29.12.15

Краткие итоги года уходящего в контексте отечественной ИБ

29-е декабря... Резать оливье на стол еще рано. Самое время подводить итоги года уходящего и свести воедино те тенденции, которые по моему мнению были отмечены в России, Пожалуй, самое главное наблюдение, которое я сделал по итогам года, - это наличие некоторой передышки в нашей отрасли. Ничего неординарного не происходило и сделанные мной в декабре 2014-го года прогнозы в иллюстрациях Васи Ложкина в целом оправдались. Если же коснуться частностей, то я выделил бы следующее:

  • Сноуден где-то админит (вот так и в АНБ он админил по-тихому) и уже мало кому интересен. Я все больше склоняюсь к мысли, что во многом это был чей-то проект, чем реальная утечка секретных данных. Если критически оценивать все, что наговорил Сноуден, то либо его откровения уже были известны, либо к моменту опубликования "сенсации" устарели, либо вовсе не подтвердились, оттянув зато на себя усилия исследователей.
  • Регуляторы мало что выпустили из новых нормативных и нормативно-правовых актов. Мы реализовывали то, что было сделано ФСТЭК, ФСБ и ЦБ в 2014-м году. ФСТЭК вообще ничего не выпустила, готовясь к "наступлению" в следующем году, когда свет увидит и новая редакция 17-го приказа и ряд других документов. ЦБ только ввел в действие новую редакцию 382-П и пару новых РС - остальное также планируется в 2016-м году. И только ФСБ успела порадовать своей малоприменимой обычными операторами ПДн методичкой по моделированию угроз ПДн и новыми, но закрытыми требованиями к СКЗИ.
  • Тема SDLC, так активно начатая в 2014-м году, постепенно отошла на задний план. Разработка ГОСТ по безопасной разработке практически завершена, но до ее принятия еще не менее года. Планы ЦБ по выработке требований по оценке соответствия банковских и платежных приложений пока неясны и, видимо, как и в случае с FinCERT, будет задержка с их реализацией.
  • А вот тема государственных CERTов стрельнула. Это и ЦБшный FinCERT, и ФСБшная ГосСОПКА. О них говорили много и подробно и в следующем году эта тенденция сохранится.
  • РКН в теме персональных данных не сильно светился, сконцентрировав свои усилия на закручивании гаек в Интернет. Оно и понятно. 242-ФЗ был принят, но ему надо было дать "прижиться" в России. Вот в следующем году тема ПДн с практической точки зрения (проверки) должна вновь выйти на первые полосы. Пока же РКН только запугивал операторов ПДн, преимущественно иностранных и их Интернет-отрасли. В никакой серьезной нормотворческой деятельности по "нашей" теме РКН замечен не был. Как и в защите прав субъектов ПДн тоже не сильно преуспел.
  • Импортозапрещение на марше и продолжает наращивать свой потенциал. Правда, 2015-й год также прошел в некотором ожидании. Власти делали много популистских заявлений, но никаких конкретных действий по поддержке отечественной ИТ/ИБ-индустрии не предпринимали и только в конце года приняли ряд нормативных актов по ограничению приобретения иностранных технологий при госзакупках. Заказчики тоже были в ожидании - то ли запреты отменят, то ли иностранные продукты запретят окончательно. В следующем году им придется принимать уже какие-то решения. Отечественные производители же постарались в этом году форсировать свои разработки и выпустили на рынок множество обновленных (местами серьезно) продуктов. Иностранным игрокам (причем всем) становится тяжелее и кто-то даже уходит с рынка или начинает сокращать персонал. В следующем году эта тенденция усилится.
  • Тема безопасности критических инфраструктур не взлетела и, как я уже писал, скорее всего не взлетит.
  • Продолжилось урезание свобод простых граждан и юридических лиц, зачастую подаваемое под соусом борьбы с терроризмом. Не стану говорить, что этой проблемы (терроризма) не существует, но временами под этим флагом проводились немного не те законы и вводились не те ограничения. Думаю в следующем году ситуация продолжит нарастать (это общемировая тенденция).
  • Начались разговоры о централизации государевых ИТ-активов. Тут и вам и "гособлако", и единый выход в Интернет через ФСО. Как это все будет реализовано станет понятно дальше.
  • Начали писать новую Доктрину ИБ, но опять в полузакрытом режиме и что будет на выходе, и когда, совсем непонятно.
  • Вопреки отдельным заявлениям, рынок ИБ в финансовом исчислении стагнирует. Непростая экономическая ситуация, скачки на валютном рынке и падение цен на нефть приводят к тому, что в стране с сырьевой экономикой на инновации денег начинают тратить меньше. Это заставило многих игроков пересмотреть свои подходы по продвижению решений, а заказчики стали более осмотрительно тратить свои бюджеты. Цены, несмотря ни на что, возросли. Кто-то это связывает с уменьшением конкуренции; кто-то с падением цены на нефть; кто-то с падением курса рубля. Но результат налицо - даже отечественные игроки подняли цены на свою продукцию или сделают это в самое ближайшее время. Зато возросло число стартапов по ИБ, которые пытаются лавировать между различными препонами и найти для себя возможности для закрепления в этой непростой сфере. 
  • Активного перехода на сервисную модель в ИБ пока не произошло, хотя о ней говорят все чаще. Думаю, что все просто были в ожидании лучшего, которое пока так и не наступило. И переходный период постепенно заканчивается, заставляя всех пересматривать свои стратегии развития, в том числе обращаясь к аутсорсингу, облакам и иным способам переложить ряд ИБ-функций на чужие плечи.
  • Нестабильность будущего приводит к жестким конкурентным войнам, не всегда честным. Фраза "только бизнес - ничего личного" все чаще ставится в главу угла. Компании с отсутствием четко очерченного будущего и живущие сиюминутными потребностями начинают метаться, делая хаотические движения и заявления, временами гадя своим же бывшим партнерам и контрагентам. "Каждый за себя" - таким был девиз для некоторых интеграторов, производителей и поставщиков ИБ-услуг.
  • Изменения на рынке труда тоже идут достаточно активно. Кого-то увольняют, кто-то уходит сам, у чьего-то работодателя отзывают лицензию, кому-то сокращают зарплату... Но это была прогнозируемая ситуация, которой кто-то смог воспользоваться, а кто-то нет.

Вот такой short-лист того, что я бы хотел отметить в уходящем году. Эти же моменты будут влиять и на год наступающий, но про прогнозы я буду поговорю отдельно, посвятив им отдельную заметку, а может быть даже и видео-презентацию.