ИБ в боевых условиях: причины успехов и неудач
Редакция нашего журнала совместно с клубом «ИТ-диалог» организовала и провела круглый стол «Превентивная безопасность», в котором приняли участие как разработчики, так и заказчики средств ИБ. Они обсудили ряд наболевших и актуальных тем. Модератором дискуссии выступил известный эксперт Олег Седов.
Проигрываем ли мы в кибервойне?
Ни для кого не секрет, что по другую сторону баррикад находятся не хакеры-одиночки и даже не группировки злоумышленников, действующих исключительно ради «искусства» либо удовлетворения собственных амбиций. Нам противостоят мощные силы из недружественных стран, нередко напрямую поддерживаемые правительствами этих государств. Поэтому можно смело говорить, о том, что Россия ведет настоящую кибервойну. Проигрываем ли мы в ней?
Модератор Олег Седов задал уточняющий вопрос о том, не означает ли рост суммы выкупа за расшифровку данных, что война проиграна. На это Михаил Бачинский ответил, что кибервойна не может быть проиграна, так как основная цель атакующих — получение денег. Он также напомнил, что фиксируется спад в средних выплатах и рост в мелких и крупных, что свидетельствует о перераспределении атак – началась охота «на крупную дичь». Михаил также пояснил, что средний чек за выкуп растет, так как «сервис» по шифрованию поставлен на промышленный поток, и в Даркнете можно приобрести инструменты для проведения таких атак. Он подчеркнул, что время нахождения атакующих в сети компаний увеличилось, и теперь составляет в среднем два с половиной-три месяца. Это позволяет хакерам тщательно изучать сеть и наносить более точные удары, а не просто разрушать все на своем пути.
Заказчики в целом согласны с вендорами по вопросу о проигрыше в кибервойне. Однако, проигрыш в войне подразумевает капитуляцию или полное уничтожение противника. Но киберландшафт и политическая ситуация в мире говорят о том, что на нашем полигоне сейчас любая страна может экспериментировать любыми кибервоздействиями и это приводит к существенным потерям. Кроме того многие годы культивировалась так называемая «бумажная безопасность». В прошлом компании тратили немалые деньги на сотрудников, которые занимались бумажной работой, не требующей особых усилий от всего коллектива. Сейчас же нужны технические специалисты, которые стоят дорого, и чья стоимость на рынке растет с каждой минутой. И руководству бизнеса зачастую тяжело понять необходимость таких изменений.
Резюмировал дискуссию Дмитрий Овчинников, руководитель лаборатории стратегического развития продуктов кибербезопасности аналитического центра кибербезопасности «Газинформсервис». Он напомнил, что с 2020 года активно началась цифровизация во многих сферах. Некоторые компании уже имели опыт в этой области, а другие только начали переходить на цифровые технологии. Это привело к увеличению числа ИТ-сервисов. Соответственно, с ростом числа сервисов увеличивается и количество кибератак и угроз. Это естественный процесс: чем больше сервисов, тем больше потенциальных уязвимостей, что ведет к росту киберугроз как в нашей стране, так и в мире. Эксперт подчеркнул, что киберпреступность значительно выросла. Если раньше такие хакеры, как Кевин Митник, взламывали системы ради интереса и самоутверждения, то сейчас киберпреступность перешла на коммерческие рельсы. Современные киберпреступники требуют выкуп и зарабатывают на этом деньги, что свидетельствует о взрослении и развитии ИТ-отрасли.
Хватает ли денег?
Финансирование – основа для любой деятельности. Чтобы ИБ работала на деле, а не на бумаге, необходимы средства на современные защитные решения и профессиональных специалистов, которые смогут эти продукты обслуживать, отражая с их помощью атаки и другие инциденты. Получает ли сегодня ИБ финансирование в достаточном объеме?
Максим Степченков сравнил финансирование ИБ с уплатой налогов. Это обязательная процедура для каждого, но за эти налоги мы получаем те или иные блага. В государственных компаниях значительные изменения часто происходят после принятия стратегии по цифровизации. Даже выделение 10% от ИТ-бюджета на информационную безопасность позволяет гибко реагировать на существующие угрозы. И хотя такой бюджет нельзя назвать чрезмерным, его также нельзя назвать скромным - он достаточен, хотя иногда приходится «затягивать пояса». Добавим, что например в Санкт-Петербурге расходы на информационную безопасность значительно увеличились.
Александр Луганский выразил уверенность в том, что обучение сотрудников безопасному поведению должно стать привычкой, развиваемой не только на работе, но и в личной жизни. Это может быть достигнуто через регулярные тренинги, а не только за счет покупки дорогих решений. Спикер также указал на инфляцию и рост стоимости продуктов и услуг в сфере кибербезопасности. Он упомянул, что зарплаты специалистов выросли, и найти квалифицированных сотрудников за меньшую сумму становится нереально. Это отражает глобальные тенденции на рынке труда и в экономике. Наконец, он подчеркнул, что безопасность должна рассматриваться как постепенный процесс, начинающийся с базового уровня и развивающийся вместе с ростом осведомленности и культуры безопасности в компании.
Анализ неудач
Олег Седов предложил участникам круглого стола обсудить очень чувствительный и деликатный, но при этом крайне важный вопрос — какие ошибки допускаются компаниями, что позволяет злоумышленникам добиваться успеха, атакуя их?
Павел Кузнецов обозначил несколько важных аспектов на основе реального опыта. Он сказал, что причинами неудач являются следующие ситуации. Во-первых, это формальное выполнение нормативных требований, которое часто ограничивается поверхностными действиями, как "купили SIEM, поставили его в углу". На бумаге соответствует требованиям, но не обеспечивает реальной защиты. Во-вторых, это частое нарушение политик безопасности привилегированными пользователями, включая сотрудников службы ИБ. Например, когда сотрудник запускает подозрительное вложение на рабочем компьютере, несмотря на предупреждения. Третья типичная причина заключается в том, что некоторые уязвимые сервисы остаются в компании из-за сопротивления влиятельных сотрудников, которые привыкли ими пользоваться. Служба информационной безопасности сталкивается с трудностями при попытках устранить такие уязвимости.
Максим Степченков подчеркнул важность мотивации сотрудников в предотвращении инцидентов ИБ. Эксперт выделил два пути, которые обычно следуют после инцидента: наказание или отсутствие наказания. Однако, по его мнению, сотрудники должны получать мотивацию за предотвращение инцидентов. Он также указал на проблему коммуникации между службой информационной безопасности и руководством компаний. Часто служба не может донести до руководства необходимость мер по предотвращению инцидентов и их пользу для бизнеса.
Иван Земцов, директор по ИБ Красноярской краевой больницы, приходит к выводу, что при наличии злоумышленника внутри инфраструктуры невозможно полностью предотвратить проникновение, даже если оно займет больше времени. Он подчеркивает, что научно доказанных методов в информационной безопасности всего два: мандатная модель разграничения доступа и шифрование. Только их использование может гарантировать надежную защиту информации, тогда как другие методы не могут быть обоснованы с научной точки зрения.
«Лишние» меры
Кирилл Куликов указал на другую проблему — нехватку экспертизы на рынке. По его словам, компании часто предлагают стандартные решения, такие как DLP и SIEM, но не готовы инвестировать время и силы в разработку индивидуальных решений для конкретных предприятий. "Мне иногда нужно конкретно для меня провести какую-то экспертизу," — сказал Кирилл Куликов, добавив, что каждая компания имеет свои уникальные потребности.
Продолжение следует
Дискуссия на Круглом столе оказалась живой и неформальной. У вендоров и заказчиков появился новый опыт, новые компетенции. Многие осуществили переход с зарубежных ИБ-решений на отечественные продукты. Руководство бизнеса начало осознавать важность безопасности не для «галочки», а для реальной защиты и противостояния угрозам. Бюджеты растут, но остаются вопросы, связанные с их максимально эффективным использованием. Вопросов еще очень много, поэтому обсуждение острых вопросов и проблем информационной безопасности на страницах нашего журнала обязательно будет продолжено.
Опубликовано 01.07.2024