Что готовит нам 2010 год

Алексей Лукацкий строит прогнозы на будущее российского рынка информационной безопасности. Государство продолжит попытки контролировать Интернет, ПО и железо, стартапов станет больше, а квалифицированных специалистов по-прежнему будет недостаточно.

Хотелось бы поразмышлять о том, что несёт следующий год российскому рынку информационной безопасности (о том, что будет происходить в мире, неплохо описано в отчёте, который подготовила компания Cisco).

Если рассматривать российский рынок по-крупному, без углубления в отдельные продуктовые или технологические ниши, то я могу назвать следующие тенденции.

• Усиление роли государства в области информационной безопасности, которое распространяется сразу по нескольким направлениям.
  
  • Выпуск новых нормативных требований в области защиты информации ограниченного доступа. Пресловутыми персональными данными данное направление не ограничивается. После аварии на Саяно-Шушенской ГЭС усиливается контроль критически важных объектов, в том числе и в области информационной безопасности ключевых систем информационной инфраструктуры. Об этом мы уже говорили, рассматривая проект нового американского федерального закона S.773 ("Cybersecurity Act of 2009").
  • Попытка постепенного вытеснения западных производителей ПО и "железа" из многих сфер экономики, в первую очередь из госорганов и критически важных объектов. Мотивация простая – управление рисками использования импортного оборудования для обеспечения национальной безопасности и определение приоритетных областей, где необходима замена импортного оборудования и средств связи на оборудование российского производства, сопоставимое по своим техническим характеристикам. При этом наши регуляторы планируют выработку мер по минимизации непосредственного участия иностранных компаний в информатизации процессов государственного управления.
  • Ужесточение контроля ввоза оборудования и ПО, содержащего функции шифрования, на территорию России.
  • Контроль Интернета. Свободный и свободолюбивый Интернет давно вызывает у отечественных чиновников непреодолимое желание наложить лапу на неподконтрольную им Сеть. Высказывания чиновников московского правительства о запрете доступа к виртуальным казино вне отведённых четырех географических зон, желание регистрации ADSL-модемов в МВД, "наезды" милицейских генералов на анонимность в Интернете, законопроект о защите детей от негативной информации, законопроект "Об Интернет", изменения в Уголовном Кодексе в части усиления ответственности за хакерские атаки на сайты госорганов, дискуссия России и США по вопросам контроля Интернета, регистрация русскоязычных доменов и доменов в зоне .рф… Всё это звенья одной цепи, которые говорят о том, что к Интернету око регуляторов обращается всё чаще и чаще.
• Нехватка квалифицированных кадров. Эта проблема преследует не только Россию, но и весь мир, – квалифицированных кадров катастрофически не хватает. Например, проведённый в одном из вузов анализ показывает, что только банкам не хватает свыше 1200 специалистов по ИБ. Если взять 100 с лишним вузов, готовящих выпускников по ИБ, и наложить на потребности всей российской экономики, то при текущем темпе развития они смогут закрыть потребности в специалистах только лет через 40. Но и при наличии достаточного количества выпускников остаются серьёзные проблемы с качеством их знаний. Только-только выпустившиеся выпускники заламывают при поиске работы такие требования по части зарплаты, что начинаешь задумываться, а чему такому их учили, что они просят оплату своих услуг на уровне 70-90 тысяч рублей. И это при практически полном отсутствии реального опыта и мало-мальски применимых на практике знаний.
• Рост числа российских стартапов. Начавшись в 2008, эта тенденция продолжится и в 2010-м году. На рынке ИБ (как в Москве, так и регионах) стало появляться немало компаний, специализирующихся на оказании различных услуг в области информационной безопасности. Как правило, это бывшие сотрудники интеграторов или производителей средств защиты, которые решили податься на вольные хлеба, считая, что в условиях кризиса самое время начинать собственное дело. Время покажет, насколько они были правы. Новых разработчиков средств защиты на рынке пока не появилось и в ближайшее время вряд ли стоит этого ожидать.
• Политизация хакерских атак. Усиление роли России на международной арене и рост влияния в энергетической сфере приводят к осложнению политической ситуации, которая начинает влиять и на Интернет. Конфликты с Грузией, Украиной, Эстонией и другими государствами сопровождаются массовыми атаками "хакеров" с обеих сторон. При этом страдать могут и невинные граждане и предприятия.
• Техническое регулирование. Совсем недавно Президент Медведев внес законопроект об изменении ФЗ "О техническом регулировании", в котором сделан огромный шаг навстречу всему миру. Речь идёт о признании западных стандартов и гармонизации их с российскими нормативными требованиями. Пока не известно, как это скажется на области ИБ, но если мы начнем признавать Common Criteria, ISO 27001, ISA SP99 и т.д., то это сильно облегчит жизнь и российскому государству, не имеющему аналогичных стандартов, и российским потребителям, которым не придётся тратить деньги на повторную сертификацию средств защиты (исключая критические области национальной безопасности). Определённый конфликт с первым предсказанием, конечно, есть, но это связано с тем, что "наверху" (в органах власти) идёт борьба за контроль этой темы.
• Отраслевая стандартизация. Банк России стал застрельщиком в этой области, выпустив свой стандарт по ИБ для банковского сообщества. ФЗ "О персональных данных" стал катализатором и для других отраслей. О своем стандарте безопасности заговорили операторы связи (сейчас они уже вышли на финишную прямую), страховщики и другие отрасли экономики. В следующем году эта тенденция только усилится.

Данные тенденции показывают, что область информационной безопасности в России сейчас претерпевает серьёзные изменения, частично вызванные принятием закона о персональных данных, который и выявил многие из существующих проблем. Из них мне меньше всего нравится первая тенденция, связанная с усилением роли государства в области ИБ. Учитывая, что чиновники мало разбираются в регулируемых ими вопросах, а если разбираются, то с точки зрения защиты гостайны и борьбы с иностранными техническими разведками, я ожидаю очередных перегибов. Если конечно, не воплотится в жизнь одна из рекомендаций, которую не раз пытались донести до регуляторов и чиновников – жизненно важно создать консультативный орган/совет, в который войдут специалисты-практики, а не свадебные генералы или руководители ведомств. Только в этом случае есть шанс не наломать дров.

В остальном же желаю читателям искрометного настроения (но без жертв), сияющих лиц, ослепительных улыбок, детской непосредственности, здоровья духовного и телесного и интересной работы или хобби. Без этого жить становится скучно. С Новым годом и Рождеством!