Буйство незащищенных технологий
Информбезопасность
Информбезопасность для бизнеса станет приоритетом лишь тогда, когда в России заработает риск-менеджмент, появится внятное госрегулирование, а потребители начнут уходить к более защищенным конкурентам
В конце мая в Москве прошел Positive Hack Days — международный форум, посвященный практическим вопросам информационной безопасности (ИБ). Эксперты Positive Technologies протоколировали: в России много лет ведется дискуссия о выборе правильной политики, о новых требованиях по защите персональных данных, о построении взаимоотношений между ИБ-службой и руководством. Но слова воплощаются в дела со скрежетом. Уровень защищенности, например, крупных компаний (в том числе входящих в топ-400 по версии журнала «Эксперт») за последние два года значительно понизился. Согласно тестам, проведенным в 2014-м, злоумышленник, находящийся за пределами организации, не имеющий никаких привилегий и данных о сети, может преодолеть периметр почти в 90% случаев (показатель 2012-го — 74%). При этом 61% систем может успешно атаковать преступник низкой квалификации (в 2012 году такие нарушители могли взломать 46% систем).
Немногим ранее, в апреле, консалтинговая компания KPMG опубликовала результаты опроса 133 глобальных институциональных инвесторов (под их управлением находятся активы на сумму более 3 трлн долларов). 79% респондентов заявили, что не захотят вкладывать средства в компанию, которая подверглась хакерской атаке.
Так ли все плохо с инфобезом? Ответ на этот вопрос по просьбе «Э-У» пытаются найти представители крупных отечественных ИТ-компаний.
Дорогая страховка
— Бизнес, принимая решения о развитии ИБ, руководствуется несколькими подходами — рисками, инцидентами, требованиями рынка или регулятора. Ни один из этих «драйверов» в нашей стране не работает, — уверен заместитель генерального директора InfoWatch Рустэм Хайретдинов. — Для понимания рисков необходимо иметь актуальную оценку информактивов (она не делается) и точную статистику по инцидентам (по России оставляет желать лучшего). Регулирование в области информбезопасности довольно слабое и бессистемное, а наказания за нарушения настолько ничтожны, что проще платить штрафы, чем заниматься внедрением каких-либо решений. Рынок абсолютно не требователен к ИБ: инциденты не приводят к сколько-нибудь значимым потерям, клиенты не бегут от менее защищенных компаний к более защищенным. Особенно это чувствуется в реальном секторе: вне зависимости от утечки данных или компрометации сайта, нефть будет добываться, металл плавиться. Чувствительный ущерб успешная атака наносит только интернет-компаниям (таким как электронная торговая площадка, интернет-СМИ, сайт электронной коммерции, игровой портал). В отсутствии четкого понимания смысла и стоимости защиты информации большинство организаций руководствуются следующим принципом: «Дорогая служба ИБ, вот тебе 5 — 10% ИТ-бюджета, сделай нам что-нибудь, чтобы мы чувствовали себя защищенными».
ИТ-специалисты замечают: ИБ — это страховка, которую бизнес «покупает» на сугубо добровольных началах. Никаких прибылей бизнесу информбезопасность не приносит, она уберегает его от убытков.
— В то же время другие ИТ-проекты — это обычно решения из серии «время — деньги», — замечает директор учебного центра SearchInform Алексей Дрозд. — Например, ERP повышает рентабельность бизнеса на несколько десятков процентов. Любой нормальный бизнес действует обычно ради одной цели — увеличение прибыли. Все, что не соответствует этой цели, вторично. Правда, кое-какие «снижатели» маржи сегодня уже стали нормой. Я говорю о комфортабельном офисе, различных пиар-активностях, заботе об экологичности товара. Многие компании поняли, что данные факторы, пусть косвенно, но работают на них. С ростом уровня угроз бизнес неизбежно осознает, что защищаться необходимо. Чем старше и крупнее становится организация, тем больше у нее шансов стать жертвой собственного пренебрежения вопросами ИБ. Падение уровня защищенности, на мой взгляд, во многом связано с проникновением технологий в те сферы, где нет пользователей соответствующей квалификации. Это как рост числа мелких ДТП после появления на дорогах «подснежников». По мере роста ИБ-грамотности населения проблема будет решаться.
С последним тезисом соглашается эксперт по технологиям защиты информации компании «Код безопасности» Андрей Степаненко: «Бизнес выделяет деньги на ИБ. Но с учетом того, что параллельно эволюционирует ИТ-инфраструктура, активно внедряются облачные сервисы, растет использование социальных сетей, мобильных устройств, средств на соответствующее развитие систем защиты не хватает».
Рустэм Хайретдинов сетует: конкуренция производителей программного обеспечения, как тиражного, так и заказного, вынуждает их как можно быстрее выпускать новый функционал в ущерб защищенности. На смену закрытым уязвимостям приходят тысячи новых. Максимум, что могут ИБ-компании — указать производителям и пользователям на наличие проблемы. Закрыть дыры внешними, «навесными» решениями можно в очень ограниченном числе случаев.
В «Аладдин Р.Д.» считают, что защита информации (в компании предпочитают избегать неоднозначно трактуемого термина «информбезопасность») никогда не станет для бизнеса приоритетом. Она будет сопутствующей, не слишком дешевой, а иногда и очень неудобной в использовании нагрузкой. Тем не менее драматизировать ситуацию не стоит, уверен заместитель гендиректора «Аладдин Р.Д.» Алексей Сабанов:
— Проникнуть — это одно, а что-то реальное натворить — это совершенно другое. Строго говоря, об уровне защищенности информсистемы можно судить только по комплексным показателям, критериями которых являются конфиденциальность, доступность, целостность данных. В связи с интенсивной информатизацией общества даже ранее закрытые локальные корпоративные сети вынуждены выносить сервисы за пределы защищенного периметра. И совершенно естественно, что уровень проникновений стал расти. Но так ли это критично для бизнеса? Как правило, у крупных компаний риски утечки информации ограниченного доступа находятся в пределах допустимого уровня.
Враг повсюду
В условиях нехватки ресурсов на ИБ принципиальным вопросом становится «что и от кого защищать в первую очередь». Понятно, что каждая отрасль и каждая компания имеет свою специфику, однако ИТ-безопасники все же усматривают некоторые общие места.
— Наибольшая опасность исходит изнутри — от сотрудников компании и их рабочих мест, — уверен гендиректор ГК «Хост» Константин Суслов. — Если злоумышленник проник во внутреннюю сеть, он прошел половину пути. А когда работник и преступник одно и то же лицо, отследить вектор атаки и предотвратить деструктивные действия могут только системы защиты внутреннего контура. К сожалению, в региональных компаниях почти не используются системы предотвращения вторжений из локальной сети, системы поведенческого анализа всех поступающих файлов, межсетевые экраны нового поколения для фильтрации трафика.
Соглашаясь с Константином Сусловым, Алексей Дрозд приводит красочную аналогию: «Вспомните недавний случай с крушением самолета в Альпах. Если пилот заперся в кабине и решил “уронить” лайнер, то никакого террориста не нужно. Сегодня самыми безопасными являются системы с минимальным присутствием человека. Беспилотные автомобили, которые уже ездят по США, до сих пор не задавили ни одного пешехода. Поэтому сегодня в ИБ на первое место выходят решения, которые контролируют действия персонала на рабочих местах, ведь именно на этих людей, а не на вирусы и хакерские атаки приходится львиная доля ущерба от инцидентов».
Рустэм Хайретдинов придерживается несколько иной точки зрения:
— Внутренние корпоративные приложения (ERP-системы, бухгалтерские приложения, системы организации групповой работы) могут иметь большое количество незакрытых уязвимостей, но поскольку доступом к ним располагают только сотрудники, которых легко идентифицировать, вероятность того, что они будут атаковать, невелика. Приложения же, «смотрящие» в сеть, даже имея всего одну незакрытую уязвимость, рискуют гораздо больше: воспользоваться слабым местом может любой из миллиарда пользователей интернета. Проблема состоит еще и в том, что внешние решения постоянно модифицируются, расширяя функционал, а значит, защита должна быть непрерывной. В целом можно сказать, что основная угроза исходит из сети, и она направлена на корпоративные веб-приложения.
На наш взгляд, наиболее важная мысль последнего комментария — защита должна быть непрерывной. Информбезопасность — не проект, не продукт, не решение. Это процесс. Киберзло не есть константа, оно перманентно трансформируется. Каким бы продвинутым ни было ИБ-решение, в перспективе нескольких лет (или даже месяцев) оно теряет актуальность. «Сколько ни усиливай входную дверь, это не убережет компанию от инцидента, если хакеры уже научились лазать через окно», — еще одна красочная аналогия от Алексея Дрозда.
Поставить точку мы бы хотели с помощью Рустэма Хайретдинова.
— Разработчикам систем защиты информации никогда не опередить хакеров. Это как известные задачи об Ахиллесе и черепахе в трактовке Зенона. Или о снаряде и броне: как только создается новая марка стали для усиления брони, разрабатывается снаряд, способный ее пробить. Злоумышленник с помощью взлома хочет получить деньги, это сильная мотивация. Как только ущерб начинает превышать критический уровень, уязвимость в обороне закрывают. При этом, как правило, невозможно заткнуть «дыру», которую еще не обнаружили. Образуется цикл. В итоге система становится более защищенной. Диалектика. И одновременно объективная реальность
Дополнительные материалы:
Как обеспечить эффективную защищенность информресурсов? Дмитрий Огородников, директор центра компетенций по информационной безопасности компании «Техносерв»: — В обеспечении реальной безопасности конкретные решения по защите информации и программно-аппаратные комплексы должны играть последнюю роль. В первую очередь нужно выстраивать организационные процессы управления ИБ и вовлекать в данные процессы весь персонал предприятия. Только в этом случае можно быть уверенным в надежной защите ресурсов. Андрей Заикин, руководитель направления информационной безопасности компании «Крок»: — Набор ИБ-средств зависит от предоставляемых компанией услуг, уровня зрелости уже выстроенной системы информационной безопасности и бизнес-процессов в целом. Главное — учитывать стандарты в конкретной отрасли и предварительно оценивать существующие риски. По нашей практике, сейчас наибольшей популярностью пользуются средства защиты от вредоносного кода, кибератак, системы предотвращения DDoS-атак, утечек информации (DLP). Для банковской отрасли крайне актуальны антифрод-системы. Рустэм Хайретдинов, заместитель гендиректора InfoWatch: — Реальной безопасности добиться довольно просто. Воспользуйтесь пошаговой инструкцией по защите гостайны: поставьте на каждый сертифицированный компьютер электронные замки, гальванически развяжите сегменты сети, ведите журналы действий пользователя. Правда, вы потеряете при этом удобство для пользователей и гибкость для клиентов. И стоит такая система раз в десять больше, чем традиционная. Хотите меньше цены и больше удобства — ищите компромиссы. Защищенная система — не та, из которой нельзя ничего украсть или которую нельзя вывести из строя, а та, на взлом которой атакующий тратит больше средств, чем получает выгоды или наносит ущерба. Алексей Сабанов, заместитель гендиректора «Аладдин Р.Д.»: — Рецепты уже давно сформированы и утверждены. Надо всерьез и систематически заниматься риск-менеджментом, строить на основе анализа рисков комплексную эшелонированную защиту, обеспечивающую непрерывность бизнес-процессов, иметь развитую конкурентную разведку. Таков стандартный рецепт. Алексей Дрозд, директор учебного центра SearchInform: — Пошаговая инструкция могла бы выглядеть так: 1. Захотеть; 2. Узнать, как нужно делать; 3. Сделать. ИБ — довольно рутинная область, здесь не нужно каких-то нетривиальных подходов или исследований, чтобы достигнуть успеха. Наоборот, лучшие практики — самые проверенные. Поэтому начать нужно с фундамента, с организации отдела ИБ, пусть даже он поначалу будет состоять из одного сотрудника. Дальше нужно понять, какие угрозы актуальны для организации, разработать план по их нейтрализации, реализовывать этот план. У нас же в большинстве компаний работает поговорка про лежачий камень. Именно поэтому с ИБ все так плохо. |
Оцифровать риск Финансирование ИБ-проектов по остаточному принципу приводит к устареванию внедряемых решений еще до момента запуска, считают начальник отдела консалтинга и аудита головного офиса ARinteg Роман Семенов и руководитель направления продаж ARinteg в УрФО Сергей Добронравов — Об информбезопасности бизнеса постоянно говорят уже больше десяти лет. Однако для многих компаний она так и не стала приоритетом. Роман Семенов: Большинство отечественных компаний до сих пор воспринимают информбезопасность если не как сдерживающий фактор развития, то как подразделение, не приносящее прибыли. На первый взгляд, они правы: затраты на адекватную систему защиты могут составлять миллионы рублей, а фидбэк от ее внедрения не очевиден. Руководители ИБ-отделов так и не научились говорить на одном языке с главами бизнес-подразделений, «переводить» риски инцидентов в цифры и суммы. Ситуацию усугубил кризис: бюджеты, которые ранее выделялись на формирование ИБ, сокращены до необходимого минимума. Сергей Добронравов: Подход к финансированию ИБ-проектов по остаточному принципу, к сожалению, является нормой финпланирования во многих организациях. Это приводит к затягиванию реализации проектов. В результате к моменту перевода системы в промышленную эксплуатацию технологии теряют уникальность. — Киберпреступники порой оказываются на несколько шагов впереди ИБ-вендоров. Могут ли последние играть на опережение? С.Д.: ИБ-производители, конечно, не имеют в своем штате «предсказателей». Но если обратиться, например, к отчетам Gartner, то мы увидим группу компаний, именуемую visionaries. Эти вендоры движутся по пути предугадывания потребностей рынка. Одновременно надо понимать, что визионерство требует больших человеческих затрат при незначительном результате, что непременно сказывается на стоимости продуктов и услуг. Следование постфактум создает лаг между потребностями (во многом обусловленными угрозами) и решениями, но при этом позволяет снизить затраты на исследования и разработку. — Многие эксперты отмечают: внешние угрозы трансформируются (подробнее см. «Дуализм киберзлодейства»). На ваш взгляд, в каком направлении? Р.С.: Происходит некое сращивание внешних и внутренних угроз. Раньше наибольшая опасность исходила от интернета. Сегодня одной из основных головных болей безопасников являются таргетированные целевые атаки (Advanced Persistent Threats), для проведения которых злоумышленники используют абсолютно все приемы: от DDoS до социальной инженерии. Получается, что компании нельзя доверять даже собственным сотрудникам, поскольку их необдуманные действия могут открыть преступникам «дверь» в защищенный периметр. Это внутренняя или внешняя угроза? — По вашему мнению, госполитика в сфере ИБ — это помощь или бремя для компаний? Есть ли в ней смысл? Р.С.: В последнее время ситуация с законотворчеством в области информбезопасности стала значительно лучше. Несколько лет назад документы от разных регуляторов могли противоречить друг другу. К настоящему моменту появились грамотные нормативные акты, пришедшие на помощь ИБ-специалистам. С.Д.: Как показывает западный опыт, утечки конфиденциальных данных и взломы ИТ-систем не исчезли после введения жестких мер регулирования. Секрет успешной защиты кроется не в регламентах и мерах воздействия, а, в первую очередь, в культуре обращения с информацией и компьютерной грамотности. — Многие заказчики спрашивают: как обеспечить реальную безопасность? Есть ли рецепт, пошаговая инструкция? Р.С.: Идеального рецепта приготовления «реальной безопасности» не существует. Как и не существует идеальной ИБ-системы. Любую защиту можно обойти, взломать, изменить. Универсальной, пошаговой инструкции нет. Все очень индивидуально, вариантов масса. Оптимальный путь — посмотреть на организацию и ее информпотоки со стороны. Привлечение внешних аудиторов и консультантов позволяет применить лучшие ИБ-практики и обеспечить должный уровень безопасности. |