Защита данных в современном цифровом мире, где данные перемещаются из одного цифрового сервиса в другой ради удобства пользователей, — задача коллективная, и решить её можно только совместными силами бизнеса и государства. О проблемах и вызовах рынка защиты данных, в том числе в регуляторном контексте, возможных путях развития отрасли, рассказывает Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда».
23 октября в Москве прошла конференция «Защита данных: сохранить всё», где эксперты обменялись опытом противодействия атакам на современном этапе кибервойны, представили свои решения и наметили совместные планы по упрочению позиций российской кибербезопасности в ближайшем будущем. Центральной темой обсуждения в секциях мероприятия стал новый подход к защите данных, практики расследования и отражения атак как компьютерных, так и информационных, а также регулирование государством сбора, обработки и хранения персональных данных.
Недавние мероприятия в области информационной безопасности — время подведения первых итогов жизни в новой киберреальности, которая характеризуется:
- легализацией любых кибератак на цифровые ресурсы России;
- отключением иностранных решений (в том числе и средства безопасности);
- дефицитом ИТ-специалистов;
- разрушением доверия в киберпространстве.
Ничего не учит лучше собственного печального опыта
После мощных атак прошлого года, приведших к заметным простоям цифровых систем и массовым утечкам персональных данных, сработал принцип «самая защищённая организация — это та, которую уже взламывали». Владельцы цифровых систем в массе своей уже выучили уроки прошлого года, обновили системы защиты, укомплектовали штат защитников, отладили процессы защиты — ничего не учит лучше собственного печального опыта. Для тех, кто не выучил уроков прошлого года, государство ввело жёсткое регулирование, подняв уровень ответственности, ужесточив административные наказания и добавив к ним и уголовное преследование. В Государственную Думу отправлен закон об оборотных штрафах, предполагающий огромные по сравнению с сегодняшними наказания за утечку данных.
Можно сказать, что первый этап кибервойны завершён. Страна перешла в режим перманентной кибервойны, подтянув и практическую киберзащиту, и законодательство. ИТ-специалисты, выражавшие свою политическую позицию через саботаж и утечки, уже уволены. Дефицит уехавших специалистов, о котором много пишут, практически не коснулся ИБ-специалистов, которые не так активно покидали страну, как программисты.
Позитивный результат массовых атак — самоорганизация отрасли. Общая проблема с кибератаками заставила даже конкурирующие организации активно обмениваться информацией о признаках атак и методах их отражения. Довольно быстро эту стихийную самоорганизацию возглавило Минцифры, придав ей официальный статус.
Каждый шаг атаки как легальное событие
Но и противоборствующая сторона адаптируется к нашим новым возможностям. Если раньше атаки организовывали в основном политически мотивированные энтузиасты с базовыми знаниями в кибератаках, то за сегодняшними атаками уже просматриваются профессионалы. Атаки стали целевыми, хорошо продуманными и распределёнными во времени, что затрудняет их детектирование и отражение. Каждый шаг такой атаки выглядит как легальное событие в информационной системе, и его не видят средства защиты. Проникнув в систему, злоумышленники не спешат наносить ущерб, а предпочитают укорениться в системе, собирать данные, перехватывать пароли, повышать свои привилегии в системе. Известны случаи, когда хакеры находились в системе годами, более того, случались войны разных хакерских группировок за то, кто будет контролировать систему — и они проходили незамеченными. Как такое может происходить, ведь сегодня любая компания имеет средства защиты: антивирусы, системы обнаружения вторжения, системы контроля доступа?
Современные цифровые системы уже достаточно большие и достаточно сложные, состоящие из многоуровневой инфраструктуры, большого количества баз данных и приложений, этими данными обменивающимися. Это не только сложная информационная структура, но и часто меняющаяся — каждый день обновляется инфраструктура, модифицируются функции, добавляются пользователи и данные. Такая ситуация делает сложным мониторинг событий, которые могут быть сигналом о начале проникновения — их легко принять за легитимные действия. Если реагировать на каждую аномалию в такой сложной системе, можно быстро израсходовать все задействованные ресурсы, к тому же излишняя паранойя в реагировании может негативно отразится на легитимных бизнес-процессах.
Охотники за угрозами и фейковые новости
Таким образом, переход от массовых атак, подкреплённых инсайдерскими действиями политически мотивированных сотрудников, к малозаметным целевым атакам символизирует новый этап в кибервойне, объявленной нашей стране. Постепенное внедрение в инфраструктуру жертвы, разведка, малозаметные шпионские действия — для противодействия такой тактике нужны свои или привлекаемые на договорной основе команды расследования, называемые threat hunters — охотники за угрозами. Для их работы нужно как можно больше данных — вплоть до телеметрии рабочих станций и сетевых устройств, с их помощью будет легче отличить случайную аномалию от следа работы киберпреступников.
Ещё одной отличительной чертой нового периода кибервойны является информационное давление в стиле fake news — дня не проходит, чтобы какая-нибудь преступная группировка не заявила о взломе какой-нибудь знаковой компании и не выложила в качестве доказательства компиляцию из уже утекших баз. Поскольку количество утекших записей россиян исчисляется сотнями миллионов, всегда можно из них собрать компиляцию, удовлетворяющую любым наперёд заданным требованиям, и объявить её утечкой из банка, телеком-оператора, госуслуг и т.п. Это не значит, что все такие заявления являются намеренной ложью, возможно, среди них встречаются и свежие утечки, но искать среди синтетических баз реальные утечки становится довольно сложно.
Новая тактика киберпреступников и подключение к атакам как минимум советников из киберармий западных стран требует новых подходов к защите. Это, прежде всего, понимание того, что недостаточно защищать только периметр — вполне возможно, что враг уже присутствует в инфраструктуре и пока незаметен. Значит нужны средства внутрипериметровой защиты, анализирующие внутрисетевой трафик, действия пользователя, обращение к базам данных, операции с файлами и т.п. Нужно собирать как можно больше данных о событиях во внутренней сети, использовать инструменты и экспертизу, способные по слабым сигналам и аномалиям в трафике замечать зловредные действия противника.
Продолжение следует
Сегодня очевидно, что те, кто создают новые удобные цифровые сервисы, теперь находятся под активным регулированием государства, и поэтому они внимательнее прислушиваются к коллегам из информационной безопасности — такое трёхстороннее сотрудничество ИТ, ИБ и регулятора должно принести заметный эффект.
