Буйство незащищённых технологий
Экспертное мнение Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
Информбезопасность для бизнеса станет приоритетом лишь тогда, когда в России заработает риск-менеджмент, появится внятное госрегулирование, а потребители начнут уходить к более защищённым конкурентам
В конце мая в Москве прошел Positive Hack Days — международный форум, посвящённый практическим вопросам информационной безопасности (ИБ). Эксперты Positive Technologies протоколировали: в России много лет ведётся дискуссия о выборе правильной политики, о новых требованиях по защите персональных данных, о построении взаимоотношений между ИБ-службой и руководством. Но слова воплощаются в дела со скрежетом. Уровень защищённости, например, крупных компаний (в том числе входящих в топ-400 по версии журнала "Эксперт") за последние два года значительно понизился. Согласно тестам, проведённым в 2014-м, злоумышленник, находящийся за пределами организации, не имеющий никаких привилегий и данных о сети, может преодолеть периметр почти в 90% случаев (показатель 2012-го — 74%). При этом 61% систем может успешно атаковать преступник низкой квалификации (в 2012 году такие нарушители могли взломать 46% систем).
Немногим ранее, в апреле, консалтинговая компания KPMG опубликовала результаты опроса 133 глобальных институциональных инвесторов (под их управлением находятся активы на сумму более 3 трлн долларов). 79% респондентов заявили, что не захотят вкладывать средства в компанию, которая подверглась хакерской атаке.
Так ли всё плохо с инфобезом? Ответ на этот вопрос по просьбе "Э-У" пытаются найти представители крупных отечественных ИТ-компаний.
Дорогая страховка
— Бизнес, принимая решения о развитии ИБ, руководствуется несколькими подходами — рисками, инцидентами, требованиями рынка или регулятора. Ни один из этих "драйверов" в нашей стране не работает, — уверен заместитель генерального директора InfoWatch Рустэм Хайретдинов. — Для понимания рисков необходимо иметь актуальную оценку информактивов (она не делается) и точную статистику по инцидентам (по России оставляет желать лучшего). Регулирование в области информбезопасности довольно слабое и бессистемное, а наказания за нарушения настолько ничтожны, что проще платить штрафы, чем заниматься внедрением каких-либо решений. Рынок абсолютно не требователен к ИБ: инциденты не приводят к сколько-нибудь значимым потерям, клиенты не бегут от менее защищённых компаний к более защищённым. Особенно это чувствуется в реальном секторе: вне зависимости от утечки данных или компрометации сайта, нефть будет добываться, металл плавиться. Чувствительный ущерб успешная атака наносит только интернет-компаниям (таким как электронная торговая площадка, интернет-СМИ, сайт электронной коммерции, игровой портал). В отсутствии чёткого понимания смысла и стоимости защиты информации большинство организаций руководствуются следующим принципом: "Дорогая служба ИБ, вот тебе 5 — 10% ИТ-бюджета, сделай нам что-нибудь, чтобы мы чувствовали себя защищёнными".
ИТ-специалисты замечают: ИБ — это страховка, которую бизнес "покупает" на сугубо добровольных началах. Никаких прибылей бизнесу информбезопасность не приносит, она уберегает его от убытков.
— В то же время другие ИТ-проекты — это обычно решения из серии "время — деньги", — замечает директор учебного центра SearchInform Алексей Дрозд. — Например, ERP повышает рентабельность бизнеса на несколько десятков процентов. Любой нормальный бизнес действует обычно ради одной цели — увеличение прибыли. Всё, что не соответствует этой цели, вторично. Правда, кое-какие "снижатели" маржи сегодня уже стали нормой. Я говорю о комфортабельном офисе, различных пиар-активностях, заботе об экологичности товара. Многие компании поняли, что данные факторы, пусть косвенно, но работают на них. С ростом уровня угроз бизнес неизбежно осознаёт, что защищаться необходимо. Чем старше и крупнее становится организация, тем больше у нее шансов стать жертвой собственного пренебрежения вопросами ИБ. Падение уровня защищённости, на мой взгляд, во многом связано с проникновением технологий в те сферы, где нет пользователей соответствующей квалификации. Это как рост числа мелких ДТП после появления на дорогах "подснежников". По мере роста ИБ-грамотности населения проблема будет решаться.
С последним тезисом соглашается эксперт по технологиям защиты информации компании "Код безопасности" Андрей Степаненко: "Бизнес выделяет деньги на ИБ. Но с учётом того, что параллельно эволюционирует ИТ-инфраструктура, активно внедряются облачные сервисы, растёт использование социальных сетей, мобильных устройств, средств на соответствующее развитие систем защиты не хватает".
Рустэм Хайретдинов сетует: конкуренция производителей программного обеспечения, как тиражного, так и заказного, вынуждает их как можно быстрее выпускать новый функционал в ущерб защищённости. На смену закрытым уязвимостям приходят тысячи новых. Максимум, что могут ИБ-компании — указать производителям и пользователям на наличие проблемы. Закрыть дыры внешними, "навесными" решениями можно в очень ограниченном числе случаев.
В "Аладдин Р.Д." считают, что защита информации (в компании предпочитают избегать неоднозначно трактуемого термина "информбезопасность") никогда не станет для бизнеса приоритетом. Она будет сопутствующей, не слишком деш`вой, а иногда и очень неудобной в использовании нагрузкой. Тем не менее драматизировать ситуацию не стоит, уверен заместитель гендиректора "Аладдин Р.Д." Алексей Сабанов:
— Проникнуть — это одно, а что-то реальное натворить — это совершенно другое. Строго говоря, об уровне защищённости информсистемы можно судить только по комплексным показателям, критериями которых являются конфиденциальность, доступность, целостность данных. В связи с интенсивной информатизацией общества даже ранее закрытые локальные корпоративные сети вынуждены выносить сервисы за пределы защищённого периметра. И совершенно естественно, что уровень проникновений стал расти. Но так ли это критично для бизнеса? Как правило, у крупных компаний риски утечки информации ограниченного доступа находятся в пределах допустимого уровня.
Враг повсюду
В условиях нехватки ресурсов на ИБ принципиальным вопросом становится "что и от кого защищать в первую очередь". Понятно, что каждая отрасль и каждая компания имеет свою специфику, однако ИТ-безопасники всё же усматривают некоторые общие места.
— Наибольшая опасность исходит изнутри — от сотрудников компании и их рабочих мест, — уверен гендиректор ГК "Хост" Константин Суслов. — Если злоумышленник проник во внутреннюю сеть, он прошёл половину пути. А когда работник и преступник одно и то же лицо, отследить вектор атаки и предотвратить деструктивные действия могут только системы защиты внутреннего контура. К сожалению, в региональных компаниях почти не используются системы предотвращения вторжений из локальной сети, системы поведенческого анализа всех поступающих файлов, межсетевые экраны нового поколения для фильтрации трафика.
Соглашаясь с Константином Сусловым, Алексей Дрозд приводит красочную аналогию: "Вспомните недавний случай с крушением самолета в Альпах. Если пилот заперся в кабине и решил “уронить” лайнер, то никакого террориста не нужно. Сегодня самыми безопасными являются системы с минимальным присутствием человека. Беспилотные автомобили, которые уже ездят по США, до сих пор не задавили ни одного пешехода. Поэтому сегодня в ИБ на первое место выходят решения, которые контролируют действия персонала на рабочих местах, ведь именно на этих людей, а не на вирусы и хакерские атаки приходится львиная доля ущерба от инцидентов".
Рустэм Хайретдинов придерживается несколько иной точки зрения:
— Внутренние корпоративные приложения (ERP-системы, бухгалтерские приложения, системы организации групповой работы) могут иметь большое количество незакрытых уязвимостей, но поскольку доступом к ним располагают только сотрудники, которых легко идентифицировать, вероятность того, что они будут атаковать, невелика. Приложения же, "смотрящие" в сеть, даже имея всего одну незакрытую уязвимость, рискуют гораздо больше: воспользоваться слабым местом может любой из миллиарда пользователей интернета. Проблема состоит ещё и в том, что внешние решения постоянно модифицируются, расширяя функционал, а значит, защита должна быть непрерывной. В целом можно сказать, что основная угроза исходит из сети, и она направлена на корпоративные веб-приложения.
На наш взгляд, наиболее важная мысль последнего комментария — защита должна быть непрерывной. Информбезопасность — не проект, не продукт, не решение. Это процесс. Киберзло не есть константа, оно перманентно трансформируется. Каким бы продвинутым ни было ИБ-решение, в перспективе нескольких лет (или даже месяцев) оно теряет актуальность. "Сколько ни усиливай входную дверь, это не убережет компанию от инцидента, если хакеры уже научились лазать через окно", — ещё одна красочная аналогия от Алексея Дрозда.
Поставить точку мы бы хотели с помощью Рустэма Хайретдинова.
— Разработчикам систем защиты информации никогда не опередить хакеров. Это как известные задачи об Ахиллесе и черепахе в трактовке Зенона. Или о снаряде и броне: как только создаётся новая марка стали для усиления брони, разрабатывается снаряд, способный её пробить. Злоумышленник с помощью взлома хочет получить деньги, это сильная мотивация. Как только ущерб начинает превышать критический уровень, уязвимость в обороне закрывают. При этом, как правило, невозможно заткнуть "дыру", которую ещё не обнаружили. Образуется цикл. В итоге система становится более защищённой. Диалектика. И одновременно объективная реальность
Дополнительные материалы:
Как обеспечить эффективную защищённость информресурсов? Дмитрий Огородников, директор центра компетенций по информационной безопасности компании "Техносерв": — В обеспечении реальной безопасности конкретные решения по защите информации и программно-аппаратные комплексы должны играть последнюю роль. В первую очередь нужно выстраивать организационные процессы управления ИБ и вовлекать в данные процессы весь персонал предприятия. Только в этом случае можно быть уверенным в надёжной защите ресурсов. Андрей Заикин, руководитель направления информационной безопасности компании "Крок": — Набор ИБ-средств зависит от предоставляемых компанией услуг, уровня зрелости уже выстроенной системы информационной безопасности и бизнес-процессов в целом. Главное — учитывать стандарты в конкретной отрасли и предварительно оценивать существующие риски. По нашей практике, сейчас наибольшей популярностью пользуются средства защиты от вредоносного кода, кибератак, системы предотвращения DDoS-атак, утечек информации (DLP). Для банковской отрасли крайне актуальны антифрод-системы. Рустэм Хайретдинов, заместитель гендиректора InfoWatch: — Реальной безопасности добиться довольно просто. Воспользуйтесь пошаговой инструкцией по защите гостайны: поставьте на каждый сертифицированный компьютер электронные замки, гальванически развяжите сегменты сети, ведите журналы действий пользователя. Правда, вы потеряете при этом удобство для пользователей и гибкость для клиентов. И стоит такая система раз в десять больше, чем традиционная. Хотите меньше цены и больше удобства — ищите компромиссы. Защищённая система — не та, из которой нельзя ничего украсть или которую нельзя вывести из строя, а та, на взлом которой атакующий тратит больше средств, чем получает выгоды или наносит ущерба. Алексей Сабанов, заместитель гендиректора "Аладдин Р.Д.": — Рецепты уже давно сформированы и утверждены. Надо всерьёз и систематически заниматься риск-менеджментом, строить на основе анализа рисков комплексную эшелонированную защиту, обеспечивающую непрерывность бизнес-процессов, иметь развитую конкурентную разведку. Таков стандартный рецепт. Алексей Дрозд, директор учебного центра SearchInform: — Пошаговая инструкция могла бы выглядеть так: 1. Захотеть; 2. Узнать, как нужно делать; 3. Сделать. ИБ — довольно рутинная область, здесь не нужно каких-то нетривиальных подходов или исследований, чтобы достигнуть успеха. Наоборот, лучшие практики — самые проверенные. Поэтому начать нужно с фундамента, с организации отдела ИБ, пусть даже он поначалу будет состоять из одного сотрудника. Дальше нужно понять, какие угрозы актуальны для организации, разработать план по их нейтрализации, реализовывать этот план. У нас же в большинстве компаний работает поговорка про лежачий камень. Именно поэтому с ИБ всё так плохо. |