Хакерские атаки, утечки данных, кража корпоративной информации, в том числе той, что относится к коммерческой тайне, — риски, актуальные для любого бизнеса. В России для атак на организации в основном используют вредоносное программное обеспечение и методы социальной инженерии, то есть манипулирования людьми. О том, как защитить сервисы и ценные данные, а также о вызовах, с которыми сейчас сталкивается сфера кибербезопасности, рассказал Алексей Мартынцев, директор департамента защиты информации и ИТ-инфраструктуры «Норникеля».
Что происходит на рынке информационной безопасности
Сейчас в отношении российских компаний сформировался тренд — злоумышленники взламывают компанию не для того, чтобы похитить данные, а чтобы просто навредить, тем самым заявить о своей позиции. Защищаться от киберпреступников приходится в сложных условиях. После того как с рынка ушли зарубежные вендоры, нам нужно было за короткий срок заново выстроить системы безопасности, которые мы до этого строили восемь лет. При этом отечественные решения по разным причинам зачастую могут стоить дороже иностранных аналогов. То есть бюджет вырос, а возможности сократились.
Получается, с одной стороны, уровень безопасности просел, доступные ресурсы ограничены, а с другой — внешних хакерских атак стало больше. И здесь не обойтись без инноваций.
Как мы поступили в данной ситуации.
Работаем с вендорами и интеграторами как с партнерами
Во-первых, мы заключили стратегические соглашения с ключевыми российскими поставщиками решений ИБ, чтобы у нас был приоритетный доступ к тестированию продуктов, возможность озвучивать наши требования и ожидания от продуктов, совершенствовать взаимные подходы. Во-вторых, изменили формат взаимодействия с вендорами и интеграторами: мы работаем с ними как с партнерами. Подрядчики получают доступ к экспертизе нашей команды, состоящей из экспертов с высокой компетенцией и международным опытом, которые ориентируются на лучшие мировые практики. То есть мы обмениваем свои знания и опыт на кастомизированный подход к разработке продуктов под наши потребности, которые сложно удовлетворить в полной мере с учетом текущего состояния российского рынка ИБ.
Мы подписали уже пять таких стратегических соглашений и планируем развивать это направление дальше, ищем новых партнеров, готовых гибко подходить к работе.
Такой формат взаимодействия с поставщиками решений — инновационный для рынка. Мы первыми за всю историю «кибербеза» в России в прошлом году провели открытую большую встречу с поставщиками решений ИБ, куда пригласили партнеров и где открыто говорили, как хотим работать, какие у нас требования. В этом году мы ее повторили, уже не только от лица «Норникеля», но и от других крупнейших российских компаний-заказчиков, которые поделились своей практикой и требованиями к рынку. Многие поставщики ИБ-решений, на мой взгляд, не до конца понимают, какие задачи нужно решать, какие у заказчиков проблемы. Мы пытаемся об этом рассказать. И одновременно призываем говорить о том, чего не хватает в обратной связи от заказчика: открытый диалог — залог успеха!
Промышленный сектор должен выдерживать разные типы атак
Есть массовые атаки, которые не учитывают специфику предприятий: фишинг, различные рассылки, сканирования. Они в меньшей степени представляют опасность, но все равно приходится быть начеку: «Норникель» атакуют регулярно, факты таких атак мы исчисляем тысячами. И здесь самое уязвимое звено — это люди. Вторая категория атак — специализированные, направленные на промышленный и финансовый сектор: банки, нефтяные и металлургические компании. Они не учитывают особенности конкретной компании, но носят уже более сложный характер. В таких случаях злоумышленники изучают объект атаки, чтобы узнать слабые и сильные стороны компании. С подобными угрозами мы сталкиваемся реже, но им сложнее противостоять.
Также есть целевые атаки, их можно разделить на два типа: напрямую на компанию и через подрядчика. Атаковать напрямую можно любую компанию, независимо от средств, вложенных в информационную безопасность: у атакующего всегда больше ресурсов, он всегда на шаг впереди. С другой стороны, реализация таких угроз требует времени — чем сложнее и прицельнее атака, тем из большего числа этапов она состоит. Мы прямые атаки всегда выявляли на ранней стадии, поэтому обходилось без последствий. У грамотных служб безопасности есть знания, инструменты и ресурсы, чтобы их отразить.
Самые опасные атаки — целевые через подрядчиков.
Именно с ними связаны громкие взломы не только в России, но и в мире в целом. Было несколько случаев, когда мы с ними сталкивались и отражали: подрядчики вовремя сообщали, мы подключали свои ресурсы и отбивались совместными усилиями. Хакеры достигают результата, если в организации нет четко выстроенных отношений с партнерами. Компания может быть полностью защищенной, но подрядчики работают внутри нее — пусть и на легальных основаниях, в соответствии с договором и соглашением о конфиденциальности. Однако никто не знает, как у них организована безопасность.
На рынке не распространена практика требовать с подрядчиков определенного уровня защиты, а сами они не всегда о ней задумываются. Когда появился тренд на подобные прямые атаки, мы поняли, что перед ними устоять сложно, поэтому надо, чтобы подрядчики тоже были начеку. Начали с юридической оговорки — во все договоры включили требования о кибербезопасности. Они предусматривают определенные настройки средств защиты и усиление инфраструктуры, а также ответственность партнера за нарушения. Это повысило дисциплину, поэтому таких видов атак стало в разы меньше.
Кибербезопасность крупного бизнеса — вклад в общую безопасность
«Норникель» — крупнейшая металлургическая компания, государство в государстве. У нас десятки предприятий — защищая себя, мы защищаем их все. Также мы вкладываемся в развитие нашей партнерской сети — от интеграторов до производителей. Кроме того, плотно работаем с государством, принимаем участие в совместных мероприятиях, в том числе по выработке законодательных норм.
В 2017 году мы создали «Клуб безопасности информации в промышленности». Его основная задача — предоставить площадку промышленным и другим крупнейшим российским компаниям для обмена опытом, экспертизой и находками команд информационной безопасности. Это позволяет оперативнее реагировать на угрозы и отражать атаки. За годы работы он показал свою эффективность.
Облачные технологии больше подходят для стартапов, чем для больших компаний
Для крупного бизнеса облачные технологии, тем более облачные технологии для обеспечения безопасности — во многом недопустимое средство. Если организация массово выводит ресурсы в облако, последнее становится основной мишенью для злоумышленников. Они будут атаковать облачные сервисы и данные, которые там хранятся, а не саму компанию. Мы, например, используем облачные технологии ограниченно, только для некритичных данных, которые по умолчанию могут быть известны всем.
С другой стороны, для небольших компаний масштабные расходы на ИТ- и ИБ-инфраструктуру на начальных этапах затруднительны. Поэтому облачные решения — хороший вариант для начинающих игроков рынка, например стартапов. В облака надо идти, когда они дают существенные экономические преимущества для компании. Если же речь идет о конфиденциальной информации и коммерческой тайне либо экономическая выгода не до конца ясна, смысла их использовать нет.
В тренде централизация, страхование и квантовая криптография
Основной тренд — строить не систему защиты в виде «забора», который никого не пропускает, а центр безопасности. Такой центр позволяет быстрее отражать угрозы, минимизировать ущерб в случае взлома и максимально делиться данными, чтобы реагировать не тогда, когда уже атакуют компанию, а когда атакуют соседа.
Второй тренд — киберстрахование, то есть страхование бизнеса от потерь, связанных с компрометацией данных, кибератаками и другими угрозами. В России этот рынок еще недостаточно развит, но в мире такая тенденция есть.
Еще один тренд — квантовые технологии безопасности, в частности квантовая криптография, то есть методы безопасной передачи информации, в основе которых лежат принципы квантовой механики. Это направление развивается во всем мире, и в России уже есть несколько перспективных стартапов.
10 принципов для эффективности рынка ИБ
Недавно «Норникель» представил сообществу «Кодекс этики для рынка информационной безопасности» — это набор принципов, приверженность которым поможет повысить зрелость рынка информационной безопасности, сделать сотрудничество между заказчиком и подрядчиком более эффективным. Он основан на нашем опыте и тех проблемах, которые, как мы слышим, озвучивают коллеги по цеху. В списке этих принципов и открытый диалог, и профессиональный подход, и приоритет потребностей рынка, и культура ИБ... — всего 10 пунктов.
Озвученное нами предложение на данном этапе не предполагает какой-либо юридической рамки. Каждый принцип — это цель, к которой стоит стремиться. Это наш призыв к компаниям: проанализировать их деятельность на предмет соответствия или намерения соответствовать этим целям. Мы убеждены, что, если каждый участник рынка будет жить и работать согласно предложенным принципам, мы все увидим заметный и положительный эффект. Дальнейшая судьба «Кодекса» будет зависеть от реакции рынка, но мы уверены, что это только первый шаг*.
(ознакомиться с проектом «Кодекса этики для ИБ» и дать по нему обратную связь можно на сайте БИП-Клуба)
