Технологии
Москва, 30.09.2016


Буйство незащищенных технологий

08 jun 2015

Информбезопасность для бизнеса станет приоритетом лишь тогда, когда в России заработает риск-менеджмент, появится внятное госрегулирование, а потребители начнут уходить к более защищенным конкурентам

В конце мая в Москве прошел Positive Hack Days — международный форум, посвященный практическим вопросам информационной безопасности (ИБ). Эксперты Positive Technologies протоколировали: в России много лет ведется дискуссия о выборе правильной политики, о новых требованиях по защите персональных данных, о построении взаимоотношений между ИБ-службой и руководством. Но слова воплощаются в дела со скрежетом. Уровень защищенности, например, крупных компаний (в том числе входящих в топ-400 по версии журнала «Эксперт») за последние два года значительно понизился. Согласно тестам, проведенным в 2014-м, злоумышленник, находящийся за пределами организации, не имеющий никаких привилегий и данных о сети, может преодолеть периметр почти в 90% случаев (показатель 2012-го — 74%). При этом 61% систем может успешно атаковать преступник низкой квалификации (в 2012 году такие нарушители могли взломать 46% систем).

Немногим ранее, в апреле, консалтинговая компания KPMG опубликовала результаты опроса 133 глобальных институциональных инвесторов (под их управлением находятся активы на сумму более 3 трлн долларов). 79% респондентов заявили, что не захотят вкладывать средства в компанию, которая подверглась хакерской атаке.

Так ли все плохо с инфобезом? Ответ на этот вопрос по просьбе «Э-У» пытаются найти представители крупных отечественных ИТ-компаний.

Дорогая страховка

— Бизнес, принимая решения о развитии ИБ, руководствуется несколькими подходами — рисками, инцидентами, требованиями рынка или регулятора. Ни один из этих «драйверов» в нашей стране не работает, — уверен заместитель генерального директора InfoWatch Рустэм Хайретдинов. — Для понимания рисков необходимо иметь актуальную оценку информактивов (она не делается) и точную статистику по инцидентам (по России оставляет желать лучшего). Регулирование в области информбезопасности довольно слабое и бессистемное, а наказания за нарушения настолько ничтожны, что проще платить штрафы, чем заниматься внедрением каких-либо решений. Рынок абсолютно не требователен к ИБ: инциденты не приводят к сколько-нибудь значимым потерям, клиенты не бегут от менее защищенных компаний к более защищенным. Особенно это чувствуется в реальном секторе: вне зависимости от утечки данных или компрометации сайта, нефть будет добываться, металл плавиться. Чувствительный ущерб успешная атака наносит только интернет-компаниям (таким как электронная торговая площадка, интернет-СМИ, сайт электронной коммерции, игровой портал). В отсутствии четкого понимания смысла и стоимости защиты информации большинство организаций руководствуются следующим принципом: «Дорогая служба ИБ, вот тебе 5 — 10% ИТ-бюджета, сделай нам что-нибудь, чтобы мы чувствовали себя защищенными».

ИТ-специалисты замечают: ИБ — это страховка, которую бизнес «покупает» на сугубо добровольных началах. Никаких прибылей бизнесу информбезопасность не приносит, она уберегает его от убытков.

— В то же время другие ИТ-проекты — это обычно решения из серии «время — деньги», — замечает директор учебного цент­ра SearchInform Алексей Дрозд. — Например, ERP повышает рентабельность бизнеса на несколько десятков процентов. Любой нормальный бизнес действует обычно ради одной цели — увеличение прибыли. Все, что не соответствует этой цели, вторично. Правда, кое-какие «снижатели» маржи сегодня уже стали нормой. Я говорю о комфортабельном офисе, различных пиар-активностях, заботе об экологичности товара. Многие компании поняли, что данные факторы, пусть косвенно, но работают на них. С ростом уровня угроз бизнес неизбежно осознает, что защищаться необходимо. Чем старше и крупнее становится организация, тем больше у нее шансов стать жертвой собственного пренебрежения вопросами ИБ. Падение уровня защищенности, на мой взгляд, во многом связано с проникновением технологий в те сферы, где нет пользователей соответствующей квалификации. Это как рост числа мелких ДТП после появления на дорогах «подснежников». По мере роста ИБ-грамотности населения проблема будет решаться.

С последним тезисом соглашается эксперт по технологиям защиты информации компании «Код безопасности» Андрей Степаненко: «Бизнес выделяет деньги на ИБ. Но с учетом того, что параллельно эволюционирует ИТ-инфраструктура, активно внедряются облачные сервисы, растет использование социальных сетей, мобильных устройств, средств на соответствующее развитие систем защиты не хватает».

Рустэм Хайретдинов сетует: конкуренция производителей программного обеспечения, как тиражного, так и заказного, вынуждает их как можно быстрее выпускать новый функционал в ущерб защищенности. На смену закрытым уязвимостям приходят тысячи новых. Максимум, что могут ИБ-компании — указать производителям и пользователям на наличие проблемы. Закрыть дыры внешними, «навесными» решениями можно в очень ограниченном числе случаев.

В «Аладдин Р.Д.» считают, что защита информации (в компании предпочитают избегать неоднозначно трактуемого термина «информбезопасность») никогда не станет для бизнеса приоритетом. Она будет сопутствующей, не слишком дешевой, а иногда и очень неудобной в использовании нагрузкой. Тем не менее драматизировать ситуацию не стоит, уверен заместитель гендиректора «Аладдин Р.Д.» Алексей Сабанов:

— Проникнуть — это одно, а что-то реальное натворить — это совершенно другое. Строго говоря, об уровне защищенности информсистемы можно судить только по комплексным показателям, критериями которых являются конфиденциальность, доступность, целостность данных. В связи с интенсивной информатизацией общества даже ранее закрытые локальные корпоративные сети вынуждены выносить сервисы за пределы защищенного периметра. И совершенно естественно, что уровень проникновений стал расти. Но так ли это критично для бизнеса? Как правило, у крупных компаний риски утечки информации ограниченного доступа находятся в пределах допустимого уровня.

Враг повсюду

В условиях нехватки ресурсов на ИБ принципиальным вопросом становится «что и от кого защищать в первую очередь». Понятно, что каждая отрасль и каждая компания имеет свою специфику, однако ИТ-безопасники все же усматривают некоторые общие места.

— Наибольшая опасность исходит изнутри — от сотрудников компании и их рабочих мест, — уверен гендиректор ГК «Хост» Константин Суслов. — Если злоумышленник проник во внутреннюю сеть, он прошел половину пути. А когда работник и преступник одно и то же лицо, отследить вектор атаки и предотвратить деструктивные действия могут только системы защиты внутреннего контура. К сожалению, в региональных компаниях почти не используются системы предотвращения вторжений из локальной сети, системы поведенческого анализа всех поступающих файлов, межсетевые экраны нового поколения для фильтрации трафика.

Соглашаясь с Константином Сусловым, Алексей Дрозд приводит красочную аналогию: «Вспомните недавний случай с крушением самолета в Альпах. Если пилот заперся в кабине и решил “уронить” лайнер, то никакого террориста не нужно. Сегодня самыми безопасными являются системы с минимальным присутствием человека. Беспилотные автомобили, которые уже ездят по США, до сих пор не задавили ни одного пешехода. Поэтому сегодня в ИБ на первое место выходят решения, которые контролируют действия персонала на рабочих местах, ведь именно на этих людей, а не на вирусы и хакерские атаки приходится львиная доля ущерба от инцидентов».

Рустэм Хайретдинов придерживается несколько иной точки зрения:

— Внутренние корпоративные приложения (ERP-системы, бухгалтерские приложения, системы организации групповой работы) могут иметь большое количество незакрытых уязвимостей, но поскольку доступом к ним располагают только сотрудники, которых легко идентифицировать, вероятность того, что они будут атаковать, невелика. Приложения же, «смотрящие» в сеть, даже имея всего одну незакрытую уязвимость, рискуют гораздо больше: воспользоваться слабым местом может любой из миллиарда пользователей интернета. Проблема состоит еще и в том, что внешние решения постоянно модифицируются, расширяя функционал, а значит, защита должна быть непрерывной. В целом можно сказать, что основная угроза исходит из сети, и она направлена на корпоративные веб-приложения.

На наш взгляд, наиболее важная мысль последнего комментария — защита должна быть непрерывной. Информбезопасность — не проект, не продукт, не решение. Это процесс. Киберзло не есть константа, оно перманентно трансформируется. Каким бы продвинутым ни было ИБ-решение, в перспективе нескольких лет (или даже месяцев) оно теряет актуальность. «Сколько ни усиливай входную дверь, это не убережет компанию от инцидента, если хакеры уже научились лазать через окно», — еще одна красочная аналогия от Алексея Дрозда.

Поставить точку мы бы хотели с помощью Рустэма Хайретдинова.

— Разработчикам систем защиты информации никогда не опередить хакеров. Это как известные задачи об Ахиллесе и черепахе в трактовке Зенона. Или о снаряде и броне: как только создается новая марка стали для усиления брони, разрабатывается снаряд, способный ее пробить. Злоумышленник с помощью взлома хочет получить деньги, это сильная мотивация. Как только ущерб начинает превышать критический уровень, уязвимость в обороне закрывают. При этом, как правило, невозможно заткнуть «дыру», которую еще не обнаружили. Образуется цикл. В итоге система становится более защищенной. Диалектика. И одновременно объективная реальность.

Как обеспечить эффективную защищенность информресурсов?

Дмитрий Огородников, директор центра компетенций по информационной безопасности компании «Техносерв»:

— В обеспечении реальной безопасности конкретные решения по защите информации и программно-аппаратные комплексы должны играть последнюю роль. В первую очередь нужно выстраивать организационные процессы управления ИБ и вовлекать в данные процессы весь персонал предприятия. Только в этом случае можно быть уверенным в надежной защите ресурсов.

Андрей Заикин, руководитель направления информационной безопасности компании «Крок»:

— Набор ИБ-средств зависит от предоставляемых компанией услуг, уровня зрелости уже выстроенной системы информационной безопасности и бизнес-процессов в целом. Главное — учитывать стандарты в конкретной отрасли и предварительно оценивать существующие риски. По нашей практике, сейчас наибольшей популярностью пользуются средства защиты от вредоносного кода, кибератак, системы предотвращения DDoS-атак, утечек информации (DLP). Для банковской отрасли крайне актуальны антифрод-системы.

Рустэм Хайретдинов, заместитель гендиректора InfoWatch:

— Реальной безопасности добиться довольно просто. Воспользуйтесь пошаговой инструкцией по защите гостайны: поставьте на каждый сертифицированный компьютер электронные замки, гальванически развяжите сегменты сети, ведите журналы действий пользователя. Правда, вы потеряете при этом удобство для пользователей и гибкость для клиентов. И стоит такая система раз в десять больше, чем традиционная. Хотите меньше цены и больше удобства — ищите компромиссы. Защищенная система — не та, из которой нельзя ничего украсть или которую нельзя вывести из строя, а та, на взлом которой атакующий тратит больше средств, чем получает выгоды или наносит ущерба.

Алексей Сабанов, заместитель гендиректора «Аладдин Р.Д.»:

— Рецепты уже давно сформированы и утверждены. Надо всерьез и систематически заниматься риск-менеджментом, строить на основе анализа рисков комплексную эшелонированную защиту, обеспечивающую непрерывность бизнес-процессов, иметь развитую конкурентную разведку. Таков стандартный рецепт.

Алексей Дрозд, директор учебного центра SearchInform:

— Пошаговая инструкция могла бы выглядеть так: 1. Захотеть; 2. Узнать, как нужно делать; 3. Сделать. ИБ — довольно рутинная область, здесь не нужно каких-то нетривиальных подходов или исследований, чтобы достигнуть успеха. Наоборот, лучшие практики — самые проверенные. Поэтому начать нужно с фундамента, с организации отдела ИБ, пусть даже он поначалу будет состоять из одного сот­рудника. Дальше нужно понять, какие угрозы актуальны для организации, разработать план по их нейтрализации, реализовывать этот план. У нас же в большинстве компаний работает поговорка про лежачий камень. Именно поэтому с ИБ все так плохо.

«Эксперт Урал» №24 (648)


Журнал «Эксперт» + подарок

Журнал Эксперт + Сертификаты на обучение в школе иностранных языков



    Реклама

    AdRiver
    26 октября 2016 года. Форум «Эксперт-400»

    «Драйверы экономического роста России в настоящее время»



    Реклама



    Эксперт Онлайн, последние новости и аналитика
    Иллюстрация: ИГОРЬ ШАПОШНИКОВ

    В ситуации, когда государство не платит по госзаказам и забирает больше 14 рублей налогов и обязательных платежей с каждого рубля предпринимательской прибыли, а население сокращает расходы, дальнейшее повышение налогов не имеет смысла. Минфин публично признал это и пообещал не повышать налоги ближайшие три года


    ТАСС

    Специальный доклад

    Экспорт и техническая эффективность: есть ли связь?

    Результаты модельных расчетов говорят о наличии положительной взаимосвязи между статусом экспортера и технической эффективностью предприятий. Это, с одной стороны, является следствием обучения в процессе экспортной деятельности, а с другой — результатом самоотбора изначально эффективных предприятий, выходящих на экспортный рынок

    AP/TASS

    Нефть

    Нефти пообещали плюс $10

    Goldman Sachs прогнозирует рост цен на нефть на $10 в случае утверждения соглашения ОПЕК по сокращению добычи. Правда, уверенности в его исполнении нет, оговариваются аналитики

    Инвестиции

    Год инвестиционной разморозки

    Как показывает динамика инвестиционного портфеля Южного федерального округа, экономика региона начинает выходить из второй волны кризиса. Если год назад, по результатам ежегодного исследования крупнейших инвестпроектов ЮФО, мы видели сокращение их объёма и количества, то теперь наблюдается рост даже по сравнению с 2014 годом