Искусство войны
Информационная безопасность бизнеса
Познать врага и самого себя — ключевой принцип построения любой системы информационной безопасности
В конце июня Совбез РФ подготовил и вынес на всеобщее обсуждение проект новой Доктрины информбезопасности (ИБ; прошлая, принятая в 2000 году, явно устарела). Особый интерес вызывают два раздела — угроз и направлений развития. По мнению авторов документа, первое, чего нам нужно опасаться, — усиливающейся тенденции к использованию возможностей трансграничного оборота информации для достижения геополитических и военно-политических целей в ущерб международной безопасности и стратегической стабильности, а также использования ИТ в террористических и криминальных целях. «Одним из основных негативных факторов, влияющим на состояние ИБ России, является наращивание ведущими зарубежными странами возможностей по воздействию на информационную инфраструктуру РФ (в том числе критическую) для достижения своих военных целей, — указано в тексте доктрины. — Одновременно с этим усиливается ведение технической разведки в отношении российских госорганов, научных организаций и предприятий ОПК».
А далее следует предостережение — спецслужбы отдельных государств расширяют масштабы использования информационно-психологического воздействия для дестабилизации внутриполитической и социальной ситуации в различных регионах мира. Это приводит к подрыву суверенитета и нарушению территориальной целостности государств. Авторы доктрины фиксируют «тенденцию увеличения объема материалов в зарубежных СМИ, содержащих необъективную и предвзятую оценку о внешней и внутренней политике России». Воздействие оказывается с целью «размывания культурных и духовных ценностей, подрыва нравственных устоев, исторических основ и патриотических традиций».
Второй блок угроз тесно связан с первым. Он протоколирует отставание РФ от ведущих зарубежных государств в развитии конкурентоспособных ИТ и, соответственно, высокий уровень зависимости отечественной экономики от зарубежных технологий. Благодаря доминированию иностранцы могут «реализовывать свои геополитические интересы».
Третий блок угроз (ему уделено куда меньше внимания, нежели геополитике) обусловлен увеличением масштабов компьютерной преступности, прежде всего в денежно-кредитной, валютной и банковской сферах, а также в области защиты персональных данных. «Методы, способы и средства совершения преступлений с использованием ИТ становятся все изощреннее, — указано в доктрине. — Нарастание угроз происходит на фоне практики внедрения ИТ без увязки с обеспечением безопасности».
Направления развития ИБ распределены по пяти крупным областям. Если отсечь общие слова про суверенитет, конституцию, равные права и мирные инициативы, получится следующее. В оборонном секторе определяющим является «стратегическое сдерживание и предотвращение военных конфликтов, которые могут возникнуть в результате агрессивного использования ИТ».
В области государственной и общественной безопасности планируется противодействие разведдеятельности, направленной на нанесение ущерба нацбезопасности, а также борьба с использованием ИТ для распространения идей экстремизма и ксенофобии. Кроме того, в числе мер — наращивание защищенности критической ИТ-инфраструктуры и данных, составляющих тайну; повышение безопасности функционирования образцов вооружения; недопущение иностранного контроля за системами взаимодействия органов власти, увеличение эффективности профилактики ИТ-преступлений. Последний пункт — нейтрализация воздействий, направленных на размывание традиционных российских духовно-нравственных ценностей.
В экономической сфере определяющей является минимизация зависимости от иностранных продуктов. Для этого необходимо «создать инновационные и вносящие существенный вклад в формирование ВВП страны отрасли информтехнологий и электронной промышленности». Другая мера — внедрение соответствующих мировому уровню отечественных ИТ и средств защиты информации. В секторе науки и образования, уверены авторы доктрины, главное — создание ИТ, устойчивых к различным видам воздействий; проведение НИОКР в сфере перспективных информтехнологий и ИБ-средств; повышение кадрового потенциала.
Наконец, в области стратегической стабильности и равноправного стратегического партнерства наиболее интересной (и, вероятно, спорной) мерой является «развитие национальной системы управления российским сегментом интернета при ведущей роли государств в этом процессе».
На наш взгляд, в тексте доктрины наблюдается явный перекос в пользу обеспечения «общественно-политической» безопасности. Складывается ощущение, что тлетворное воздействие разведок и СМИ других стран является ключевым вызовом России, а главная задача государства — фильтрация информационных потоков. Незаслуженно мало внимания уделяется экономическим и технологическим аспектам ИБ. И еще отчего-то хочется, чтобы в документе было хоть полслова сказано о делах внутренних — нечестной конкуренции и DDoS-атаках, промшпионаже, воровстве данных собственными сотрудниками. Ради реабилитации этих направлений мы решили организовать круглый стол, участниками которого стали представители силовых ведомств, телеком- и ИТ-компаний. Логические конструкты, касающиеся глобального и национального ИБ-рынка, мы выводили совсем недавно (см. «Кибертеррор на пороге»). В этот раз мы решили предоставить трибуну экспертам и не вмешиваться в их рассуждения.
Из-за денег и ради денег
— Какие тренды в области информбезопасности вы считаете ключевыми?
Евгений Полупанов, начальник отдела «К» ГУ МВД России по Свердловской области:
— О тенденциях в области ИБ мы преимущественно судим по заявлениям, поступающим в наш отдел. Сегодня одна из самых популярных тем — шифровальщики (программы, требующие выкуп за возвращение доступа к файлам, которые они сделали нечитаемыми. — Ред.). Число жалоб на них увеличивается лавинообразно. Преступники маскируют зловредов под совершенно безобидные файлы — резюме или коммерческие предложения. Открыв их, работник той или иной фирмы попадает в ловушку, выбраться из которой, не заплатив, практически невозможно. Единственный эффективный способ спасения от шифровальщиков — создание резервной копии критически важной информации.
Вместе с тем заметно растет количество преступлений, касающихся кражи средств с банковских счетов организации (одна из главных групп риска — пользователи android-смартфонов). Причем если раньше жертвами злоумышленников становились в основном малые предприятия, не уделяющие должного внимания информбезопасности, то теперь среди пострадавших все чаще фигурируют крупные компании с собственным штатом ИТ-специалистов.
К сожалению, киберпреступность сегодня развивается очень высокими темпами. Мы видим два равновеликих процесса — совершенствование мастерства хакеров и упрощение доступа к инструментам атак. Поймать злоумышленников удается крайне редко, поскольку интернет по-прежнему остается преимущественно анонимной средой. Поэтому наши основные усилия сегодня направлены не на расследование инцидентов, а на их профилактику. Мы пытаемся обрисовать руководителям компаний основные угрозы и возможные последствия их реализации. На мой взгляд, большинство предприятий Свердловской области недостаточно серьезно подходят к построению информзащиты. Некоторые до сих пор уверены, что технические средства (иногда — просто антивирусы) уберегут их от любых напастей, они даже не задумываются о разработке организационных мер, внедрении специфических политик, стандартов и регламентов.
Николай Домуховский, главный инженер департамента системной интеграции Уральского центра систем безопасности:
— Сегодня одним из главных фронтов, на котором разворачивается битва с киберпреступностью, остается кредитно-финансовый сектор. Здесь за последние два-три года произошло смещение интересов злоумышленников: теперь их жертвами становятся не только клиенты банков, но и серверы самих банков.
Другой очевидный тренд — защита АСУ ТП. Этот сегмент растет во многом благодаря «продаже страхов». Они резко усилились в 2010-м, когда вирус Stuxnet смог, пусть и на короткое время, нарушить работу центрифуг для обогащения уранового топлива в Иране. Объективно, статистика по атакам на АСУ ТП не такая уж пугающая. В мире функционируют десятки миллионов автоматизированных систем управления, при этом в год пока регистрируется несколько десятков инцидентов. Правда, каждая реализованная угроза в данной сфере грозит очень серьезными последствиями вплоть до физического разрушения инфраструктуры. Из-за реальных последствий успешную атаку на АСУ ТП скрыть практически невозможно. В результате предприятие несет и финансовые, и репутационные потери.
Следующий тренд — уход от жесткого регулирования ИБ-сферы со стороны государства. Это происходит на фоне негативной макроэкономической ситуации. У предприятий попросту нет средств на выполнение новых требований. В том числе и по этой причине «на полке» уже несколько лет лежит законопроект «О безопасности критической информационной инфраструктуры РФ». Его принятие обернулось бы для промышленных предприятий дополнительными затратами на реализацию обязательных требований со стороны госрегуляторов.
Сложная экономическая ситуация одновременно стала причиной снижения интереса заказчиков к новым решениям. Руководители компаний требуют не внедрения продвинутых продуктов, а реального закрытия уязвимостей и решения проблем. Урезанные ИТ-бюджеты перераспределились от капзатрат в сторону консалтинга. Многие предприятия пытаются научиться правильно использовать продукты, которые купили еще в «сытые» годы.
Несколько слов об импортозамещении, которое многие сегодня называют драйвером развития ИБ-рынка. Во-первых, мне не очень нравится сам термин. ИТ-отрасль глобальна. Цепочка производства решений в этой сфере делится на четыре основных звена — конструкторская разработка, физическая сборка, брендирование, распространение и продвижение. Мы можем взять иностранный софт, приклеить к нему свой ярлычок и продавать его как отечественное. По идее, мы локализуем в России сразу две стадии выпуска решения. Но будет ли это импортозамещением? Едва ли. А будет ли замещением сборка разработанного в нашей стране продукта на китайских или вьетнамских производственных линиях?
Во-вторых, я уверен, что замещение импорта в ИТ-секторе должно быть неотъемлемо связано с экспортным потенциалом продуктов. Они должны изначально ориентироваться на глобальный рынок. И здесь у нас есть две возможности — дальнейшее развитие уже известных в мире решений (например, от Kaspersky, ABBYY, Acronis, Positive Technologies, Infowatch) или покорение малоосвоенных ниш (пример — защита АСУ ТП).
Сергей Осадчиков, председатель совета по ИКТ Союза предприятий оборонных отраслей промышленности Свердловской области:
— До второй половины 2014 года оборонные предприятия постоянно закупали серверные системы и средства их защиты. Но сейчас они предпочитают жить на том, что есть.
Ольга Макарова, руководитель направления информационной безопасности компании Softline в УрФО:
— Если объединить исследования ведущих консалтинговых и ИБ-компаний и статистику Softline, получится, что главный тренд 2015 — 2016 годов — это таргетированные или целевые атаки. Главные жертвы — банки. В открытых источниках можно найти примерную оценку ущерба от одного инцидента: она варьируется от 60 до 600 млн рублей.
Для эффективной реализации целевых атак преступники объединяются в группы. Внутри них есть четкое разделение труда: одни пишут вредоносный код, другие отвечают за его распространение, третьи — за прибыльность всего предприятия. Они соотносят, например, стоимость информации, которую собираются украсть, с ценой организации атаки.
Ключевое отличие целевых атак от массовых заключается в том, что преступники тщательно изучают жертву, ее бизнес-процессы, подрядчиков, используемые средства защиты. Они четко знают, на кого нападают и что могут получить (по оценке Лаборатории Касперского, доля таргетированных атак сегодня составляет примерно 1%, но они приносят 80 — 90% ущерба. — Ред.).
Второй яркий тренд — взлом мобильных устройств. Если проанализировать данные Eset и Касперского, то видно, что Android является второй после веб-браузеров средой с самым большим числом уязвимостей.
Третий тренд — рост утечек, связанных с умышленными действиями работников предприятий. Причем аналитики PwC, проводившие аналогичные исследования в 2009 и 2014 годах, отмечают: семь лет назад доля людей, совершивших преступление под давлением извне, составляла примерно 50%, и только 9% сотрудников крала данные (например, базы данных клиентов) просто потому, что имела к ним доступ. В 2014-м все перевернулось с ног на голову: «добровольных» воров стало 67%. На мой взгляд, ключевую роль в резком изменении показателей сыграло сокращение доходов сотрудников из-за высокой инфляции. Потребность в деньгах толкала руководителей среднего уровня на противоправные действия.
Анна Гусева, ведущий менеджер по работе с корпоративными клиентами макрорегионального филиала «Урал» компании «Ростелеком»:
— Мне бы хотелось поговорить о DDoS-атаках, поскольку главная задача телеком-компании — обеспечение непрерывности услуг связи. Мы видим, что за последнее время их число многократно выросло. Наши инженеры последнее время фиксируют 15 — 30 инцидентов в день. Увеличивается и сила атак. Самое серьезное нападение 2015 года зафиксировано в Индии, оно длилось шесть минут, его мощность составила 334 Гбит в секунду. Максимум, что фиксировали в наших сетях, — 130 Гбит в течение нескольких секунд.
На мой взгляд, популярность DDoS-атак обусловлен двумя факторами. Первый — рост их доступности: услуга по перекрытию доступа к серверу небольшой компании сегодня стоит примерно 15 долларов. Второй фактор — безнаказанность: юридически значимые улики, подтверждающие факт преступления, собрать практически невозможно.
Кирилл Мякишев, руководитель по информационной безопасности уральского филиала компании «Мегафон»:
— Экономическая нестабильность заставляет компании (в первую очередь крупные) пересматривать свою структуру. Мы отмечаем тенденцию к переносу ИБ-компетенций в регионы с более низкой стоимостью труда и недвижимости. Понятно, что не все инженеры и менеджеры готовы сменить Москву, например, на Самару или Нижний Новгород. В то же время в Самаре и Нижнем Новгороде не всегда можно оперативно найти нужных специалистов. В итоге возникает «кадровый разрыв», результатом которого является некоторое ослабление защиты. Этим могут воспользоваться киберпреступники.
Экономическая и политическая нестабильность имеет и еще одно последствие — оптимизацию штата, которая в свою очередь ведет к росту числа инцидентов с участием бывших сотрудников, обладавших определенными амбициями и полномочиями.
— Пару лет назад большинство предприятий скептически относилось к переносу данных в публичные облака, которые казались очень небезопасной средой. Но в последнее время, судя по разнообразным опросам, мнение заказчиков о cloud computing изменилось. На региональном уровне рост доверия к облакам заметен?
Сергей Осадчиков:
— Оборонка никогда не пойдет на хранение и обработку информации в публичном облаке. Вынос данных за периметр предприятия для ОПК слишком рискован.
Николай Домуховский:
— Облака — палка о двух концах. С одной стороны, публичные облака подчас защищены надежнее, чем собственная инфраструктура предприятия. Уничтожение или блокировка информации на сервере специализированного оператора — не такая уж тривиальная задача. С другой стороны — использование облаков порождает ряд новых угроз или, точнее сказать, проблем. Классическая — разделение эксплуатационной ответственности. При реализации, например, модели предоставления инфраструктуры как сервиса (IaaS) в жизни предприятия появляется третье лицо — провайдер, от которого начинает зависеть устойчивость работы ИТ-инфраструктуры, а иногда и бизнеса в целом.
Крупные международные операторы не очень охотно берут на себя дополнительные обязательства. Например, Amazon (если не брать в расчет самые дорогие пакеты) не несет ответственности за корректность резервных копий. Это, конечно, значительно снижает привлекательность облаков.
Вместе с тем, замечу, что постепенно в России начинают появляться площадки, отвечающие требованиям ФСБ и ФСТЭК. И даже госорганы готовы размещать на них часть сервисов.
Анна Гусева:
— По нашей статистике, доверие корпоративных клиентов к облакам растет. Даже крупные структуры (например, банки) предпочитают часть процессов переносить на арендованные сервера. Я думаю, что причиной роста популярности облаков стало не только повышение их безопасности, но и резкий рост стоимости компьютерного оборудования.
Опасность вещей
— Бросим взгляд в будущее. На ваш взгляд, какие угрозы сегодня находятся в зачаточном состоянии, но обладают потенциалом превратиться в серьезную проблему в средне- и долгосрочной перспективе?
Николай Домуховский:
— Одна из таких угроз исходит от внедрения мобильных pos-терминалов (считыватель пластиковых карт, подключенный к сотовому телефону. — Ред.). Да, пока для уральских городов это экзотика. Но в ближайшем будущем подобная модель приема платежей, скорее всего, будет набирать популярность. При этом в мобильном телефоне нет ни защищенной операционной системы, ни защищенной среды исполнения, характерных для классических pos-терминалов. Должных ИБ-решений в этом секторе пока не разработано.
Сергей Осадчиков:
— Первый сектор, в котором таятся доселе неизведанные угрозы, — это боты (системы, основанные на определенных алгоритмах, они позволяют машине имитировать различные функции человека и автоматизировать тот или иной процесс. — Ред.). Первые ласточки — это чат-боты Яндекса в Telegram, чуть позже мы наверняка увидим полностью роботизированные call-центры. Вполне вероятно, что в скором времени на рутинных процессах люди будут полностью заменены искусственным интеллектом. И это очень обширное поле для киберпреступников.
Второй сектор — интернет вещей. В России эта концепция почти не освоена, но в мире первые проекты в данной области уже реализуются. Умные города, индустрия 4.0, промышленные сети — это одновременно и источник повышения эффективности, и источник масштабных угроз. Одно дело, если преступник захватит ваш холодильник или телевизор, а если он получит в распоряжение инфраструктуру целого мегаполиса или региона (показательный пример — блэкаут в Украине, произошедший в декабре 2015-го, когда 600 тыс. потребителей остались без электричества на 6 — 7 часов. — Ред.).
Третий сектор, тесно связанный со вторым, — взлом современных полностью компьютеризированных автомобилей. И четвертая сфера — атаки на вживляемые чипы или искусственные органы. Они также имеют интерфейсы, управление над которыми теоретически можно захватить.
Организационная техника
— Я понимаю, что бизнес нельзя воспринимать как некую однородную массу, и тем не менее, существуют ли общие рекомендации в области ИБ?
Евгений Полупанов:
— Надо четко понимать, что ни одно техническое решение не может полностью защитить компанию от утечки данных. Преступники идут на шаг впереди ИБ-разработчиков. На мой взгляд, главное, что нужно сделать компаниям, — составить некий свод правил, касающихся обеспечения безопасности. Сформировать регламенты и политики в этой области. Иногда сотрудники причиняют предприятию вред отнюдь не из злого умысла, а по незнанию или неосторожности.
Кроме того, я бы советовал компаниям и госорганам обратить внимание на открытую операционную систему Linux и продукты на ее ядре. В России есть как минимум два решения, сертифицированные ФСТЭК, — Astra Linux (обеспечивает степень защиты информации до уровня государственной тайны включительно, разрабатывается компанией РусБИТех для нужд оборонки и силовых ведомств. — Ред.) и семейство Alt Linux. Они менее уязвимы, нежели Windows. Правда, пока решения на базе Linux — достаточно закрытая тема. Но прогресс присутствует: я вижу, что все больше студентов защищают курсовые по данной тематике. Разработчики встречаются с настоящими и потенциальными пользователями, прислушиваются к их пожеланиям и вносят в софт определенные изменения.
Сергей Осадчиков:
— Многие оборонные предприятия предпочитают делить контуры на внутренний и внешний. В первом крутится критически важная информация, ее нельзя ни скачать, ни передать. К интернету этот периметр не подключен, возможности использовать флэшки нет. На мой взгляд, это достаточно эффективный способ защиты.
Другой момент — необходимо тщательно подходить к контролю и выбору контрагентов. Госорганы или оборонные предприятия могут быть вооружены до зубов, но вредоносное ПО может проникнуть в их сеть через провайдера телеком-услуг или дизайнерскую фирму, ежегодно готовящую календари. Жертвой можно стать, не являясь целью.
Еще один рецепт заключается в постепенном переходе на отечественное ПО. Я понимаю, что в некоторых сегментах этот процесс серьезно затруднен (это касается, например, PLM-систем, обеспечивающих управление жизненным циклом изделий), но угроза промшпионажа или саботажа посредством реализации скрытых возможностей софта, довольно высока. Я знаю ряд предприятий, которые сегодня опасаются обновлять решения, разработанные в США, ЕС или в Украине. И в этом нет ничего хорошего. Да, они защищают себя от иностранных разведок, но вместе с тем не могут закрыть обнаруженные вендорами уязвимости.
И последнее — мне кажется эффективным периодическое сканирование сети на предмет наличия вредоносного софта. Дело в том, что некоторые целевые вирусные кампании могут длиться годами, прежде чем нанесут удар. Тот же Stuxnet обнаружили в 2010-м, но по отдельным следам удалось выяснить, что активен он был еще в 2005-м.
Кирилл Мякишев:
— Я полностью поддерживаю тезис о необходимости повышения грамотности собственного персонала. Без этого любая эшелонированная оборона теряет смысл. По моему опыту, заражение компьютеров теми же шифровальщиками зачастую происходит не извне, а «благодаря» безответственному отношению сотрудников к ИБ. На мой взгляд, каждый работник той или иной компании должен знать основы ИБ: что подозрительные ссылки открывать нельзя, что пароль 12345 — плохой пароль, что выбрасывать в мусорную корзину листы с персональными данными клиентов опасно.
Ольга Макарова:
— На мой взгляд, организация ИБ должна начинаться с оценки рисков. И исходя из нее уже стоит выбирать наиболее эффективные средства защиты.
Многие компании (особенно средние и мелкие) сегодня исповедуют принцип «произошла утечка — закрываем дыру». Верный же подход, на мой взгляд, заключается в предупреждении и профилактике инцидентов.
Николай Домуховский:
— Назначение технической системы периметральной защиты аналогично назначению средств физической охраны. Они созданы с целью не остановить злоумышленника, а оповестить о нем компетентные органы.
В отношении угроз, как правило, имеет место три группы действий: превентивные (сводится к прогнозированию и предотвращению), детективные (их обнаружение) и реактивные (ликвидация последствий). Комплексная ИБ-система должна сочетать в себе все три компонента.