилотирование решений еще на стадии выбора и сравнения, проверяйте весь интересующий вас функционал и производительность, это поможет вам избежать неприятных сюрпризов.
Вместо заключения
Процесс импортозамещения очень сложный и трудоемкий, требующий учета большого количества критериев и в большинстве случаев достаточно болезненный для компании. Если вы все-таки решились на этот шаг, то настоятельно рекомендуем обращаться к профильным интеграторам, которые смогут провести аудит ключевых сервисов, сформировать требования к СЗИ, произвести грамотное проектирование и внедрение, что в конечном итоге позволит вам сэкономить время, средства и минимизировать риски. Самостоятельный же подход к внедрению отечественных продуктов может быть связан с долгим процессом наращивания соответствующих компетенций, неизбежными рисками для непрерывной работы защищаемых информационных систем и процессов, а также непредвиденными затратами, связанными с отсутствием аудита ИБ-ландшафта и неполнотой картины требуемого функционала.
В качестве общих рекомендаций при подходе к импортозамещению советуем придерживаться следующих тезисов:
- Выбирайте решение исходя из требуемого функционала, а не просто ищите замену текущей «коробке»;
- Обращайтесь к профильным интеграторам – под ваши требования, скорее всего, уже имеются готовые сборки отечественных решений в виде ПАК, полностью преднастроенных и закрывающих комплексно ваши потребности в защите целевых информационных систем;
- Всегда проводите пилотное тестирование выбранных решений на соответствие вашим требованиям к функциональности и производительности;
- Замещайте в первую очередь СЗИ, имеющие зрелые проверенные аналоги на отечественном рынке;
- Уделяйте внимание вашим компетенциям – обеспечьте готовность персонала обслуживать новые СЗИ и работать с linux-подобными платформами;
- Проверяйте уровень вендорской поддержки – перед выбором пообщайтесь с пользователями на форумах и в телеграм-чатах на предмет адекватности и компетентности службы поддержки, лояльности команды разработчиков, общего впечатления от общения с представителями выбранного производителя;
- Не забывайте о требованиях закона по соблюдению нормативных актов, если таковые на вас распространяются.
Автор: Тимофей Коптяев, системный архитектор Angara Security