Технологии

Москва, 24.05.2016


Буйство незащищенных технологий

08 jun 2015

Информбезопасность для бизнеса станет приоритетом лишь тогда, когда в России заработает риск-менеджмент, появится внятное госрегулирование, а потребители начнут уходить к более защищенным конкурентам

В конце мая в Москве прошел Positive Hack Days — международный форум, посвященный практическим вопросам информационной безопасности (ИБ). Эксперты Positive Technologies протоколировали: в России много лет ведется дискуссия о выборе правильной политики, о новых требованиях по защите персональных данных, о построении взаимоотношений между ИБ-службой и руководством. Но слова воплощаются в дела со скрежетом. Уровень защищенности, например, крупных компаний (в том числе входящих в топ-400 по версии журнала «Эксперт») за последние два года значительно понизился. Согласно тестам, проведенным в 2014-м, злоумышленник, находящийся за пределами организации, не имеющий никаких привилегий и данных о сети, может преодолеть периметр почти в 90% случаев (показатель 2012-го — 74%). При этом 61% систем может успешно атаковать преступник низкой квалификации (в 2012 году такие нарушители могли взломать 46% систем).

Немногим ранее, в апреле, консалтинговая компания KPMG опубликовала результаты опроса 133 глобальных институциональных инвесторов (под их управлением находятся активы на сумму более 3 трлн долларов). 79% респондентов заявили, что не захотят вкладывать средства в компанию, которая подверглась хакерской атаке.

Так ли все плохо с инфобезом? Ответ на этот вопрос по просьбе «Э-У» пытаются найти представители крупных отечественных ИТ-компаний.

Дорогая страховка

— Бизнес, принимая решения о развитии ИБ, руководствуется несколькими подходами — рисками, инцидентами, требованиями рынка или регулятора. Ни один из этих «драйверов» в нашей стране не работает, — уверен заместитель генерального директора InfoWatch Рустэм Хайретдинов. — Для понимания рисков необходимо иметь актуальную оценку информактивов (она не делается) и точную статистику по инцидентам (по России оставляет желать лучшего). Регулирование в области информбезопасности довольно слабое и бессистемное, а наказания за нарушения настолько ничтожны, что проще платить штрафы, чем заниматься внедрением каких-либо решений. Рынок абсолютно не требователен к ИБ: инциденты не приводят к сколько-нибудь значимым потерям, клиенты не бегут от менее защищенных компаний к более защищенным. Особенно это чувствуется в реальном секторе: вне зависимости от утечки данных или компрометации сайта, нефть будет добываться, металл плавиться. Чувствительный ущерб успешная атака наносит только интернет-компаниям (таким как электронная торговая площадка, интернет-СМИ, сайт электронной коммерции, игровой портал). В отсутствии четкого понимания смысла и стоимости защиты информации большинство организаций руководствуются следующим принципом: «Дорогая служба ИБ, вот тебе 5 — 10% ИТ-бюджета, сделай нам что-нибудь, чтобы мы чувствовали себя защищенными».

ИТ-специалисты замечают: ИБ — это страховка, которую бизнес «покупает» на сугубо добровольных началах. Никаких прибылей бизнесу информбезопасность не приносит, она уберегает его от убытков.

— В то же время другие ИТ-проекты — это обычно решения из серии «время — деньги», — замечает директор учебного цент­ра SearchInform Алексей Дрозд. — Например, ERP повышает рентабельность бизнеса на несколько десятков процентов. Любой нормальный бизнес действует обычно ради одной цели — увеличение прибыли. Все, что не соответствует этой цели, вторично. Правда, кое-какие «снижатели» маржи сегодня уже стали нормой. Я говорю о комфортабельном офисе, различных пиар-активностях, заботе об экологичности товара. Многие компании поняли, что данные факторы, пусть косвенно, но работают на них. С ростом уровня угроз бизнес неизбежно осознает, что защищаться необходимо. Чем старше и крупнее становится организация, тем больше у нее шансов стать жертвой собственного пренебрежения вопросами ИБ. Падение уровня защищенности, на мой взгляд, во многом связано с проникновением технологий в те сферы, где нет пользователей соответствующей квалификации. Это как рост числа мелких ДТП после появления на дорогах «подснежников». По мере роста ИБ-грамотности населения проблема будет решаться.

С последним тезисом соглашается эксперт по технологиям защиты информации компании «Код безопасности» Андрей Степаненко: «Бизнес выделяет деньги на ИБ. Но с учетом того, что параллельно эволюционирует ИТ-инфраструктура, активно внедряются облачные сервисы, растет использование социальных сетей, мобильных устройств, средств на соответствующее развитие систем защиты не хватает».

Рустэм Хайретдинов сетует: конкуренция производителей программного обеспечения, как тиражного, так и заказного, вынуждает их как можно быстрее выпускать новый функционал в ущерб защищенности. На смену закрытым уязвимостям приходят тысячи новых. Максимум, что могут ИБ-компании — указать производителям и пользователям на наличие проблемы. Закрыть дыры внешними, «навесными» решениями можно в очень ограниченном числе случаев.

В «Аладдин Р.Д.» считают, что защита информации (в компании предпочитают избегать неоднозначно трактуемого термина «информбезопасность») никогда не станет для бизнеса приоритетом. Она будет сопутствующей, не слишком дешевой, а иногда и очень неудобной в использовании нагрузкой. Тем не менее драматизировать ситуацию не стоит, уверен заместитель гендиректора «Аладдин Р.Д.» Алексей Сабанов:

— Проникнуть — это одно, а что-то реальное натворить — это совершенно другое. Строго говоря, об уровне защищенности информсистемы можно судить только по комплексным показателям, критериями которых являются конфиденциальность, доступность, целостность данных. В связи с интенсивной информатизацией общества даже ранее закрытые локальные корпоративные сети вынуждены выносить сервисы за пределы защищенного периметра. И совершенно естественно, что уровень проникновений стал расти. Но так ли это критично для бизнеса? Как правило, у крупных компаний риски утечки информации ограниченного доступа находятся в пределах допустимого уровня.

Враг повсюду

В условиях нехватки ресурсов на ИБ принципиальным вопросом становится «что и от кого защищать в первую очередь». Понятно, что каждая отрасль и каждая компания имеет свою специфику, однако ИТ-безопасники все же усматривают некоторые общие места.

— Наибольшая опасность исходит изнутри — от сотрудников компании и их рабочих мест, — уверен гендиректор ГК «Хост» Константин Суслов. — Если злоумышленник проник во внутреннюю сеть, он прошел половину пути. А когда работник и преступник одно и то же лицо, отследить вектор атаки и предотвратить деструктивные действия могут только системы защиты внутреннего контура. К сожалению, в региональных компаниях почти не используются системы предотвращения вторжений из локальной сети, системы поведенческого анализа всех поступающих файлов, межсетевые экраны нового поколения для фильтрации трафика.

Соглашаясь с Константином Сусловым, Алексей Дрозд приводит красочную аналогию: «Вспомните недавний случай с крушением самолета в Альпах. Если пилот заперся в кабине и решил “уронить” лайнер, то никакого террориста не нужно. Сегодня самыми безопасными являются системы с минимальным присутствием человека. Беспилотные автомобили, которые уже ездят по США, до сих пор не задавили ни одного пешехода. Поэтому сегодня в ИБ на первое место выходят решения, которые контролируют действия персонала на рабочих местах, ведь именно на этих людей, а не на вирусы и хакерские атаки приходится львиная доля ущерба от инцидентов».

Рустэм Хайретдинов придерживается несколько иной точки зрения:

— Внутренние корпоративные приложения (ERP-системы, бухгалтерские приложения, системы организации групповой работы) могут иметь большое количество незакрытых уязвимостей, но поскольку доступом к ним располагают только сотрудники, которых легко идентифицировать, вероятность того, что они будут атаковать, невелика. Приложения же, «смотрящие» в сеть, даже имея всего одну незакрытую уязвимость, рискуют гораздо больше: воспользоваться слабым местом может любой из миллиарда пользователей интернета. Проблема состоит еще и в том, что внешние решения постоянно модифицируются, расширяя функционал, а значит, защита должна быть непрерывной. В целом можно сказать, что основная угроза исходит из сети, и она направлена на корпоративные веб-приложения.

На наш взгляд, наиболее важная мысль последнего комментария — защита должна быть непрерывной. Информбезопасность — не проект, не продукт, не решение. Это процесс. Киберзло не есть константа, оно перманентно трансформируется. Каким бы продвинутым ни было ИБ-решение, в перспективе нескольких лет (или даже месяцев) оно теряет актуальность. «Сколько ни усиливай входную дверь, это не убережет компанию от инцидента, если хакеры уже научились лазать через окно», — еще одна красочная аналогия от Алексея Дрозда.

Поставить точку мы бы хотели с помощью Рустэма Хайретдинова.

— Разработчикам систем защиты информации никогда не опередить хакеров. Это как известные задачи об Ахиллесе и черепахе в трактовке Зенона. Или о снаряде и броне: как только создается новая марка стали для усиления брони, разрабатывается снаряд, способный ее пробить. Злоумышленник с помощью взлома хочет получить деньги, это сильная мотивация. Как только ущерб начинает превышать критический уровень, уязвимость в обороне закрывают. При этом, как правило, невозможно заткнуть «дыру», которую еще не обнаружили. Образуется цикл. В итоге система становится более защищенной. Диалектика. И одновременно объективная реальность.

Как обеспечить эффективную защищенность информресурсов?

Дмитрий Огородников, директор центра компетенций по информационной безопасности компании «Техносерв»:

— В обеспечении реальной безопасности конкретные решения по защите информации и программно-аппаратные комплексы должны играть последнюю роль. В первую очередь нужно выстраивать организационные процессы управления ИБ и вовлекать в данные процессы весь персонал предприятия. Только в этом случае можно быть уверенным в надежной защите ресурсов.

Андрей Заикин, руководитель направления информационной безопасности компании «Крок»:

— Набор ИБ-средств зависит от предоставляемых компанией услуг, уровня зрелости уже выстроенной системы информационной безопасности и бизнес-процессов в целом. Главное — учитывать стандарты в конкретной отрасли и предварительно оценивать существующие риски. По нашей практике, сейчас наибольшей популярностью пользуются средства защиты от вредоносного кода, кибератак, системы предотвращения DDoS-атак, утечек информации (DLP). Для банковской отрасли крайне актуальны антифрод-системы.

Рустэм Хайретдинов, заместитель гендиректора InfoWatch:

— Реальной безопасности добиться довольно просто. Воспользуйтесь пошаговой инструкцией по защите гостайны: поставьте на каждый сертифицированный компьютер электронные замки, гальванически развяжите сегменты сети, ведите журналы действий пользователя. Правда, вы потеряете при этом удобство для пользователей и гибкость для клиентов. И стоит такая система раз в десять больше, чем традиционная. Хотите меньше цены и больше удобства — ищите компромиссы. Защищенная система — не та, из которой нельзя ничего украсть или которую нельзя вывести из строя, а та, на взлом которой атакующий тратит больше средств, чем получает выгоды или наносит ущерба.

Алексей Сабанов, заместитель гендиректора «Аладдин Р.Д.»:

— Рецепты уже давно сформированы и утверждены. Надо всерьез и систематически заниматься риск-менеджментом, строить на основе анализа рисков комплексную эшелонированную защиту, обеспечивающую непрерывность бизнес-процессов, иметь развитую конкурентную разведку. Таков стандартный рецепт.

Алексей Дрозд, директор учебного центра SearchInform:

— Пошаговая инструкция могла бы выглядеть так: 1. Захотеть; 2. Узнать, как нужно делать; 3. Сделать. ИБ — довольно рутинная область, здесь не нужно каких-то нетривиальных подходов или исследований, чтобы достигнуть успеха. Наоборот, лучшие практики — самые проверенные. Поэтому начать нужно с фундамента, с организации отдела ИБ, пусть даже он поначалу будет состоять из одного сот­рудника. Дальше нужно понять, какие угрозы актуальны для организации, разработать план по их нейтрализации, реализовывать этот план. У нас же в большинстве компаний работает поговорка про лежачий камень. Именно поэтому с ИБ все так плохо.

«Эксперт Урал» №24 (648)


Журнал «Эксперт» подписка

Оформите подписку на закрытые материалы журнала «Эксперт» и читайте их в полном объеме на сайте





    Реклама
    Читать все комментарии
    AdRiver

    «Эксперт» приступил к подготовке первого рейтинга крупнейших транспортно-логистических компаний России

    Для участия в проекте необходимо заполнить электронную анкету






    Реклама




    Читайте так же

    Эксперт Онлайн, последние новости и аналитика
    БЕДУШ & МАРЕННИКОВА

    Свет икон и сила молитвы

    В мастерской «Александрия» научились использовать цветное золото в иконописи. Благодаря этой технологии иконы светятся в буквальном смысле слова


    ИТАР-ТАСС Автор: Сергей Расулов

    Контроль над игорным бизнесом

    Игроки в тюрьму не сядут

    Комиссия правительства по законопроектной деятельности после дискуссии одобрила с законопроекты об усилении уголовной и административной ответственности за незаконные организацию и проведение азартных игр. Но игроков уголовное наказание не коснется

    Малый бизнес

    Бизнесу хорошо в тени

    По статистике Сбербанка, в лучшем случае доля прозрачного малого бизнеса в России составляет 20%. Это сказывается на специфике кредитования МСБ, причем скорее крупные банки пытаются приспособиться к своим "малым" заемщикам, а не наоборот

    Рост Китая

    Китай строит АЭС по всему миру. Специалисты предупреждают о рисках

    Желание Китая стать главным игроком в атомной энергетике планеты может отрицательно отразиться на надежности и безопасности атомных объектов, возводимых китайскими энергетиками на всех континентах.

    ТАСС Автор: Владимир Смирнов

    Уровень жизни

    Живы будем - не умрем

    Реальные доходы россиян, по данным Росстата, в апреле обвалились на 7,1% в годовом сопоставлении. Аналитики отмечают, что при всей яркости этих цифр важнее долгосрочный тренд, но он, как назло, тоже так себе. Дешевые трудовые ресурсы благоприятны для экономического роста, предпосылки к которому созрели. Доживут ли до него те, кому действительно худо, а таких уже к концу 2015 года было более 19 млн человек? Ждать, по некоторым прогнозам, осталось год

    Фото: Игорь Бадов

    Сельское хозяйство

    Яичко золотое

    Проблемы с финансированием станут одним из главных ограничителей развития АПК, низкая доходность аграриев и настороженное отношение к ним банков не позволяют говорить о массе новых крупных проектов. Но основной проблемой года будет снижение потребительского спроса