http://2035.media/2018/04/19/lukatskiy-interview/
Количество киберугроз растет с каждым днем и больше всего хакеры досаждают бизнесу. Почему несмотря на это малые, средние и даже крупные предприниматели стараются не замечать ущерба от киберпреступлений? Как воспитать в бизнесменах и не только разумное отношение к информационной безопасности? Стоит ли посвящать свою профессиональную карьеру борьбе с киберпреступностью? Ответы на эти и другие вопросы об информационной безопасности мы искали вместе с Алексеем Лукацким, бизнес-консультантом по безопасности Cisco Systems
На нашем сайте много публикаций, посвященных киберугрозам, хотелось бы поговорить о системах защиты от них. И начать с бизнеса. Кажется, что он точно должен заботиться о своей безопасности.
Бизнесмен будет тратить деньги на безопасность, только если он будет понимать – зачем она ему? Сегодня, к сожалению, бизнес этого часто не понимает.
Есть три универсальных драйвера развития безопасности: это страх угроз, регуляторное принуждение и бизнес-потребности.
С точки зрения угроз — далеко не все компании сталкиваются с ними всерьез, а если это происходит, то угрозы часто носят эпизодический характер, а значит далеко не все бизнесмены могут даже оценить полученные потери. К тому же одновременно существуют куда более опасные риски: банкротство, невыдача кредита, повышение кредитных ставок. Поэтому бизнес начинает заниматься безопасностью, только если происходит что-то очень серьёзное, соизмеримое с чем-то более привычным, например, с пожаром в офисе.
С регуляторикой вопрос тоже непростой, потому что с одной стороны — в России огромное количество нормативных требований, с другой стороны — жёсткость законов компенсируется необязательностью их исполнения, отсутствующей правоприменительной практикой и очень низкими штрафами. Если мы возьмем законодательство о персональных данных, то штрафы для финансовых организаций за несоблюдение мер защиты информации измеряются тысячами рублей, что несоизмеримо меньше стоимости системы защиты. Поэтому любой бизнесмен, когда на чаше весов несколько тысяч рублей штрафа, а на другой миллион рублей за программное обеспечение, он выбирает штраф. Это здравый смысл с точки зрения бизнеса.
И третий драйвер — когда безопасность нужна не для того, чтобы с чем-то бороться, а для того, чтобы улучшать бизнес-показатели. Например, географическая экспансия с помощью VPN-технологий, или ускорение сделки с помощью обеспечения бесперебойности процесса, или увеличение числа клиентов и их лояльности с благодаря бесперебойно работающему веб-сайту.
Проблема в том, что специальности, которые в России связаны с информационной безопасностью, а их больше пяти, описанных Федеральными государственными образовательными стандартами, прежде всего, ориентированы на технические моменты и на регуляторику. Студенты — безопасники, к сожалению, не изучают финансы, психологию, корпоративное управление. Поэтому те, кто отвечает за кибербезопасность, часто просто не могут донести до бизнеса понятным ему языком свою «нужность».
Так что сегодня в России основными драйверами внимания бизнеса к собственной кибербезопасности являются государственное регулирование, эпизодические угрозы и «страшилки», которые появляются в СМИ.
В группе риска: почему кибератаки скоро возглавят мировой рейтинг угроз
Руководитель Group IB Илья Сачков для РБК и 2035.media
Можно ли предположить, что крупный бизнес каким-то образом защищается, а малый и средний открыты для угроз?
Нет, у крупного бизнеса денег больше, поэтому для хакеров он интереснее. Кроме того, зачастую существует чувство ложной защищённости — ведь компании вкладывают немалые деньги в свою безопасность. Но так как делают они это несистемно, то существует огромное количество способов ее преодоления. Малый бизнес живет пока более-менее безмятежно, за редкими исключениями.
По статистике Cisco к 2020 году в мире будет не хватать около одного миллиона специалистов по безопасности. Как в этих условиях обеспечить информационную безопасность?
Сейчас как раз одна из модных тем — аутсорсинг информационной безопасности.
В России, по оценкам Минтруда, в год не хватает порядка 55 тысяч специалистов по безопасности. Все вузы, в лучшем случае, выпускают около 20 тысяч таких специалистов в год. Из них пойдет работать по этой специальности процентов десять.
Поэтому появляются компании, как западные, так и российские, которые предоставляют услуги по киберзащите бизнеса: мониторинг безопасности, реагирование и расследование инцидентов, контроль утечек информации, установка и настройка средств защиты, обучение персонала, повышение осведомленности персонала, проведение киберучений.
У некоторых компаний вообще нет своей службы информбезопасности, они всё отдают на аутсорсинг. И это направление будет только расти, потому что уровень информатизации и число угроз растет, а значит и потребность такого рода во внешних услугах будет также возрастать.
Как можно обеспечить качественное высшее образование для «безопасника»? Ведь действующие профессионалы не пойдут учить в вузы.
Хороший специалист по информбезопасности — всегда практик. Он, собственно, потому и хороший специалист, потому что постоянно практикуется и у него зачастую нет времени, чтобы учить студентов. Поэтому в вузах остаются академические работники, которые десятилетиями читают согласованные с регуляторами оторванные от жизни программы.
Общее мнение, сложившееся сегодня в индустрии, заключается в том, что выпускник по направлению «информационная безопасность» ни на что не способен. И как минимум первые полгода после приема на работу посвящаются его полному переучиванию.
Проблему могло бы решить частное обучение, либо самообучение, которое бы позволило людям получать дополнительное образование по теме, включая практические занятия. Но именно в России есть своя сложность. Онлайн-площадок нет, а немногие оффлайновые учебные центры ориентированы на работу с юрлицами.
Проблема еще и в том, что, к сожалению, для большинства организаций очень важен вопрос «корочки», поскольку требуются лицензии на деятельность в области защиты информации, либо от ФСТЭК, либо от ФСБ. И для того, чтобы получить лицензию, надо иметь человека с высшим образованием в соответствующей сфере, причем не одного, а как правило, двух-трех.
Сейчас идет курс на повышение требований к специалистам по информбезопасности. Например, Центральный банк устанавливает требование, что все финансовые организации при приеме на работу в службу информационной безопасности в обязательном порядке должны спрашивать диплом, подтверждающий профессиональное образование. Просто человек со стороны, который имеет колоссальный практический опыт, но не может его подтвердить бумажкой, не имеет шансов на такую должность. Это сильно ухудшает ситуацию на рынке труда.
Поэтому у руля информационной безопасности в России до сих пор стоят выходцы из спецслужб, которые учились в то время, когда еще не было проблемы с нехваткой специалистов, а сама тема была уделом только госорганов, специальных ведомств и военных структур. Их задачей была защита очень ограниченного объема информации, в основном гостайны, и противодействие иностранным техническим разведкам. Поэтому у них отличнейшее образование, но в своей области, которое, к сожалению, не очень хорошо транслируется на современные рельсы.
Кибербунт – это попытка самоорганизации общества
В условиях, когда государство использует возможности интернета эффективнее, чем граждане
Государство пытается способствовать развитию цифровой экономики. С какими угрозами мы можем столкнуться?
Экономическое предпринимательство — это деятельность на свой страх и риск, поэтому каждый предприниматель должен сам оценивать свои риски и сам предпринимать усилия по безопасности.
Единственное, чем здесь может помочь государство — это обеспечением культуры информационной безопасности. Например, в США существует специальная государственная программа повышения культуры информационной безопасности бизнеса, граждан, общества. В ее рамках реализуются различные мероприятия, по телевидению транслируют специальные ролики, проводятся ежегодный месячники информационной безопасности.
Недавно такая же инициатива была запущена в Евросоюзе. Также проводятся месячники, в рамках которых простым языком доносится важность информационной безопасности и даются простые советы по компьютерной гигиене: что делать, чтобы не потерять данные, информацию, чтобы не украли деньги с интернет-банков.
Инициатива проведения подобных мероприятий была и в России — в 2013 году разрабатывался документ, регламентирующий основы госполитики в области формирования культуры информационной безопасности. Но, к сожалению, по разным причинам он так и не был принят. Это всё-таки достаточно серьезные усилия, причём гораздо более серьёзные, чем разработка средств защиты, потому что надо знать, как донести информацию для разных целевых аудиторий, а это серьезные исследования, а значит — большие вложения. Сегодня мало кто готов инвестировать в этом направлении.
В новой концепции цифровой экономики прописаны определенные шаги, но они наткнутся на старые проблемы: нехватка кадров, низкое качество образования, низкое качество преподавательских кадров в вузах и соответственно нежелание проводить полноценные научно-исследовательские работы. К тому же программа рассчитана на три-четыре года и многие направления должны быть реализованы уже 2018-19 годах. За такое короткое время качественно реализовать их невозможно, тем более, что финансирование как таковой отсутствует — из запрошенных в рамках программы денег на 2018 год выделено всего около 10%.
Есть результаты опросов ВЦИОМа, которые свидетельствуют: среди населения есть как понимание эффективности цифровых решений в сфере предоставления услуг, так и значительное недоверие к сохранности информации о себе в государственных базах данных. Государство способно защитить свои данные?
Способно. Государство как раз в отношении своих данных это делает хорошо. Последние 5 лет оно неплохо движется в направлении разработки адекватных текущей ситуации требований защиты. Это делается ФСТЭК России — основным регулятором в сфере защиты государственных информационных систем.
Правда, есть проблемы, связанные с реализацией этих требований на местах. Зарплата в госорганах не очень высокая, поэтому сотрудники отдела защиты информации в госорганах, получив определенный опыт работы, быстро уходят на более высокие зарплаты в коммерческие предприятия.
Чтобы решить этот вопрос государство пошло по пути централизации всех госресурсов в рамках так называемого «гособлака». Эта инициатива запущена несколько лет назад и планомерно реализуется. Обеспечено подключение всех госорганов к специальному сегменту сети Интернет, который находится под контролем Федеральной службы охраны. Это так называемая, RSNet, которая обеспечивает единую политику с точки зрения защищенного подключения госорганов.
Также все государственные сайты, в том числе и хранящие информацию о гражданах, находятся на одном домене gov.ru, который контролируется Федеральной службой охраны. Есть централизация и системы межведомственного электронного документооборота (СМЭВ), взаимодействие с которой, позволяет по определённым единым требованием обмениваться в защищенном режиме информацией для оказания государственных и муниципальных услуг.
Такая масштабная централизация в целом снимает остроту в нехватке людей на местах. Хотя конечно до идеальной ситуации ещё далеко.
Самые известные группировки киберпреступников современности
Инструменты группы BlackEnergy позволяют удаленно управлять размыканием / замыканием энергосети. Фактически речь идет о кибероружии, которое позволит оставлять без света и воды целые города. Насколько защищена энергетическая инфраструктура России?
В России ситуация достаточно неплохая. И связана она с низким уровнем информатизации отрасли — у нас до сих пор многие системы управления аналоговые. Если мы возьмем США, которые давно перешли на интеллектуальные сети, то там ситуация гораздо хуже.
Учитывая общий курс на интеллектуализацию отечественной энергетики, со временем эта тема станет более острой, но, наверное, не критической – уже сейчас параллельно с цифровизацией энергетики регуляторы в лице Минэнерго и ФСТЭК вырабатывают требования по безопасности соответствующих систем управления технологическими процессами.
С первого января вступил в силу новый закон о безопасности критической информационной инфраструктуры, который помимо установления требований ещё и вводит уголовную ответственность для людей, которые не соблюдают требования по киберзащите. Это стимул для руководителей не только энергетических компаний, но и других отраслей заняться более активно своей безопасностью.
И все же, есть исследования, тесты, испытания, аудиты, которые показывают, что проникнуть в энергетические корпорации при желании можно. И поскольку атаки на энергетику стран интересны скорее государственным хакерам, то ресурсов решить задачу у них хватит.
Поэтому сегодня в отношении критических инфраструктур стал появляться такой термин, как «киберустойчивость». Эта идея принципиально отлична от информационной безопасности, которая подразумевает предотвращение каких-либо угроз или реагирование на них. Киберустойчивость – это выполнение поставленных задач в условиях непрерывных атак. Это совершенно другая архитектура, другая система. Это резервирование различных элементов, каналов, серверов, различных точек предоставление доступа, это иные требования к программированию систем. Это совершенно иная парадигма, которая сейчас реализуется во многих странах мира, в том числе она начинает приходить и к нам в Россию. Она уже точно есть у военных, а сейчас и финансовые структуры активно её реализуют.
С одной стороны, есть прогнозы, что к 2020 году к интернету будет подключено 20 млрд IoT-устройств. С другой – о том, что вирус-шифровальщик сможет зашифровать целые «умные города». Какова ситуация с общественной безопасностью?
Понятие общественной безопасности очень сложное, но если мы говорим именно про «интернет вещей», который как раз массово внедряется в различных сферах жизни, то он сейчас абсолютно не защищен.
Это связано с тем, что рынок растет семимильными шагами, поэтому многие производители решений «интернета вещей», будь то автомобили или кофеварки, ставят перед собой задачу занять максимальную долю рынка. Для этого надо как можно быстрее выбросить продукт на рынок. А значит надо быстрее его запрограммировать и потому провести меньше тестов и проверок. Как следствие, сегодня абсолютное большинство продуктов в «интернете вещей» подвержены очень легкому взлому. Потом грянет гром и бизнес начнет задумываться о доверии к своей продукции, исключительно потому, что в результате «неприятных инцидентов» он теряет долю рынка. Постепенно ситуация будет меняться и станет похожим на то, что сейчас происходит на уже более зрелом рынке операционных систем, сетевого оборудования, операторов связи. Они продвигают свои продукты уже предлагая не новые функции, а безопасность. Если посмотреть на рекламу Яндекса, свой браузер они продвигают не потому что он быстрый и функциональный, а потому, что безопасный.
Киберпотери российской экономики
Эксперты попытались подсчитать ущерб российской экономики от хакерских атак
Можно ли сделать прогноз на ближайшее будущее о тенденциях в области безопасности?
Это вещь такая неблагодарная, потому что меняется все очень быстро. Но некоторые тенденции можно предположить.
Во-первых, будут активно развиваться угрозы для «интернета вещей» и, как следствие, начнут появляться решения по их защите. Они будут запаздывать, хотя бы потому на рынке уже действует огромное количество игроков и уже придуманы сотни стандартов для интернета вещей, а значит пристегнуть ремни безопасности будет очень непросто.
Во-вторых, это внедрение технологии искусственного интеллекта как в отрасли кибербезопасности, так и по другую сторону баррикад. Инструменты автоматизации многих рутинных вещей: принятия решений, составления портретов, профилей и автоматизации будут применяться и для обнаружения несанкционированных действий, а также для их реализации.
Уже сейчас есть примеры, когда синтезируется голос человека с помощью специальных алгоритмов нейросетей, когда синтезируется фотография человека, и это угроза системе биометрической идентификации. Особенно в условиях, когда в России принято законодательство об удалённой биометрической идентификации для оказания финансовых услуг. Поэтому можно предвидеть, что число атак на биометрию увеличится и в этом активно будет применяться различные технологии искусственного интеллекта.
В-третьих, это кибервойны. В этом направлении активно будут вестись разработки разными государствами. Считается, что сегодня около 120 стран в мире имеют различные подразделения, которые занимаются кибервооружениями. Эту цифру сейчас никто не может ни подтвердить, ни опровергнуть, но то, что в разных странах ведутся работы по созданию боевых вирусов, тестированию на проникновение в различные критические инфраструктуры и пр. — это действительно так. Это направление будет только развиваться.
В-четвертых, еще одно направление — это облака. Учитывая, что специалистов будет не хватать всё больше и больше, а информатизация будет расти семимильными шагами, то возникнет задача, связанная с аутсорсингом. Соответственно будут либо появляться специализированные компании, которые предоставляют услуги, либо это будет реализовываться в виде облачных сервисов, в том числе и по безопасности.
Еще один тренд, который обязательно надо упомянуть — это коммерциализация киберпреступности. Разработка вирусов, их распространение, кража информации, создание неотслеживаемых серверов будет предоставляться как сервис. В т.ч., это приведет к резкому снижению порога входа в киберпреступную деятельность. Если раньше для этого надо было обладать высокими знаниями и квалификацией, то сегодня достаточно желания нарушать Уголовный кодекс. Человеку, который захочет на этом зарабатывать, предоставят весь необходимый инструментарий. Так что число хакеров будет расти год от года.
Можно ли с этим справиться?
В одиночку с проблемой кибербезопасности не справиться. Роль государства должна заключаться в координации усилий многих игроков, но пока это получается не очень хорошо. Государство реализует свои интересы, бизнес — свои, отличающиеся от государственных, а у общества третий пул интересов. Этот конфликт приводит к тому, что пока мы уступаем киберпреступности, которая не скована никакими правилами, ограничениями, требованиями по лицензированию и так далее.
Алексей Лукацкий
Родился в 1973 году в Москве. В 1996 году окончил Московский институт радиотехники, электроники и автоматики (МИРЭА) по специальности «Прикладная математика» (специализация – «Защита информации»).
Работал специалистом по защите информации в различных государственных и коммерческих организациях. Прошел путь от программиста средств шифрования и администратора до аналитика и менеджера по развитию бизнеса в области информационной безопасности. В настоящий момент работает в компании Cisco.
Опубликовал свыше 600 печатных работ в различных изданиях: «CIO», «Директор информационной службы», «Национальный банковский журнал», «ПРАЙМ-ТАСС», «Information Security», «Cnews», «Банковские технологии», «Аналитический банковский журнал», «Business Online», «Мир связи. Connect», «Итоги», «Rational Enterprise Management», «Слияния и поглощения».