Над чем работают российские регуляторы кибербезопасности и как это меняет рынок

Российский рынок кибербезопасности показывает одни из самых высоких темпов импортозамещения в России за последние два года. Только по итогам 2023 года доля российских решений в компаниях превысила 80%. Драйвером роста, помимо общего увеличения числа рисков кибербезопасности с 2022 года, являются и действия ключевых законодателей, которые заметно изменили работу рынка и спрос на отечественные решения. В рамках SOС Forum 2024 регуляторы в области ИБ обсудили уже проделанную работу и анонсировали новые изменения, которые также должны простимулировать бизнес и госорганы переходить на российские средства защиты данных.

Безусловное влияние на рынок кибербезопасности в России оказали изменения в регулировании как самой отрасли, так и компаний—пользователей отечественных решений. Поэтому на SOС Forum 2024 общение с ключевыми регуляторами ИБ — Минцифры России, ФСТЭК, Минпромторгом, НКЦКИ и др.— занимало особое место.

Одним из главных заявлений стали слова главы Минцифры Максута Шадаева о скором принятии законопроекта об оборотных штрафах за утечки данных, внесенного в Госдуму в декабре прошлого года и уже прошедшего первое чтение. «Решение по оборотным штрафам примут до конца этого года,— заявил Максут Шадаев.— Решение непростое — понятно, что бизнес не хочет большими деньгами отвечать, но мы понимаем при этом, что объем утечек, конечно, колоссальный».

По данным аналитиков, более 60% утечек данных в 2024 году произошли из-за человеческого фактора, а 28% — из-за технической ошибки на стороне самой компании.

Обсуждаемый в Госдуме законопроект затрагивает все компании, являющиеся операторами персональных данных: по информации Роскомнадзора, на конец ноября это более 920 тыс. российских организаций.

Максут Шадаев и сам признает, что вложения бизнеса в информбезопасность с принятием закона вырастут еще сильнее, хотя и сейчас отрасль «развивается сверхвысокими темпами». По мнению министра, крупные компании, выбирая между тем, чтобы платить большие штрафы и вкладывать средства в укрепление своей кибербезопасности, будут выбирать второе, констатировал он. С ним согласился депутат Госдумы по информполитике, информационным технологиям и связи Антон Немкин: «Увеличение штрафов за утечки данных является важным шагом для повышения ответственности компаний за безопасность пользовательской информации».

Несмотря на то что многие значимые регуляторные инициативы были разработаны или приняты в 2022 году, в 2023 и текущем годах работа продолжилась. Указ президента Российской Федерации №250 был дополнен новыми требованиями: компаниям, на которые распространяется указ, с 2025 года также запрещается пользоваться сервисами (работами или услугами) по кибербезопасности от компаний из недружественных государств.

А в прошлом году постановлением правительства №1912 от 14 ноября 2023 года ужесточились требования по импортозамещению в части программно-аппаратных комплексов (ПАК). В первую очередь в части ИБ под ПАК понимаются межсетевые экраны нового поколения (Next-Generation Firewall, NGFW). Это направление особенно усилили российские компании в области кибербезопасности. В рамках форума ГК «Солар» продемонстрировала собственный Solar NGFW, который представители бизнеса могли протестировать прямо на площадке.

Как отметил директор портфеля продуктов сетевой безопасности компании Александр Баринов, рынок NGFW «вырос с 10 ключевых вендоров до 40, а в денежном выражении с 5 млрд до 50 млрд руб.». Сама же компания рассчитывает занять около 30% рынка.

Без внимания не осталась и широко обсуждаемая с начала года тема внедрения программ Bug Bounty в госсектор и компании критической информинфраструктуры. Как заявил замминистра Минцифры Александр Шойтов, сейчас в том числе рассматривается введение «государственных тарифов» за участие госорганов в программе (см. “Ъ” от 11 ноября). Глава ФСТЭК Виталий Лютиков со своей стороны поделился, что ведомство намерено ввести рейтинг защищенности субъектов КИИ, не уточнив, однако, будут ли какие-то карательные меры для компаний в случае низких показателей. «Мы это хотим автоматизировать и полагаем, что каждый руководитель должен видеть свою текущую оценку в реальном времени»,— пояснил он.

Несмотря на достаточно высокое количество инициатив, которые ежегодно анонсируют и принимают регуляторы, в целом рынок отвечает им, и импортозамещение в сегменте кибербезопасности продвигается высокими темпами. По последним данным Центра стратегических разработок, объем российского рынка кибербезопасности по итогам 2023 года превысил 248,5 млрд руб. при росте на 28,5% относительно 2022 года. Российские вендоры занимают уже 89% рынка средств защиты данных, хотя за год до этого занимали 70%.

Такая динамика говорит о положительном влиянии регулирования кибербезопасности на защищенность компаний и организаций, а также на укрепление позиций российских поставщиков решений.

Татьяна Исакова