SWIT-2017: рифы и впадины цифровой безопасности
Символично, что именно 10 ноября, в День работников охраны правопорядка в «Точке кипения» состоялась конференция Secure IT World, посвященная охране информации. Ее совместно организовали и провели клуб ИТ-директоров Санкт-Петербурга и журнал IT Manager. Представители государственных структур, ФСТЭК, Роскомнадзора, производители ПО и «железа», ведущие ИБ-эксперты и ИБ-директора предприятий собрались вместе, чтобы поделиться опытом, знаниями и новостями рынка. Открывая пленарное заседание, приглашенный модератор Олег Седов, главный редактор BIS Expert, весьма образно выразил суть предстоящей конференции: «Можно стать жертвой, не будучи целью. Просто стоять рядом и тебя зацепит снарядом». Как не попасть под обстрел? Как обезопасить данные в цифровом мире? Как построить эффективные бастионы для защиты бизнеса? Эти и другие темы обсудили на секциях и в кулуарах мероприятия, лейтмотивом которого стала цифровая экономика.
Безопасность госорганов
Глава Петроградского района Санкт-Петербурга Иван Громов подчеркнул, что средства защиты информации должны быть неотъемлемой частью любой информационной системы, любых технологических программных решений. Он рассказал о классических и инновационных методах защиты инфраструктуры, каналов связи, ЦОДов, о реагировании на инциденты в рамках АПК «Безопасный город», о регламентах и политиках ИБ в госсекторе, о противодействии хакерским атакам с помощью анализа информационных потоков.
Ни одно серьезное мероприятие по информационной безопасности не обходится без выступлений регуляторов. И SWIT не стал исключением. Начальник отдела Управления ФСТЭК России по Северо-Западному федеральному округу Юрий Насурлаев рассказал об основных положениях принятого Государственной думой РФ в июле этого года Федерального закона № 187 ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». В задачи ФСТЭК входит нормативное регулирование, целью которого является создание на объекте КИИ системы безопасности, соответствующей категории объекта. В настоящее время регуляторы ФСТЭК и ФСБ разрабатывают документы, где пересмотрен порядок работы в этой области.
Комитет по информатизации и связи осуществляет координацию деятельности в области защиты информации всех государственных органов власти Санкт-Петербурга. По словам Андрея Лихолетова, начальника отдела информационно-компьютерной безопасности Комитета, регуляторы являются не только «карающим мечом», но и неоценимым помощником для ИОГВ, в том числе, в части формирования методики защиты информации. «Специфика нашей деятельности заключается в том, что мы достаточно жестко и требовательно относимся к государственным информационным системам, с которыми приходится работать. Всего их в соответствии с реестром насчитывается в городе 89. Можете представить себе объем работы. Мы анализируем уязвимости, проводим контроль защищенности информационных систем, организуем защищенный доступ к ресурсам,— отметил Андрей Лихолетов,— Можно констатировать, что информационные системы становятся все сложнее, возможные нарушения безопасности информации все чувствительнее, атаки — все изощреннее, поэтому уровень квалификации безопасников должен постоянно повышаться».
Все смешалось в цифровом мире
Об основных вызовах современности рассказали собравшимся известные ИБ-гуру. «Когда вы заходите в личный кабинет на сайте госууслуг, банка или телекомоператора, то оказываетесь в той же системе, что и работники банка, операторы и другие сотрудники, только с ограниченными правами. Если вам удастся получить привилегированный доступ к этой системе, вы сможете делать то же, что и внутренние специалисты. Если раньше информация шла из офлайна в онлайн, то сейчас все наоборот. И теперь не проходит и дня без атак, взломов, потерь. ИТ убежали вперед, потому что это действительно удобно. А в процессе автоматизации разработчики немножко забыли про информационную безопасность», — подчеркнул Рустем Хайретдинов, вице-президент компании «Инфовотч».
По его словам, до сих пор в профессиональной среде продолжаются разговоры о защите периметра, а самого периметра уже давно нет. Он проходит внутри каждого приложения на нашем смартфоне или компьютере. В одной и той же системе работают компании-поставщики и заказчики, опытные сотрудники и стажеры, свои специалисты и внешние интеграторы. Угрозы перестали быть внутренними и внешними. «Любая успешная внешняя атака — это недоработка внутренних пользователей, — подчеркнул Рустэм Хайретдинов. — Смешиваются информационные и кибервойны, работает социальная инженерия». Не обошел эксперт вниманием и проблемы модной методологии Agile. По мнению спикера, основная головная боль для безопасников в том, что в силу специфики Agile ничего не документируется. Кроме того, зачастую мотивация разработчиков и безопасников диаметрально противоположна.
Тему угроз и вызовов продолжил Алексей Лукацкий, популярный ИБ-эксперт, блогер, бизнес-консультант по безопасности Cisco.
Как считает Алексей Лукацкий, у информационной безопасности очень много внешних драйверов, заставляющих меняться этот рынок. Среди них — законодательство, угрозы, новые информационные технологии и форматы бизнеса. Ежедневно выявляется 20 миллиардов угроз, в шесть раз больше, чем запросов в «Гугл». Цифра свидетельствует о том, что реализация угроз перестала быть уделом избранных и стала доступна каждому, кто хочет нанести вред окружающим. Бизнес-консультант уверен, что с точки зрения безопасности наступающий «Интернет вещей» очень уязвим: «Многие разработчики ставят безопасность на последнее место. Отсюда — взломы автомобилей и видеокамер, принтеров и других устройств, имеющих выход в Интернет».
Одной из опасностей для государственных органов эксперт считает то, что при выборе продукта приоритет отдается не качеству, а его дешевизне. Так, криминальные структуры могут дать заниженную цену на тендере, чтобы поставить в госструктуру оборудование с установленными закладками для получения неограниченного доступа к внутренней инфраструктуре.
В своем выступлении Алексей Лукацкий подчеркнул, что положительную роль в противодействии угрозам может сыграть уже упомянутый 187 ФЗ, регламентирующий работу критически важных объектов и их информационных систем.
Управляя рисками
Как обеспечить безопасность компании в соответствии с требованиями регуляторов? «Мы хотим не просто закрывать пробоины в корабле, а управлять этим кораблем», — сказал Илья Борисов, менеджер по ИБ компании «Тиссенкрупп Индастриал Солюшнс Рус». Что делать компаниям, стремящимся не просто соблюдать нормативы, но и оставаться эффективными на рынке, при этом не покупая трижды один и тот же набор средств защиты? Илья Борисов предлагает приоритезировать требования, определив, какие из них являются первоочередными. Это помогут сделать приказы ФСТЭК, закон о персональных данных, регламенты по защите критически важных инфраструктур или другие документы, применимые к конкретной организации.
Одной из серьезных угроз для организации становится фрод. Андрей Тархов, директор департамента защиты информационных систем компании RedSys, назвал его «оцифрованным мошенничеством». По его словам, государственная парадигма цифровой экономики предполагает оцифровку сервисов: взаимодействие госструктур между собой и с коммерческими организациями, госструктур и граждан, а также многие другие коммуникации. Всеобщая цифровизация предоставляет больше возможностей для фрода. Необходимо сконцентрировать усилия на выявлении и предотвращении «оцифрованного мошенничества» на всех уровнях. Вместе с тем и антифрод получает новые перспективы в цифровом поле с точки зрения агрегации данных, возможностей кросс-проверок и формирования принципиально новых методов борьбы с использованием больших данных. «Big Data становится средством для создания новых инструментов для борьбы с мошенничеством. Это выявление новых аномалий, паттернов и подобных вещей», — считает Андрей Тархов.
Безопасности 4:0 было посвящено выступление известного эксперта Дмитрия Мананникова. Основными проблемами в традиционных системах обеспечения безопасности Дмитрий считает увеличивающийся разрыв применяемых технологий для нового бизнеса и технологий защиты, изменение вектора атак, растущие репутационные риски, прямо сказывающиеся на стоимости продукта, и фокусировку исключительно на инцидентах в рамках конкретной защищаемой системы.
«Знаете ли вы, что клиенты Сбербанка совершают более 10 000 000 операций в сутки — а это свыше 100 транзакций в секунду — в удаленных каналах обслуживания?» — обратился к собравшимся Ярослав Деранков, главный инженер Sberbank Cyber Security Team. Вполне очевидно, что одной из важнейших задач является круглосуточное обеспечение доступности внешних ресурсов Сбербанка, в рамках которой процесс защиты от DDoS-атак имеет важнейшее значение. К теме противодействия DDOS-атакам обратился и представитель «Лаборатории Касперского».
В то время как одни участники мероприятия говорили об инструментах управления ИБ, на параллельной секции обсуждали инфраструктурные вопросы. Так, Сергей Овчинников, директор по маркетингу центра защиты информации компании «Конфидент», поднял тему защиты государственных информационных систем в условиях импортозамещения. На сегодня здесь существует немало проблем. В частности, по словам спикера, аттестация ИС по требованиям защиты информации при использовании отечественных операционных систем во многих случаях не представляется возможной. Он также привел статистику по уязвимостям. «Встроенных в ОС сертифицированных защитных механизмов еще не достаточно для обеспечения защиты информации. Требуется время, чтобы на рынке сертифицированных СЗИ появились соответствующие решения», — пояснил Сергей Овчинников.
Строить систему кибербезопасности на базе сервисов предложил Владимир Сабылин из компании «Ростелеком», отметив следующие преимущества: заказчик выбирает не программно-аппаратные комплексы, а необходимый функционал сервиса, платит только за нужный уровень сервиса, функционирование которого не зависит от наличия у клиента персонала с высокой компетенцией. Кроме того, сервисную модель отличает высокий уровень устойчивости к киберугрозам, быстрый старт и масштабируемость.
Цифра — не главное
Сегодня в мире существуют три основных вектора развития экономики будущего: американский (digital economy), китайский (интернет-экономика) и российский (цифровая экономика). Наша программа строится по пяти направлениям: нормативное регулирование, образование и кадры, формирование исследовательских компетенций и технических заделов, ИТ-инфраструктура и кибербезопасность. «Что такое цифровая экономика? Какие задачи перед ней стоят? Какую роль должна играть в ней информационная безопасность?», - эти вопросы задал участникам панельной дискуссии модератор Андрей Лихолетов.
«Если автоматизировать хаос, то мы получим автоматизированный хаос, если оцифровывать слабую экономику, то мы получим слабую цифровую экономику. Цифра ее не спасет», — уверен Рустэм Хайретдинов. Соответственно, нужны масштабные изменения. Скажем, при автоматизации госуслуг, пришлось очень многое в них менять.
«Цифра в современной экономике — не главное,— считает Тимур Аитов, заместитель генерального директора Группы компаний «Программный продукт», — главное — это быстрота, скорость реакции. Быстро подхватить идею, обеспечить нужные коммуникации цифра может помочь, но сама по себе не обеспечит эффективность бизнеса». Он привел в пример предприятия, которые потеряли деньги, просто автоматизируя устаревшие процессы.
«Я считаю, что цифровая экономика подразумевает, что, к примеру, при подаче налоговой декларации через сайт госуслуг не нужно идти к своему работодателю за справкой НДФЛ, сканировать ее и отправлять через личный кабинет,— говорит Андрей Тархов. — Цифровая экономика — это прозрачность и простота».
Тему защиты персональных данных в прозрачном мире цифры продолжил Эрнест Бирих, начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по СЗФО. Он считает, что законодательство в этой сфере должно постоянно совершенствоваться, а бизнес — относится с большим вниманием к сохранности данных. Эрнест Бирих привел в пример два решения суда по сбору информации с файлов cookie через браузер.
Необходимость цифрового ликбеза поддержали Владимир Колосов, начальник управления развития и эксплуатации систем защиты информации СПБ ГУП «Информационно-аналитический центр», и Дмитрий Едомский, директор ГАУ КО КГ НИЦ, Сергей Бородин, ИТ-директор СЗФ ОАО «Мегафон», и Ярослав Деранков, главный инженер дирекции сервисных центров ПАО «Сбербанк». «Нужно дать не просто образование в этой области, а настоящую образованность — вот важнейшая задача для государства, вузов и школ», — подчеркнул Владимир Колосов.
***
В завершение мероприятия состоялась деловая игра, во время которой участники команд должны были предложить свой вариант ответа на каверзные вопросы ведущего. Активных игроков ждали призы от партнеров конференции. По отзывам гостей, Secure IT World прошла ярко, насыщенно и запомнится им полезными кейсами, нескучными обсуждениями и дружеской атмосферой.
Опубликовано 11.12.2017