По мере того как окружающий нас мир становится все более цифровым, усложняются все процессы, связанные с защитой информации. О том, как должны меняться подходы к решению этой проблемы, а также о работе Центра кибербезопасности, созданного ПАО «Ростелеком», рассказал руководитель направления по информационной безопасности Александр МАЛЯВКИН.
NBJ: Александр, какие ключевые тенденции вы фиксируете в сфере информационной безопасности?
А. МАЛЯВКИН: Они разделены на два, скажем так, направления: способы атак и объекты нападения. Если говорить о наиболее актуальных угрозах, то, я полагаю, в обозримом будущем не потеряют актуальности вирусы-шифровальщики и вирусы-вымогатели, майнеры, таргетированные атаки, которые причиняют максимальный ущерб и обычно направлены на конкретные объекты инфраструктуры. Никуда не исчезнут и DDoS-атаки.
По наиболее уязвимым для нападения объектам отмечу серьезное увеличение количества атак на веб-ресурсы, мобильные устройства, как корпоративные, так и личные, либо с целью хищения персональных данных, либо для получения доступа к корпоративным системам. Достаточно динамично растет и число атак на криптобиржи и криптокошельки, а также на все, что связано с интернетом вещей.
NBJ: Чем более наш мир цифровизируется, тем более многочисленными становятся объекты нападения, не так ли?
А. МАЛЯВКИН: Безусловно. Все меньше компаний чувствуют себя в полной безопасности. Они понимают, что вышеописанные угрозы могут реализоваться по отношению к ним в любой момент. Тем более что киберпреступность становится массовой: угрозы исходят уже не только от организованных групп, но и от одиночек. Все чаще атаки на мобильные устройства, веб-ресурсы или корпоративные системы безопасности осуществляют молодые люди, действующие либо из идейных убеждений, либо из профессионального интереса, либо просто из желания понять, как все устроено. Они не всегда отдают себе отчет в последствиях таких действий, но тем не менее ущерб от их атак бывает существенным.
Для понимания ситуации приведу несколько цифр: количество киберпреступлений в мире растет ежемесячно на 3-4%, а ущерб от хакерских атак за последние несколько лет колебался в пределах от 300 млрд до 1 трлн долларов в год. И хотя окончательные итоги 2017 года еще не подведены, но предполагаемый ущерб от подобных атак в прошлом году предварительно оценивается в 650 млрд долларов.
NBJ: Возникает второй из извечных русских вопросов. Что делать?
А. МАЛЯВКИН: По мнению экспертов, есть только один путь снизить риски в сфере кибербезопасности и повысить реальную защищенность и у компаний, и у частных пользователей. Необходимо использовать систему мониторинга событий, работающую в режиме 24/7 и существенная составляющая которой – человеческий интеллект. Проще говоря, мало мониторить поток событий, полагаясь только на компьютеры. Высококвалифицированные специалисты должны выявлять в этом потоке события и/или операции, которые представляются им сомнительными, и принимать оперативные решения.
NBJ: Когда-то, еще совсем недавно, были надежды на то, что такой мониторинг может быть полностью автоматизированным.
А. МАЛЯВКИН: Практика показала, что никакие коробочные решения, никакие технологии машинного обучения и/или искусственного интеллекта не способны быстро реагировать на вновь появляющиеся угрозы. Они также не могут приспособиться к индивидуальной специфике заказчика. Все это могут делать только люди. Но при этом я бы не ставил крест на вышеуказанных технологиях. Они могут и должны внести существенный вклад в технологии защиты, хотя делать ставку только на них пока рано.
NBJ: Фактически мы сейчас с вами говорим о SOC-центрах управления безопасностью, не так ли?
А. МАЛЯВКИН: То, о чем я говорю, – более широкое явление и более системный подход. Его составная часть – безусловно, центр кибербезопасности SOC, Security Operation Center. При таком подходе и мониторинг потока событий, и выявление сомнительных операций, и принятие оперативных решений находятся в одних руках и подчинены единым процессам. То есть наши заказчики получают не просто некие инфраструктурные решения или только внешний (дополнительный) мониторинг. Мы реализуем принципиально иной, по сравнению с традиционным, подход к безопасности. Он построен на постоянном совершенствовании систем информационной безопасности – техническом и процессном – в соответствии с актуальными рисками и финансовыми возможностями.
NBJ: Безопасность как услуга? И можно ли посчитать ее эффективность, например, исходя из статистических показателей?
А. МАЛЯВКИН: Скорее, безопасность как сервис. Что касается эффективности сервиса, то на «поле» заказчика ее не всегда легко посчитать. Связано это с тем, что не все хранят и уж тем более ведут какую-то аналитику инцидентов в сфере ИБ за последние несколько лет. Мы можем получить определенное представление об этом, когда на первом этапе сотрудничества с клиентом изучаем его системы безопасности и можем составить общее представление о найденных уязвимостях и слабых местах. Правда, бывает, но очень редко, что заказчик делится историей инцидентов и опытом борьбы с ними.
Наш подход аналогичен примеру из сферы здравоохранения. Эффективность регулярных обследований, здоровый образ жизни, прием витаминов, снижение количества стрессов сложно оценить для конкретного человека. Просто потому, что даже при соблюдении всех этих правил риск потери здоровья остается. При этом никто не станет спорить, что это однозначно полезно и существенно снижает риск. Кроме того, наверное, никто из нас не отказался бы иметь под рукой опытного врача-реаниматолога на крайний случай.
NBJ: То есть фактически вы проводите аудит ИБ?
А. МАЛЯВКИН: Это не аудит в классическом смысле, который предоставляется как самостоятельная услуга и проводится на соответствие конкретным требованиям. Конечно, нам необходимо знать, какие системы и для чего нужны, насколько они дружественны друг другу, какие явные «дыры» существуют в системе защиты, а также другие параметры. Наш подход намного шире.
В его защиту приведу пример «Ростелекома». Благодаря нашей парадигме год от года уровень кибербезопасности растет. Честно скажу, что, если бы у нас вместо Центра кибербезопасности были только классические средства защиты, как и десять лет назад, то массированные атаки вирусов-шифровальщиков в прошлом году причинили бы нам весьма ощутимый ущерб. Только SOC, осуществлявший постоянный мониторинг, позволил нам увидеть первые признаки надвигающейся атаки, разобраться с ними и принять необходимые решения, которые впоследствии позволили отразить сами атаки. В то же время многие частные и государственные компании, возлагавшие свои надежды в сфере ИБ на коробочные локальные решения, достаточно серьезно пострадали от тех вирусных атак.
NBJ: Насколько доступна ваша услуга для малых и средних банков и компаний?
А. МАЛЯВКИН: Логика ее предоставления такова, что наше предложение в основном адресовано компаниям, достигшим определенной степени зрелости в сфере ИБ. То есть компания должна прийти к пониманию, что выгоднее приобретать безопасность как сервис, чем противостоять атакам самостоятельно. Логично, что первыми такое решение принимают крупные игроки, а за ними уже тянутся коллеги поменьше. Безусловно, мы разрабатываем предложения для всех сегментов рынка, в том числе для малого и среднего бизнеса. Эти решения масштабируемы и учитывают особенности бизнеса, что позволяет полностью перекрывать потребности компании любого масштаба с любыми запросами.
NBJ: Каковы ваши планы по дальнейшему развитию этого сервиса?
А. МАЛЯВКИН: Направление информационной безопасности для «Ростелекома», скорее, стратегическое, что вполне объяснимо. Нашим клиентам нужна защита. Не важно, пользуются они нашими услугами доступа в интернет, мобильной связью, новой телефонией или ЦОДами. Мы не можем предоставить клиенту инфраструктуру, не обеспечив ее безопасность. Это наша принципиальная позиция. Поэтому мы, естественно, будем совершенствовать работу нашего SOC, увеличивая свои компетенции в защите информации.
С другой стороны, «Ростелеком» очень плотно вовлечен в процесс реализации правительственной программы цифровизации экономики. И чем глубже мы погружаемся в этот процесс, тем больше приходит понимание, что речь следует вести уже не о кибер-, а о цифровой безопасности. Мы защищаем не только условные информационные системы от хакерских атак, но и самих клиентов и их бизнес от некачественной информации или цифровых услуг, предоставляемых посредством мирового информационного пространства. Иными словами, мы строим систему, которая позволит сделать более безопасным не только наш бизнес, бизнес наших партнеров и клиентов, но и повседневную жизнь каждого из нас.