Ну вот, коллеги, подходит к концу довольно непростой 2011 год. В этом посте мне бы хотелось оглянуться на те события, которые происходили в этом году, на
мой прогноз, который я давал в прошлом году, и немного поразмышлять о прогнозах на год грядущий.
Для начала вспомним о том, какие прогнозы я давал в прошлом году и насколько они сбылись:
Прогноз 1 (привожу лишь некоторые купюры): "Усилятся (расширятся) регуляторные требования по информационной безопасности. ..... Понятно, что персональные данные по прежнему будут превалировать, но и другие темы так же начнут себя проявлять. Законопроект Резника примут по моим оценкам в марте-апреле 2011 г после чего либо дадут еще какую-то отсрочку (т.к. до 1 июля все равно мало кто успеет выполнить требования обновленного закона), либо просто проводимые проверки будут ограничиваться только предписаниями без серьезных санкций. Также интересным является и то, что на мой взгляд сейчас сохраняется неопределенность в том, кто же будет предъявлять требования и проверять. ФСТЭК уже пытаются оттеснить от вопросов формирования требований и проведения проверок..... Думается мне, что все же негосударственным организациям будет предоставлена свобода выбора методов и способов защиты персональных данных...."
Все мы знаем чем закончилась (или может быть все же не закончилось) эпопея с поправками в 152-ФЗ. Прогноз об усилении регуляторных требований оправдался, прогноз о том, что ФСТЭК будут оттеснять оправдался (сейчас работу по разработке требований возглавляет ФСБ), а вот насчет свободы, точнее отказ от нее ... это конечно самая большая ошибка наших законодателей на мой взгляд.
Прогноз 2: Помимо тематики соответствия требованиям я думаю, что стоит ожидать усиления хакерской активности, приводящей к краже данных пользователей с целью получения денег (это и мошенничество в ДБО, фишинг и социальная инженерия). Думается мне, что 2011 г. может порадовать нас несколькими крупными инцидентами.
Этот прогноз тоже оправдался. Усиление хакерской активности это даже пожалуй слабо сказано. В этом году мы все услышали и про Anonymous и про LulzSec. А что касается крупных инцидентов, то тут
взлом RSA безусловно можно назвать не просто крупным, а крупнейшим инцидентом из произошедших за последние годы. Но RSA - это лишь одна из компании, взлому также подверглись компании Sony, MySQL, Epsilon, Acer, Honda, Nintendo и многие другие.
Прогноз 3: Помимо этого 2011 г. продолжит тенденцию "мобилизации", т.е. все большее количество сотрудников будет использовать для своей работы различные мобильные устройства: смартфоны, планшетные компьютеры (ipad и проч.), ноутбуки, а это в свою очередь все больше будет осложнять вопрос с обеспечением безопасности
Прогноз оправдался. В текущем году только в России было продано более 1 млн. планшетов. Многие компании теперь задумываются над такой проблемой как использование личных мобильных устройств в бизнес среде (на западе эту тенденцию назвали consumerisation of IT) и связанными с этим проблемами с безопасностью. Что же касается появления новых угроз, то тут активно начали работать вирусописатели под платформу Android (примеры
тут,
тут и
тут).
Прогноз 4: Кадровый голод. Думаю что в 2011 году он проявится еще более остро. Хороших специалистов у нас во всех областях мало, а в ИБ и подавно. ...... Это хорошая пора для консультантов, т.к. в условиях отсутствия своих сил (и наличия денег) компании будут обращаться к их услугам, но ведь и им тоже потребутся специалисты, причем опытные и вот тут начнется драка за людей и жесткий хед-хантинг :)
Прогноз, на мой взгляд, оправдался частично. Специалисты по информационной безопасности нужны многим, на сайтах работы можно на вскидку найти с десяток вакансий от младшего специалиста до руководителя службы информационной безопасности. Активнее всего людей сейчас ищут банки (оно и понятно, СТО БР поднять - это не так уж и просто). Но при этом никакого жесткого хед-хантинга все же на рынке не наблюдается. Связано это с тем, что необдуманные действия наших законодателей с принятием поправок в 152-ФЗ ввели всех в ступор и многие компании заняли выжидательную позицию. Да и призрак второй волны мирового финансового кризиса не прибавляет желания активно набирать людей.
Прогноз 5: Cloud Computing в России. Да, про облачные вычисления говорят уже давно, но в России пока я не встречал серьезных предложений по теме облачных вычислений, хотя уже сейчас появляются компании, готовые предоставить сервис, отвечающий требованиям 152-ФЗ. Во многом пока это чистая профанация, но я думаю, что в будущем году сервисы на базе облачных вычислений начнут набирать обороты, а это в свою очередь будет создать интересные преценденты (читай проблемы), связанные с обеспечением безопасности информации в таких "облаках" и контроля за их утечкой.
Подводя итоги важнейших событий уходящего года, я бы еще отметил проведение в России двух хакерских конференций - Positive Hack Days и ZeroNights. Еще год назад многим казалось, что у нас такое просто невозможно организовать, но как оказалось мы тоже можем устраивать достойные мероприятия (к сожалению сам попасть не смог, надеюсь на будущий год организаторы про меня не забудут :) )
Теперь о грядущем. Что же нас ожидает ? Для начала посмотрим на прогнозы других экспертов и компаний, которые уже появились в сети:
- Лаборатория Касперского подвела итоги 2011 года и сделала прогнозы на 2012 год. Отчет доступен тут.
- Прогноз до 2016 г. от Gartner опубликовал сайт PCIDSS.ru. Ссылка.
- Компания StoneSoft опубликовала довольно короткий прогноз на 2012 г. Ссылка.
- Предсказания на 2012 г. от Технического директора компании Imperva. Ссылка.
- Прогноз на 2012 г. от экспертов компании ESET. Ссылка.
Позволю себе также сделать несколько прогнозов:
1) Увеличение количества ИТ-инцидентов, связанных со сбоями и техногенными авариями. Я не верю в конец света в 2012 г., но я убежден, что компаниям, особенно крупным, надо прорабатывать вопросы непрерывности деятельности и восстановления после аварий. Shit happens, все неприятности невозможно будет предотвратить, но суметь оперативно отреагировать - жизненно важно.
2) Законодательный винегрет. По-другому никак не могу это назвать, прошедший год показал, что людей, способных писать адекватную нормативную базу в области ИТ/ИБ в госорганах практически не осталось. Надо быть готовым к появлению массы коллизий, спорных норм и двойных стандартов (вроде использования неразрешенной криптографии на государственных ресурсах). Однако, как показывает исторический опыт, неадекватное регулирование и излишнее завинчивание гаек рождает рост протестных настроений. И обрести они могут самую разную форму.
3) Усиление хакерской активности. Тут ничего нового, это многолетний тренд. Объемы вредоносного кода и масштабы хакерских атак растут год от года. В предстоящем году эту тенденцию может подхлестнуть ухудшающаяся экономическая ситуация. При этом все большее количество атак будет носить направленный характер (targeted attack).
4) Снижение внимания к информационной безопасности. Неожиданный прогноз :) но все происходящие в последнее время события показывают, что в стране накопилось множество проблем... в политике, в экономие, в промышленности (на днях потеряли очередной спутник.. как ни грустно об этом говорить, но мы проср..ли почти все что можно было). И в этой связи вопросы информационной безопасности конечно будут волновать государство и бизнес, но приоритет этих вопросов серьезно снизится.
Вот такие вот мысли, коллеги. Но самое главное - не терять оптимизма ! Всех с наступающим новым годом ! :)