Технологии

Москва, 24.06.2016


Буйство незащищенных технологий

08 jun 2015

Информбезопасность для бизнеса станет приоритетом лишь тогда, когда в России заработает риск-менеджмент, появится внятное госрегулирование, а потребители начнут уходить к более защищенным конкурентам

В конце мая в Москве прошел Positive Hack Days — международный форум, посвященный практическим вопросам информационной безопасности (ИБ). Эксперты Positive Technologies протоколировали: в России много лет ведется дискуссия о выборе правильной политики, о новых требованиях по защите персональных данных, о построении взаимоотношений между ИБ-службой и руководством. Но слова воплощаются в дела со скрежетом. Уровень защищенности, например, крупных компаний (в том числе входящих в топ-400 по версии журнала «Эксперт») за последние два года значительно понизился. Согласно тестам, проведенным в 2014-м, злоумышленник, находящийся за пределами организации, не имеющий никаких привилегий и данных о сети, может преодолеть периметр почти в 90% случаев (показатель 2012-го — 74%). При этом 61% систем может успешно атаковать преступник низкой квалификации (в 2012 году такие нарушители могли взломать 46% систем).

Немногим ранее, в апреле, консалтинговая компания KPMG опубликовала результаты опроса 133 глобальных институциональных инвесторов (под их управлением находятся активы на сумму более 3 трлн долларов). 79% респондентов заявили, что не захотят вкладывать средства в компанию, которая подверглась хакерской атаке.

Так ли все плохо с инфобезом? Ответ на этот вопрос по просьбе «Э-У» пытаются найти представители крупных отечественных ИТ-компаний.

Дорогая страховка

— Бизнес, принимая решения о развитии ИБ, руководствуется несколькими подходами — рисками, инцидентами, требованиями рынка или регулятора. Ни один из этих «драйверов» в нашей стране не работает, — уверен заместитель генерального директора InfoWatch Рустэм Хайретдинов. — Для понимания рисков необходимо иметь актуальную оценку информактивов (она не делается) и точную статистику по инцидентам (по России оставляет желать лучшего). Регулирование в области информбезопасности довольно слабое и бессистемное, а наказания за нарушения настолько ничтожны, что проще платить штрафы, чем заниматься внедрением каких-либо решений. Рынок абсолютно не требователен к ИБ: инциденты не приводят к сколько-нибудь значимым потерям, клиенты не бегут от менее защищенных компаний к более защищенным. Особенно это чувствуется в реальном секторе: вне зависимости от утечки данных или компрометации сайта, нефть будет добываться, металл плавиться. Чувствительный ущерб успешная атака наносит только интернет-компаниям (таким как электронная торговая площадка, интернет-СМИ, сайт электронной коммерции, игровой портал). В отсутствии четкого понимания смысла и стоимости защиты информации большинство организаций руководствуются следующим принципом: «Дорогая служба ИБ, вот тебе 5 — 10% ИТ-бюджета, сделай нам что-нибудь, чтобы мы чувствовали себя защищенными».

ИТ-специалисты замечают: ИБ — это страховка, которую бизнес «покупает» на сугубо добровольных началах. Никаких прибылей бизнесу информбезопасность не приносит, она уберегает его от убытков.

— В то же время другие ИТ-проекты — это обычно решения из серии «время — деньги», — замечает директор учебного цент­ра SearchInform Алексей Дрозд. — Например, ERP повышает рентабельность бизнеса на несколько десятков процентов. Любой нормальный бизнес действует обычно ради одной цели — увеличение прибыли. Все, что не соответствует этой цели, вторично. Правда, кое-какие «снижатели» маржи сегодня уже стали нормой. Я говорю о комфортабельном офисе, различных пиар-активностях, заботе об экологичности товара. Многие компании поняли, что данные факторы, пусть косвенно, но работают на них. С ростом уровня угроз бизнес неизбежно осознает, что защищаться необходимо. Чем старше и крупнее становится организация, тем больше у нее шансов стать жертвой собственного пренебрежения вопросами ИБ. Падение уровня защищенности, на мой взгляд, во многом связано с проникновением технологий в те сферы, где нет пользователей соответствующей квалификации. Это как рост числа мелких ДТП после появления на дорогах «подснежников». По мере роста ИБ-грамотности населения проблема будет решаться.

С последним тезисом соглашается эксперт по технологиям защиты информации компании «Код безопасности» Андрей Степаненко: «Бизнес выделяет деньги на ИБ. Но с учетом того, что параллельно эволюционирует ИТ-инфраструктура, активно внедряются облачные сервисы, растет использование социальных сетей, мобильных устройств, средств на соответствующее развитие систем защиты не хватает».

Рустэм Хайретдинов сетует: конкуренция производителей программного обеспечения, как тиражного, так и заказного, вынуждает их как можно быстрее выпускать новый функционал в ущерб защищенности. На смену закрытым уязвимостям приходят тысячи новых. Максимум, что могут ИБ-компании — указать производителям и пользователям на наличие проблемы. Закрыть дыры внешними, «навесными» решениями можно в очень ограниченном числе случаев.

В «Аладдин Р.Д.» считают, что защита информации (в компании предпочитают избегать неоднозначно трактуемого термина «информбезопасность») никогда не станет для бизнеса приоритетом. Она будет сопутствующей, не слишком дешевой, а иногда и очень неудобной в использовании нагрузкой. Тем не менее драматизировать ситуацию не стоит, уверен заместитель гендиректора «Аладдин Р.Д.» Алексей Сабанов:

— Проникнуть — это одно, а что-то реальное натворить — это совершенно другое. Строго говоря, об уровне защищенности информсистемы можно судить только по комплексным показателям, критериями которых являются конфиденциальность, доступность, целостность данных. В связи с интенсивной информатизацией общества даже ранее закрытые локальные корпоративные сети вынуждены выносить сервисы за пределы защищенного периметра. И совершенно естественно, что уровень проникновений стал расти. Но так ли это критично для бизнеса? Как правило, у крупных компаний риски утечки информации ограниченного доступа находятся в пределах допустимого уровня.

Враг повсюду

В условиях нехватки ресурсов на ИБ принципиальным вопросом становится «что и от кого защищать в первую очередь». Понятно, что каждая отрасль и каждая компания имеет свою специфику, однако ИТ-безопасники все же усматривают некоторые общие места.

— Наибольшая опасность исходит изнутри — от сотрудников компании и их рабочих мест, — уверен гендиректор ГК «Хост» Константин Суслов. — Если злоумышленник проник во внутреннюю сеть, он прошел половину пути. А когда работник и преступник одно и то же лицо, отследить вектор атаки и предотвратить деструктивные действия могут только системы защиты внутреннего контура. К сожалению, в региональных компаниях почти не используются системы предотвращения вторжений из локальной сети, системы поведенческого анализа всех поступающих файлов, межсетевые экраны нового поколения для фильтрации трафика.

Соглашаясь с Константином Сусловым, Алексей Дрозд приводит красочную аналогию: «Вспомните недавний случай с крушением самолета в Альпах. Если пилот заперся в кабине и решил “уронить” лайнер, то никакого террориста не нужно. Сегодня самыми безопасными являются системы с минимальным присутствием человека. Беспилотные автомобили, которые уже ездят по США, до сих пор не задавили ни одного пешехода. Поэтому сегодня в ИБ на первое место выходят решения, которые контролируют действия персонала на рабочих местах, ведь именно на этих людей, а не на вирусы и хакерские атаки приходится львиная доля ущерба от инцидентов».

Рустэм Хайретдинов придерживается несколько иной точки зрения:

— Внутренние корпоративные приложения (ERP-системы, бухгалтерские приложения, системы организации групповой работы) могут иметь большое количество незакрытых уязвимостей, но поскольку доступом к ним располагают только сотрудники, которых легко идентифицировать, вероятность того, что они будут атаковать, невелика. Приложения же, «смотрящие» в сеть, даже имея всего одну незакрытую уязвимость, рискуют гораздо больше: воспользоваться слабым местом может любой из миллиарда пользователей интернета. Проблема состоит еще и в том, что внешние решения постоянно модифицируются, расширяя функционал, а значит, защита должна быть непрерывной. В целом можно сказать, что основная угроза исходит из сети, и она направлена на корпоративные веб-приложения.

На наш взгляд, наиболее важная мысль последнего комментария — защита должна быть непрерывной. Информбезопасность — не проект, не продукт, не решение. Это процесс. Киберзло не есть константа, оно перманентно трансформируется. Каким бы продвинутым ни было ИБ-решение, в перспективе нескольких лет (или даже месяцев) оно теряет актуальность. «Сколько ни усиливай входную дверь, это не убережет компанию от инцидента, если хакеры уже научились лазать через окно», — еще одна красочная аналогия от Алексея Дрозда.

Поставить точку мы бы хотели с помощью Рустэма Хайретдинова.

— Разработчикам систем защиты информации никогда не опередить хакеров. Это как известные задачи об Ахиллесе и черепахе в трактовке Зенона. Или о снаряде и броне: как только создается новая марка стали для усиления брони, разрабатывается снаряд, способный ее пробить. Злоумышленник с помощью взлома хочет получить деньги, это сильная мотивация. Как только ущерб начинает превышать критический уровень, уязвимость в обороне закрывают. При этом, как правило, невозможно заткнуть «дыру», которую еще не обнаружили. Образуется цикл. В итоге система становится более защищенной. Диалектика. И одновременно объективная реальность.

Как обеспечить эффективную защищенность информресурсов?

Дмитрий Огородников, директор центра компетенций по информационной безопасности компании «Техносерв»:

— В обеспечении реальной безопасности конкретные решения по защите информации и программно-аппаратные комплексы должны играть последнюю роль. В первую очередь нужно выстраивать организационные процессы управления ИБ и вовлекать в данные процессы весь персонал предприятия. Только в этом случае можно быть уверенным в надежной защите ресурсов.

Андрей Заикин, руководитель направления информационной безопасности компании «Крок»:

— Набор ИБ-средств зависит от предоставляемых компанией услуг, уровня зрелости уже выстроенной системы информационной безопасности и бизнес-процессов в целом. Главное — учитывать стандарты в конкретной отрасли и предварительно оценивать существующие риски. По нашей практике, сейчас наибольшей популярностью пользуются средства защиты от вредоносного кода, кибератак, системы предотвращения DDoS-атак, утечек информации (DLP). Для банковской отрасли крайне актуальны антифрод-системы.

Рустэм Хайретдинов, заместитель гендиректора InfoWatch:

— Реальной безопасности добиться довольно просто. Воспользуйтесь пошаговой инструкцией по защите гостайны: поставьте на каждый сертифицированный компьютер электронные замки, гальванически развяжите сегменты сети, ведите журналы действий пользователя. Правда, вы потеряете при этом удобство для пользователей и гибкость для клиентов. И стоит такая система раз в десять больше, чем традиционная. Хотите меньше цены и больше удобства — ищите компромиссы. Защищенная система — не та, из которой нельзя ничего украсть или которую нельзя вывести из строя, а та, на взлом которой атакующий тратит больше средств, чем получает выгоды или наносит ущерба.

Алексей Сабанов, заместитель гендиректора «Аладдин Р.Д.»:

— Рецепты уже давно сформированы и утверждены. Надо всерьез и систематически заниматься риск-менеджментом, строить на основе анализа рисков комплексную эшелонированную защиту, обеспечивающую непрерывность бизнес-процессов, иметь развитую конкурентную разведку. Таков стандартный рецепт.

Алексей Дрозд, директор учебного центра SearchInform:

— Пошаговая инструкция могла бы выглядеть так: 1. Захотеть; 2. Узнать, как нужно делать; 3. Сделать. ИБ — довольно рутинная область, здесь не нужно каких-то нетривиальных подходов или исследований, чтобы достигнуть успеха. Наоборот, лучшие практики — самые проверенные. Поэтому начать нужно с фундамента, с организации отдела ИБ, пусть даже он поначалу будет состоять из одного сот­рудника. Дальше нужно понять, какие угрозы актуальны для организации, разработать план по их нейтрализации, реализовывать этот план. У нас же в большинстве компаний работает поговорка про лежачий камень. Именно поэтому с ИБ все так плохо.

«Эксперт Урал» №24 (648)


Журнал «Эксперт» подписка

Оформите подписку на закрытые материалы журнала «Эксперт» и читайте их в полном объеме на сайте





    Реклама
    Читать все комментарии
    AdRiver

    «Карта управленческого образования России»

    Предлагаем Вам принять участие в проекте и заполнить электронную анкету




    Реклама



    Читайте так же

    Эксперт Онлайн, последние новости и аналитика
    Иллюстрация: ИГОРЬ ШАПОШНИКОВ

    Автоколлекторы против страховщиков

    Деятельность «автоюристов» не только закладывает основы для постоянного роста тарифов по ОСАГО, но и способствует вымыванию с региональных рынков все большего числа страховых компаний. В итоге доступ к качественным страховым услугам сужается


    ТАСС Автор: Сергей Бобылев

    Скандалы

    Улита едет

    Насколько можно понять, дело о взятке в отношении Кировского губернатора Никиты Юрьевича Белыха было возбуждено не сегодня. Сообщение Следственного комитета начинается словами не о задержании губернатора, а о возбужденном деле. И по-мнению видного эксперта, губернатор находился в разработке давно. А взяли вот только сейчас

    Zuma\TASS

    Brexit

    Наболело

    Произошло то, во что верили, наверное, лишь самые большие евроскептики. Британские острова так тряхнуло, что отголоски землетрясения мощными цунами разойдутся по всей планете. Великобритания решила вернуться к изоляции от остальной Европы, которая несколько столетий была лейтмотивом внешней политики королевства. Большинство британцев проголосовало за то, чтобы выйти из ЕС

    . Михаил Метцель/ТАСС

    Сотрудничество

    Путин проводит масштабный визит в Азию в рамках ШОС

    Созданием экономического коридора Россия – Китай – Монголия демонстрируется нацеленность на активизацию сотрудничества в регионе. Владимир Путин прибыл с двухдневным визитом в Ташкент для участия в заседании Совета глав государств – членов ШОС. Здесь обсуждается сопряжение ЕАЭС, «Экономического пояса Шёлкового пути» монгольской инициативы «Степного пути». Пока Европа находится в нокдауне от решения британцев, самое время для усиления своих позиций ШОС и БРИКС, говорят аналитики

    Система безопасности

    Быстрая монетизации тревоги

    По статистике ВОЗ каждая третья женщина в мире за свою жизнь сталкивается с насилием, в Америке – каждая пятая женщина сталкивается с изнасилованием или попыткой изнасилования, без учета прочих актов агрессии». Если иметь это в виду, то не так удивительно, что проект производства «кольца безопасности» Nimb собрал за три дня на Kickstarter $100 тыс

    sibnia.ru

    Авиация

    Полетим!

    Правительство утвердило правила субсидированния производителей малой авиационной техники, способной принять на борт до 19 пассажиров. Такие самолеты незаменимы в глубинке. Аналитики перечисляют проекты самолетов региональной авиации, в том числе высокой степени готовности, и таких у нас немало. При этом огромной проблемой является аэродромная инфраструктура в небольших городах. Другая проблема - дефицит средств на закупку самолетов у местных авиакомпаний. Но данное постановление и другие меры обнадеживают, что мы в провинции наконец полетим - как летали кстати еще в 50-60-е годы