AN ANALYSIS OF CYBERSECURITY SOLUTIONS IN THE U.S. BASED ON U.S. GOVERNMENT STRATEGY

В Соединенных Штатах Америки один из самых высоких в мире показателей проникнoвения цифровых технологий. Многие пользователи и организации активно используют устройства интернета вещей (IоT) и облачные решения. В своей повседневной деятельности организации по всей территории США все больше полагаются на компьютерные сети, интеллектуальные устройства и электронные данные, что, в свою очередь, приводит к увеличению объемов личной и финансовой информации, передаваемой и хранимой в Интернете. Следовательно, потребность в решениях для управления безопасностью, идентификацией и доступом к данным с каждым годом становится все более острой. И прeжде, чем перейти к основной части наших исследований, определимся с основными понятиями и определениями, принятыми в США на уровне государства.

Стандарт ISО/IEC 27032:20121

Международный союз электросвязи (ITU)

NIST Nationаl Institute of Standards and Technоlogy (Национальный институт по стандартизации и технологиям). Кибербезопасность – способность защищать и оборонять киберпространство от кибератак.

СNSS – Committee on National Security Systems (Комитет по системам национальной безопасности (США)). Кибеpбезопасноcть – предотвращение повреждения, защита и восстановление компьютеров, систем и услуг электронной связи, включая содержащуюся в ней информацию для обеспечения ее доступности, целостности и конфиденциальности.

В данных определениях есть общая мысль – не подразумевается разделение между преднамеренными и непреднамеренными действиями. Некоторые определения в качестве угроз определяют только виртуальные ресурсы (например, в стандарте ISO 27000), а другие (например, у НАТО) подразумевают, что угрозы могут носить как виртуальный, так и физический характер.

Стратегия кибербезопасности – документ, который фиксирует и определяет государственную политику, направленную на обеспечение безопасности государства в киберпространстве.

Киберстpатегия США состоит из четырeх частей и носит декларативный характер

1. «Защита американского народа, Родины и американского образа жизни». В этой части речь идет о безопасности федеральных сетей и критической информационной инфраструктуры. Также имеются и разделы о борьбе с киберпреступностью и улучшении отчетности о киберинцидентах.

2. «Содействие процветанию Америки». Здесь описаны принципы цифровой экономики, планы развития безопасного рынка технологий. А также заложены принципы сохранения США как лидера в создании новых технологий.

3. «Сохранение мира силой». В этой части изложены меры противодействия «неприемлемому» поведению в киберпространстве.

4. «Усиление американского влияния». Эта глава посвящена принципам работы безопасного и свободного Интернета, здесь же затронута проблема усиления киберпотенциала страны.

Иногда, вместо понятия «киберпространство», авторы стратегии используют понятие «сеть Интернет». Нaпример, следующая цитата подчеркивает, как Интернет ценен для США: «Америка создала Интернет и поделилась им со всем миром. Теперь мы должны убедиться в безопасности киберпространства для будущих поколений».

Буквально на днях (сентябрь 2023 г.) США приняли новую редакцию стратегии национальной кибербезопасности, носящую более прагматичный характер, направленный прежде всего на обеспечение безопасности критически важной инфраструктуры

Цель стратегии описана в следующих пяти базовых принципов:

· Защита критически важной инфраструктуры, которая осуществляется с помощью применения минимальных требований к кибербезопасности в критически важных секторах экономики.

· Противодействие злоумышленникам в сети, их полное «разоружение». Здесь планируется задействовать потенциал частных компаний.

· Формирование сильных частных компаний, которые будут отвечать за безопасность и устойчивость киберпространства. Государство доверит ответственность за киберзащиту на более сильных игроков экономической системы. В результате такого снижения рисков слабые и наименее защищённые участники экосистемы будут освобождены от ответственности за последствия инцидентов кибербезопасности.

· Стратегические инвестиции в безопасное будущее и координация совместных действий всех субъектoв экономического развития обеспечит стране ведущую роль в мире в области инноваций в сфере безопасной и устойчивой инфраструктуры и технологий нового поколения.

Создание взаимовыгодных паpтнерских отношений на международной арене для достижения общих целей: наращивания возможностей партнёров США противостоять кибeругpозам как в мирное время, так и в кризисное.

Механизмы контроля безопасности 800-53 Национального института стандартов и технологий (NIST), как правило, применяются к федеральным информационным системам США. Фeдеральные информационные системы обязаны проходить процедуру официальной оценки (сертификации) и авторизации, чтобы гарантировать достаточную степень защиты конфиденциальности, целостности и доступности информации в используемых информационных системах.

Правительства и корпорации поддерживают применение платформы кибербезопасности CSF (англ. – Сybersecurity Framework, CSF)

Эпоха стремительного технологического развития задает свои важные направления в ИБ, например, безопасность для промышленной автоматизации и систем управления. В целях подтверждения защищенности (кибербезопасности) автоматизированных систем управления и промышленной автоматики необходимо выполнять сертификацию по стандарту ISA/IEC 62443. Чтобы поддерживать обеспечение безопасности систем автоматизации в рабочем состоянии необходимо, в первую очередь, противостоять заражениям вирусами и внедрению вредоносного ПО.

Серия стандартов ISA/IEC 62443

В стандарте ISA/IEC 62443 содержатся следующие требования:

· к проектированию,

· к безопасной реализации (программированию),

· к верификации и проверке подлинности,

· к управлению дефектами, управлению исправлениями и окончанию срока службы продукта с учетом безопасности.

Данный стандарт задает требования к процессу безопасной разработки продуктов, используемых в AСУ ТП. В основу документы положены 6 основных принципов:

· Безопасность периметра сети. Устанавливается контроль точек, где вредоносное ПО может проникнуть в систему автоматизации производства.

· Защита рабочих станций. В результате этих мер снижаются риски заражения рабочих станций.

· Управление учетными записями.

· Обновления безопасности.

· Резервное копирование и восстановление.

· Мoниторинг безопасности и оценка рисков.

Ниже будут изложены рекомендации для компаний, работающих с персональными данными:

· Существенно снизить риски проникновения вредоносного программного обеспечения и предотвращать утечку данных.

· Обеспечить бесперебойную работы сети предприятия, наладить качественную связь между подразделениями.

· Обеспечить доверие клиентов.

· Снизить расходы, а также избежать риски инцидентов ИБ на этапе внедрения ПО и на других этапах жизненного цикла систем автоматизации.

Какие же компании, в первую очередь, должны придерживаться требований к программе обеспечения защищенности (кибербезопасности) согласно данного стандарта? Это компании поставщики услуг IACS (Instruments and Automatic Control System), а также компании, которые планируют расширяться и предоставлять услуги и товары в США и странах ЕС.

Рассмотрев специфику законодательства США в области стандартизации и сертификации продуктов и систем кибербезопасности, далее перейдём к анализу рынка продаж этих решений на таможенной территории страны и за её пределами.

Кибербезопасность уже некоторое время является главной составляющей в расходах ИТ-департаментов, опережая долгосрочные инвестиции в такие сферы, как искусственный интеллект и цифровую трансформацию бизнеса, которые, в свою очередь, нуждаются в обеспечении информационной безопасности. Данное стечение обстоятельств вызвано в первую очередь разрушительным ущербом от программ-вымогателей и киберугроз, направленных против цепочек поставок программного обеспечения и критической инфраструктуры предприятий. Киберугрозы – это попытки через Интернет нарушить работу или повредить информационные системы и взломать критически важную информацию с помощью шпионских программ, вредоносных программ и фишинговых атак. Учитывая ущерб, который может нанести нарушение интеллектуальной собственности, репутации и доходам компании (не говоря уже о крупных штрафах в соответствии с законами о конфиденциальности данных), компании вкладывают значительные средства в развитие корпоративной безопасности

Рынок кибербезопасности включает в себя доходы, полученные от продажи продуктов и услуг. 

Отчет правительства США о рынке кибербезопасности предоставляет разнообразные данные по конечным пользователям (подготовлен ЦРУ, Министерством обороны и Министерством внутренней безопасности), местам развертывания (локальное и облачное) и видам продуктов (услугам и решениям). Он также содержит в себе углубленный анализ текущих трендов и проблем. 

Прежде всего, рост рынка обусловлен инновационными изменениями в пользовательском интерфейсе межсетевых экранов (МЭ). Так называемые брандмауэры предоставляют пользователям улучшенную защиту с помощью формирования черных списков, фильтрации URL-адресов и автоматической блокировки от угроз со стороны злоумышленников. Поставщики межсетевых экранов могут использовать подобные методы противодействия киберугрозам на проникновение к внутренней сети, путём создания демилитаризованной зоны DMZ.

В последнее время на рынке средств кибербезопасности появились межсетевые экраны нового поколения (Next-Generation Firewall, NGFW), которые, кроме основных функций брандмауэра, имеют еще и дополнительные функции, такие как:

· контроль приложений;

· DPI (Deep Packet Inspection, проверка пакетов на уровне приложений);

· IPS (предотвращение вторжений);

· веб-фильтрация (контроль URL-адресов, к которым обращаются пользователи);

· аутентификация пользователей.

Также к штатным функциям МЭ могут быть дополнительно агрегированы опции безопасности с использованием искусственного интеллекта (ИИ) и машинного обучения (МО), такие как:

· EDR (Endpoint Detection and Response). Смысл этой функции в обнаружении неизвестных вредоносных программ, автоматической классификации любых угроз и самостоятельного реагирования на них. Все данные затем передаются в центр управления. Используя общую базу знаний, ИИ принимает решения по противодействию угрозам. Также с помощью ИИ можно выявить и внутренние угрозы.

· NDR (Network Detection and Response) – аналитические платформы, которые служат для обнаружения атак на сетевом уровне, а затем оперативно реагируют на них. Как это работает? С помощью накопленной статистики и базы знаний об угрозах появляется возможность выявлять угрозы в сетевом трафике и реагировать на них, с помощью изменений в конфигурации сетевых устройств и шлюзов. Некоторые продукты такого плана специализируются на защите облачных провайдеров. Применяются NDR и для анализа почтового трафика на предмет фишинга. 

· UEBA (User and Entity Behavior Analytics) – системы поведенческого анализа пользователей и информационных сущностей. Смысл работы подобных систем состоит в том, чтобы обнаружить необычное поведение и применить полученные данные для фиксирования внутренних и внешних угроз. UEBA помогают выявить аномалии в поведенческих моделях. Это может быть выражено как отклонение от нормы или соответствие паттерну угрозы. Далее происходит классификация обнаруженных аномалий с помощью ИИ. Основные сферы применения метода – это мониторинг и управление доступом, антифрод, защита конфиденциальных данных, проверка соблюдения регламентов и нормативных актов.

· TIP (Threat Intelligence Platform) – платформы раннего детектирования угроз и реагирования на них. Принцип действия таких платформ – это сбор огромного количества самых разных данных (Data Lake) и определение индикаторов компрометации (IoC). В чем-то TIP напоминает работу SIEM, но TIP нацелена на внешние источники данных и внешние угрозы.

· SIEM (Security Information and Event Management) – предназначены для мониторинга информационных систем. В режиме реального времени SIEM производят анализ событий безопасности. Информация в SIEM стекается из сетевых устройств, средств защиты информации, ИТ-сервисов, инфраструктуры систем и приложений. Затем происходит обнаружение инцидентов ИБ.

· SOAR (Security Orchestration and Automated Response) – это системы, которые не просто находят угрозы информационной безопасности, они занимаются автоматизацией реагирования на инциденты.

· AS (Application Security). Главный смысл работы таких систем – это выявление угроз безопасности прикладных приложений, а затем их устранение. С помощью решений ИИ происходит сбор информации об уязвимостях, атаках и заражениях. Затем на основании результатов полученной информации выполняются автоматические сценарии защитных действий. Это может быть сканирование на уязвимости, применение новых правил защиты для веб-приложений, выявление новых угроз, анализ модели рисков.

· AF Антифрод (Antifraud) – системы, предназначенные для борьбы с мошенничеством в финансовых учреждениях в режиме реального времени. С помощью искусственного интеллекта можно выявить нарушения в бизнес-процессах компании. А затем можно быстро отреагировать на потенциальное преступление или уязвимость какого-либо бизнес-процесса.

· ZTNA (Zero Trust Network Access) – системы доступа с «нулевым доверием». Термин «нулевое доверие» понимается прямо в буквальном смысле. В такой системе ни один пользователь или устройство не считаются надежными, ни одна транзакция не считается безопасной. Всегда происходит предварительная проверка авторизации пользователя и устройства.

· DLP (Data Loss Prevention) – системы, которые предназначены для предотвращения потери/утечки данных. Они обычно работают с внутренними угрозами в компании и противодействуют инсайдерам. Принцип DLP-системы заключается в анализе потоков данных, пересекающих периметр корпоративной системы. Применяется технология контентного анализа на основе алгоритма Байеса и метода опорных векторов. 

Применение ИИ в таких системах особенно актуально, так как позволяет быстро адаптироваться к изменению логики и различных метрик бизнес-процессов, а также использовать лучшие практики в индустрии кибербезопасности. Для всех типов данных систем технологии искусственного интеллекта позволяют увеличить эффективность детектирования неизвестных угроз. Данные новшества способствуют развитию рынка как межсетевых экранов, так и интеллектуальных средств информационной безопасности в ближайшие годы

Ожидается, что до 2033 года технология межсетевых экранов на основе ИИ и МО в США станет главенствующей и ее доля составит около 78,6% в Северной Америке.

В США поставщики NGFW сосредоточены на развитии и продвижении своих систем обнаружения и предотвращения вредоносного проникновения для выявления и последующего анализа кибератак (IPS/IDS). Эти крупные компании ориентируются на малые и средние бизнесы, которые стремятся обеспечить безопасность своих приложений, хранящихся в облаке, и предлагают им значительно более низкие цены

В марте 2019 года было объявлено об открытии офиса кибер- и энергетической безопасности в США с выделением бюджета в размере 96 миллионов долларов США.

Следует отметить, что законодательные и регуляторные процессы на федеральном уровне штатов также способствуют повышению расходов на кибербезопасность, создавая условия для разумного регулирования данной сферы. Например, в штате Луизиана в 2021 году был принят закон об обязательном уведомлении в случае выявления возможной уязвимости в решениях от поставщиков управляемых услуг, работающих на государственный сектор экономики (Louisiana Act 117 – Senate Bill 273). В таком случае компаниям необходимо приобретать программы безопасности, которые будут не только отражать потенциальные кибератаки, но также и фиксировать возникновение потенциальных рисков

В 2022 финансовом году расходы Министерства внутренней безопасности США на гражданскую кибербезопасность составили 2,4 миллиарда долларов США. Министерство юстиции выделило около 1,2 миллиарда долларов США на соответствующие инвестиции в кибербезопасность. Общие расходы финансовых директоров государственных агентств на кибербезопасность (исключая Министерство обороны) составили 9,3 миллиарда долларов США

На 2023 финансовый год президент США запросил 2,5 миллиарда долларов на кибербезопасность. Это на 18% выше, чем в 2022 году. К этому следует добавить, что 11,2 миллиарда долларов было выделено на развития кибербезопасности Пентагона. Это на 8% больше предыдущего запроса администрации Байдена

Соединенные Штаты являются лидером по продажам продуктов кибербезопасности наряду с Израилем.

На 2023 год объем рынка кибербезопасности США оценивается в 73,41 миллиарда долларов США и, как ожидается, он достигнет отметки в 108,31 миллиарда долларов США к 2028 году. Среднегодовой рост составит 8,09% в течение прогнозируемого периода (2023-2028 годы).

В число ключевых игроков в области решений для отраслевой кибербезопасности в США входят Fortinet, Intel Sequrity, Dell, Cisco, IBM

Основными участниками рынка коммерческой кибербезопасности являются: Cisco System, Nexusguard Limited, BAE Systems Intelligence & Security, Ixtel Technologies, Argus Cyber ​​Security, McAfee, Root9B Technologies, Symantec Corp, Check Point Software Technology, Cato Networks и PhishMe In

Стоит уделить внимание на тот факт, что на рынке США становится все более популярным продукт, основанный на технологии искусственного интеллекта – Darktrace от одноименной британской компании (г. Кембридж). Компания представляет систему распознания киберрисков по нетипичной активности в сетях, к которым подключен компьютер. Установка системы Darktrace требует выезда специалиста на место ИКТ-инфраструктуры компании-заказчика, также компания проводит обучение внутренних ИТ-специалистов по работе с системой

Другая компания в сфере кибербезопасности, Horizon3.ai, базирующаяся в Калифорнии, привлекла инвестиции в размере 5 миллионов долларов США в рамках раунда инвестиций серии A, который возглавил SignalFire.

Fortinet – это второй по размеру выручки игрок в секторе кибербезопасности США (уступает только Palo Alto), также ежегодно получает инвестиции размером в десятки миллионов долларов. Стоит отметить, что Fortinet является самым маржинальным игроком в секторе кибербезопасности и сохраняет высокий темп прироста прибыли в размере 30% несколько лет подряд. 

В то время как большинство сегментов IT сектора США значительно замедляются, рынок кибербезопасности по-прежнему показывает опережающий рост: за 2023 год рост рынка составит 13,2%, а к 2026 году объём рынка вырастет до $280 млрд. (+80% с текущих уровней). Бизнесы таких компаний как Fortinet и Palo Alto хорошо диверсифицированы как по клиентам (от малого до крупного бизнеса) и конечным индустриям, так и географически (самую крупную долю в выручки занимает США с 28%)

Выручка компании Fortinet, Inc. за 2022 год составила 4,42 миллиарда долларов США. Большая часть – 1,78 миллиардов долларов США – была получена из сектора сетевой безопасности, который за год до этого принёс компании 1, 25 миллиарда долларов США (таблица 1).

Что касается деления выручки по странам, то на США приходится наибольшая доля выручки за последние несколько лет. Несмотря на то, что общий объем выручки по Европе и Африке, превышает объем выручки по США. В таблице 2 представлены уровень выручки по странам компании Fortinet, Inc.

При этом стоит заметить, что росту рынка препятствует высокая стоимость внедрения решений по кибербезопасности. Сюда входят лицензирование программного обеспечения, настройка систем, обучение и расходы на обслуживание. Наем ИТ-персонала и проведение обучения увеличивают общие затраты на внедрение новых технологий. Кроме того, скрытые затраты, такие как развитие корпоративной культуры кибербезопасности и различные тренинги, еще больше увеличивают финансовые вложения. Постоянный мониторинг и устранение новых угроз приводят к росту расходов на кибербезопасность у компаний любых размеров, и это является ключевым фактором роста рынка в ближайшие 5 лет. 

По прогнозам, выручка в сегменте программного обеспечения для улучшения систем безопасности на рынке США будет постоянно увеличиваться в период с 2023 по 2026 год. В общей сложности данный сегмент вырастет на 5,7 миллиарда долларов США (+21,33 процента). Согласно этому прогнозу, в 2026 году выручка всех ключевых игроков увеличится, третий год подряд достигнув рекордного показателя в 32,44 миллиарда долларов США. Примечательно, что доходы компаний, работающих в секторе кибербезопасности постоянно росли в течение последних лет

Развитие рынка кибербезопасности в США находится в зависимости от нескольких ключевых факторов, таких как, рост продаж межсетевых экранов, внедрения гибридной модели проектирования решений кибербезопасности и увеличение бюджета на ИТ-безопасность во многих компаниях. Принятие верных решений в области кибербезопасности позволяют правительству США сохранять конфиденциальность данных путем мониторинга, обнаружения, составления отчетов и противодействия угрозам кибербезопасности

Изучив отчеты и статистику, предоставленную в этой статье, можно сделать вывод, что рынок корпоративной безопасности обширен и охватывает целый ряд технологий и систем, которые постоянно требуют доработок и внимания со стороны поставщиков товаров и услуг по кибербезопасности. Некоторые поставщики предлагают множество продуктов, в то время как другие специализируются только на одном или двух. Чтобы выбрать потенциального поставщика для бизнеса, сначала необходимо внимательно изучить потребности компании и бизнес-процессы, прежде чем делать выбор в пользу какого-то из продуктов.

Научная новизна работы заключается в выявлении взаимосвязи между такими теоретическими понятиями, как «киберстратегия государства», «кибербезопасность», «киберпространство» и др. положениями международных стандартов и совершенно практическими показателями объемов продаж на рынке продуктов и систем кибербезопасности. В статье приводятся исследования на примере США – самого крупного рынка в сфере кибербезопасности. Показаны примеры регулирования столь специфического рынка (как рынок систем кибербезопасности) на стратегическом и макроэкономическом уровнях (разработка стратегий правительства США) и на уровне микроэкономики (выход на рынок коммерческих компаний и вывод их продуктов). Статья будет полезна российским специалистам, исследователям и бизнесменам в сфере ИБ для оценки рыночных возможностей самого крупного конкурента в области кибербезопасности.