«Технологии защиты превращаются в ритуал. Мы покупаем сертификаты, а не безопасность, ставим решения, чтобы доказать регулятору их наличие, а не потому что они решают проблемы. Формализм рождает парадокс — чем больше сертифицированного ПО, тем хуже реальная безопасность, потому что главное — бумага, а не защита. Итог — миллиарды рублей уходят на инструменты, которые никогда не включаются.»
Реальное назначение решений ИБ: разрыв между заявленным и фактическим
Представьте себе корпоративную сеть: на десятках серверов работают средства обнаружения вторжений, межсетевые экраны отсканировали все возможные уязвимости, а антивирусные системы получили сертификаты ФСТЭК России. Со стороны всё выглядит идеально. Но если спросить администратора, когда в последний раз срабатывали сигналы от IDS, он скорее всего пожмёт плечами. Система работает, но её логи никто не анализирует — они просто копятся, потому что так прописано в регламенте.
В основе такого разрыва лежит фундаментальное противоречие. С одной стороны, регулятор требует наличия определённых технических средств. С другой, бизнес-процессы компании часто не учитывают, как эти средства будут интегрированы в ежедневную работу. Покупка становится актом выполнения требований, а не выстраивания защиты.
Экономика формального compliance
Рынок решений по информационной безопасности в России давно разделился на два сегмента. Первый, это инструменты, которые покупают для реального применения: их настраивают, используют, и они приносят пользу. Второй, это так называемые «compliance-решения». Их приобретают по единственной причине: чтобы предъявить проверяю>щим.
Спрос на втором сегменте создают сами требования. Когда в приказе ФСТЭК или методике указан конкретный класс средств защиты или необходимость сертификации в определённой системе, у компании остаётся узкий выбор. Часто это 2-3 вендора, чьи продукты прошли необходимые бюрократические процедуры, но при этом могут уступать по функциональности или удобству несертифицированным аналогам.
Цена такого формального compliance складывается не только из стоимости лицензии. Сюда входят затраты на интеграцию, которую проводят по минимальному сценарию, обучение персонала, которое сводится к чтению инструкций, и, главное, — постоянные расходы на поддержание системы в «рабочем» состоянии, хотя реальной нагрузки на неё нет.
Последствия: иллюзия защищённости и реальные угрозы
Самая большая опасность формального подхода, это формирование устойчивой иллюзии защищённости. Руководство видит, что все пункты требований 152-ФЗ или приказов ФСТЭК выполнены, все системы установлены и сертифицированы. Кажется, что риски под контролем. На деле же защита существует только на бумаге и в отчётах.
Рассмотрим типичный сценарий. В сеть внедряется система предотвращения утечек. По документам она настроена на контроль всех каналов передачи данных. Но чтобы не мешать бизнес-процессам, политики выставляются в режим мониторинга без блокировки, а список контролируемых каналов сокращается до минимума. В случае проверки система покажет свою работу, но реально предотвратить утечку не сможет.
Хуже того, такие «спящие» системы создают дополнительные уязвимости. Некорректно настроенный межсетевой экран может иметь правила, которые не только не защищают, но и открывают лишние порты. Необновляемое сертифицированное ПО становится мишенью для атак, потому что патчи для него выходят с большим опозданием или не выпускаются вовсе.
Почему сложно отказаться от подхода «для галочки»
Причины, по которым компании продолжают покупать решения «в стол», системны и глубоко укоренены в практике регуляторики.
Во-первых, проверка часто фокусируется на формальных признаках. Инспектор смотрит на наличие сертификата соответствия, на факт установки ПО, на отчёты, которые генерирует система. Ему, как правило, некогда или не по регламенту погружаться в детали конфигурации и анализировать, насколько эффективно работает защита. Главное — чтобы пункт требований был закрыт.
Во-вторых, переход к реальной, осмысленной защите требует значительно больше ресурсов: не только финансовых, но и экспертных. Нужны специалисты, которые понимают не только как установить систему, но и как интегрировать её в инфраструктуру, как реагировать на её срабатывания, как постоянно адаптировать настройки под меняющиеся угрозы. Найти и удержать таких специалистов сложно и дорого.
В-третьих, действует принцип «меньшего сопротивления». Проще один раз купить сертифицированный продукт, поставить его и забыть, чем каждый год доказывать регулятору, что ваша кастомная, но более эффективная система обеспечивает аналогичный уровень защиты.
Что можно изменить?
Ситуация не фатальна, но её изменение требует усилий с обеих сторон: и от бизнеса, и от регулятора.
Со стороны компаний необходим переход от логики «закрыть требование» к логике управления рисками. Вместо слепого следования спискам средств защиты стоит провести аудит и понять, какие реальные угрозы актуальны для конкретной инфраструктуры. Затем — подбирать инструменты, которые действительно эти угрозы закрывают, даже если для этого придётся проходить дополнительные процедуры согласования с регулятором.
Со стороны регулятора назрела необходимость в смещении акцента с проверки наличия средств на оценку результата — уровня защищённости информации. Это означает развитие подходов, основанных на тестировании на проникновение, аудите реальных настроек, анализе инцидентов. Когда проверка будет оценивать не факт установки файрвола, а корректность его правил и способность отражать атаки, мотивация компаний изменится.
Некоторые шаги в эту сторону уже видны. Отдельные требования начинают формулироваться в терминах достигаемого эффекта, а не конкретного инструмента. Но это пока исключения, а не правило.
Заключение
Доля решений, купленных исключительно для compliance, по разным оценкам, остаётся значительной. Это не значит, что все сертифицированные продукты бесполезны. Многие из них — качественные инструменты. Проблема в том, как и зачем их используют.
Истинная защита начинается не с покупки лицензии, а с понимания своих рисков и выстраивания процессов, в которых технические средства, это рабочие инструменты, а не музейные экспонаты. Пока же миллиарды рублей ежегодно превращаются в цифровые обереги, которые должны не защитить, а просто доказать, что защита якобы есть.