ИТ-безопасность: итоги и тенденции 2012 г., перспективы 2013-го
<br>Экспертный комментарий Алексея Сабанова, заместителя генерального директора компании "Аладдин Р.Д."
Обратившись по традиции в начале нового года к экспертному сообществу, еженедельник PC Week/RE анализирует положение дел в области информационной безопасности (ИБ), сложившееся за прошедший год, и строит прогнозы на год предстоящий.
Кибероружие
Наиболее громкие заявления экспертов в области информационной безопасности прошедшего года относятся к констатации распространения и использования кибероружия в самых разных сферах жизни человеческого общества — в политике, экономике, науке, технике и т. д. От стандартных средств взлома кибероружие отличается сложностью разработки и применения, когда активно используются технологии целевых долговременных атак (Advanced Persistent Threat, APT), обеспечивающих скрытность проведения атаки на протяжении долгого времени — вплоть до нескольких лет. При этом эксперты заявляют о том, что создать кибероружие за два-три года по силам практически любой стране.
Высокую эффективность атак класса APT продемонстрировал взлом сертификатов программ компании Adobe, обнаруженный ею в конце сентября прошлого года. Этот взлом злоумышленники использовали для легитимации своих вредоносных программных разработок. Важно отметить, что сертификаты Adobe хранились с соблюдением правил обеспечения безопасности в специализированном аппаратном модуле, где среди прочих мер была задействована и криптозащита. И тем не менее сервер, выполнявший запросы на подпись программных кодов компании, был взломан.
Технология APT в данном примере открыла путь вредоносам в “белые списки” через взлом хранилища сертификатов, нарушив тем самым работу одного из эффективных и широко применяемых в настоящее время механизмов компьютерной защиты. Эксперты указывают и еще на один способ нарушения работы репутационных защитных механизмов — взлом непосредственно хранилищ “белых списков” с целью добавления в них регистрационных данных вредоносных программ.
Самая недавняя новость на тему применения кибероружия поступила в январе 2013 г. из “Лаборатории Касперского”. Она касается проведённого ее специалистами исследования масштабной киберакции, получившей название “Красный октябрь”. Как информирует “Лаборатория Касперского”, акция эта проводится злоумышленниками с 2007 г. с целью шпионажа в отношении дипломатических, правительственных и научных организаций, предприятий энергетики (в том числе ядерной) и космических агентств разных стран мира. Острие атаки направлено на страны Восточной Европы, Центральной Азии и бывшие республики СССР.
Кибероружие применяется не только для шпионажа, но и в диверсионных целях, в том числе с нанесением материального ущерба. Так, в августе прошлого года в ходе атаки Shamoon было выведено из строя более 30 тыс. компьютеров крупной нефтяной компании Saudi Aramco.
Характерно, что о виновниках применения кибероружия во время кибератак можно только догадываться исходя из того, кому эти атаки были выгодны. Эксперты отмечают, что располагать кибероружием и использовать его могут как государственные структуры (кибершпионаж, кибервойны), так и отдельные группы людей, которые руководствуются либо преступными мотивами (киберпреступность), либо стремлением к социальной справедливости (хактивизм).
Согласно прогнозам аналитиков корпорации Symantec, начиная с 2013 г. конфликты между государствами, организациями и даже отдельными лицами в значительной степени перейдут в киберпространство. При этом цель кибератак в основном будет состоять в том, чтобы причинить противнику ущерб или продемонстрировать свою силу, заявив таким способом о себе.
В прицеле злоумышленников — мобильные платформы
Эксперты отмечают лавинообразный рост числа вредоносных программ для мобильной платформы Android. По данным “Лаборатории Касперского”, в 2012 г. их количество увеличилось примерно в шесть раз по сравнению с 2011-м и в пять раз превзошло суммарное число образцов вредоносных программ для Android, зарегистрированных Лабораторией с 2005-го по 2012 гг. Компания Trend Micro прогнозирует рост числа таких программ с 350 тыс. в 2012-м до 1 млн. в 2013-м.
Причина заключается в популярности и слабой защищенности этой платформы. Эксперты из “Лаборатории Касперского” рекомендуют специалистам, связанным с её развитием, воспользоваться опытом, накопленным за время жизни платформы Windows, чтобы не повторять уже выявленные стратегические ошибки развития операционных систем широкого использования в судьбе Android.
По мнению Марии Каншиной, менеджера по развитию бизнеса компании “Информзащита”, недостатка в технических средствах защиты мобильных устройств на рынке сегодня нет. Однако разработчики пока не предлагают единого решения, которое позволяло бы обеспечить и централизованно управлять безопасностью сразу всех типов конечных точек пользовательского доступа. У г-жи Каншиной есть уверенность, что подобные продукты появятся на рынке в ближайшем будущем.
В 2012 г., отмечает генеральный директор компании “ДиалогНаука” Виктор Сердюк, возникла острая необходимость обеспечения удаленного доступа к корпоративным ИТ-ресурсам с мобильных устройств пользователей, включая мобильные телефоны и планшеты. Это привело к появлению на рынке специализированных продуктов по организации защиты такого доступа. Решения эти обеспечивают дополнительную аутентификацию пользователей, а также криптографически защищенное VPN-соединение, в том числе с возможностью применения отечественных средств шифрования. В нынешнем году г-н Сердюк прогнозирует увеличение спектра предлагаемых решений по организации удаленного доступа мобильных пользователей.
“Мобилизация” корпоративных пользователей стимулирует рост спроса на системы Mobile Device Management (MDM), который, как полагают наши эксперты, продолжится в наступившем году. Однако согласно оценке Владимира Овчарука, заместителя директора департамента внедрения и консалтинга компании LETA, MDM-системам пока еще не хватает полноты функциональности, а также удобства при эксплуатации и развертывании.
В условиях набирающего популярность движения BYOD (“принеси свое устройство в офис”) важной функцией MDM-систем становится способность отделять пользовательские данные от корпоративных. Для этой цели, как отметил Владимир Удалов, руководитель направления корпоративных продуктов в странах развивающихся рынков компании “Лаборатория Касперского”, используются “обернутые” (контейнеризированные) приложения. Суть такой технологии состоит в том, что приложение, обрабатывающее и сохраняющее корпоративные данные на мобильном устройстве, требует от пользователя дополнительной авторизации для доступа к этим данным. Кроме того, здесь применяется дополнительное шифрование данных контейнера, запрещается их копирование из контейнера вовне и передача в другие приложения.
Вместе с тем, по выражению Романа Кобцева, директора департамента развития и маркетинга компании “ЭЛВИС-ПЛЮС”, тема BYOD остается для российских компаний “светлым послезавтра”. Он считает, что ситуация в настоящее время такова: пока личные мобильные устройства сотрудников не наносят заметного урона корпоративной безопасности, на них просто не обращают внимания. Но как только урон превышает некий приемлемый для компании уровень, их тут же запрещают. Никакой интеграцией программы BYOD в общую архитектуру ИБ российские предприятия в массе своей пока заниматься не собираются.
Конец мифа безопасности Mac-платформы
Согласно данным “Лаборатории Касперского”, в прошлом году троян Flashback заразил более 700 тыс. компьютеров Mac. По оценкам специалистов Лаборатории, это самое крупное массовое заражение платформы MacOS X. Его причинами, по мнению экспертов, стали, с одной стороны, слепая вера многих поклонников Mac`ов в априорную безопасность своих компьютеров, а с другой — неоперативное исправление корпорацией Oracle уязвимостей в платформе Java (в результате, как свидетельствуют данные аналитических компаний, более половины регистрируемых ИБ-специалистами атак направлено на уязвимости Java и четверть — на уязвимости Adobe Reader). Очевидно, что пользователям MacOS не миновать того же пути, каким прошли пользователи Windows, у которых антивирусная защита установлена сегодня на более чем 90% компьютеров.
Тенденции в корпоративной защите
Результаты проведенного еженедельником PC Week/RE опроса позволяют ранжировать основные угрозы корпоративной безопасности так, как их видят не только специалисты ИБ-служб, но и обычные сотрудники, причастность которых к ИБ обусловлена их должностными обязанностями.
Преобладающим в российских компаниях фактором ИБ-риска является сегодня халатность в отношении политик ИБ со стороны рядовых сотрудников. Такую особенность российского персонала отметило более 80% респондентов. При этом на подобную же халатность со стороны разного уровня руководителей указывают в полтора раза меньше участников опроса. Вместе с тем о недостаточном внимании руководства к организации ИБ свидетельствовало почти 60% опрошенных.
О слабой организации информационной безопасности в российских компаниях говорит тот факт, что почти половина тех, кто принял участие в опросе, отметили неосведомленность рядовых сотрудников в отношении политик ИБ на своих рабочих местах. Увы, высока доля (35%) такой неосведомленности и в менеджерской среде.
В трети российских компаний остается актуальным злонамеренный инсайд со стороны рядовых сотрудников. А вот инсайд со стороны руководителей участники опроса считают явлением в три раза более редким. Взлома ИТ-систем злоумышленниками извне опасаются примерно в 24% российских компаний.
Несоответствие требованиям регуляторов, согласно результатам нашего опроса, корпоративные ИТ-пользователи относят к низким рискам — на них указывают 18% респондентов.
Консолидация корпоративных средств обеспечения ИБ, на которую эксперты обращают внимание на протяжении нескольких последних лет, по мнению Михаила Чернышева, технического консультанта McAfee в России и СНГ, продиктована не только (и не столько) желанием снизить операционные расходы на поддержку информационной безопасности, сколько стремлением через объединение всех модулей ИБ в единую экосистему реализовать проактивный режим защиты, без которого ИБ в современных условиях неэффективна, если не сказать невозможна.
Важной составляющей корпоративной системы безопасности становится анализ угроз. По словам г-на Чернышева, в мире уже немало реализовано проектов по централизации управления ИБ, охватывающих наряду с традиционными ИБ-средствами также и средства безопасности облачных сервисов.
Консолидация ИБ-ресурсов служит базой для перехода к централизованному управлению безопасностью, при этом, как отмечает Роман Кобцев, компании все чаще обсуждают варианты риск-ориентированных подходов, хотя до практического их ввода в действие дело пока доходит редко.
Роман Карась, начальник отдела маркетинга компании CPS, отмечает снижение рисков, связанных с отказами ИТ-инфраструктуры. Данный факт он объясняет постепенным переводом ИТ-ресурсов в ЦОДы высокой надежности, причем делают это не только крупные компании, но и представители среднего и малого бизнеса и даже владельцы домашних офисов. При этом приоритеты в обеспечении корпоративной ИБ смещаются в сторону защиты критических данных и повышения надежности информационных систем.
Для оперативного реагирования на ИБ-инциденты, согласно наблюдениям г-на Карася, крупные компании активно осваивают функционал центров управления инцидентами ИБ (Security Operation Center, SOC), а отдельные средние предприятия в целях централизации управления ИБ создают аналогичные по задачам группы специалистов или мини-SOC. В 2013 г. эта тенденция, как он полагает, закрепится, причем особое внимание в управлении информационной безопасностью компании будут уделять защите критически важных данных, улучшению политик безопасности, повышению культуры использования информационных систем.
Консолидация средств и централизация управления ИБ, как отмечает Виктор Сердюк, привела к существенному росту спроса в 2012 г. на решения класса управления информацией о безопасности и о событиях безопасности (Security Information and Event Management, SIEM). Внедрение таких решений позволяет существенно снять нагрузку с ИБ-администраторов и автоматизировать процессы управления инцидентами. Тенденции, связанные с ростом количества проектов по централизованному мониторингу событий ИБ, по его мнению, сохранится и в 2013-м.
Подход большинства крупных вендоров к консолидации ИБ-средств и централизации управления ИБ, как заключает Владимир Удалов, состоит в том, чтобы расширять свою продуктовую линейку за счет поглощения небольших компаний, формируя в результате коммерческие комплексы, объединяющие несколько разных продуктов под одним зонтичным брендом. Этот подход, как он полагает, с одной стороны, позволяет быстро наращивать функционал таких комплексов, но с другой — чреват слабой интеграцией компонентов, которые могут работать несогласованно, не поддерживать единые сквозные политики и централизованное управление. Поэтому предпочтительным он считает комплексы моновендорные, т. е. от начала до конца созданные одним разработчиком.
Отмечая высокую безопасность ОС Windows 8, которая стала в области ИТ важной новостью прошлого года, эксперты из компании Trend Micro одновременно констатируют низкие темпы ее распространения в корпоративной среде. Они полагают, что в наступившем году доминирующей группой, которая сможет оценить преимущества улучшенных средств защиты новой ОС, окажутся домашние пользователи. По прогнозам аналитиков из Gartner, широкое корпоративное использование Windows 8 начнется не раньше 2014 г.
На фоне всеобщего признания актуальности угроз от инсайда (как злонамеренного, так и обусловленного неинформированностью или разгильдяйством пользователей) российский рынок DLP, согласно данным компании Anti-Malware.ru за 2012 г., вошел в фазу быстрого роста и в ближайшие пару лет будет расти на десятки процентов в год.
В то же время результаты опроса, проведенного еженедельником PC Week/RE, позволяют констатировать невысокую заинтересованность со стороны корпоративных заказчиков в юридической значимости результатов работы ИБ-систем, отличных от DLP. Хотя, казалось бы, при тенденции к консолидации данных, получаемых от корпоративных ИБ-систем, и к их централизованной обработке задачи так называемой апостериорной защиты от утечек чувствительной информации могли бы решаться и без развертывания DLP-систем. Факт отсутствия интереса к юридической значимости результатов работы ИБ-систем в среде российских корпоративных пользователей может быть связан с тем, что компании предпочитают предотвращать утечки, нежели бороться с ними через юридическое преследование тех, кто их допустил.
Обращаясь к теме юридической значимости функционирования корпоративных ИБ-систем, Алексей Сабанов, заместитель генерального директора компании “Аладдин Р.Д.”, указывает на то, что в своей практике он такого понятия не встречал. Зато, отмечает он, есть широко распространенное понятие юридической силы электронного документа (ЮСЭД), есть принятое ИБ-сообществом понятие юридически значимого электронного документооборота. В 2012 г. вопросы ЮСЭД активно обсуждались на PKI-форумах в Киеве и Санкт-Петербурге, а также на парламентских слушаниях, прошедших 23 ноября 2012 г. в Совете Федерации РФ. Алексей Сабанов считает, что если все рекомендации, выработанные этими мероприятиями, утвержденные по итогам парламентских слушаний и направленные в адрес Федерального Собрания и Правительства России, будут выполнены, то в создании российского юридически значимого электронного документооборота произойдет реальный прорыв, по крайней мере с точки зрения его нормативно-правового обеспечения.
ИБ СПО
Евгений Куртуков, руководитель отдела поддержки продаж компании “Аксофт”, отмечает, что несмотря на бурное развитие СПО вопросы, связанные с обеспечением его информационной безопасности, затрагиваются редко. Он полагает, что связано это отчасти с бытующим в среде пользователей СПО мнением о том, что для Linux нет вирусов, отчасти с тем, что некоторые СПО-вендоры сертифицируют свои решения как средства защиты, формально закрывая этим требования госрегуляторов. По мнению г-на Куртукова, с появлением в России крупных СПО-проектов обеспечению информационной безопасности СПО будет уделяться больше внимания.
Как полагает Михаил Чернышев, в 2013 г. использование СПО в России скорее всего будет иметь лишь академический интерес, что, по его наблюдениям, происходило и в прошлом году. Он считает, что свободно распространяемые программные решения не конкурентоспособны по критериям ИБ в сравнении с решениями корпоративного класса. Рост спроса на СПО-решения если и будет зафиксирован, то лишь в сегменте среднего и малого бизнеса. Сегмент крупных компаний, на его взгляд, перенасыщен разрозненными неинтегрированными ИБ-решениями. Практического применения, заключает он, свободно распространяемое ПО для защиты информации традиционно не находит в силу возросших требований к безопасности.
Облака. Веришь — не веришь?
Корпоративное использование облачных сервисов тормозит недостаточная правовая проработка сферы отношений между провайдерами и потребителями облачных услуг и порождаемая этим проблема недоверия между ними. Компании (те, которым это по средствам) предпочитают строить свои частные облака. Все прочие (средний и малый бизнес, индивидуальные пользователи) погружаются в облачные сервисы на свой страх и риск, не имея достаточных юридических гарантий разрешения возможных конфликтных ситуаций.
Основной нерешенной проблемой безопасности облачных сред Алексей Сабанов считает отсутствие метрик и инструментов измерения ИБ для облаков (и тем более стандартов), и пока у сообщества экспертов нет на этот счет каких-либо конструктивных предложений. Он полагает, что ситуация здесь будет улучшаться по мере накопления практического опыта работы в облаках различных типов. В то же время с 2013 годом больших ожиданий по этой части он не связывает.
В наступившем году, по мнению г-на Сабанова, должны быть получены ответы на вопросы юридической ответственности между провайдерами и потребителями облачных сервисов, а также в обществе должно быть достигнуто понимание того, что необходимо строить пространство доверенных сервисов (по определению Алексея Сабанова — единого пространства доверия) в облаках, особенно публичных, что во многом он связывает с планируемым переносом некоторых функций государственного управления в облачную среду.
Эксперты отмечают, что для защиты виртуальных и облачных сред уже используются антивирусы, системы обнаружения вторжений и межсетевого экранирования, системы контроля доступа к виртуальной инфраструктуре, средства ее защиты на протяжении полного жизненного цикла — от момента подготовки и инициализации до уничтожения. Вместе с этим г-н Куртуков обращает внимание на явное доминирование в ассортименте этих продуктов таких, которые ориентированы на платформу VMware, и отмечает недостаток поддержки других платформ виртуализации.
Что касается оценки эффективности существующих продуктов, предназначенных для обеспечения ИБ облачной ИТ-инфрастуруктуры, то компания Trend Micro, один из лидирующих поставщиков комплексных средств защиты облаков, в конце 2012 г. по этому поводу высказалась неожиданно пессимистично: ее специалисты считают, что имеющиеся ныне средства безопасности все-таки не способны защитить данные в облачных инфраструктурах.
Как отмечает Владимир Овчарук, в настоящее время нет единой точки входа в облачные сервисы, предоставляемые разными провайдерами, и в случае полного или частичного вывода бизнес-процессов в облака организация-клиент вынуждена передавать свои данные сразу в несколько внешних компаний, что, по его мнению, может быть просто неприемлемым для бизнеса. Кроме того, в этой ситуации для клиента теряется прозрачность инфраструктуры и контроль над ней, становятся высокими риски нарушения целостности и конфиденциальности информации, обрабатываемой в облаке, а также риски, связанные с доступностью выведенных в облако сервисов.
К наиболее критичным задачам, которые возникают в связи с обеспечением ИБ облачных сервисов, Мария Каншина относит идентификацию и аутентификацию клиентов. При этом главные проблемы она тоже видит в юридических и организационных аспектах, которые касаются распределения ответственности в виртуальных средах между участниками процесса предоставления облачных услуг.
Обеспечение ИБ в облачных условиях, как подчеркивает г-н Мамыкин, директор по информационной безопасности Microsoft в России, требует изменения бизнес-процессов внутри отделов ИБ у клиентов облачных сервисов, что, согласно его наблюдениям, недостаточно осознается ими. При работе с облачными сервисами специалистам компании-клиента надо решать совершенно новые задачи, нежели в традиционной архитектуре ИТ. Им придется обеспечивать ИБ, тесно взаимодействуя с персоналом провайдера облачных сервисов. Это требует от клиентов умения работать с “железом” и софтом не только непосредственно на своей территории, но и на территории провайдера, и зачастую не своими руками, а через его специалистов. В таких условиях на первый план выходит умение составлять договора на обслуживание и контролировать их исполнение, определять ключевые метрики ИБ, применяемые к облачным услугам, и отслеживать их выполнение, оценивать риски третьих сторон, обучать и самим быть обучаемыми. Владимир Мамыкин обращает внимание на то, что это задачи в гораздо большей степени управленческие, нежели технические.
По мнению Романа Крючкова, технического директора группы USN, в 2012 г. рынок не увидел принципиально новых решений в сфере защиты облачных данных. В результате наиболее важную для себя информацию компании все еще предпочитают хранить на внутренних ИТ-ресурсах. С технологической точки зрения, как полагает г-н Крючков, обеспечить требуемую клиентами надежность защищенности данных в облаке вполне возможно. Однако стоимость таких решений окажется неприемлемо высокой для корпоративного рынка. Тем не менее несмотря на это, как он отмечает, количество корпоративных пользователей облачных сервисов увеличивается, хотя и невысокими темпами.
В настоящее время, по наблюдениям г-на Удалова, компании, размещая свою информацию в публичном облачном сервисе, не имеют возможности контролировать уровень обеспечения ее безопасности. Причины этого он видит в том, что провайдеры облачных сервисов не допускают клиентов к проведению аудита защищенности своих серверов, и даже если это не так, то далеко не у каждого клиента найдутся специалисты с необходимой для проведения аудита квалификацией. Владимир Удалов предполагает, что в ближайшем будущем появятся компании-посредники, которые будут специализироваться на независимых проверках состояния информационной безопасности публичных облачных сервисов, наряду с институтом сертификации для определения уровня безопасности проверяемых сервисов.
Самим же компаниям, пользующимися облачными сервисами провайдеров, г-н Удалов советует в первую очередь обращать внимание на безопасность конечных устройств — рабочих станций и серверов. Если они оказываются недостаточно защищены, то злоумышленники через них могут получить доступ ко всем данным, хранящимся в облаке.
Согласно данным корпорации Symantec, 77% компаний испытывают сложности из-за самовольного использования персоналом облачных решений в обход корпоративных правил. Поэтому, как подчеркивают наши эксперты, важно не только декларировать внутренние ИБ-политики, регламентирующие в том числе и доступ к облакам, но и наладить контроль их исполнения наряду с механизмом привлечения к ответственности за нарушения.
Особая актуальность таких мер связана со взломами пользовательских данных в социальных сетях, облачных сервисах, на серверах многопользовательских онлайновых игр, которые демонстрируют, что при использовании облачных технологий, когда миллионы учетных записей хранятся на одном сервере, а доступ в Интернет осуществляется по высокоскоростным каналам, угроза утечки информации обретает колоссальный масштаб.
Госрегулирование: пере- и недо-
Как считает Евгений Куртуков, государственное регулирование аспектов ИБ имеет для нашей страны особенное значение, поскольку многие российские организации и предприятия при формировании корпоративных ИБ-политик ориентируются исключительно на формальное соблюдение требований законодательства, а не на реальные потребности бизнеса.
Сходное мнение о ситуации на национальном рынке ИБ у Романа Кобцева. По его оценкам, до 80% всех проектов внедрения решений ИБ в нашей стране обусловлены сегодня (и в ближайшем будущем тоже) выполнением требований к защите информации со стороны регуляторов. Он обращает внимание на то, что с позиции оценки ИБ-угроз и связанных с ними рисков это неправильно. Однако на сложившуюся ситуацию он рекомендует посмотреть с позиции бизнес-рисков. Тогда становится очевидным, что одним из главных рисков практически для любой работающей в России компании в настоящее время является несоответствие требованиям законодательства.
Ссылаясь на данные исследований компаний Ernst&Young и Oxford Analytica, г-н Кобцев сообщает, что риски, связанные с информационной безопасностью, входят в первую десятку бизнес-рисков только в двух отраслях — в банковской и в разработке новых технологий. Поэтому к основным драйверам российского ИБ-рынка на протяжении ближайших лет г-н Кобцев относит требования регуляторов к обеспечению безопасности государственных информационных ресурсов, к защите персональных данных, к безопасности национальной платежной системы и межведомственного электронного взаимодействия.
Роман Кобцев уверен, что этот рынок по-прежнему в основном будет ориентирован на государственный и крупный корпоративный сектора, а в сегменте СМБ продаж средств защиты будет гораздо меньше. Важные изменения, по его прогнозам, должны произойти в национальном оборонно-промышленном комплексе, где на смену пока преобладающим физическим средствам защиты идут современные ИБ-технологии. Конкурентоспособность на международной арене в области разработки вооружений требует активного внедрения новых технологий для проектирования и производства сложных изделий. Это, по его мнению, порождает как минимум две проблемы: требующие активного использования ЦОДов огромные объемы данных, обрабатываемых современными САПР, и необходимость поддержки совместной работы над проектами нескольких предприятий, что нуждается в активном сетевом взаимодействии.
Заметно усилилось внимание государства к ИБ критических инфраструктур. Однако, обращаясь к опыту США, г-н Кобцев не ожидает в этом году появления сформированной нормативно-правовой базы, на основе которой можно было бы запустить государственные надзорно-контрольные функции на полную мощность, — слишком много остается проблем, как технических, так и правовых, а без четких правил игры, по его мнению, внедрение решений, необходимых для защиты критических инфраструктур, останется уделом узкого сегмента компаний-новаторов из числа крупных предприятий ТЭК, которые могут себе позволить долговременные проекты.
Прошедший год знаменателен сразу несколькими инициативами регуляторов в области ИБ. Так, Госдума РФ в июле 2011-го приняла поправки, внесенные в закон “О персональных данных”, относящиеся к его применению, понятиям и принципам обработки персональных данных. Однако результативность всех поправок и изменений, внесенных в этот закон за семь лет его существования, у операторов персональных данных вызывает сомнения.
Алексей Сабанов обращает внимание на то, что вышедшее 1 ноября 2012 г. постановление правительства № 1119 наряду с ожидаемыми разъяснениями положений закона “О персональных данных” неожиданно для многих специалистов породило ряд новых вопросов, особенно по поводу угроз, связанных с недокументированными (недекларированными) возможностями, требования к которым традиционно учитывались при обеспечении конфиденциальности, целостности и доступности защищаемой информации. У г-на Сабанова вызывает большие сомнения, что усугубление и без того излишней зарегулированности в области обращения персональных данных приведет к реальному повышению их защищенности.
Далеко не полностью, по мнению экспертов, прояснил ситуацию с регулированием применения электронной подписи в стране принятый весной 2011-го закон “Об электронной подписи”, который за прошлый год был дополнен существенным количеством подзаконных актов.
В прошлом году, как отмечает Мария Каншина, так и не прояснилась позиция регуляторов в организации защиты виртуальных и облачных платформ, и ожидания регулятивных действий в этой сфере переносятся на 2013-й.
В первую очередь этих действий ждут государственные организации. Так, Владимир Овчарук отмечает большой рост количества заказов на сайте государственных закупок как на проектирование и внедрение виртулизированных сред, так и на предоставление неисключительных прав на использование лицензионных средств виртуализации.
К наиболее значимым событиям 2012 года в области государственного регулирования сферы ИБ г-жа Каншина относит вступление в силу статьи 27 “Обеспечение защиты информации в платежной системе” федерального закона № 161-ФЗ “О Национальной платежной системе” (НПС). В этой связи стоит упомянуть также ряд подзаконных актов, определяющих требования к защите информации при переводе денежных средств, к обеспечению бесперебойности функционирования, к отчетности со стороны участников НПС, а также акты о контроле регуляторов в НПС.
Мария Каншина обращает внимание на жестко установленные сроки. Операторы платежных систем должны были направить регистрационное заявление в Банк России до 1 января 2013-го. Операторы по переводу денежных средств и операторы услуг платежной инфраструктуры должны представлять в Банк России сведения об ИБ-инцидентах в платежных системах ежемесячно с 14 августа 2012-го. Операторы платежных систем, операторы услуг платежной инфраструктуры, операторы по переводу денежных средств должны представить результаты оценки соответствия требованиям к обеспечению защиты информации при осуществлении переводов денежных средств в Банк России до 1 августа 2014 г. или по его требованию.
Главные споры о применении закона об НПС в прошедшем году, как отмечает г-жа Каншина, были связаны со статьей 9, вступившей в силу 1 января 2013 г. В соответствии с 4-й частью этой статьи оператор по переводу денежных средств обязан информировать клиента о совершении каждой операции с использованием электронных средств платежа, направляя ему уведомление в порядке, установленном договором. И если оператор этого не сделает, то в случае инцидента с платежом он будет обязан возместить клиенту сумму операции, о которой тот не был проинформирован (часть 13 статьи 9 закона об НПС).
Как положительный факт прошедшего года Алексей Сабанов отмечает принципиальную подвижку в отношениях между госрегуляторами и сообществами специалистов: при министерствах (Минздраве, Минкомсвязи и др.) стали создаваться экспертные и общественные советы, в том числе из специалистов, не состоящих на государственной службе. По мнению г-на Сабанова, в условиях ограниченного количества профильных специалистов в министерствах расширенное экспертное обсуждение актуальных тем может дать существенный толчок в развитии отраслевого регулирования.
Алексей Сабанов считает, что назрела необходимость создания общественного объединения основных участников российского рынка ИБ, возможно, в виде саморегулируемой организации. Он надеется, что такая организация, признанная регуляторами и работающая с ними в тесном контакте, появится в наступившем году.
По мнению Евгения Куртукова, полезным для состояния ИБ в нашей стране стало бы введение госрегуляторами требования к компаниям раскрывать информацию о преступлениях в сфере ИТ.
Государственное противодействие киберпреступности
Эксперты отмечают активизацию действий со стороны государства, направленных против киберпреступлений. Стремление правоохранительных органов и иных государственных силовых структур опережать киберпреступников активизирует применение средств слежения. Их использование актуализирует проблемы соблюдения гражданских прав и неприкосновенности тайны частной жизни. Как считают эксперты из “Лаборатории Касперского”, такая ситуация обострит в обществе полемику по этому поводу.
Киберпреступность процветает в регионах с неэффективной правоохранительной системой, особенно там, где преступники могут использовать украденные средства в легальной экономике. Согласно прогнозам компании Trend Micro, следующей “тихой гаванью” для киберпреступников станет Африка.
Вместе с тем специалисты Trend Micro считают, что наступивший год является идеальным временем для принятия новых стандартов в области ИБ и для разработки новых решений с целью нанесения решающего удара по интернет-подполью. Если это произойдет, то 2013 год, по их мнению, войдет в историю как переломная точка в борьбе с киберпреступностью.
На реализацию мер по борьбе с мировой киберпреступностью в полном объеме, по оценкам экспертов из Trend Micro, потребуется не менее двух лет. Некоторые страны уже создали службы по борьбе с киберпреступностью. Вместе с тем предполагается, что в большинстве промышленно развитых стран эффективное законодательство в этой сфере будет введено не ранее 2015 г.
Россия еще может успеть пройти этот этап в ногу с развитыми государствами. Однако аналитики из российской компании Group-IB торопят тех, кто отвечает за национальную кибербезопасность. Они полагают, что если в борьбе с киберпреступностью в нашей стране не наступит качественных улучшений в течение года, то российский Интернет будет захвачен киберкриминалом, который активно двинется во власть, используя награбленные ресурсы.
Некоторые позитивные сдвиги, способные не дать реализоваться пессимистичному сценарию Group-IB, уже начались. Так, в январе 2013 г. российский президент издал указ, согласно которому ФСБ РФ поручается создать государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на российские информационные ресурсы.