Я часто говорю коллегам: неважно, насколько высоко ты забрался, важно, как долго ты сможешь удержаться на этом уровне. История с «Лабораторией Касперского», которая объявила о вынужденной приостановке сотрудничества с европейскими правоохранительными органами, включая Европол (на фоне решения Европарламента принять резолюцию об усилении киберзащиты от России, Китая и КНДР), — как раз об этом.
Выход на европейский рынок для компании с московской пропиской всегда был непростой задачей. Сейчас компании, работающие в странах Евросоюза, проходят очередную проверку на прочность своих позиций прежде всего в силу обострившихся политических отношений между Европой и Россией. Безусловно, свое влияние на происходящие процессы оказывают США. Означает ли это, что пора сворачиваться? Нет.
Что теряет «Лаборатория Касперского»?
Если обычная компания уходит с рынка, она теряет деньги. Если компания, специализирующаяся на кибербезопасности, уходит с рынка, она теряет данные и деньги. Современный уровень развития технологий информационной защиты требует постоянного обучения своих систем (и машинного, и ручного). Объясню проще: системы получают данные в результате работы команды компьютерной безопасности по реагированию на инциденты (incident response — это когда, предположим, взломали банк, приехали специалисты ПО и разобрались, как технически произошла атака), а также в результате постоянного изучения методов, инструментов и технологий, применяемых киберпреступностью в каждом конкретном регионе (это threat Intelligence, то есть киберразведка). Кроме того, поставщиками данных являются сами продукты для раннего предупреждения атак, позволяющие выявить все формы вредоносного кода, который «стучится» в сети локальных компаний (это класс продуктов Threat Detection System, например). Все эти источники данных обогащают продукты вендора и делают их более сильными в деле противостояния киберугрозам в любой стране и на любом континенте.
Хакеры по большей части сфокусированы на деньгах: в разных странах они будут стремиться атаковать ту инфраструктуру и те компании, в которых эти деньги есть. Только изучая профиль злоумышленника в каждой стране, можно бороться с киберпреступностью в глобальном пространстве. Такова специфика работы вендоров в области «инфобеза». Теряя рынок, теряешь знания и становишься слабее технологически. Это важно понимать.
И страдает не только продукт. Страдает бизнес, который годами защищался с помощью этого продукта, а теперь вынужден искать замену: это перестройка процессов, технологической стратегии, ресурсного обеспечения. И снова убытки.
Думаю, в долгосрочной перспективе «Лаборатория Касперского» сумеет восполнить денежную просадку, образовавшуюся из-за ухода с европейского рынка, за счет клиентов в Латинской Америке и Азии. Но уходить из Европы нельзя по другим, нефинансовым, причинам. Во-первых, рынок Европы является одним из самых высокоразвитых. Правоохранительная система здесь представляет собой один из немногих примеров эффективных расследований компьютерных преступлений во всем мире. В Европе работают важные организации в сфере борьбе с киберкриминалом: Совет Европы, ОБСЕ и, безусловно, Европол.
Есть известное высказывание: «То, как ты встречаешь поражения, определяет твой успех» (она принадлежит певцу Дэвиду Фегерти). На мой взгляд, даже если какая-либо компания получает от государства недружественный сигнал, то это еще не повод паковать вещи. Повторюсь: уход означает глобальную потерю прежде всего аналитических возможностей, необходимых для обеспечения защиты клиентов в других странах. Учитывая, что в Европе находится ряд глобальных объектов критической инфраструктуры, разрыв отношений с ней лишит компанию Евгения Касперского возможности изучать угрозы и разрабатывать глобальные инновационные технологии для борьбы с киберпреступлениями и кибершпионажем.
Что теряет Европа?
Было бы ошибкой полагать, что, выдав «ноту недоверия» такой компании, как «Лаборатория Касперского», европейский рынок, защитив свои политические интересы, не потеряет экономически. Глобальных игроков рынка информационной безопасности с международной сетью аналитики Европа фактически не имеет. Ни Avast (Чехия), ни ESET (Словакия), ни Sophos (UK), ни другие компании назвать лидерами по экспертизе в области анализа международных угроз, киберразведки и, главное, глобальной аналитики пока нельзя. Это во-первых.
Во-вторых, все крупнейшие киберпреступления на территории Европы — чаще всего дело рук русскоязычных хакерских групп (не русских, а именно русскоязычных — это важное отличие). По официальной статистике Европола, 15 из 18 кейсов в области информационной безопасности, которыми он занимается, связаны с русскоязычной киберпреступностью. Ими, например, созданы все новые Android-трояны, ущерб от которых неуклонно растет (по нашим данным, рост только в России по итогам 2017-го составил 136%). При этом ни одна европейская компания не имеет крупного аналитического центра, занимающегося изучением и анализом инцидентов информационной безопасности, на территории государств бывшего советского пространства. Действуя против глобальных игроков с российскими корнями, в долгосрочной перспективе Европа снижает собственный уровень информационной безопасности.
На мой взгляд, наиболее адекватным решением в данной ситуации было бы внедрение на уровне государства тактики эшелонированной защиты. Когда в одной инфраструктуре используются продукты и технологии нескольких вендоров (проще говоря, они «стоят» друг за другом и анализируют зеркалируемый трафик). Тогда никакой «вотум недоверия» не скажется на уровне обеспечения информационной безопасности в организации в целом. Если говорить еще проще, технологии будут проверять и перепроверять друг друга, уровень детектирования угроз вырастет, благодаря чему риск утечки данных или реализации каких-либо других рисков будет минимизирован, а сам рынок будет по-прежнему защищен как от киберугроз, так и от последствий сиюминутных политических решений. Вопросы кибербезопасности должны быть вне политики. И только так.
Есть ли выход? Думаю, в ближайшее время самой «Лаборатории Касперского» исправить ситуацию вряд ли удастся. Компания выбрала такой путь, это ее право. Но данный шаг ни в коем случае не означает, что другим российским игрокам, как стремящимся на рынок Европы, так и уже работающим на нем, дверь закрыта.