По традиции решил поделиться своими прогнозами на грядущий год, который будет годом крадущегося лиса по славянскому, или годом огненного петуха по китайскому календарю. Но сначала вспомним, что я прогнозировал на этот год и что из этого сбылось:
10 из 14 сбылось, одно не сбылось, остальные сбылись/не сбылись частично.
Попробую спрогнозировать ключевые изменения в 2017-м году, добавив к вышеприведенному списку (это ведь долгоиграющие тенденции) кое-что новое. Если углубляться в технические прогнозы, то я их описывал в презентации, которую готовил для одной очень крупной организации совсем недавно, а некоторые законодательные тренды я описал в статье для "ИТ-менеджер". Поэтому попробую коротко описать, что нас ждет и что не было описано по упомянутым ссылкам:
- Деятельность Интернет-советника - сбылось
- Сворачивание политических свобод и прав граждан - сбылось
- Активность по законопроекту по безопасности критической инфраструктуры - не сбылось
- Доктрина ИБ - сбылось
- Гособлако - 50/50
- Административная реформа - 50/50
- Усиление требование по ИБ в финансовых учреждениях - сбылось
- Развитие ГосСОПКИ - сбылось
- Новые требования 8-го Центра по СКЗИ - сбылось
- Развитие импортозапрещения и отсутствие российских инноваций - сбылось
- Обвинения России в кибератаках - сбылось
- Внедрение китайских продуктов в отечественную информатизацию госорганов - сбылось
- Блокчейн - сбылось
- Нестабильность рынка - 50/50.
10 из 14 сбылось, одно не сбылось, остальные сбылись/не сбылись частично.
Попробую спрогнозировать ключевые изменения в 2017-м году, добавив к вышеприведенному списку (это ведь долгоиграющие тенденции) кое-что новое. Если углубляться в технические прогнозы, то я их описывал в презентации, которую готовил для одной очень крупной организации совсем недавно, а некоторые законодательные тренды я описал в статье для "ИТ-менеджер". Поэтому попробую коротко описать, что нас ждет и что не было описано по упомянутым ссылкам:
- Локализация ПДн. Роскомнадзор последние пару лет малость поумерил пыл в части персональных данных, сосредоточившись на ограничениях в Интернет. И только в конце года Роскомнадзор решил показать свою силу, заблокировав LinkedIn на территории России за нарушение ФЗ-242 о локализации ПДн россиян. Думаю, что в следующем году (если не будет серьезных геополитических подвижек) Роскомнадзор проведет еще несколько публичных "порок" (предположу, что Google будет одним из первых в списке).
- GDPR. Это тоже про персданные, но про европейские правила, которые были приняты в 2016-м году и которые вступят в силу с 2018-го года. С одной стороны Россия является стороной Европейской конвенции, во исполнение которой и выработана новая Директива (GDPR), с другой - мы не обязаны выполнять требования самой Директивы, она распространяется только на страны Европы. С третьей стороны, еще только когда начиналась в 2012-м году тема с GDPR, прежнее руководство Роскомнадзора заявляло о том, что ФЗ-152 будет гармонизироваться с новыми европейскими правилами. Текущее руководство РКН пока не высказывалось на эту тему. Может быть ждут сигнала? А может готовят поправки в тишине?
- Туманные перспективы ФСТЭК. Еще некоторое время назад я был достаточно оптимистичен относительно методологической и нормотворческой деятельности ФСТЭК, но после повышения Виталия Лютикова прогнозировать уже что-то сложно. В принципе есть надежда на выпуск РД по ОС и СУБД, а также принятие новой редакции 17-го приказа (если поправки в ФЗ-149 примут). По остальным документам делать прогнозы больше не буду - их принятие уже переносилось несколько раз.
- Критическая инфраструктура. Тут речь не только о законопроекте по безопасности КИИ, но и о законопроекте, который ужесточит требования к сетям связи и, например, потребует от владельцев статических адресов и автономных систем регистрировать их в специальном реестре. По части же законопроекта по безопасности КИИ подождем - думаю по результатам 2-го чтения наступит ясность, в каком направлении будет двигаться данная тема. Но даже если законопроект примут оперативно (к весне 2017-го года), то на принятие всех остальных запланированных НПА уйдет еще не меньше года и какая-то конкретная деятельность начнется только в 2018-м году.
- Отсутствие инноваций у отечественных разработчиков. И хотелось бы сделать иной вывод, но пока чего-то интересного у нас нет :-( По крайней мере по сравнению с выставкой RSA или InfoSecurity Europe и на фоне активного импортозамещения, которое развивается в отсутствии того, чем можно замещать иностранные средства защиты.
- Трамп. Вот это реально сложно предсказуемая тенденция, которая может повернуться к нам любой стороной. Вроде как Трамп благосклонно относится к Путину и России и 2017-й год может ознаменоваться отменой санкций (как минимум со стороны США, а затем и, возможно, Европы, Австралии и Японии). С другой стороны Президент США не является такой уж и самостоятельной фигурой - за ним стоят влиятельные круги, которые могут и не захотеть отмены ограничений, введенных против России. С третьей стороны, Трамп совершенно непредсказуем в своих действиях, чтобы что-то прогнозировать :-)
- Обвинения хакеров. Ими будут опрадывать любые провалы в экономике, внутренней и внешней политике. Обвинять, вероятнее всего, будут хакеров российских. И основные обвинения будут идти со стороны Европы, которую ждут новые выборы. Некоторые "эксперты" после победы Трампа предсказывали, что американцы забудут про атаки со стороны российских хакеров и переключатся вновь на китайцев, но увы и ах, все не только осталось по-прежнему, но активность обвинителей даже возросла. Думаю, что после инаугурации Трампа ситуация чуть поутихнет в части российской атрибуции, но США будут еще долго припоминать "русский" след в своих выборах.
- Рост активности программ-вымогателей. Он будет продолжаться. Все :-)
- Рост TTD. Это комплексный тренд, который включает в себе и появление новых видов угроз, и их усложнение, и снижение квалификации и числа специалистов по ИБ, и рост желающих примкнуть к "темной стороне", и отсутствие нормальной интеграции между разрозненными средствами защиты. Все это приводит к увеличению времени обнаружения (Time-to-Detect) вредоносной активности.
- От Internet of Things к Internet of Threats. А это давно предсказанное следствие (я про него еще 2-3 года назад писал) "гонки вооружений" на рынке Интернета вещей, когда производители в погоне за долей рынка выпускают абсолютно незащищенные и уязвимые устройства, наполняющие Интернет и приводящие к росту числа атак на них и через них.
- Принцип Питера. Рост безграмотных заявлений от чиновников или бизнесменов, дорвавшихся до власти, будет расти. Но тут уж ничего не поделаешь. Интернет и кибербезопасность становятся важной частью нашей жизни; поэтому число желающих присосаться к этой теме будет только возрастать.
- Влияние Сбербанка. Видя как Сбербанк "пылесосит" кадры на рынке ИБ в России и какие планы озвучивает его руководство, могу предположить, что (если Грефа не переманят на роль премьер-министра под новые президентские выборы) "зеленый банк" еще заявит о себе в 2017-м году различными интересными инициативами, которые повлияют как минимум на финансовую отрасль, а возможно и на смежные сферы.
- Обязательная сертификация средств защиты. Об этом заявляют многие регуляторы. ФСБ на этой позиции стоит с момента возникновения темы сертификации СКЗИ. ФСТЭК первоначально ее тоже придерживалась, потом пошла на попятную (для коммерческих структур), но сейчас требования вновь усиливаются. И даже ЦБ, который всегда отстаивал позицию, что банки могут не использовать сертифицированные средства защиты недавно (в декабре) попробовал внести эту норму в новый ГОСТ с базовыми требованиями по защите информации, который придет на смену СТО БР ИББС. Вроде как пока удалось отстоять стандартную формулировку про "средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании". Но тенденция настораживает; особенно в условиях нехватки достаточного количества испытательных лабораторий, специалистов и квалификации у них для проведения проверок в рамках изменяющегося законодательства по сертификации, которое не очень сильно продвинулось вперед с начала 90-х годов, когда оно и появилось.
- Ужесточение требований по ИБ со стороны государства. А это общая тенденция, которая наметилась еще в 2014-м году и которая продолжается и по сей день и, думаю, не замедлится в 2017-м году.
Думаю на числе 14 я остановлюсь. Возможно, что-то и осталось за рамками заметки, но это те тенденции, которые вижу именно я, и которые приходят в голову, если не сильно задумываться и не заниматься высасыванием из пальца. Посмотрим, что из этого сбудется в год крадущегося лиса.
0 коммент.:
Отправить комментарий