Технологии
Москва, 06.12.2016


Буйство незащищенных технологий

2015

Информбезопасность для бизнеса станет приоритетом лишь тогда, когда в России заработает риск-менеджмент, появится внятное госрегулирование, а потребители начнут уходить к более защищенным конкурентам

В конце мая в Москве прошел Positive Hack Days — международный форум, посвященный практическим вопросам информационной безопасности (ИБ). Эксперты Positive Technologies протоколировали: в России много лет ведется дискуссия о выборе правильной политики, о новых требованиях по защите персональных данных, о построении взаимоотношений между ИБ-службой и руководством. Но слова воплощаются в дела со скрежетом. Уровень защищенности, например, крупных компаний (в том числе входящих в топ-400 по версии журнала «Эксперт») за последние два года значительно понизился. Согласно тестам, проведенным в 2014-м, злоумышленник, находящийся за пределами организации, не имеющий никаких привилегий и данных о сети, может преодолеть периметр почти в 90% случаев (показатель 2012-го — 74%). При этом 61% систем может успешно атаковать преступник низкой квалификации (в 2012 году такие нарушители могли взломать 46% систем).

Немногим ранее, в апреле, консалтинговая компания KPMG опубликовала результаты опроса 133 глобальных институциональных инвесторов (под их управлением находятся активы на сумму более 3 трлн долларов). 79% респондентов заявили, что не захотят вкладывать средства в компанию, которая подверглась хакерской атаке.

Так ли все плохо с инфобезом? Ответ на этот вопрос по просьбе «Э-У» пытаются найти представители крупных отечественных ИТ-компаний.

Дорогая страховка

— Бизнес, принимая решения о развитии ИБ, руководствуется несколькими подходами — рисками, инцидентами, требованиями рынка или регулятора. Ни один из этих «драйверов» в нашей стране не работает, — уверен заместитель генерального директора InfoWatch Рустэм Хайретдинов. — Для понимания рисков необходимо иметь актуальную оценку информактивов (она не делается) и точную статистику по инцидентам (по России оставляет желать лучшего). Регулирование в области информбезопасности довольно слабое и бессистемное, а наказания за нарушения настолько ничтожны, что проще платить штрафы, чем заниматься внедрением каких-либо решений. Рынок абсолютно не требователен к ИБ: инциденты не приводят к сколько-нибудь значимым потерям, клиенты не бегут от менее защищенных компаний к более защищенным. Особенно это чувствуется в реальном секторе: вне зависимости от утечки данных или компрометации сайта, нефть будет добываться, металл плавиться. Чувствительный ущерб успешная атака наносит только интернет-компаниям (таким как электронная торговая площадка, интернет-СМИ, сайт электронной коммерции, игровой портал). В отсутствии четкого понимания смысла и стоимости защиты информации большинство организаций руководствуются следующим принципом: «Дорогая служба ИБ, вот тебе 5 — 10% ИТ-бюджета, сделай нам что-нибудь, чтобы мы чувствовали себя защищенными».

ИТ-специалисты замечают: ИБ — это страховка, которую бизнес «покупает» на сугубо добровольных началах. Никаких прибылей бизнесу информбезопасность не приносит, она уберегает его от убытков.

— В то же время другие ИТ-проекты — это обычно решения из серии «время — деньги», — замечает директор учебного цент­ра SearchInform Алексей Дрозд. — Например, ERP повышает рентабельность бизнеса на несколько десятков процентов. Любой нормальный бизнес действует обычно ради одной цели — увеличение прибыли. Все, что не соответствует этой цели, вторично. Правда, кое-какие «снижатели» маржи сегодня уже стали нормой. Я говорю о комфортабельном офисе, различных пиар-активностях, заботе об экологичности товара. Многие компании поняли, что данные факторы, пусть косвенно, но работают на них. С ростом уровня угроз бизнес неизбежно осознает, что защищаться необходимо. Чем старше и крупнее становится организация, тем больше у нее шансов стать жертвой собственного пренебрежения вопросами ИБ. Падение уровня защищенности, на мой взгляд, во многом связано с проникновением технологий в те сферы, где нет пользователей соответствующей квалификации. Это как рост числа мелких ДТП после появления на дорогах «подснежников». По мере роста ИБ-грамотности населения проблема будет решаться.

С последним тезисом соглашается эксперт по технологиям защиты информации компании «Код безопасности» Андрей Степаненко: «Бизнес выделяет деньги на ИБ. Но с учетом того, что параллельно эволюционирует ИТ-инфраструктура, активно внедряются облачные сервисы, растет использование социальных сетей, мобильных устройств, средств на соответствующее развитие систем защиты не хватает».

Рустэм Хайретдинов сетует: конкуренция производителей программного обеспечения, как тиражного, так и заказного, вынуждает их как можно быстрее выпускать новый функционал в ущерб защищенности. На смену закрытым уязвимостям приходят тысячи новых. Максимум, что могут ИБ-компании — указать производителям и пользователям на наличие проблемы. Закрыть дыры внешними, «навесными» решениями можно в очень ограниченном числе случаев.

В «Аладдин Р.Д.» считают, что защита информации (в компании предпочитают избегать неоднозначно трактуемого термина «информбезопасность») никогда не станет для бизнеса приоритетом. Она будет сопутствующей, не слишком дешевой, а иногда и очень неудобной в использовании нагрузкой. Тем не менее драматизировать ситуацию не стоит, уверен заместитель гендиректора «Аладдин Р.Д.» Алексей Сабанов:

— Проникнуть — это одно, а что-то реальное натворить — это совершенно другое. Строго говоря, об уровне защищенности информсистемы можно судить только по комплексным показателям, критериями которых являются конфиденциальность, доступность, целостность данных. В связи с интенсивной информатизацией общества даже ранее закрытые локальные корпоративные сети вынуждены выносить сервисы за пределы защищенного периметра. И совершенно естественно, что уровень проникновений стал расти. Но так ли это критично для бизнеса? Как правило, у крупных компаний риски утечки информации ограниченного доступа находятся в пределах допустимого уровня.

Враг повсюду

В условиях нехватки ресурсов на ИБ принципиальным вопросом становится «что и от кого защищать в первую очередь». Понятно, что каждая отрасль и каждая компания имеет свою специфику, однако ИТ-безопасники все же усматривают некоторые общие места.

— Наибольшая опасность исходит изнутри — от сотрудников компании и их рабочих мест, — уверен гендиректор ГК «Хост» Константин Суслов. — Если злоумышленник проник во внутреннюю сеть, он прошел половину пути. А когда работник и преступник одно и то же лицо, отследить вектор атаки и предотвратить деструктивные действия могут только системы защиты внутреннего контура. К сожалению, в региональных компаниях почти не используются системы предотвращения вторжений из локальной сети, системы поведенческого анализа всех поступающих файлов, межсетевые экраны нового поколения для фильтрации трафика.

Соглашаясь с Константином Сусловым, Алексей Дрозд приводит красочную аналогию: «Вспомните недавний случай с крушением самолета в Альпах. Если пилот заперся в кабине и решил “уронить” лайнер, то никакого террориста не нужно. Сегодня самыми безопасными являются системы с минимальным присутствием человека. Беспилотные автомобили, которые уже ездят по США, до сих пор не задавили ни одного пешехода. Поэтому сегодня в ИБ на первое место выходят решения, которые контролируют действия персонала на рабочих местах, ведь именно на этих людей, а не на вирусы и хакерские атаки приходится львиная доля ущерба от инцидентов».

Рустэм Хайретдинов придерживается несколько иной точки зрения:

— Внутренние корпоративные приложения (ERP-системы, бухгалтерские приложения, системы организации групповой работы) могут иметь большое количество незакрытых уязвимостей, но поскольку доступом к ним располагают только сотрудники, которых легко идентифицировать, вероятность того, что они будут атаковать, невелика. Приложения же, «смотрящие» в сеть, даже имея всего одну незакрытую уязвимость, рискуют гораздо больше: воспользоваться слабым местом может любой из миллиарда пользователей интернета. Проблема состоит еще и в том, что внешние решения постоянно модифицируются, расширяя функционал, а значит, защита должна быть непрерывной. В целом можно сказать, что основная угроза исходит из сети, и она направлена на корпоративные веб-приложения.

На наш взгляд, наиболее важная мысль последнего комментария — защита должна быть непрерывной. Информбезопасность — не проект, не продукт, не решение. Это процесс. Киберзло не есть константа, оно перманентно трансформируется. Каким бы продвинутым ни было ИБ-решение, в перспективе нескольких лет (или даже месяцев) оно теряет актуальность. «Сколько ни усиливай входную дверь, это не убережет компанию от инцидента, если хакеры уже научились лазать через окно», — еще одна красочная аналогия от Алексея Дрозда.

Поставить точку мы бы хотели с помощью Рустэма Хайретдинова.

— Разработчикам систем защиты информации никогда не опередить хакеров. Это как известные задачи об Ахиллесе и черепахе в трактовке Зенона. Или о снаряде и броне: как только создается новая марка стали для усиления брони, разрабатывается снаряд, способный ее пробить. Злоумышленник с помощью взлома хочет получить деньги, это сильная мотивация. Как только ущерб начинает превышать критический уровень, уязвимость в обороне закрывают. При этом, как правило, невозможно заткнуть «дыру», которую еще не обнаружили. Образуется цикл. В итоге система становится более защищенной. Диалектика. И одновременно объективная реальность.

Как обеспечить эффективную защищенность информресурсов?

Дмитрий Огородников, директор центра компетенций по информационной безопасности компании «Техносерв»:

— В обеспечении реальной безопасности конкретные решения по защите информации и программно-аппаратные комплексы должны играть последнюю роль. В первую очередь нужно выстраивать организационные процессы управления ИБ и вовлекать в данные процессы весь персонал предприятия. Только в этом случае можно быть уверенным в надежной защите ресурсов.

Андрей Заикин, руководитель направления информационной безопасности компании «Крок»:

— Набор ИБ-средств зависит от предоставляемых компанией услуг, уровня зрелости уже выстроенной системы информационной безопасности и бизнес-процессов в целом. Главное — учитывать стандарты в конкретной отрасли и предварительно оценивать существующие риски. По нашей практике, сейчас наибольшей популярностью пользуются средства защиты от вредоносного кода, кибератак, системы предотвращения DDoS-атак, утечек информации (DLP). Для банковской отрасли крайне актуальны антифрод-системы.

Рустэм Хайретдинов, заместитель гендиректора InfoWatch:

— Реальной безопасности добиться довольно просто. Воспользуйтесь пошаговой инструкцией по защите гостайны: поставьте на каждый сертифицированный компьютер электронные замки, гальванически развяжите сегменты сети, ведите журналы действий пользователя. Правда, вы потеряете при этом удобство для пользователей и гибкость для клиентов. И стоит такая система раз в десять больше, чем традиционная. Хотите меньше цены и больше удобства — ищите компромиссы. Защищенная система — не та, из которой нельзя ничего украсть или которую нельзя вывести из строя, а та, на взлом которой атакующий тратит больше средств, чем получает выгоды или наносит ущерба.

Алексей Сабанов, заместитель гендиректора «Аладдин Р.Д.»:

— Рецепты уже давно сформированы и утверждены. Надо всерьез и систематически заниматься риск-менеджментом, строить на основе анализа рисков комплексную эшелонированную защиту, обеспечивающую непрерывность бизнес-процессов, иметь развитую конкурентную разведку. Таков стандартный рецепт.

Алексей Дрозд, директор учебного центра SearchInform:

— Пошаговая инструкция могла бы выглядеть так: 1. Захотеть; 2. Узнать, как нужно делать; 3. Сделать. ИБ — довольно рутинная область, здесь не нужно каких-то нетривиальных подходов или исследований, чтобы достигнуть успеха. Наоборот, лучшие практики — самые проверенные. Поэтому начать нужно с фундамента, с организации отдела ИБ, пусть даже он поначалу будет состоять из одного сот­рудника. Дальше нужно понять, какие угрозы актуальны для организации, разработать план по их нейтрализации, реализовывать этот план. У нас же в большинстве компаний работает поговорка про лежачий камень. Именно поэтому с ИБ все так плохо.

«Эксперт Урал» №24 (648)




    Реклама


    Реклама



    Эксперт Онлайн, последние новости и аналитика

    На совещании в Минпромторге эксперты межведомственной рабочей группы так и не смогли прийти к окончательному решению о том, как именно будет создаваться система обработки информации и хранения данных, которая в соответствие с «законом Яровой» должна быть запущена в эксплуатацию к 1 июля 2018 года


    ТАСС

    Нефть

    Поворот Эр-Рияда на 180 градусов

    Аналитики Bloomberg видят две главные причины, объясняющие внезапное решение Саудовской Аравии спасти соглашение по снижению объемов добываемой нефти странами ОПЕК и взять основную долю снижения на себя

    ТАСС Автор: Рогулин Дмитрий

    #Интернет наш

    Президент РФ подписал «Доктрину информационной безопасности РФ». Направленная на военную и гуманитарную защиту страны от информационных и информационно-психологических угроз в эпоху трансграничной информации, она обращена не только к госорганам, но затрагивает очень широкий круг субъектов - от промышленности электронных компонентов, которой предписано развиваться, до сферы культуры и СМИ. Она предполагает также «развитие национальной системы управления российским сегментом сети «Интернет"»

    ИТАР-ТАСС Автор: Владимир Смирнов

    Экономический курс

    Патология неравенства

    1 декабря этого года в своем ежегодном послании Президент отнес задачу выхода на темпы роста выше среднемировых на перспективу после 2019 года. Но очевидно, что и до этого времени общество нуждается в осмысленной перспективе социальных трансформаций. В частности, это касается повестки предстоящей кампании по выборам президента. Вряд ли она может строиться по принципу «борьбы хорошего с лучшим». Скорее, она должна быть в определенном смысле мобилизационной – не по отношению к внешним или внутренним врагам, а по отношению к стратегическим вызовам. Вызовам, которые одновременно могут рассматриваться как угроза, и как потенциал для развития. Одним из таких вызовов является исключительно высокий уровень неравенства в российском обществе

    Zuma\TASS

    Газовый конфликт с Украиной

    Газ обрастает условиями

    Украина уже готова закупать российский газ, но лишь «при достижении соглашения по ряду вопросов». Однако у «Газпрома» есть все основания оставаться неуступчивым на трехсторонних переговорах в Брюсселе