В единой среде
Сейчас все чаще говорят о цифровой экономике. И об особенностях защиты информации в «цифре». Какие, на ваш взгляд, основные угрозы ИБ подстерегают компании и как им противостоять?
Цифровая экономика — это очень обширное понятие. Перевод жизненно важных и критических для экономики вещей в «цифру» во многом уже произошел, но механизмы и концепция защиты еще не адаптировались. Даже на уровне терминов. Понятие «информационная безопасность», например, более широкое, оно включает не только защиту информации, но и защиту от потенциально вредной информации. Сюда следует отнести блокировки сайтов и предотвращение распространения разного рода контента, по тем или иным причинам нежелательного. «Кибербезопасность» же более технологический термин и означает защищенность от различных атак, будь то действия внутренних или внешних злоумышленников, вредоносного ПО, эксплуатации разнообразных уязвимостей. В итоге тема не размывается, как бывает, когда обсуждают информационную безопасность.
Разрыв между нападением и защитой существовал всегда и в дальнейшем будет увеличиваться. Угрозы возникают самые разные. По классам они делятся на внешние, в том числеи кибервойны на уровне межкорпоративного и межгосударственного противостояния, и внутренние, в том числе и неосознанные ошибки в технологиях и новых цифровых бизнес-процессах, возникающие в силу усложнения логики и усложнения или недостаточности процессов соответствия требованиям ИБ, ускоренной разработки и недостаточно тщательного тестирования.
Насколько опасен или безопасен блокчейн? Что мы приобретем, что потеряем?
Блокчейн представляет собой успешную попытку применить технологии криптографической защиты к отдельным бизнес-процессам. И вроде бы пока успешную. Да, бизнес-процессы движутся иначе, но с точки зрения поддержания безопасности, подходы принципиально не меняются. Вопрос возникает именно в разрезе надежности и стойкости самой технологии блокчейн. Как специалист, выросший на базе криптоанализа, я видел, как казавшиеся долго неприступными криптографические алгоритмы и протоколы вдруг рассыпались под напором новых гениальных методов взлома. Вот как оценить риски? Я не знаю сейчас и думаю, никто не знает, но план «В» для построения катастрофоустойчивой системы необходимо прорабатывать. Никто не знает, насколько хватит прочности алгоритмов. Не вполне обнадеживающие тенденции видны уже сейчас.
Все может измениться и с появлением принципиально новых технологий криптоанализа, например, основанных на квантовых вычислениях. В этом случае все придется кардинально перестраивать.
Технологии «Интернета вещей», насколько они уязвимы? Что опаснее: внедрять их сейчас, приняв риски, или не внедрять, но при этом сильно отстать?
Я оптимист и сторонник инноваций. Конечно, внедрять. Но каждое внедрение требует точной оценки рисков в конкретной ситуации. А дальше определяем, следует ли усложнять решение системами защиты и в какой степени.
Мы живем в мире, в котором вокруг нас много рисков и опасностей. И так было всегда. И альтернативы прогрессу, с учетом разумного принятия рисков, просто нет. Но есть специфические опасности, особенно если речь идет о системах, от которых зависит жизнь человека. Вспомним недавнюю историю с отзывом многих десятков тысяч кардиостимуляторов, в которых обнаружена серьезная уязвимость. Это очень наглядный пример того, как трудно устранять разного рода дефекты. И это еще не самый сложный случай, когда ошибка оказалась программной и ее можно устранить «малой кровью». Но проблема может быть и аппаратной или на уровне архитектуры решения, и тут все оказывается гораздо сложнее. Особенно если таких устройств окажется много и быстро избавиться от них невозможно. В итоге инфраструктура становится уязвимой. Все это, конечно, уже сейчас вызывает озабоченность. В эксплуатации находится огромная масса унаследованных устройств на базе устаревших версий ОС Android, которые уязвимы, но уже давно не обновляются и не поддерживаются. И вся эта огромная масса стала источником проблем. С распространением IoT уязвимых устройств будет намного больше.
Так что для высококритичных систем нужна очень большая осторожность. А для некоторых сегментов, например, многих видов медицинского оборудования, подключение к публичному Интернету и вовсе безответственно. Это просто ничем не оправданный риск.
В мире большой дефицит ИБ-специалистов. Насколько хуже ситуация у нас?
Мы в тренде. Но для того чтобы стать хорошим ИБ-специалистом, достаточно базовых навыков в ИТ, а также возможности и желания воспринимать новую информацию, причем регулярно. Нужно только заложить определенные умения и навыки, на что необходимо некоторое время. Так что в принципе любая компания может подготовить ИБ-специалистов «под себя». А вот искать обязательно готового, полностью «упакованного» дипломами и сертификатами специалиста я бы не советовал. У него будут завышенные ожидания по оплате и при этом навыки, которыми он обладает, могут оказаться не вполне адекватными тем, что требуются. Соответственно, все равно понадобится время на адаптацию и обучение имеющимся бизнес-процессам, корпоративной культуре и иной специфике компании.
Возвращение массовых эпидемий. Продолжится ли эта тенденция?
Конечно. Разве есть реальные предпосылки к ее остановке? При этом антивирусное ПО, межсетевые экраны, IDS/IPS вполне могут пропускать угрозы. Как и более всеобъемлющие системы, где к тому же очень многое зависит от правильных настроек. Я сам в свое время, лет 13 назад, понадеялся на системы защиты, и результат оказался закономерным: стал жертвой эпидемии очередного зловреда. Так что ослаблять внимание к соблюдению простых и очевидных правил «цифровой гигиены» недопустимо.
Но, с другой стороны, сейчас тенденция идет к таргетированным атакам. А нынешние массовые эпидемии, которые, к слову, не такие уж и массовые по сравнению с тем, что было в середине нулевых, могут являться лишь кратковременным рецидивом. Тем более что пострадавшие уж совсем явно пренебрегали «цифровой гигиеной». Это еще один пример того, что данные правила надо соблюдать, иначе есть риск, что подобные неприятности будут продолжаться. Конечно, стопроцентную гарантию не даст никто, как нет гарантии от заражения обычными болезнетворными бактериями и вирусами, но в этом случае гораздо выше вероятность, что последствия не будут катастрофическими.
Многое зависит и от ландшафта компании. Там, где есть работающая система управления правами доступа, процедуры обновления, сегментации, ограничения привилегированных учетных записей и т.п., ущерб при прочих равных условиях будет ниже. Даже при исчезновении традиционного сетевого периметра, когда практически нет разницы между рабочим местом и домом.
Какой нарушитель опаснее: внутренний или внешний? Зависит ли ситуация от отрасли?
Зависит и кардинально. Например, у компании, ведущей конкурентный бизнес в Интернете, внешних угроз больше. «Тихая гавань», где финансы или коммерческие секреты, которые «любят тишину» —больше внутренних. Возможно, в связке с внешним нарушителем, но скорее это будет штучный таргетированный продукт с высоким риском катастрофических последствий.
Активность государства в области ИБ. Она недостаточна, достаточна или избыточна?
По-моему, сбалансирована. Сейчас государство реагирует на новые угрозы и инциденты ИБ в самом широком спектре, выдвигает требования, а общество и рынок балансируют внедрение их в жизнь и правоприменение.
Чье регулирование эффективнее: государства или всяческого рода саморегулирующих организаций?
Государства, но понятно, что государство не в вакууме принимает решения.
И последний вопрос. Вы постоянный участник конгресса «Подмосковные вечера». Что вас привлекает в этом мероприятии? Какое настроение, интерес или пользу приносит посещение конгресса?
Прежде всего, это атмосфера и возможность пообщаться с коллегами, получить новые идеи, почувствовать, кто что делает, какие инициативы проходят проверку практикой. Для представителя ИБ крайне важно иметь представление о том, чем живут ИТ-директора, что их волнует, как они принимают решения. Ну и конгресс представляет дополнительную возможность донести необходимость того, что надо жить дружно и помогать друг другу, находясь в единой среде. В Мегаполисе управление ИБ находится в Дирекции ИТ, естественно мы очень плотно взаимодействуем, совместно участвуем в решении бизнес-задач, строим совместно Стратегию ИТ и встроенную в общий контекст стратегию ИБ. Особенно в эру цифровой экономики это важно для поддержания кибербезопасности в режиме бесшовного встраивания в цифровые сервисы. И я советую другим ИБ-специалистам регулярно посещать конгресс, чтобы, как говорится, сверять часы.
Опубликовано 06.10.2017