Кибертеррор на пороге

Информбезопасность

В области информационной безопасности начался парадигмальный сдвиг. Компании и злоумышленники перестали развлекаться. Одни окунулись в кибершпионаж, другие начали отказываться от «черных коробок» в пользу реально работающих решений

В феврале-марте сразу три ИТ-гиганта выпустили отчеты, касающиеся информационной безопасности (ИБ) бизнеса. Первой отметилась компания IBM. Вместе с Institute for Business Value она опросила более 700 руководителей предприятий из 28 стран. Хорошие новости — почти 70% топ-менеджеров считают киберзащиту задачей номер один; больше половины директоров уверены, что для борьбы с преступниками необходимо широкое сотрудничество. Плохие новости — 70% управленцев полагают, что главная угроза исходит от хакеров-одиночек (в действительности, согласно докладу ООН, 80% атак осуществляется высокоорганизованными группировками); только треть респондентов выразили готовность поделиться с «внешним миром» информацией об инцидентах в сфере кибербезопасности (при таком уровне открытости о широком сотрудничестве говорить сложно).

 Следом в СМИ попали результаты совместного исследования Red Hat и TeechValidate. Методика та же — опрос. Но в этот раз в нем приняли участие 426 человек, принимающих решения в сфере информбезопасности. Главных выводов три, и обнадеживающими их назвать сложно. Первый — поставщики «новых» ИT-решений зачастую игнорируют вопрос безопасности. Речь в первую очередь идет об оборудовании, устанавливаемом в рамках концепции интернета вещей. Ничего неожиданного в этом нет: производители, скажем, датчиков, в первую очередь озабочены усовершенствованием их способности снимать показания, остальные параметры второстепенны. Удивительно другое — только 14% респондентов заявили, что их беспокоит наличие в системе непропатченных устройств или устройств, которые в принципе не поддерживают обновления.

Второй вывод — для почти половины опрошенных ключевой угрозой в области ИБ является отнюдь не утечка ценных данных, не репутационные или финансовые потери, а утрата доверия клиентов.

Третий вывод вряд ли кого-то удивит: ни громкие инциденты, ни новые уязвимости и угрозы, ни заявления топ-менеджмента о важности защиты не приводят к росту ИБ-бюджетов. 81% респондентов заявили, что в 2016-м намерены оставить его на уровне 2015-го или незначительно увеличить. Подход прост — делаем больше за те же деньги.

Последнее на данный момент заметное исследование в области информбезопасности опубликовали VMware и The Economist Intelligence Unit. Партнеры поставили перед собой задачу выявить различия во взглядах ИТ-директоров (CIO) и прочих управленцев (CEO, CFO, COO). Все выводы делались опять-таки на основе опроса. Выборка впечатляет: 1,1 тыс. респондентов из стран Европы, Америки и Азиатско-Тихоокеанского региона. Главных наблюдений четыре. Первое — только 5% руководителей, не имеющих отношения к ИТ, считают кибербезопасность ключевым приоритетом (это явно противоречит результатам исследования IBM). Второе — директора компаний и ИТ-подразделений расходятся во мнении, какие активы нужно защищать прежде всего. CEO и CFO сфокусированы на стратегии, для них главными являются репутация и бренд. CIO же сосредоточены на тактике и уверены, что спасать надо данные и приложения.

Третье наблюдение — почти 30% ИТ-директоров видят необходимость существенного увеличения ИБ-бюджета в ближайшие два года, но только 10% финруководителей готовы на столь существенный рост инвестиций. И наконец, четвертая картинка — более 30% CIO ожидают крупной и успешной атаки на их системы в течение трех месяцев. Среди других управленцев паникеров только 12%. Любопытно, что аналогичный вопрос респондентам задавали и в IBM, только промежуток был более протяженным — два года. Результат впечатляет: 94% руководителей высшего звена полагают, что на этом горизонте их компанию, возможно, ожидает серьезный инцидент в сфере кибербезопасности. О способности адекватно на него отреагировать сообщили только 17% опрошенных.

Лучше сейчас вложить 100 рублей, чем завтра в результате кибератаки потерять 1000

— Мир киберпреступности стремительно эволюционирует, — констатирует вице-президент IBM Security Калеб Барлоу. — Несмотря на это, у многих топ-менеджеров нет понимания комплексности современных угроз. Они не имеют четкого и ясного представления, кто на самом деле является их истинным врагом и как с ним эффективно бороться.

Нам бы хотелось обратить внимание и еще на один опрос — не столь заметный, но чрезвычайно любопытный. Провела его компания SailPoint. Респонденты — тысяча предприятий США, Европы и Австралии со штатом не менее 50 тыс. человек. Итог: каждый пятый сотрудник готов продать свой пароль, 40% из них — менее чем за 1 тыс. долларов. Некоторые согласны выдать хакерам корпоративные данные и за 100 долларов. 65% опрошенных используют один и тот же пароль для разных учетных записей, каждый третий работник без ведома ИТ-отдела приобретает приложения, распространяемые по модели SaaS (софт хранится на сервере сторонней компании, пользователь получает к нему доступ через браузер). Респонденты объясняют свои действия тем, что ИБ-специалисты чрезмерно усложняют процесс установки нового программного обеспечения.

Самое время напомнить данные, которые в прошлом году обнародовала Лаборатория Касперского. В мире на каждом инциденте в физической среде компании теряют 30 — 400 тыс. долларов, в виртуальной — 60 — 800 тысяч (цифра складывается из расходов на внешних ИБ-специалистов, юристов, пиарщиков, упущенных бизнес-возможностей и потерь от вынужденного простоя ИТ-инфраструктуры и приостановки бизнес-процессов, подробнее см. «Кое-что о защите яиц»). В IDC прогнозируют: в 2016-м киберпреступления будут стоить мировой экономике более 650 млрд долларов, а к 2020-му годовой ущерб от них преодолеет отметку в 1 триллион.

Некоторые читатели могут взглянуть на приведенные выводы с укоризной, так как они преимущественно сделаны на основе анализа деятельности американских и европейских компаний. Чтобы «приземлить» тему, мы опросили более трех десятков интеграторов, разработчиков софта и представителей компьютерной науки о российских и региональных трендах в области ИБ (хотя заметим, что ИТ-рынок уже давно стал глобальным и результаты исследований с некоторыми оговорками можно экстраполировать и на нашу страну). Для затравки два факта. Первый — в 2015-м Россия по числу утечек конфиденциальной информации граждан уступила только США (данные InfoWatch). Второй — еще в 2014-м Лаборатория Касперского подсчитала, что ущерб отечественного малого и среднего бизнеса от каждого инцидента составляет 780 тыс. рублей, крупного — 20 миллионов.  

Кольцо бюджета

Российский рынок информбезопасности агентства еще не проанализировали. Первые и пока единственные оценки дает IDC: сегмент аппаратных ИБ-решений по сравнению с 2014-м просел на 17,8% до 145 млн долларов, продажи защитного ПО — на 37%. Для сравнения весь отечественный ИТ-сектор сжался на 43% до 15 млрд долларов. В рублевом эквиваленте можно говорить о подъеме (средневзвешенный курс доллара в 2015 году прирос к рублю на 58,6%). И это неплохое утешение с учетом съеживания и промпроизводства, и розничной торговли, и реальных доходов населения.

Диапазон мнений опрошенных нами экспертов по поводу влияния кризиса на ИБ-сектор чрезвычайно широк. Например, генеральный директор компании LWCOM Сергей Бобров фиксирует «повальное снижение расходов на информационную безопасность». Глава представительства CheckPoint Software Technologies в России и СНГ Василий Дягилев парирует: «Как и всегда во время стагнации и кризиса, растет общий уровень преступности, а соответственно, и уровень хакерских атак, связанных с недобросовестной конкуренцией или жаждой наживы. Поэтому компании стремятся усилить инфраструктуру безопасности, иногда откладывая апгрейд других ИТ-систем».

Оценки большинства специалистов, как и ожидалось, в середине диапазона.

— На информбезопасности в кризис, к сожалению, стараются экономить, так как ее принято относить все-таки к расходным подразделениям организации, — замечает ведущий эксперт по ИБ компании InfoWatch Мария Воронова. — Замораживаются или переносятся проекты, сокращается штат. Основной сопутствующий оптимизации аргумент — «ИБ денег не зарабатывает, только требует». Но классическая схема монетизации решений в области информбезопасности предполагает сокращение возможных убытков от реализации угроз. Компании, которые это понимают или которые на практике проверили постулат «лучше сейчас вложить 100 рублей, чем завтра в результате кибератаки потерять 1000», более взвешенно подходят к вопросам организации ИБ.

Главный инженер российского представительства Citrix Сергей Халяпин также делит потребителей на две части:

— В 2015-м деньги выделялись только на те решения, жизненную необходимость в которых сумела доказать ИБ-служба. Ряд заказчиков отказались от техподдержки или подписки на новые версии продуктов. Организации, работающие в сферах, где ИБ жестко регулируется государством или межотраслевыми объединениями (банки, страховые компании, медучреждения, предприятия ВПК), стараются поддерживать расходы на информзащиту на достаточном уровне, но и они при рассмотрении различных вариантов решений начинают все больше концентрироваться на их стоимостных параметрах.  

Директор по ИБ группы QIWI Кирилл Ермаков тезис о том, что финструктуры затрат на защиту не снижают, подтверждает: «Естественно, все компании стремятся к оптимизации расходов, и мы не исключение. Однако сокращения общего объема расходов не было. Специфика нашего бизнеса диктует очень высокие требования к системам безопасности. Работа в этом направлении будет оставаться приоритетом для компаний финсектора»

27% когда-либо существовавших угроз были созданы в 2015 году

По оценке директора центра компетенций по ИБ компании «Техносерв» Дмитрия Огородникова, в рублевом эквиваленте российский рынок информбезопасности в 2015-м, вероятно, показал прирост в 5% вместо 11% в 2014-м:

— Впрочем, сокращение динамики обусловлено не только финансовыми трудностями. ИБ-рынок в России развивается более 15 лет и, на мой взгляд, он подошел к некоторому насыщению, контракты на построение комплексных систем становятся редкостью. Гораздо чаще мы сталкиваемся с продлением техподдержки и запросом на сервисные услуги, которые предполагают решение задач заказчика без крупных инвестиций в инфраструктуру. Отмечу, что, несмотря на кризис и рост курсов валют, рублевые цены на отечественные продукты изменились несущественно. Я оцениваю рост стоимости в пределах 10 — 15%. В последнее время многие производители сделали свои прайс-листы закрытыми. Фактически это дает вендорам возможность формировать цены под конкретные сделки и позволяет точечно регулировать скидки (в «холодных» запросах они становятся меньше).

На еще одном кризисном эффекте фокусируется директор по развитию направления баз данных компании «Аладдин Р.Д.» Денис Суховей — это рост числа угроз, прежде всего внутренних (сотрудники могут унести с собой при увольнении, продать или передать конфиденциальную информацию): «В итоге ИБ-специалисты зачастую находятся между молотом необходимости усиления мер безопасности и наковальней нехватки бюджета».

Четыре трансформации

Позиция меж двух огней будет способствовать парадигмальному сдвигу рынка. Нам удалось выделить четыре его аспекта. Первый — компании от соблюдения норм регуляторов перейдут к реальной защите бизнеса. Во главу угла они будут ставить эффективность предлагаемых решений и подход «эта черная коробка меня защитит» сменят на более тонкое взаимодействие с инструментами.

— Клиенты уже перестали выбирать средства защиты, основываясь на красивых рассказах маркетологов, они готовы закупать решения только после реализации пилотных проектов и зачастую не в максимальной комплектации, — замечает директор департамента информбезопасности компании «Сервионика» Василий Степаненко. — Стремление любой ценой полностью освоить бюджет ушло в прошлое. Вместе с тем у компаний произошло осознание того, что ранее они купили много качественных продуктов, но не использовали всех их возможностей. Часто при аудите клиентов мы фиксируем, что они приобрели хорошее решение, но ответственный за его работу даже необходимых курсов не прошел, ничего не настроено, а в исключительных случаях — даже не включено.

Генеральный директор компании Cognitive Technologies Андрей Черногоров добавляет, что у заказчиков популярностью будут пользоваться готовые локальные решения, дешевые в производстве и обслуживании и быстрые в установке и пользовании.

Второй аспект, тесно связанный с первым, — рост интереса вендоров и заказчиков к модели SecaaS (Security as a Service, безопасность как услуга, речь об облачных ИБ-продуктах). «Безопасность как услуга может быть реальным решением для тех организаций, которые не имеют ресурсов, например, у них недостаточно денег, экспертов или времени, чтобы построить многоуровневую архитектуру защиты», — указывает генеральный директор компании Balabit Золтан Дъёрку. Его поддерживает директор лаборатории компьютерной криминалистики университета ИТМО Павел Кузьмич: «Компании сегодня стремятся к выводу обеспечивающих процессов на аутсорсинг, и ИБ не исключение. Модель SecaaS, во-первых, позволяет переложить работу по организации информзащиты на профильных специалистов, а во-вторых, существенно сэкономить на полной стоимости владения продуктом, это позволяет оптимизировать расходы на ИБ и ИТ».

— SecaaS — уже тренд, здесь нет сомнений, — развивает мысль руководитель отдела ИТ и защиты информации компании Polymedia Сергей Балюра. — Вынос большого количества ИБ-сервисов в облако является одним из ответов на рост мастерства киберпреступников, защита от которых становится все более дорогостоящим мероприятием. Консолидация ИБ-функций в руках специализированных компаний должна привести к повышению общего уровня безопасности. Правда, мы можем столкнуться с другой угрозой — где гарантия, что эти аутсорсеры не воспользуются своими полномочиями не во благо пользователя?

По словам Сергея Халяпина, ряд решений (Symantec, Gemalto и друге) уже имеют хорошую и долгую историю использования, нежели SecaaS, в основном для организации двухфакторной аутентификации. «Сегодня никого не смущает, что оценка на спам писем, обрабатываемых почтовыми системами, очень часто осуществляется с привлечением облачных сервисов, — комментирует Сергей Халяпин. — Таким же способом может защищаться и анализироваться трафик, направляемый на сайт компании с точки зрения антивирусной защиты, защиты веб-приложений, защиты от DDOS».

Одним из ярких примеров безоговорочной веры в SecaaS является компания Panda Security: с 2016 года она полностью отказалась от продажи корпоративных ИБ-решений, которые разворачиваются локально в сети предприятия на его инфраструктуре. «Надо отметить, что в мире такой подход себя оправдывает, — комментирует решение директор по маркетингу Panda Security в России Светлана Петровых. — В нашей стране ситуация осложнена рядом ограничений, наложенных на облака. Тем не менее совсем игнорировать такие продукты уже невозможно».

Правда, не все разделяют оптимизм по поводу развития SecaaS. «В нынешней политической и экономической ситуации аутсорсинг внутренних ИБ-процессов вряд ли преуспеет, — констатирует заместитель гендиректора компании InfoWatch Рустэм Хайретдинов. — Передавать внутренние данные в облако на несертифицированные инструменты (облачные сервисы не сертифицируются ФСТЭК) сейчас вряд ли кто решится».

Третий аспект — вероятное существенное снижение зависимости от иностранных вендоров, формирующих ценник в долларах и евро. Росту отечественного сегмента, вероятно, будут способствовать внешнеполитическая ситуация и инициативы государства в области ИБ. Их перечисляет начальник отдела аналитики и мониторинга Новосибирского филиала НТЦ «Атлас» Анастасия Мещерякова: в 2016 году должна быть принята новая доктрина информационной безопасности РФ, которая придет на смену действующему с 2000 года документу. Кроме того, выпущены распоряжения в части создания государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), в структуре ЦБ создан центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере.

— Целый ряд государственных и частных информсистем в России был реализован на проприетарной платформе западных вендоров, в период санкций западные разработчики откровенно стали использовать свое положение в ряде отечественных ниш ИТ-продуктов как орудие внерыночной конкурентной борьбы и коммерческого шантажа, — категоричен Андрей Черногоров.
 
Четвертый аспект — из-за сжатия сегмента крупных заказчиков вендоры все активнее будут идти в сектор среднего и крепкого малого бизнеса. Работы там непочатый край: небольшие компании в массе своей не задумываются о вопросах безопасности, уровень ИТ-зрелости многих из них очень низок. Хотя «СМБ — идол для поклонения вендоров, — замечает директор по продажам SkyDNS Марат Хазиев. — Все его хотят заполучить, но пока в этом секторе никто так и не научился продавать. Есть несколько подходов — от freemium-модели (базовой ПО предлагается бесплатно, деньги взимаются за улучшенную версию, допфункционал и т.д. — Ред.) до партнерских продаж, но результаты сомнительны».

Директор по развитию бизнеса Stack Group Владимир Лебедев указывает, что сегодня для малого бизнеса актуальным остается решение задач, связанных с антивирусной защитой, шифрованием данных, резервированием и защитой удаленного доступа. Популярными остаются host-based-продукты, справляющиеся с комплексными угрозами, а также open-source. В последнее время малые предприятия начали реализовывать проекты на соответствие новым требованиям законодательства (особенно это характерно для компаний, выступающих субподрядчиками в рамках крупных тендеров).

Всеобъемлющий брат

В рамках рассуждений об информбезопасности принципиальным является вопрос «чего ждать». В целом образ будущего уже сформирован. Главная головная боль на среднесрочную перспективу — целевые атаки. «По нашим наблюдениям, нападения становятся все более направленными, — констатирует Рустэм Хайретдинов. — Киберпреступники демонстрируют глубокое понимание архитектуры атакуемой информационной системы и учитывают конкретные средства ее защиты. При нападениях злоумышленники используют как традиционные уязвимости нулевого дня, так и ошибки в проектировании и реализации заказных информационных систем».

Приоритеты от простого интереса все очевиднее переходят в финансовую плоскость. Тренду далеко не первый год. Еще в начале 2010-х Евгений Касперский заявлял: киберпреступность превратилась в прибыльный и хорошо организованный бизнес. Но тогда его слова казались прогнозом, теперь они стали явью. «Сегодня основная цель того или иного вредоносного воздействия лежит в коммерческой плоскости, речь о промышленном шпионаже или краже платежной информации», — подтверждает эксперт проекта «Контур-Безопасность» компании «СКБ Контур» Олег Нечеухин. Вместе с тем Кирилл Ермаков отмечает рост аппетитов преступников: «Если раньше они похищали деньги у клиентов банков, то теперь фокусируются на структурах, клиентами которых выступают сами банки. Всего пару недель назад хакеры вывели 100 млн долларов со счета ЦБ Бангладеш, проведя атаку на учетную запись этой страны в ФРС США. В нашей стране серьезные происшествия в этой сфере тоже происходят с незавидной регулярностью».

Следующее, к чему нужно готовиться — открытие неочевидных каналов утечек. В этом плане крайне любопытно замечание директора по развитию бизнеса PROMT в России Юлии Епифанцевой: «При освещении крупных информационных скандалов обычно фигурируют облачные сервисы вроде Gmail, Mail, Dropbox, WhatsApp, однако часто упускаются из виду каналы вроде онлайн-сервисов перевода. Бесплатные решения собирают и анализируют переводимый контент и могут (по запросу) передать его спецслужбам. Как правило, в компаниях на первом месте по потребности стоит перевод деловой переписки, на втором — документов, которые содержат юридическую, финансовую, технологическую информацию. И все это может оказаться одним нажатием кнопки в “черном ящике” сервиса онлайн-перевода, и тут не спасет даже десять уровней защиты внутри корпорации».

Еще один крупный объект картины будущего — мобильные угрозы. «В 2016 году мобилизация станет основным драйвером инноваций в области ИБ, — уверена менеджер по продажам HID Global в Восточной Европе Катажина Хоффманн-Селицка. — Вход в сеть и компьютер, водительские удостоверения и другие приложения будут объединяться с функциями обеспечения физической безопасности на телефонах, планшетах и ноутбуках. Следующим шагом станет защита носимых устройств». Василий Дягилев добавляет: «В начале этого года впервые в топ-10 вошла программа HummingBad, атакующая Android-устройства. Проблема заключается в том, что компании и сами пользователи пока еще не задумываются о безопасности устройств в той мере, в которой это необходимо».

И здесь мы приходим к следующему вызову, заключающемуся в росте числа подключенных к сети устройств и развитию модели интернета вещей (Internet of Things, IoT). И хотя Марат Хазиев уверен, что пока все разговоры о ней похожи на «торговлю страхом», не замечать их было бы ошибкой. IoT фактически приводит к мощному увеличению поверхности атаки. И нельзя сказать, что концепция эта — дело отдаленного будущего: датчики и реле, управляемые или обновляемые через интернет, вовсю используются на предприятиях и в учреждениях здравоохранения. Многие бытовые приборы обладают внутренними микропрограммами. «В жизнь предприятий входит все большее число умных устройств, связанных между собой, — говорит эксперт по ИБ-решениям IBM Олег Бакшинский. — Они позволяют не только собирать важную информацию, но и строить аналитику, полезную как для госинститутов и коммерческих компаний, так и для частных лиц. В погоне за выгодой, в пылу борьбы с конкурентами выбор все чаще основывается на совете умных машин, делающих выводы на базе анализа большого объема собранных данных. Соответственно встает вопрос доверия как к самим системам анализа с их алгоритмами, так и к собираемым данным».

Директор департамента продаж корпоративным и государственным заказчикам Ростелекома на Урале Владислав Сюркаев добавляет: устройства, участвующие в обмене информацией, телемедицинские и прочие сервисы должны быть прежде всего защищенными. Как бы странно это сегодня ни звучало, но безопасность должна быть важнее их функциональности. В противном случае мы можем столкнуться с событиями, так хорошо описанными фантастами в фильмах-катастрофах.
 
Другая глобальная проблема — «большой брат». Ни для кого не новость, что вендоры в явном или тайном виде собирают информацию о пользователях (это делает Microsoft, Apple, Google и многие другие поставщики ПО и «железа»). Мотивируют они это заботой о потребителе и необходимости улучшения продукта. Очевидно, что ИБ-персоналу в ближайшем будущем придется пристально изучать ИТ-инфраструктуру на предмет ее скрытых возможностей.

— Иностранные продукты буквально нашпигованы «недекларированными компонентами», — уверен Андрей Черногоров. — Сбор данных формально не связан с обострением внешнеполитической ситуации или санкциями, потому что хронологически начался задолго до них. Однако именно в период текущих страстей этот функционал обязательно будет использоваться для различных манипуляций, провокаций и нанесения урона стране.

Не ослабевает актуальность и внутренних угроз. «Речь не только об офисных служащих, которые, например, могут скачать с серверов компании базу клиентов и передать ее конкурентам, но и о сотрудниках, работающих “в полях” (например, на складе или в магазине). Там список угроз еще шире. Когда в компании нет бизнес-процессов по расследованию таких эпизодов, это дает злоумышленникам ощущение безнаказанности», — уверена руководитель направления информбезопасности Softline Ольга Макарова.

И последний мазок — продолжающийся рост квалификации киберпреступников при одновременном упрощении доступа к инструментам атак. Компаниям нужно готовиться к лавине. Ее масштаб можно оценить всего по одной цифре: около 27% когда-либо существовавших угроз были созданы в 2015 году.