Сегмент информационной безопасности (ИБ) — один из немногих, если не единственный на рынке ИТ, показавший положительную динамику в 2009 г. Но восторгов этот факт вызывать не должен, ведь он свидетельствует о том, что с каждым днем в киберпространстве растет число противоправных действий, а само это пространство становится все более опасным.
Как и следовало ожидать, кризис заставил активизироваться не только «кибершпану», но и крупных киберпреступников. Ничего удивительного или неожиданного в этом нет. Желающих поживиться за чужой счет, особенно в трудные времена, всегда хватало. Вот только методы работы «джентльменов удачи» в последнее время сильно изменились.
Атакуют со всех сторон
Отчеты крупнейших игроков рынка ИБ свидетельствуют, что количество выявленных ИТ-угроз за последний год резко увеличилось, несмотря на то, что большинство клиентов предпринимали определенные шаги для повышения информационной безопасности. В ежегодном отчете группы IBM X-Force, опубликованном в марте, говорится, что в 2009 г. атакующие все чаще нацеливались на физических лиц, используя Интернет для кражи денег или информации. Также зарегистрирован стремительный рост количества вредоносных Web-ссылок, их стало на 345% больше. Во втором полугодии прошлого года в Сети стало больше мошенничества и фишинга. В основном фишинговые атаки предпринимались с территории Бразилии, США и России.
В апреле свои данные обнародовала компания Symantec. Главный вывод, сделанный в отчете Internet Security Threat Report, гласит: растут объемы киберугроз, они становятся более изощренными. «Киберпреступники переходят от простых атак к крайне изощренным шпионским кампаниям, целью которых становятся крупнейшие мировые корпорации и правительственные структуры, — заявил Стивен Триллинг, старший вице-президент Symantec по технологиям защиты. — Масштаб таких угроз и тот факт, что они возникают по всему миру, переводят данную проблему на международный уровень. Необходима совместная работа коммерческих компаний и правительств».
Приведем лишь несколько цифр из отчета, которые характеризуют масштаб и опасность проблемы. Только в 2009 г. антивирусная база Symantec увеличилась почти на 3 млн. сигнатур вредоносных кодов. Это на 71% больше, чем в 2008 г., и составляет 51% всех сигнатур, когда-либо созданных Symantec.
Взломы сетей стали причиной утечки данных в 60% случаев. Это на 22% больше, чем в 2008 г. 60% всех утечек произошло в финансовом секторе (на 29% больше, чем годом ранее). Наиболее часто рекламируемый товар на серверах теневой экономики — данные о кредитных картах. На их долю приходилось 19% всех рекламируемых товаров и услуг.
По некоторым оценкам, из-за кражи данных компании понесли убытки в размере 600 млрд. долл., причем специалисты отмечают, что этот расчет сделан только на основе известных инцидентов.
Россия, увы, играет не последнюю роль в мире киберпреступности. По данным отчета Symantec, наша страна в рейтинге вредоносной активности поднялась с 12-го места в 2008 г. на 7-е в 2009-м. Слабым утешением может служить то обстоятельство, что мы оказались в компании мировых ИТ-лидеров — Великобритании, Германии и США. Эти страны заняли в рейтинге Symantec соответственно шестое, четвертое и первое места.
«Атаки осуществляются каждый день, причем в большом количестве. Злоумышленники действуют все более организованно, незаметно и эффективно», — комментирует ситуацию Олег Шабуров, старший системный инженер Symantec в России и СНГ. В качестве примера такой активности он привел кражу 130 млн. номеров кредитных карт из платежной системы Heartland.
Однако надо заметить, что при общем росте вредоносной активности принципиально новых угроз за минувший год не появилось. Как отмечает Кирилл Леонов, PR-менеджер компании «Доктор Веб», вирусная активность растет из года в год. «В этом нет ничего нового, — говорит он. — Удивляют скорее темпы роста, которые также стремятся вверх».
Эту точку зрения разделяет Наталья Бадьина, менеджер по развитию антивирусного направления компании ASBIS. Она подчеркивает, что вирусная активность растет в геометрической прогрессии: еще несколько лет назад общее число объектов, зарегистрированных в базах ведущих антивирусных компаний, не превышало миллиона, тогда как сейчас счет идет уже на десятки миллионов вирусов, троянов и прочих вредоносных программ. Угрозы продолжают диверсифицироваться: спам, фишинг и руткиты соседствуют с традиционными вирусами и троянскими программами. «Естественно, что такая ситуация отразилась и на рынке. Поскольку защита от одних только вирусов уже не способна покрыть все потребности пользователя или компании, на смену антивирусам приходят комплексные продукты для обеспечения ИБ», — сказала Бадьина.
Владимир Мамыкин, директор по информационной безопасности Microsoft в России, ссылаясь на данные отчета Microsoft Security Intelligence Report, утверждает, что в России в первой половине 2009 г. индекс проникновения вредоносного ПО составил 15,5, что на 35% ниже, чем в первом полугодии 2008 г. Тем не менее эта цифра значительно превышает среднемировое значение, которое составило 8,7. «Также отмечался значительный всплеск использования ложного антивирусного ПО, нацеленного на кражу личных данных пользователей и получение мошенническим путем денежных средств», — добавил Мамыкин.
По словам Алексея Ровдо, директора по развитию компании Softkey, в 2009 г. виды угроз и вирусная активность остались на прежнем уровне. При этом он заметил, что компаниям, которые зарабатывали, например, на рассылке спама или рекламы, чтобы остаться «на плаву», пришлось предлагать и другие услуги.
«Неприятным сюрпризом 2009 г. стало обнаружение уязвимости формата PDF, считавшегося в течение многих лет вполне безопасным, — говорит Олег Летаев, представитель по продажам систем информационной безопасности IBM в России и СНГ. — В последние 2–3 года одной из наиболее привлекательных целей злоумышленников стали Web-приложения. Также отмечен значительный рост атак на Web-приложения, выполняемых при помощи специально разработанного инструментария, доступного в Интернете практически любому желающему. Сегодня подавляющее большинство атак на Web-приложения выполняется именно при помощи такого инструментария. К тому же это средство позволяет атаковать выбранный сайт в автоматизированном режиме».
Как подчеркивает Сергей Васильев, ведущий аналитик Perimetrix, новые виды вредоносных действий появляются каждый день. Кроме того, на протяжении многих лет общая активность киберпреступников стабильно растет. Увеличивается как количество вирусов, так и спама. Если говорить о макротенденциях, то следует отметить рост доли убытков, наносимых инсайдерами.
«К сожалению, открытой информации об ущербе, причиненном инсайдерами, в России нет, — комментирует ситуацию заместитель генерального директора компании InfoWatch Рустэм Хайретдинов. — Однако, судя по опросам сотрудников служб ИБ, инсайдерская угроза в 2009 г. имела свою специфику ввиду массовых сокращений сотрудников, имеющих доступ к конфиденциальной информации, и повысившейся конкуренции на рынке. Если раньше многие компании считали неэтичным использование методов недобросовестной конкуренции, то в нынешних экономических условиях их отношение к использованию инсайдерской информации и промышленного шпионажа изменилось».
«В публичном информационном пространстве пока не обсуждается большое число громких дел на тему реального ущерба от инсайдеров в российских компаниях, — говорит Наталия Тесакова, директор по маркетингу группы компаний „Информзащита“. — Делать прогнозы и расчеты легко, а говорить о реальных утечках, финансовых и репутационных потерях тяжело из-за отсутствия данных и доказательств».
Алексей Баданов, руководитель отдела информационной безопасности Департамента сетевой интеграции ЛАНИТ, согласен с тем, что оценить ущерб от вредоносной деятельности довольно сложно. «Нет оснований считать, что появились новые угрозы, которые не были бы известны ранее. По-прежнему наиболее опасны не хакеры, а участие в их деятельности инсайдеров, без которых хакерская активность может быть пресечена известными средствами», — подчеркнул он.
По мнению Антона Аношина, директора по продажам компании Aflex Distribution, прошлый год не принес новых существенных угроз ИБ. Вместе с тем он отмечает некоторое изменение их характера. «Если еще недавно главная угроза для безопасности бизнеса исходила от вредоносного ПО и атак злоумышленников, то сегодня едва ли не главная опасность исходит от инсайдеров. Как показывают результаты независимых исследований, причиной более 50% случаев утечки конфиденциальных данных становились злонамеренные действия сотрудников компаний, имеющих легальный доступ к информации. Не меньшая угроза исходит и от вредоносного ПО, в общей массе которого выросла доля вирусов, созданных с учетом особенностей работы ИС конкретных организаций».
Алексей Чередниченко, ведущий консультант McAfee в России и СНГ, особое внимание уделяет проблеме спама. «Спамеры заметно активизировались, а заголовки их посланий часто возмутительны, — говорит он. — Они спекулируют на всем — новостях, стихийных бедствиях, терроризме, смертях знаменитостей. Много спама связано с мошенничеством, простым пользователям делают „заманчивые“ предложения заработать деньги, что в условиях растущей безработицы является хорошей приманкой для „выуживания“ денег». Чередниченко сообщил, что в IV квартале 2009 г. объем спама снизился на 24% по сравнению с III кварталом. Несмотря на это, объем все равно на 35% выше по сравнению с прошлым годом.
Количество вредоносных программ в 2009 г. продолжало расти более высокими темпами, чем в 2008 г. Зафиксированы случаи появления поддельного ПО для обеспечения безопасности. Подделывались в основном антивирусные утилиты различных производителей. В силу своей популярности огромной мишенью для хакеров стали такие продукты, как Adobe Flash и Acrobat. «Мы наблюдаем наступление эры киберпреступлений. К сожалению, киберпреступником стать становится все легче. Наборы инструментов находятся в Сети, и они облегчают задачу вхождения в этот „бизнес“», — добавил он.
Александр Кузнецов, генеральный директор компании CPS, ссылаясь на отзывы крупных банков и провайдеров телекоммуникационных услуг, говорит о повышении фишинговой активности. Также, по его словам, косвенные данные свидетельствуют о росте активности хакеров.
Сквозь тернии к росту
Что же происходило на российском рынке ИБ, какие тенденции и события в наибольшей степени повлияли на бизнес его игроков?
Несмотря на кризис, объем этого сегмента вырос, о чем говорят как эксперты аналитических фирм, так и представители вендоров и дистрибьюторов. По предварительным данным IDC, в 2009 г. оборот увеличился на 10%. Похожую цифру называет Юлия Грекова, глава представительства компании Check Point: «По нашим оценкам, рост рынка ИБ составляет порядка 8–10%».
По мнению Любови Руслановой, заместителя директора департамента Microsoft и корпоративного лицензирования компании OCS, сегмент ИБ — один из немногих, которые развивались в кризис. «Мы слышим от партнеров, что заказчики стали более внимательно относиться к своей информации, они стали понимать, что восстанавливать потерянные данные гораздо дороже, чем „вложиться“ в защиту, — сказала она. — На руку поставщикам сыграл и тот факт, что в силу должен был вступить закон „О персональных данных“, и некоторые наиболее ответственные заказчики старались выполнить его требования».
«За последний год ИТ-рынок сильно сократился. Как считают специалисты, оборот упал на 40–60%, — говорит Сергей Земков, управляющий директор „Лаборатории Касперского“ в России и странах Закавказья. — Однако это не в полной мере касается рынка ИБ, который пострадал в меньшей степени, а в антивирусном сегменте наблюдается даже некоторый рост. Конечно, его темпы замедлились — в текущем году рост уже не превышал 100%. Однако он по-прежнему находится на уровне, который позволяет нам инвестировать в развитие и продвижение продуктов как в России, так и за рубежом».
«2009 г. показал, что на безопасности, даже в условиях нестабильности, следует экономить в последнюю очередь, — отмечает Михаил Прибочий генеральный директор компании „Аксофт“. — Именно поэтому на фоне общего падения рынка ПО в пределах 35–40% объем поставок средств защиты информации вырос, по нашим данным, на 5–7%. Причин для этого, на мой взгляд, несколько: от мощной просветительской работы вендоров до осознания рисков полной или частичной потери информации самими заказчиками».
По мнению Вениамина Левцова, регионального менеджера Trend Micro в России и СНГ, наиболее емким сегментом российского рынка ИБ остается антивирусная защита. Общий объем рынка антивирусных средств специалисты оценивают в 200–220 млн. долл., из которых не менее 40% приходится на домашних пользователей. «Несмотря на то что в связи с кризисом часть пользователей перешла на жесткий режим экономии, в целом этот фактор не оказал большого влияния на рынок, — подчеркнул Левцов. — В частности, он был компенсирован несколько снизившимся уровнем пиратства и постоянно растущей осведомленностью пользователей о необходимости антивирусной защиты. Был заметен рост в пределах 20% рынка защиты мобильных устройств, хочется верить, что это долгосрочная тенденция. За счет урезания бюджетов на развитие сетевой инфраструктуры во многих компаниях снизился общий объем рынка средств обеспечения сетевой безопасности. Совокупный объем таких развивающихся рынков, как рынок систем DLP, средств контроля переносных устройств ввода-вывода, систем Web-фильтрации, систем мониторинга и корреляции событий, систем управления уязвимостями ПО, не превысил 50 млн. долл.».
По данным российского информационно-аналитического центра Anti-Malware.ru, объем рынка DLP увеличился с 14,2 млн. долл. в 2008 г. до 15,3 млн. долл. в 2009 г. Таким образом, в минувшем году темпы роста составили около 8%.
Заметными тенденциями на рынке ИБ стали повсеместная оптимизация затрат и сокращение инвестиций. Предприятия практически всех сфер бизнеса были вынуждены снизить расходы, одновременно в максимальной степени используя потенциал имеющегося оборудования и ПО. «Многие участники рынка настолько увлеклись этим процессом, что за стремлением сэкономить упустили из виду возможные последствия этих действий, — говорит Антон Аношин. — В результате мы были свидетелями ряда громких скандалов, связанных с утратой компаниями критически важных для развития бизнеса данных, массовой утечкой персональных данных клиентов, а также с хакерскими атаками на сети и веб-сайты известных в своих отраслях компаний. Эти события показали всю хрупкость систем ИБ и их отдельных элементов, которые используются наиболее успешными предприятиями».
Кризис наглядно продемонстрировал, что ИБ не прощает ошибок: малейшая из них может перерасти в громкий скандал, а сбой в работе сервера становится причиной простоя в работе целых подразделений. И сегодня, когда рынок медленно, но верно восстанавливается, все более очевидной становится тенденция «латания дыр»: заказчики уделяют больше внимания обороне от самого широкого спектра угроз, устраняют узкие места в защите информационных активов.
Оценивая объем рынка ИБ, Рустэм Хайретдинов отметил, что может говорить только о российском сегменте средств корпоративной информационной безопасности. «В 2009 г. оборот в долларовом выражении сократился примерно на 30%, — сказал он. — Это связано не только с уменьшением поставок, но и со снижением средней стоимости продуктов и услуг, поскольку большинство поставщиков пошло навстречу заказчикам и снизило цены». Алексей Ровдо добавил, что наибольшее падение наблюдалось в сегменте поставок оборудования, а рост — в сегменте дешевых антивирусов, в основном для СМБ.
Экономические трудности у клиентов сказались на количестве и объемах сделок. В начале прошлого года, по словам Любови Руслановой, объемы сделок пострадали больше, чем их количество, поскольку в рамках сокращения расходов многие заказчики отказались от приобретения «тяжелых» решений и ограничились только базовым ПО на минимально возможное количество ПК. Однако к концу года по одному из крупнейших производителей ПО средний размер сделки вырос на 30% и за счет возврата спроса на дорогостоящие решения, и за счет восстановления докризисного парка ПК либо его увеличения.
Сейчас ситуация на рынке ИБ стабильная и даже внушает оптимизм.
По словам Романа Ермолаева, коммерческого директора компании «Код Безопасности», заметно оживление, что нехарактерно для первого полугодия. Есть уверенность, что во второй половине года работа пойдет более активно.
«Если говорить в целом о текущем годе, считаю, что он будет успешным для нас, как разработчика ПО. Мы представили линейку новых продуктов, постоянно работаем над улучшением их доступности, совершенствуем поддержку партнеров и заказчиков, чтобы выигрывать у наших конкурентов и по качеству взаимодействия с нами. Игроков на данный момент достаточно, новых пока не появляется, но никто из старожилов с рынка не ушел. Снижение цены на ПО, оборудование, сервисные и консалтинговые услуги теоретически возможно, но однозначно это произойдет не в текущем году», — сказал Ермолаев.
Не предвидит трудностей в обозримом будущем и Рустэм Хайретдинов. Он подтвердил, что рынок оживился: «В этом году рынок ИБ выйдет на уровень 2008 г. Количество игроков сохранится. Цены уже упали на 20%, но по мере повышения спроса должны вернуться к прежнему уровню».
Такой же точки зрения придерживается и Алексей Ровдо. Он рассчитывает, что в этом году рынок должен вырасти примерно на 10%. Одновременно повысятся цены на ПО и оборудование.
Илья Кичигин, руководитель отдела по работе с дилерами компании Softkey, считает, что вендоры будут увеличивать цены на ПО, но маржа у дистрибьюторов уменьшится, что в конечном итоге снизит цены для конечных потребителей. Объем дилерской сети останется прежним, как и количество потребителей ПО. А это означает, что число игроков рынка существенно не изменится.
«Мой прогноз — позитивный, — заявил Олег Летаев. — Мы ожидаем существенного роста продаж. Заметного снижения цен не будет, но наша новая линейка обладает более высокой производительностью, так что заказчики тоже останутся в выигрыше».
Как подчеркивает Михаил Прибочий, рынок сейчас живет с лозунгом «Кризис закончился. Да здравствует время большого бизнеса!». «Мы это в полной мере ощутили по заметно выросшим планам и ожиданиям со стороны вендоров, по явной активизации маркетинговой деятельности всех участников рынка, — поясняет он. — Результаты I квартала действительно вселяют оптимизм. И особенно радует подъем регионального бизнеса, что важно для российского рынка».
Горячая тема. Уже второй год!
Важнейшим событием, оказавшим влияние на всех игроков рынка ИБ, стало ожидаемое вступление в силу закона «О персональных данных» (152-ФЗ). Во многих компаниях начали проводить специальные мероприятия, чтобы к 1 января 2010 г. их информационные системы соответствовали букве и духу этого закона. Но незадолго до конца 2009 г. власти, к великой радости всех участников рынка (за исключением тех, кто на этом хотел заработать, разумеется), объявили, что «день икс» откладывается на год. Предвидеть реакцию компаний было совсем не трудно. «Почти весь прошлый год прошел под флагом 152-ФЗ, — говорит Олег Летаев. — Активность операторов персональных данных росла по мере приближения ключевой даты. А когда срок применения закона был перенесен — резко упала, практически до нуля». Сейчас фирмы заметно успокоились. К тому же и требования ФСТЭК меняются. Поэтому все находятся в ожидании».
«Самые явные тенденции в сфере ИБ в 2009 г. были связаны, с одной стороны, с непростой экономической ситуацией, а с другой — с ростом интереса к защите данных, во многом благодаря 152-ФЗ», — сказала Юлия Грекова.
Как считает Алексей Ровдо, ситуация на российском рынке ИБ в минувшем году во многом определялась событиями вокруг 152-ФЗ. Его принятие и обсуждение поправок уже было фактором мощного воздействия на отрасль. «Дело в том, что рынок ИБ в России примерно на 20% связан с действиями компаний в рамках закона о персональных данных, и в зависимости от того, как пойдет законодательное регулирование, рынок будет либо расти бешеными темпами, либо останется на первоначальном уровне», — пояснил он.
Владимир Мамыкин также не отрицает, что для большинства компаний самым ожидаемым событием было введение с 1 января 2010 г. санкций за невыполнение требований закона о персональных данных (ПДн). Почти вся жизнь в области ИБ протекала под знаком 152-ФЗ, в поисках ответа на вопрос — как выполнить его требования? Поэтому самым радостным стал день, когда было объявлено о переносе санкций на январь 2011 г.
«Особенностью 2009 г. было стремление компаний понять: надо ли защищать ПДн, как того требует закон, или „обойдется“, если все оставить по-старому, — вспоминает Алексей Баданов. — А после знакомства со стоимостью систем защиты ПДн интерес заметно падал. В настоящее время компании ожидают — кого и как накажут первым за невыполнение требований закона. Очередного всплеска интереса к вопросам защиты ПДн следует ожидать перед летними отпусками и осенью. Одна из новых тенденций — активное предложение интеграторами решений DLP, которые пока не завоевали популярности у клиентов».
По словам Александра Белова, руководителя отдела продаж Центра информационной безопасности Softline, в компании отметили возрастающий интерес к защите данных от утечек. «DLP-системы, призванные защитить от утечек, набирают популярность у корпоративных пользователей. Для банков, страховых и медицинских учреждений именно ПДн являются „критичным“ элементом бизнеса», — подчеркнул он.
Вместе с тем интерес к DLP-системам проявляют не только вышеупомянутые игроки. Белов также добавил, что DLP — это средство, позволяющее удержать защищаемые данные в пределах организации или, как минимум, контролировать их утечку. Но оно не предназначено для разграничения прав доступа к данным. Эту функцию берут на себя IRM-системы (управление доступом к информации), дополняя решения DLP.
Как отмечает Наталья Бадьина, наиболее активны в связи с принятием 152-ФЗ государственные структуры, они в большей степени заинтересованы в защите ПДн. «Изменения в отрасли, обусловленные новыми законами и требованиями в отношении безопасности персональных данных, трудно переоценить, — говорит Бадьина. — Фактически вендорам приходится всерьез задумываться о сертификации своих продуктов, если планируются более-менее серьезные внедрения».
Вениамин Левцов считает, что в связи с ожиданием вступления в силу 152-ФЗ, во-первых, появился определенный интерес к средствам защиты, имеющим действующие сертификаты по линии ФСТЭК, во-вторых, некоторые классы систем обеспечения ИБ, такие как системы защиты от НСД (несанкционированный доступ), также приобрели дополнительное стимулирование, и в-третьих, появился новый класс аудиторских услуг — обследование бизнес-процессов и информационных систем на предмет соответствия требованиям закона о персональных данных. «В 2009 г. в России стала отчетливой тенденция укрепления связей между вопросами ИБ и соответствия политикам, нормам, положениям, — подчеркнул он. — Также нельзя не отметить растущую заинтересованность в построении систем автоматического отслеживания соответствия. Продолжил успешно формироваться рынок DLP-систем, систем фильтрации интернет-контента и систем многофакторной аутентификации».
Что же произойдет к концу года? Успеют ли операторы ПДн привести свои ИС в соответствие с требованиями 152-ФЗ? Николай Перов, руководитель Центра по защите персональных данных Softline, считает, что все работы в нашей стране, как всегда, будут проводиться в последний момент. Если в III квартале 2010 г., скорее всего, произойдет плавный рост заявок на проведение работ, то в IV квартале следует ждать резкого повышения спроса. На таком фоне, очевидно, могут повыситься и цены на услуги.
По мнению Леонида Циклина, директора департамента RISC/UNIX систем дистрибьюторской компании OCS, возможно повторение ситуации и срок ввода в действие статьи 25 ФЗ-152 вновь будет перенесен. «К сожалению, следование этому закону пока не дает бизнесу экономических выгод, а его неисполнение не грозит экономическими и репутационными рисками», — заметил он.