Быстрая трансформация бизнеса рискует упустить из виду вопросы ИБ
Экспертная статья Олега Гурина, директора по развитию бизнеса "Доверенная платформа IoT" компании "Аладдин Р.Д."
Цифровая трансформация бизнеса — это нужно, необходимо, важно, это позволяет снижать расходы, повышать доходы и оставаться на связи с клиентами в условиях, когда они не могут (или не хотят) сделать личный визит для получения товаров или услуги. В коронавирусном и построконавирусном мире цифровая трансформация бизнеса — часто залог его выживания. Но у всего есть тёмная сторона. У цифровой трансформации таких тёмных сторон две: 1) пытались, тратили время и деньги, но не получилось, 2) даже успешно проведённая цифровая трансформация увеличивает риски для компании в сфере информационной безопасности. Причём ИБ-риски надо просчитывать в ходе проектирования внедряемых решений, а не "навешивать" какие-то примочки позже. Такой превентивный (и грамотный) подход требует грамотных специалистов. Иначе можно столкнуться с рядом неприятностей: клиенты, полученные по цифровым каналам связи, есть, но их личные данные украдены, либо ещё хуже — программа-вымогатель зашифровала всё, созданное непосильным трудом на последние деньги. Чем больше цифровых решений внедрено в компании, тем больше там потенциальных уязвимостей, и от этой зависимости никуда не деться.
Эксперты предлагают шире применять модули HSM (hardware security modules) для аппаратного шифрования. В настоящее время такие решения, согласно информации издания securityboulevard, использует порядка 47% компаний, и еще 38% думают о том, чтобы интегрировать HSM в свои ИБ-системы. Также специалисты предлагают внедрять технологии blockchain в отдельно взятых компаниях — если уж подобная технология неплохо справляется с защитой криптовалюты, то и с сохранностью корпоративных данных справится. В частности, отмечается, что технология blockchain особенно хороша для защиты IoT-устройств.
Интересно, что Джордж Вестерман (George Westerman) специалист из MIT, определяет цифровую трансформацию как процесс радикальных изменений в деле того, как именно организации применяют технологии, людей и бизнес-процессы для того, чтобы фундаментально повысить производительность бизнеса. Это похоже на установку ткацкого станка в компании-производителе шерсти, когда раньше всё ткалось вручную. Но при этом нужно заделать дыры в стене, посадить у ткацкого станка охранника и повесить на дверь замок — ткацкий станок может быть испорчен или украден. И этот процесс неостановим, предприятия адаптируют всё новые и новые инструменты, пытаясь остаться на плаву, одновременно выстраивая системы их защиты.
ИБ-проблемы есть и у такого процесса, как внедрение облачных технологий. Компания Trend Micro выяснила в ходе опроса, что 88% компаний на фоне пандемии ускорили процесс внедрения облаков. При этом только 55% озаботились вопросами облачных ИБ. С одной стороны, это неплохо, более половины не пустили дело на самотёк. С другой стороны, как быть оставшимся 33%. В ходе опроса, к слову, были собраны ответы 2565 респондентов в 28 странах мира — другими словами, проблема глобальна, слишком многие компании, переходя в облака, не думают о безопасности. Интересно, что большинстве случаев абоненты верили, что облачные провайдеры достаточно защищают их данные, и что основная забота о сохранности и безопасности данных и приложений лежит на провайдере облачных услуг, "а нам ничего делать не надо". Тем не менее, 55% компаний некие дополнительные меры все же предпринимали — в основном в деле защиты трафика. Так, 26% компаний применяли ПО Cloud Security Posture Management, а 19% - ПО Cloud Access Security Broker.
Возвращаясь к статистике, упомянем исследование компании McKinsey & Company, в котором утверждается, что пандемия в среднем ускорила процесс цифровой трансформации бизнеса на семь лет, "упаковав" этот срок в несколько месяцев. Черепашья скорость и тысяча согласований обернулись быстрыми решениями, принятыми в течении пары часов. Переход подавляющего большинства клиентов на цифровые рельсы вынудило компании быстро реагировать. И часто изменения были столь быстры, кардинальны и впечатляющи, что сами предприятия потом смотрели назад, на процесс и результаты своей активности, и удивлялись: "А что, так возможно было?". Даже обычно неоторопливые компании, по данным McKinsey & Company, "шевелились" примерно в 20-25 раз быстрее обычного. В этой спешке легко упустить из вида вопросы ИБ — поэтому на безопасности надо специально фокусироваться, киберзлоумышленники не дремлют.
Поднятые в материале вопросы любезно прокомментировал Олег Гурин, директор по развитию бизнеса "Доверенная платформа IoT" компании "Аладдин Р.Д.".
Насколько широко применяются в России решения HSM (hardware security modules), и могли бы вы порекомендовать подобные решения своим клиентам?
Традиционно HSM широко применяется в банковской сфере, этого напрямую требуют стандарты этой обрасти, например, PCI DSS. Как мы видим, банки являются лидерами как в цифровой трансформации (во многом из-за того, что это изначально бизнес цифр), так и в кибербезопасности (потому что инциденты легко измеримы в деньгах). Поэтому логично использовать успешные апробированные практики применения HSM в других индустриях. Сейчас этому мешают три вещи: 1) дороговизна – банковский сектор платежеспособен и готов платить высокую цену; 2) высокая консолидация (если не сказать монополизация) рынка – в 2019 г. Thales Group даже пришлось продать nCipher Security под давлением антимонопольных органов. Как следствие этого, на российском рынке присутствуют преимущественно импортные продукты (например, вся система процессинга платежных карт Сбербанка построена на HSM производства Thales); 3) высокие требования к квалификации инженеров по внедрению и эксплуатации HSM.
Поэтому можно ожидать скорого появления на российском рынке доступных HSM отечественного производства, простых во внедрении и эксплуатации. Особенно эффективным с точки зрения безопасности внедрение HSM будет при соответствующей (и правильно реализованной) поддержке на конечных устройствах. Если снова обратиться к платёжным картам, то мы увидим, что в банкоматах работают "маленькие" HSM, в то время как "большие" работают на платформе в ЦОДе – "в облаке". Таким образом, создается непрерывный контекст безопасности на основе стойкой криптографии.
Согласны ли вы с тем, что в компаниях разумно применять технологии blockchain для сохранности данных и безопасности IoT-устройств?
Абсолютно, у меня даже есть патент на изобретение, как это делать. При этом надо понимать, что частный с ограниченным доступом (private permissioned) блокчейн и блокчейн для криптовалют – это сильно разные вещи. Давайте сначала назовем преимущества применения блокчейна в IoT:
- Непрерывный (end-to-end) контекст безопасности. Если блокчейн "начинается" на конечном устройстве, то данные сразу снабжаются атрибутами времени и места происхождения данных, а также обеспечения их неизменности (целостности). С этого момента любые изменения данных будут очевидны.
- Гарантия неизменности исторических данных. При аудите и расследовании спорных ситуаций легко восстановить реальную хронологию событий.
- Легкое горизонтальное и территориальное масштабирование, что позволяет приблизить обработку данных к конечным устройствам (концепция edge computing).
- Стойкость к квантовым вычислениям. Все ведущие страны участвуют в гонке по созданию квантового компьютера. Как только он достигнет определенной мощности, существующие криптографические алгоритмы окажутся беззащитны перед его лицом. У устройств Интернета вещей довольно длительный жизненный цикл, и большинство из них вполне могут дожить до этого момента. Учитывая тесную связь этих устройств с физическим миром, их взлом и перехват управления могут обернуться техногенной катастрофой ("восстание машин"). При правильном применении правильной криптографии взлом блокчейна останется для квантового компьютера по-прежнему тяжелой задачей, где он не получит драматического преимущества.
К минусам применения блокчейна в задачах IoT можно отнести:
- Низкая скорость работы. Известно, что в системе биткоина подтверждение может занимать минуты, а иногда десятки минут, и самое плохое, это время нельзя предвидеть. Однако в ситуации частного блокчейна с ограниченным доступом задержку можно гарантированно свести к долям секунды. Это подходит для большого класса задач, но, очевидно, не годится для задач реального времени (например, для связи автомобилей друг с другом и с дорожной инфраструктурой).
- Большие расходы на майнинг. Это скорее из категории мифов, так как майнинг применяется в открытых системах вроде биткоина. В частных (закрытых) системах в нем нет нужды.
- Увеличение трафика. Действительно, "навешивание" на сырые данные атрибутов блокчейна ведет к их "распуханию" (overhead), что особенно критично для беспроводных устройств. Сейчас множество команд в мире работает над решением этой задачи, и она будет решена в ближайшее время.
- Часто можно слышать такое возражение: почему не использовать распределенные базы данных для задач IoT? Мой ответ таков: если использовать распределенные базы данных с криптографическим подтверждением транзакций и хранением их истории, то вы и получите блокчейн (частный или закрытый, не путать с публичным).
Какие инструменты защиты данных при применении облачных технология вы рекомендуете? Почему собственной защиты облачного провайдера недостаточно?
Очень широкий вопрос: IaaS, PaaS, SaaS… - у каждой модели сервиса своя специфика. Плюс у каждого пользователя своя модель угроз – для кого-то меры безопасности, принятые провайдером, покажутся недостаточными, а для кого-то – избыточными. Но всё же можно выделить некоторые общие шаги:
- Посмотреть отношения провайдера с Cloud Security Alliance или иной авторитетной организацией по облачной безопасности – возможно, компания прошла какие-то аудиты, получила сертификаты и т.п. Это будет хорошим сигналом.
- Если вы готовы сами управлять средствами безопасности, то искать такого провайдера, где они доступны как сервис. Тогда вы будете монопольно управлять этими средствами, основываясь на вашей модели угроз.
- Если же вы готовы функцию управления безопасностью на аутсорсинг, то найти специализированного провайдера Security-as-a-Service, конечно, аккуратно проверив его компетенции и рекомендации.