Как развивается рынок сервисов для критической информационной инфраструктуры

Геополитические потрясения вызвали в 2023 г. активизацию кибершпионажа, кампаний по дезинформации и атак программ-вымогателей, организации по всему миру столкнулись с проблемой защиты своих цифровых активов в условиях обострения глобальной напряженности, написал в своей колонке для Forbes Эмиль Сайег, гендиректор компании по кибербезопасности Ntirety. По данным «Ростелеком-ЦОД» (РТК-ЦОД), Россия – в пятерке стран, которые за последний год чаще других подвергались кибератакам. Реагируя на проблему, государство повышает требования к защите критической информационной инфраструктуры (КИИ). Процесс перехода к защищенным отечественным решениям обещает быть болезненным, полагают участники рынка. Впрочем, признают они, сложности также придают импульс развитию облачных сервисов для КИИ.

Под угрозой

Технологии все больше входят в нашу жизнь и стремительно развиваются. По итогам 2024 г. количество подключенных к интернету устройств в мире превысит 17 млрд, подсчитали аналитики Statista. Это в 2 раза больше населения Земли. По прогнозу, к 2030 г. число таких устройств достигнет 30 млрд, от них зависит устойчивая работа городов, правительств, государственных и частных информационных систем. Параллельно с ростом количества устройств растет и усложняется информационная инфраструктура – это информационные системы, каналы связи, системы управления производством и т. д. И все это необходимо защищать от кибератак.

Непрерывные атаки на критически важную информационную инфраструктуру уже стали новой нормой. По оценке РТК-ЦОД, в 2023 г. в России было совершено около 6000 атак только на объекты КИИ. В основном атаковали государственные, промышленные и финансовые организации и предприятия, ежедневно на российские компании направляется более 170 кибератак.

«В 2023 г. в публичный доступ попали данные почти 400 российских компаний и более 220 млн телефонных номеров российских абонентов. Хакерские атаки отличались деструктивным характером: они были нацелены на то, чтобы вывести из строя инфраструктуру объекта и уничтожить данные», – отмечает Дмитрий Панышев, директор по GR РТК-ЦОД.

Меры реагирования

Из-за вызванных кибератаками сбоев в работе IТ-систем работоспособность критически важных предприятий страны может быть нарушена. Реагируя на рост количества кибератак, государство защищается: уже принято 18 нормативных актов разного уровня по защите КИИ. В частности, закон, с 1 января 2025 г. запрещающий органам госвласти и госкомпаниям использовать иностранное ПО на объектах КИИ.

Реестры разрешенных к использованию отечественных программ ведет Минцифры, а аппаратных средств – Минпромторг.

Ужесточение законодательных требований продолжается, например, в марте 2024 г. в Госдуму был внесен законопроект № 581689-8, согласно которому правительство и ЦБ смогут определять перечень объектов КИИ, которые обязаны перейти на отечественный софт и оборудование. «В первую очередь это приведет к тому, что еще меньше организаций смогут самостоятельно выполнить требования, регулирующие КИИ, и еще меньше провайдеров – предоставить необходимую инфраструктуру», – рассказывает Панышев.

Нововведения затронут не только госаппарат, но и коммерческие организации. Построить собственную систему, соответствующую стандартам защиты КИИ, будет для бизнеса затратно в части финансов и сложно из-за нехватки человеческих ресурсов, поскольку специалистов – экспертов в этой области найти очень непросто, поясняют опрошенные «Ведомости&» участники рынка. Поэтому компаниям придется обращаться к операторам услуг, чтобы обеспечить должную защиту своей инфраструктуры.

Облака с защитой

Облачные сервисы с повышенным уровнем безопасности уже используют компании и учреждения, работающие в сферах здравоохранения, финансов, связи, науки, транспорта, ТЭКа и др. Также на облака для КИИ переходят компании из сферы атомной, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, говорят участники рынка.

По словам Дениса Полянского, директора по клиентской безопасности Selectel, облачные сервисы, соответствующие требованиям безопасности КИИ, могут быть востребованы коммерческими организациями, попадающими в сферу действия 187-ФЗ. Прежде всего в сферах здравоохранения, науки и финансов, связанных с активным использованием современных технологий при создании информационных систем.

Такие системы, как правило, требуют географического распределения и значительных вычислительных ресурсов, включая отказоустойчивые хранилища данных большой емкости и поддержку высокопроизводительных графических процессоров для систем машинного обучения. Для промышленности объектами КИИ являются автоматизированные системы управления технологическим процессом, которые работают на производственных объектах, как правило, на собственном оборудовании предприятий (on-premise). В этом случае облачные сервисы могут быть использованы для размещения вспомогательных систем, говорит эксперт.

Демьян Раменский, руководитель направления информационной безопасности CorpSoft24, указывает, что основное отличие облачных сервисов для КИИ от обычных состоит в том, что при их реализации на передний план выходят вопросы выполнения требований к информационной безопасности. Функциональность, гибкость, удобство реализуются скорее по остаточному принципу, т. е. ни в коем случае не в ущерб информационной безопасности. Для компании, владеющей критической инфраструктурой (субъекта КИИ), в облачном сервисе гораздо важнее четкое разграничение зон ответственности, отлаженные сервисы информационной безопасности и грамотная техподдержка, говорит Раменский.

«С технической точки зрения большая часть указанных требований уже реализуется большинством провайдеров, предоставляющих сервисы для размещения государственных информационных систем и персональных данных», – говорит Полянский. Эксперт добавляет, что инфраструктура защищенных облачных сервисов должна быть построена таким образом, чтобы иметь возможность непрерывно взаимодействовать с органами, обеспечивающими информационную безопасность и противодействие компьютерным атакам.

Еще одно из существенных отличий между облаками для значимых объектов КИИ и остальных информационных систем – в наборе доступных PaaS (платформа как сервис, аренда уже готовых и настроенных специализированных платформ для различных задач. – «Ведомости&») и SaaS (программа как сервис, аренда уже готовых облачных программ для исполнения конкретных функций. – «Ведомости&») сервисов. «К сожалению, на сегодняшний день отечественные программные и аппаратные решения с нужными сертификациями еще не настолько зрелые, чтобы облако для значимых объектов КИИ могло предоставить что-то, кроме услуг IaaS (инфраструктура как сервис, аренда облачных мощностей для запуска собственных решений и IT-инфраструктуры организации. – «Ведомости&»). Однако этот сегмент активно развивается, и в нем появляются все новые решения», – убежден Панышев.

При создании и эксплуатации объектов КИИ действуют единые требования вне зависимости от того, является компания провайдером или клиентом облачных сервисов. «Разница заключается только в реализации этих требований с учетом разграничения ответственности провайдера и клиента», – уточняет Полянский.

Любой облачный провайдер предоставляет в первую очередь инфраструктуру, которую он может аттестовать как Значимый объект КИИ (ЗО КИИ). Это облегчает часть забот для компании, которая арендует мощности. Однако обеспечение доступности самой информационной системы, ее аттестация и обслуживание по-прежнему остаются на стороне заказчика.

Таким образом, провайдер, оказывающий услугу по предоставлению инфраструктуры, разделяет ответственность с клиентом и гарантирует защиту инфраструктуры со своей стороны, отмечает Панышев.

Трудности перевода

Рынок облачных сервисов находится на этапе бурного роста. По оценке iKS-Consulting, в 2023 г. он вырос по сравнению с 2022 г. на 33,9% до 121 млрд руб. (подробнее о рынке облачных сервисов см. колонку).

По собственным данным, РТК-ЦОД является лидером рынка в сегменте IaaS и крупнейшим поставщиком облаков для КИИ. Эта облачная инфраструктура сочетает в себе вычислительные мощности, сети и системы хранения данных и, самое главное, имеет повышенный уровень надежности и безопасности по сравнению с обычными облаками, подчеркивают в РТК-ЦОД.

В отчете iKS-Consulting отмечается, что сегмент услуг для госорганов и госкомпаний (b2g) на российском рынке облачных сервисов становится все более весомым. Это связано с развитием госуслуг на базе облаков и активным переводом федеральных и региональных органов власти на единую облачную платформу. Кроме того, в январе 2024 г. Минцифры опубликовало рекомендации по цифровой трансформации госкорпораций и компаний с госучастием в рамках федерального проекта «Цифровые технологии». В iKS-Consulting полагают, что обязательная цифровая трансформация и ограничения на развитие собственной IТ-инфраструктуры дадут дополнительный стимул к использованию облачных услуг.

Однако развитие рынка облачных сервисов для КИИ сдерживает ряд сложностей. По словам Георгия Белякова, руководителя отдела информационной безопасности Linx Cloud, это проблемы закупки и поставок вычислительных ресурсов, необходимость осуществления импортозамещения оборудования и ПО в крайне сжатые сроки. К ним добавляются трудности с выполнением требований регуляторов, кадровый голод и сложности с сохранением ключевых компетенций, а также необходимость оптимизации затрат на управление и эксплуатацию большого количества распределенных систем.

«На рынке появляется большое количество отечественных решений различного уровня зрелости. Однако при отсутствии высококвалифицированного персонала заменить используемые годами зарубежные программные решения и оборудование без ущерба эффективности критичных процессов крайне сложно», – уверен Полянский. С ним согласен и Раменский, который отмечает, что основная тенденция на рынке и она же основная сложность – это импортозамещение. Процесс перехода на отечественные решения обещает быть трудным, болезненным и затратным, считает он.

Кроме того, критическим фактором становится время. До конца 2024 г. осталось чуть более полугода, а переход на новые российские программы без ущерба для бесперебойной работы систем – дело сложное. В апреле Ассоциация банков России (АБР) отправила письма вице-премьеру Дмитрию Чернышенко, Банку России, Минцифры, Минпромторгу и Минфину с предложением продлить сроки перехода с зарубежного на российское ПО из-за проблем с импортозамещением, писал Forbes. По словам вице-президента АБР Алексея Войлукова, с такой проблемой столкнулись не только банки, но и крупнейшие компании в сфере энергетики, транспорта и других субъектов КИИ. В письме указывается, что российские разработки сейчас рассчитаны на потребности малого и среднего бизнеса, они недостаточно функциональны и в 5–7 раз дороже западных аналогов.

В 2023 г. рынок облачных сервисов для КИИ только начал формироваться и структурироваться, напоминают его участники. «В свое время мы были одними из первых, кто предложил облачные сервисы для информационной системы персональных данных. Сначала они считались нишевым продуктом, сегодня такие сервисы есть у большинства провайдеров. То же самое со временем произойдет и с сервисами для КИИ», – прогнозирует Раменский.

«До 2023 г. про этот сегмент слышали только матерые специалисты по информационной безопасности и юристы. В прошлом году многие юрлица обнаружили новые для себя обязательства и требования к информационной безопасности в связи с определением их как субъектов КИИ», – говорит Панышев. В компании прогнозируют, что в этом году ситуация кардинально изменится: от отсутствия понимания, что делать, до четкого алгоритма действий. Этому будет способствовать не только появление новых решений, но и усиление компетенций внутри самих компаний, располагающих КИИ, полагает Панышев. &