Информационная безопасность

Операционная безопасность (Operations Security, OpSec) – процесс оценки и защиты организациями общедоступных данных о себе, которые при должном их анализе грамотным противником и объединении с другими данными позволяет получить общую картину, хранимую организацией в секрете. Дисциплина, имеющая военное происхождение, в цифровой век приобретает жизненно важное значение и для правительственных и частных организаций. Любому директору по безопасности следует задуматься о том, какие меры необходимо принять для совершенствования OpSec.

Термин «операционная безопасность» впервые появился в армии США во время войны во Вьетнаме в результате действий группы Purple Dragon. Там заметили, что противники США словно читают стратегию и тактику американских войск. При этом известно было, что Северный Вьетнам и Вьетконг не обладают силами и средствами, которые позволяли бы расшифровывать передаваемые сообщения. Не имелось у них и разведки для сбора информации изнутри. Таким образом, армия США сама непреднамеренно передавала врагу жизненно важные сведения. В Purple Dragon первыми предложили определение OpSec: «Умение держать информацию о своих силах и слабостях в тайне от враждебных сил».

Со временем эта концепция, распространившаяся из армии и на другие американские министерства и частные компании, была проработана более подробно. У минэнерго, отвечающего за ядерный арсенал государства, имелось собственное определение OpSec: «Операционная безопасность включает процесс определения неклассифицированной или управляемой критически важной информации, требующей защиты в течение какого-то ограниченного или достаточно продолжительного времени… цель OpSec заключается в идентификации, управлении и защите важной неклассифицированной информации о целях, операциях или действиях, а также для организации противодействия стремлению врага мешать достижению этих целей, и выполнению операций или действий».

Провалы OpSec

Пожалуй, один из лучших способов понять, что представляет собой OpSec на практике, заключается в изучении масштабных провалов OpSec – ситуаций, позволивших получить на основе общедоступной информации общую картину, которую субъект этой информации хотел бы держать в секрете.

Начнем с событий, произошедших не так давно. В марте 2017 года, когда Джеймс Коми еще исполнял обязанности директора ФБР, автор публикаций в Gizmodo Эшли Файнберг сумела отследить его учетные записи в Instagram и Twitter, используя всего несколько бит общедоступных данных. Эта история стала классическим примером поиска ключей среди пользователей в социальных сетях. Файнберг знала, что сын Коми Брайен входил в спортивную команду колледжа Кеньон, и обнаружила видео с его участием в Instagram спортивного факультета университета. В одном из комментариев содержалась ссылка на личный Instagram Брайена. Воспользовавшись специально созданной для этого учетной записью, Файнберг отправила запрос на подписку, зная, что в ответ Instagram предоставляет учетные записи, связанные с тем аккаунтом, на который вы хотите подписаться. В данном случае речь шла о заблокированной учетной записи 'reinholdniebuhr', названной в честь теолога, которому была посвящена дипломная работа Джеймса Коми. Файнберг предположила, что это и есть аккаунт Коми. В Twitter оказалось всего несколько учетных записей с различными вариациями имени 'niebuhr', в том числе и запись @projectexile7, названная, судя по всему, в честь программы, направленной на снижение уровня насилия с применением оружия, в реализации которой в 1990-е годы Коми принимал участие. У @projectexile7 имелся всего один подписчик – блогер Бенджамин Уиттс, личный друг Коми. В октябре стало ясно, что выбранный Файнберг путь оказался верным.

Это прекрасный пример того, какие подсказки можно найти в социальных сетях – даже профессионалы в сфере безопасности не всегда понимают, какие следы оставляют за собой. В Facebook и других социальных сетях можно найти информацию, которая с военной точки зрения носит разрушительный характер. Например, несмотря на официальную позицию российских властей, в соответствии с которой повстанцы на востоке Украины действуют сами по себе, российские военные не раз размещали в Instagram фотографии с геотегами, подтверждающими их местонахождение по ту сторону границы. В похожей ситуации популярный фитнес-трекер Strava, загружающий данные в облако, разместил подробную карту маршрутов своих пользователей, проводивших беговые тренировки. А поскольку этот сервис пользуется особенной популярностью у американских солдат, изучение соответствующих карт позволило определить местоположение целого ряда секретных военных баз США.

Провалы OpSec на корпоративном уровне не наносят ущерба национальной безопасности, но могут иметь катастрофические последствия для связанных с ними компаний. Профессионалы в сфере OpSec рассказывают об обнаруженных ими проблемах в блоге Digital Guardian DataInsider. Так, Шай Бредеволд пояснил, как возникают утечки корпоративной информации: «Чрезмерно усердный сотрудник характеризует свою должность таким образом, что это позволяет узнать о пройденной им переподготовке, которая в противном случае была бы скрыта от глаз широкой публики. В женском форуме жены рассказывают о том, какую нагрузку испытывают их мужья в связи с готовящимся в следующем месяце выпуском нового концептуального продукта». Еще одним потенциальным указателем направления могут стать пароли: в условиях, когда бреши в системе безопасности веб-сайтов носят повсеместный характер, многие сочетания имен и паролей пользователей оказываются в общем доступе, чем с удовольствием пользуются хакеры, сравнивающие эти идентификационные данные с данными сотрудников компаний и пытающиеся задействовать полученные пароли в своих интересах.

Процедура OpSec

Американские военные рекомендуют пятиэтапную процедуру, с помощью которой организации могут оценить свои данные и инфраструктуру и выработать план их защиты. В блоге SecurityTrails эта процедура описывается подробно, мы же хотим привести ее краткое резюме.

1. Оцените критически важную для OpSec информацию. Для начала нужно определить, какие данные способны нанести вред вашей организации в случае их попадания в руки противника. Круг этих данных может варьироваться от клиентской информации и финансовых записей до интеллектуальной собственности.

2. Определите типы угроз OpSec. Следующий вопрос, который нужно задать себе: кто является вашим противником? Их круг также может быть широк, начиная от преступных хакеров и заканчивая конкурентами в бизнесе. Учтите, что разных противников могут интересовать разные данные.

3. Проанализируйте уязвимости OpSec. Этот этап должен занимать центральное место в обеспечении безопасности любой организации: проводите полный аудит системы безопасности для выявления слабых мест в вашей инфраструктуре.

4. Оцените риски OpSec. На этом шаге определяются уровни угроз путем анализа влияния уязвимостей, выявленных на третьем этапе, на критически важные данные, полученные на первом этапе, с учетом круга противников, очерченного на втором этапе. Нужно понимать, какой ущерб может нанести использование внешних уязвимостей и насколько вероятна такая атака.

5. Составьте план OpSec. Располагая всей этой информацией, разработайте план, который позволит блокировать имеющиеся уязвимости и сохранить свои данные в безопасности.

Меры для укрепления операционной безопасности

Все вышесказанное звучит несколько абстрактно. А какие конкретные меры можно принять для реализации собственного плана OpSec? HackerCombat рекомендует придерживаться следующих рекомендаций.

— Внедряйте процедуры управления изменениями.

— Ограничивайте доступ к сетевым устройствам по принципу того, что «нужно знать».

— Предоставляйте сотрудникам минимально необходимые права доступа и придерживайтесь правила наименьших привилегий.

— Автоматизируйте операции для устранения слабых мест, обусловленных человеческим фактором.

— Планируйте ответные меры, которые необходимо принимать при возникновении инцидентов, и процедуры восстановления.

В материалах SecurityTrails описываются области, на которые должно быть ориентировано планирование OpSec. Естественно, в первую очередь вам хотелось бы сосредоточиться на важных персональных идентификационных данных, к которым относятся имена, IP-адреса, языки, электронная почта и т.д. Но нельзя забывать и о взаимодействии с людьми – в частности, с вашими собственными коллегами, для которых менталитет OpSec должен стать их второй натурой. Необходимо обучить их ряду приемов, связанных с шифрованием данных и устройств, мониторингом передачи данных и ограничением доступа к некоторым видам данных. Они должны быть осведомлены обо всех ошибках, которые мы упоминали ранее, особенно о тех, которые обусловлены активностью в социальных сетях. Лозунг времен Второй мировой войны «длинный язык корабли топит» в полной мере применим и к вашей сегодняшней организации (распространяясь и на сообщения в Facebook).

Кто осуществляет надзор за OpSec?

И наконец последний вопрос, который, наверное, вас интересует: кто в компании должен отвечать за OpSec? Здесь ситуация постоянно меняется, и лучшим, пожалуй, кандидатом, станет тот, кто заинтересован в этом и обладает соответствующими возможностями, независимо от занимаемой должности и места в организационной иерархии.

Некоммерческая организация Operations Security Professional's Association главной своей целью считает поддержку профессионалов в сфере OpSec. В публикациях из серии «Что работает в OpSec» обобщается накопленный в этой области передовой опыт, позволяющий оценить соответствующие карьерные перспективы и должностные обязанности. Некоторые направляют на OpSec всю свою энергию, тогда как для других это лишь одна из многих областей, к которым они проявляют интерес. Вам же нужно определить, как лучше претворить в жизнь концепцию OpSec в своей организации.

Сегодня практически любому человеку в жизни приходится иметь дело с бесчисленным множеством паролей. Как бы вы к ним ни относились, вы вынуждены пользоваться ими практически для всего, от разблокировки мобильного телефона и доступа к интернет-банку до просмотра фильма на Netflix. Благодаря компьютерам и Интернету паролей стало требоваться гораздо больше, но они в той или иной форме использовались и раньше — за сотни и даже тысячи лет до эпохи ИТ. Воспользовавшись информацией из недавней дискуссии на сайте Quora, перечислим дюжину самых знаменитых паролей, применявшихся на протяжении истории в реальном и вымышленных мирах.

00000000

Во времена холодной войны для запуска межконтинентальных баллистических ракет «Минитмен», размещенных в пусковых шахтах по США, требовался простейший код: 00000000. Пусковой код для ядерных ракет США был введен президентским указом в 1962 году для защиты от несанкционированных запусков. А до того ракеты были многие годы лишены этого дополнительного уровня безопасности. «Минитмены» защитили кодами в период, когда министром обороны был Роберт Макнамара. Когда он оставил этот пост, члены командования силами противовоздушной обороны, недолюбливавшие Макнамару и беспокоившиеся в связи с отсутствием возможности быстро запустить ракеты, заменили код для всех из них на нули. Безопасность на высшем уровне, что и говорить.

Симсим, откройся

«Дедушка» всех паролей — фраза «Симсим, откройся!», с помощью которой в сказке «Али-Баба и сорок разбойников» открывается вход в пещеру с сокровищами. По сюжету этой знаменитой арабской сказки, вошедшей в сборник «Тысяча и одна ночь», нищий лесоруб Али-Баба подслушивает волшебные слова и в конечном счете получает сокровище. Фраза стала крылатой и часто встречается в произведениях массовой культуры, например, в мультфильмах серий «Морячок Попай», «Багз Банни» и «Губка Боб».

Чак Норрис

В 2010 году инженер Facebook в анонимном интервью заявила, что одно время сотрудники компании могли войти в профиль любого пользователя с помощью универсального пароля — имени «Чак Норрис», в котором отдельные буквы заменены на цифры. Интервьюируемая утверждала, что она лично пользовалась этим паролем и знала о том, что два других сотрудника с его помощью меняли данные пользователей Facebook и были за это уволены. По ее словам, этот пароль уже упразднили, однако вместо него появился инструмент, с помощью которого служащие Facebook могут входить в профиль любого пользователя по нажатию кнопки, если у них на это есть обоснованные причины.

Рыба-меч

В фильме 1932 года «Лошадиные перья» главный герой профессор Уэгстафф проходит в подпольный магазин по продаже спиртного, используя пароль «рыба-меч». С тех пор это один из самых известных паролей, который на протяжении многих лет упоминается в произведениях массовой культуры. Помимо прочего такой пароль встречался в «Скуби-Ду», сериале «Безумцы», фильмах о Гарри Поттере и франшизе «Звездный путь». Кроме того, «Пароль 'рыба-меч'» — название фильма 2001 года о хакерах, и была игра для Commodore 64 под названием Swordfish (рыба-меч).

Бадди

В июне 2000 года президент США Билл Клинтон подписал Акт об электронной подписи в глобальной и национальной торговле, придавший законную силу электронным подписям и контрактам. Клинтон и сам закон подписал с помощью электронной подписи, воспользовавшись смарткартой, содержимое которой было защищено закрытым ключом «Бадди» — так звали собаку президента. Этот крайне ненадежный пароль Клинтон сделал еще ненадежнее, сообщив его присутствовавшим на церемонии подписания. На всякий случай президент поставил подпись под законом и обычным способом — авторучкой.

Джошуа

Герой культового фильма 1983 года «Военные игры» подросток-хакер Дэвид Лайтмен полагает, что взламывает сеть компании — разработчика видеоигр, надеясь поиграть. Он верно угадывает пароль для входа в систему: «Джошуа», по имени погибшего сына программиста компании. Но оказывается, что на самом деле Дэвид взломал компьютер системы оперативного реагирования на акты военной агрессии против США, а запущенная им игра под названием «Мировая термоядерная война» чуть не стала причиной реальной третьей мировой войны. Отметим, что «оборонный компьютер» создатели фильма для съемок соорудили из фанеры, а изображение на его экране имитировалось при помощи компьютера Apple II.

Тигр

Тем, кто работал с СУБД Oracle, наверняка известна схема Scott, для доступа к которой используется пароль Tiger. Это демонстрационная схема, состоящая из группы таблиц (EMP, DEPT и др.), при помощи которой иллюстрируются основные принципы использования СУБД. Ее создал Брюс Скотт, сотрудник Oracle номер четыре, а пароль — это имя кота его дочери, которого в самом деле звали Тигр. Схема Scott устанавливалась в Oracle по умолчанию до восьмой версии, а начиная с девятой ее все еще можно установить вручную.

IAcceptTheRisk

В 1981 году Xerox выпустила рабочую станцию Star 8010, революционный для своего времени компьютер, предназначенный для применения на предприятиях в составе системы управления документами. Компьютеры, на базе которых работала система, соединялись друг с другом сетью Ethernet. В Star впервые появились многие основы графических пользовательских интерфейсов, в том числе значки, на которые можно нажимать. Для выполнения некоторых административных операций на Star, например, для восстановления системы, нужно было ввести код 911 и пароль IAcceptTheRisk («я беру на себя риск»). Таким образом, пароль не только защищал систему, но и сам по себе был своего рода «пользовательским соглашением».

Z1ON0101D

Во втором фильме трилогии «Матрица», «Матрица: перезагрузка», который вышел в 2000 году, персонаж Тринити взламывает компьютерную систему электростанции. Воспользовавшись nmap, реальной утилитой сканирования сети, и уязвимостью протокола SSH, она меняет пароль root-доступа к системе на Z1ON0101 и берет ее под свой контроль. Этот пароль является отсылкой к слову «Сион» — названию последнего населенного людьми города, который уцелел в войне против машин. Эта сцена из фильма заслужила большое одобрение среди хакеров за точность. Фильм понравился не только им — кассовые сборы по всему миру составили 742 млн долл.

12345

«12345» — пароль, знаменитый по ряду причин. Прежде всего, это один из самых широко применяемых паролей в мире. Одним из пользователей, выбравших этот пароль для своей электронной почты, стал президент Сирии Башар Ассад, о чем стало известно в 2012 году благодаря взломавшей ее хакерской группировке Anonymous. А еще эта комбинация цифр известна поклонникам классической пародийной комедии «Космические яйца» — там она используется в качестве пароля к щиту противовоздушной защиты планеты Друидия, а также в роли кода к замкам на всех чемоданах президента Дирка, которого играет создатель фильма Мел Брукс.

Шер

В первой серии второго сезона сериала BBC «Шерлок» («Скандал в Белгравии», вышел в 2012 году) знаменитый детектив пытается взломать четырехсимвольный защитный код на мобильном телефоне с компрометирующими снимками королевской семьи. Холмс угадывает код, поняв, что женщина, которой принадлежал телефон, является его воздыхательницей: паролем было слово Sher. При этом текст на экране блокировки гласил: I AM SHER LOCKED (игра слов с отсылкой к имени Холмса, «я заблокирован словом Sher»). Элементарно же.

Parc

В 1972 году инженеры Xerox в только что основанном научно-исследовательском центре PARC (Palo Alto Research Center) создали компьютер Multiple Access Xerox Computer (MAXC), аналог мейнфрейма DEC PDP-10, который в DEC отказывались продать Xerox. MAXC был подключен к сети ARPANET, предшественнице современного Интернета. Внешние пользователи могли входить в MAXC через ARPANET через гостевую учетную запись с паролем parc (или maxc — их время от времени чередовали): инженеры Xerox, безусловно, были талантливыми и прозорливыми, но над паролем явно долго не думали.

Для того чтобы понять, подпадает ли формально российская компания под действие нового закона, надо ответить на три вопроса:

• Имеет ли компания юридические лица на территории ЕС?
• Реализует ли компания товары или услуги на территории ЕС (например, доставка в страны ЕС из интернет-магазина)?
• Принимает ли компания оплату в евро?

Существуют также косвенные факторы, которые свидетельствуют о работе с персональными данными граждан ЕС, – например, версия корпоративного сайта на одном из европейских языков (немецком, французском и пр.).

При утвердительном ответе хотя бы на один из вопросов компания подпадает под действие GDPR.

Несоблюдение требований нового регламента может повлечь штраф в размере до 20 млн евро или до 4% от годового оборота компании. Сразу хотелось бы раскрыть основной посыл этого текста: так или иначе любой бизнес в ближайшее время будет вынужден перейти на новые принципы работы с персональными данными.

Почему? GDPR – это совокупность российских законов: 152-ФЗ (закон о персональных данных), 13-ФЗ от 07.02.17 (штрафы за нарушения закона), 16-ФЗ от 22.02.17 (надзор), 242-ФЗ (хранение данных на территории РФ). С одной стороны, под эти законы подпадает весь российский бизнес (хотя не все об этом задумываются), с другой – если компания уже обеспечила выполнение перечисленных выше законов, то усилия по соблюдению GDPR (GDPR Compliance) будут сводиться к минимальной переработке внутренних регламентов и к юридическому консалтингу. Модернизации ИТ-инфраструктуры и внедрения новых технологий не потребуется.

Другой вопрос, что многие российские компании игнорируют эти законы из-за относительно небольших штрафов. Но вступление в силу GDPR и обсуждение подобных инициатив в Бразилии, США, России и других странах говорят о том, что отношение к персональным данным поменялось кардинально, и ужесточение законодательной базы в этом направлении – дело времени. В России даже не надо ничего законодательно менять, достаточно обеспечить исполнение.

Разложим GDPR на конкретные задачи

На основе нашего европейского и российского опыта работы по GDPR Compliance я предлагаю соотнести 9 основных принципов GDPR с конкретными задачами по их реализации. Одновременно я буду делать отсылки к российским законам. Логика очень проста: можно распределить принципы GDPR по задачам, которые их «закрывают», то есть приводят работу компании в соответствие с требованиями GDPR. Это инфраструктурные задачи, требующие инвестиций в технологии, регламентные или процедурные задачи, а также задачи, которые, по моему опыту, сейчас нерешаемы, но требуют формальных процедур.

Инфраструктурные задачи

Посредством модернизации ИТ-инфраструктуры решается прежде всего первый принцип GDPR «Right to be forgotten» (соответствует российскому закону о «праве на забвение»). Решения класса Data Management корректно справляются с этой проблемой. Удаление данных из продуктивных систем (систем работы с клиентами, поисковых систем и пр.) – это осуществимая процедура, которая может быть выполнена оператором системы вручную. Но представим, что возникла нештатная ситуация и вам пришлось восстанавливать данные, например, годовой давности. В ваших восстановленных данных вполне могут оказаться данные, которые из продуктивных систем уже удалены. И в восстановленные компоненты системы вполне могут попасть персональные данные, которые придется заново «вылавливать». То есть ложится дополнительная, регламентная нагрузка на ИТ-департамент: помимо восстановления данных, каждый раз осуществлять повторный мониторинг и поиск персональных данных. Это неэффективная и трудозатратная работа. Специализированные решения Commvault или другого вендора избавляют от этих сложностей и позволяют мониторить данные не только в продуктивных системах, но и в архивах, бизнес-средах, аналитике, тестовых средах. «Right to be forgotten» – это классический пример принципа GDPR, который сводится к решению конкретной инфраструктурной задачи, выполняемому под ключ определенными игроками.

Компания IDC в отчете «Five Essential Steps for GDPR Compliance» прогнозирует рост спроса на единые платформенные решения по управлению данными, гарантирующие выполнение пункта «Right to be forgotten». Аналитики также рекомендуют использовать единое платформенное решение по управлению данными.

Повторюсь: этот пункт GDPR соответствует российскому закону. И, следовательно, выполнять его придется вне зависимости от того, подпадает ли российская компания формально под действие GDPR.

Второй пункт, требующий инвестиций в инфраструктуру, – «72-hour data breach notification». Он обязывает в течение 72 часов оповещать об утечке данных и о том, какие непосредственно данные утеряны, – статьи GDPR 33 и 34. Эта задача также решается при помощи конкретных продуктов класса DLP.

Процедурные задачи

Многие российские компании приняли решение ограничиться организационными изменениями и не тратить деньги на дополнительные технологии. Для некоторых принципов GDPR это вполне работает – например, «Data minimization principle» (принцип минимизации данных) относится прежде всего к внутренним процедурам. Создание дополнительных копий, архивов, правил хранения – это внутренние процедуры, не связанные напрямую с апгрейдом инфраструктуры. Практический совет: тут нет никаких ограничений, можно использовать и прописать любые доступные компании инструменты, которые способствуют минимизации данных.

В соответствии с принципом «Data protection by design and by default» (защита данных по умолчанию и изначально, статья 25), компаниям придется изначально планировать защиту данных при реализации товаров, работ и услуг, минимизируя объем используемых данных и сроки их обработки. Это также достигается внутренними политиками и регламентами.

При обработке данных пользователей компании обязаны обеспечить защиту их персональных данных от несанкционированной или незаконной обработки и потери – в соответствие с принципом «Security and ensuring, confidentiality, integrity, availability and resilience» (целостность и конфиденциальность). Этот принцип находится на стыке процедурных и инфраструктурных задач и может быть реализован как регламентно, так и технологически. Следовательно, исполнять его необходимо либо закладывая при модернизации инфраструктуры и интеграции решений Data Management, либо прописывая регламенты по аналогии с принципом минимизации данных.

Принцип «Defining use cases and managing consent» (ограничение целей использования персональных данных, статья 6) говорит о том, что данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией. Мы все столкнулись с этим принципом, когда массово начали получать почтовые рассылки с новыми правилами от европейских и американских компаний и, например, «Аэрофлота». Этот важный принцип также процедурный, но мы советуем незамедлительно прописать его и уведомить пользователей, причем не стоит брать типовые информативы, лучше учесть все исходя из того, что и как реально используется. Он имеет особую важность для компаний, поскольку для регулятора легче всего отследить его исполнение.

Принцип «Data transfers» (передача данных, статьи 44-50) нацелен прежде всего на ИТ-гигантов из США. Большинство американских компаний используют персональные данные граждан ЕС. Теперь они будут обязаны соответствовать и европейскому закону тоже.

Требование «Data portability» (возможность экспорта данных в открытом формате) не устанавливает четкого формата выгрузки персональных данных. Его выполнение будет зависеть от специфики компании. Например, для облачного провайдера, чьи клиенты теперь могут запрашивать перенос данных в другие системы, такие запросы могут стать массовыми и потребовать технологического решения и инфраструктурных инвестиций, для большинства же компаний отдельные (редкие) запросы будут исполняться в ручном режиме. Особенно это актуально для медицинских организаций, которые должны предоставлять, например, выгрузку всех анализов пациента за несколько лет. Одним из наших первых клиентов по GDPR Compliance в Европе стал английский госпиталь Chesterfield Royal Hospital.

Надо отметить, что, после того как мы создали любую процедуру, встает вопрос, к каким данным она будет применяться. Написать процедуру несложно, вопрос в реализации. Должна присутствовать базовая индексация данных. Закон требует гранулярного контроля за каждым субъектом персональных данных, а данные распределены по множествам информационных систем. Поэтому спрос на средства контроля данных уже увеличился и будет расти дальше.

Нереализуемые задачи

Принцип «State-of-the-art» (статьи 25 и 32), на мой взгляд, относится к нереализуемым, утопическим. Предполагается, что текущее решение по управлению данными должно предвосхищать будущие угрозы. Но системы эволюционируют, все вызовы предусмотреть невозможно. Вывод: закон требует невозможного. Могу прокомментировать этот принцип цитатой Джеффа Безоса, главы и основателя Amazon: «Мне часто задают вопрос: что изменится через 10 лет? Но у меня никогда не спрашивают, что не изменится на протяжении 10 лет, хотя второй вопрос, на мой взгляд, гораздо важнее, потому что бизнес можно построить только на том, что останется неизменным в обозримом будущем». Инвестируя в предсказуемые технологии, мы уверены, что эти инвестиции обязательно сработают, а принцип «State-of-the-art» требует от компаний инвестиций в решения, призванные противостоять угрозам, которые еще не случились. Кто, например, всерьез опасался вирусов-шифровальщиков в 2016 году? Поэтому я могу посоветовать только соблюдать вышеизложенные требования, которые все вместе работают и на обеспечение этого принципа.

Не всё так страшно

GDPR не заставляет компании внедрять принципиально новые процедуры. Все понятия, ключевые требования, принципы обработки данных уже существуют, и их учитывают многие компании, ориентированные на внешний рынок. Российским компаниям стоит сначала озаботиться обеспечением соблюдения требований российского законодательства в области обработки и хранения персональных данных (152-ФЗ и 242-ФЗ). Необходимо разделить задачи и понять, какие нормы можно «закрыть» модернизацией инфраструктуры, а какие – новыми политиками. IDC в отчете «Five Essential Steps for GDPR Compliance» рекомендует внедрить единое решение Data Management и заняться идентификацией и индексированием вторичных данных. Кроме того, российским компаниям, работающим на европейском рынке, будет необходим юридический GDPR-консалтинг, который предлагают как некоторые вендоры, выполняющие проекты GDPR Compliance, так и юридические и аудиторские фирмы.

Автор – Андрей Вышлов, глава регионального представительства Commvault в России и СНГ.

Теневых ИТ, под которыми понимаются программное обеспечение и сервисы, используемые сотрудниками втихаря, без получения от организации соответствующего разрешения, пугаться не стоит.

На протяжении нескольких десятилетий руководители ИТ-служб и ИТ-менеджеры искали способы надежно выявлять и блокировать теневые технологии, понимая, что недозволенные инструменты несут в себе угрозу безопасности и порождают уязвимости в технологических процессах.

Однако в последнее время все больше становится ИТ-лидеров, которые по-иному смотрят на теневые ИТ. К ним приходит осознание того, что изучение тайных практик помогает лучше понять потребности и предпочтения конечных пользователей. А это, в свою очередь, ведет к разработке и развертыванию авторизованного программного обеспечения и сервисов, повышающих производительность труда и удовлетворенность сотрудников.

Перечислим семь способов поставить под свой контроль теневые ИТ-инструменты, используемые внутри вашей организации.

1. Поймите причины использования теневых ИТ-инструментов

Многие сотрудники хорошо подкованы технически и охотно применяют устройства, программное обеспечение и приложения, помогающие им выполнять свою работу быстрее и лучше. «Они привыкли использовать потребительские платформы в своей повседневной жизни и хотят перенести присущие им простоту и легкость на рабочее место, – пояснил Джон Грин, вице-президент и главный технолог по безопасности компании Aruba, входящей в состав Hewlett Packard Enterprise. – Фактически любая навязываемая корпоративная система замедляет процессы или создает препятствия для круглосуточного и повсеместного доступа сотрудников к необходимым им ресурсам».

Леон Адато, возглавляющий в компании SolarWinds группу программного обеспечения управления инфраструктурой, поддерживает тех сотрудников, кто использует одну-две теневые ИТ, чтобы повысить эффективность и продуктивность своей работы. «Никто не пытается вмешиваться в отлаженный процесс, если он отвечает потребностям коллектива, – указал он. – Но если эти процессы замедляют или усложняют работу, то отдельные сотрудники или даже целые команды начинают искать другие пути. В конце концов, работников оценивают по результатам, а не по тщательности соблюдения принятых стандартов, особенно если стандарты эти мало чем могут помочь в достижении поставленных целей».

2. Изучите направления использования теневых ИТ-инструментов

Узнать, зачем используются теневые ИТ, проще всего путем обсуждения их ценности и конкретных задач, решаемых с их помощью. «Во многом это напоминает мероприятия по оценке новых технологий, проводимые нашими ИТ-подразделениями, – пояснил руководитель направления разработки облачной стратегии компании Netskope Шон Кордеро. – Если выясняется, что мы не можем предоставить требуемые возможности, вероятно, необходимо глубже изучить сценарии использования имеющихся средств и поискать решения, которые отвечали бы нуждам бизнеса».

Ярким примером теневых ИТ являются тайно используемые публичные облачные сервисы. Зачастую сотрудники делятся своими файлами, открывают многопользовательский доступ к документам или просто размещают важные файлы в хранилищах Dropbox и Google Docs. «Несмотря на то что эти платформы просты в освоении и уже получили повсеместное распространение, они подвергают риску важные данные, – предупреждает Грин. – Корпоративные облачные платформы обеспечивают более надежную безопасность и контроль, включая шифрование файлов, благодаря которому доступ к ним могут получить только уполномоченные лица. В крупных организациях принято внедрять свои собственные платформы для безопасного обмена файлами или применять адаптированные продукты».

3. Выясните, создают ли теневые технологии угрозу для безопасности

«Первым делом нужно выявить теневые ИТ, имеющиеся в организации, – рекомендует руководитель консультационных служб компании Grant Thornton Рой Николсон. – Есть много способов это сделать. Один из них – это мониторинг исходящего сетевого трафика с учетом того, что значительная доля теневых ИТ обычно включает программное обеспечение или инфраструктуру, предоставляемую в качестве сервиса. Проанализировав полученные результаты, можно приступать к оценке безопасности».

«Безопасность теневых ИТ следует оценивать точно так же, как и безопасность других типов программного обеспечения и сервисов, – советует руководитель Juniper Threat Labs Мунир Хабад. – Теневые ИТ не требуют каких-то других процедур оценки. Необходимо лишь выявить все риски, чтобы потом их можно было отследить и смягчить».

Неизвестные пользователи и устройства в корпоративной сети могут порождать бреши в системе безопасности и увеличивать риски. «Эффективным методом обнаружения теневых ИТ являются системы контроля за доступом к сети, предоставляющие в реальном времени информацию о каждом человеке, системе или устройстве, подключенным к корпоративной инфраструктуре, – указал Грин. – Инструменты анализа поведения пользователей и объектов (user and entity behavior analytics, UEBA) помогают обнаружить скрытые киберугрозы, преодолевающие периметр защиты, и предотвращать наносимый ими ущерб. Такие инструменты – отличное средство защиты активов компании».

4. Определите потенциальную ценность теневых ИТ, используемых в качестве производственных инструментов

Ценность теневых инструментов проще всего определить в ходе обсуждения технологий с пользователями. «Ваши сотрудники знают, как можно сделать компанию более эффективной и повысить производительность труда, лучше, чем любой поставщик, торговый представитель и специалист по безопасности или инфраструктуре, – заметил независимый архитектор систем безопасности Питер Ванльперен. – Относитесь к сотрудникам так же, как вы относитесь к клиентам и потребителям, предоставляйте им хорошие инструменты для работы, и они будут демонстрировать прекрасные результаты без всяких теневых технологий. Если сотрудники используют теневые инструменты, значит, у них есть на это весомые причины. Постарайтесь выяснить, почему пользователи обращаются к теневым технологиям и чего им не хватает. Лучше всего провести опрос, посвященный потенциальным новым инструментам, и дать людям возможность выбрать различные варианты. Избегайте слишком сложных инструментов».

5. Разработайте совместно с поставщиками теневых ИТ корпоративные версии инструментов

«Если ИТ-служба выявила серьезные причины для преобразования теневых ИТ в одобренный инструмент для бизнеса, организации следует начать с их разработчиками переговоры, – рекомендует вице-президент компании Logicalis по безопасным инфраструктурным решениям Рон Темске. – У многих поставщиков программного обеспечения есть разные версии их продуктов, и они готовы сотрудничать с организациями, чтобы адаптировать свои инструменты к их нуждам».

Еще лет 10-15 назад большинство потребительских инструментов, находивших применение в качестве теневых ИТ, не отвечало корпоративным стандартам безопасности и нормативным требованиям. «Сегодня с большинством таких инструментов ситуация обстоит совсем по-другому, – подчеркнул директор сайта G2 Crowd по исследованиям Майкл Фошетте. – Есть, конечно, и исключения, и в этом случае ИТ-служба должна предоставить аналогичный инструмент на замену … или вместе с поставщиком заняться улучшением его решений».

6. Внедрите технологии с сохранением изначальных преимуществ теневых версий

После принятия решения о возможности официального внедрения ИТ-служба должна озаботиться приведением теневой технологии к полностью приемлемому и безопасному состоянию. «Убедитесь в том, что базовые сценарии использования выполняются, а обо всем остальном можно не беспокоиться, – заметил Ванльперен. – Если желаемый инструмент не работает должным образом, то количество теневых ИТ увеличится».

Скорейший способ взять теневой инструмент под контроль ИТ-службы, обеспечить безопасность, сохранив при этом его первоначальную полезность, заключается в организации переговоров с поставщиком. Необходимо разъяснить ему специфические потребности организации, а затем, проведя тесты и экспериментальное развертывание, проверить, выполнил ли поставщик свои обещания. «Важно понимать также, что существуют теневые ИТ, для которых никогда не будут выпущены корпоративные версии», – предупреждает Кодеро.

7. Будьте бдительны

ИТ-служба должна внимательно следить за новыми теневыми технологиями, которые пускаются в ход, как только сотрудники приносят с собой соответствующие инструменты. С другой стороны, организация, выявившая ряд успешно внедренных теневых ИТ, должна понимать, что возможностей ее ИТ-службы в части быстрого и эффективного развертывания надежных решений явно недостаточно. «В результате возникает дефицит взаимодействия и, возможно, дефицит доверия, – пояснил Адато. – Ни один сотрудник, группа, подразделение или организация не смогут успешно действовать, пока не устранены соответствующие основополагающие препятствия».

И наконец, ИТ-службе не следует одобрять сомнительные теневые инструменты только потому, что они отвечают потребностям работника. «В случае возникновения бреши в системе безопасности и достаточно долгого простоя ответственность за инцидент ляжет на директора ИТ-службы или технического директора, – предупреждает основатель и глава консультационной компании Project Management Essentials Алан Цукер. – ИТ-служба должна обеспечить соответствие используемых теневых ИТ корпоративным стандартам».

– John Edwards. 7 ways to embrace shadow IT and win. CIO. MAY 3, 2018

В ассоциации Online Trust Alliance* подготовили десятку рекомендаций о том, как использовать устройства Интернета вещей на предприятии, не делая его более уязвимым для киберугроз. Основная задача – повышение осведомленности и минимальный доступ к самым незащищенным устройствам. Точные знания о том, какие устройства уже подключены к сети, насколько они защищены и какие действия для них разрешены, – вот залог успеха стратегии безопасности Интернета вещей.

Итак, сам список.

1. Все пароли, установленные на любых устройствах по умолчанию, должны быть изменены, а если стандартный пароль на каком-либо устройстве изменить нельзя, то его лучше вообще не использовать. Привилегии, назначенные устройствам, должны быть минимальными, достаточными для их работоспособности.

2. Проведите исследования – прежде чем подключить устройство к вашей сети, необходимо выяснить о нем все подробности; то же касается любых локальных и облачных сервисов, которые могут работать с новым сетевым устройством.

3. Для устройств Интернета вещей по возможности нужно создать отдельную сеть, защищенную межсетевым экраном и работающую под пристальным наблюдением. Это поможет изолировать потенциально небезопасные устройства от основных сетей и ресурсов.

4. Не используйте ненужные вам функции – например, если «умный» телевизор используется только для отображения информации, вы вполне можете отключить его микрофон и даже сетевые соединения.

5. Обращайте внимание на возможность физической компрометации – любые устройства с аппаратной кнопкой возврата к фабричным настройкам, доступными разъемами или заданными по умолчанию паролями уязвимы.

6. Гаджеты, которые автоматически подключаются к открытым сетям Wi-Fi, представляют собой источник опасности. Позаботьтесь, чтобы такого не происходило.

7. Если вы не можете заблокировать весь входящий трафик ваших устройств Интернета вещей, убедитесь в том, что у них отсутствуют открытые порты, через которые злоумышленник может взять устройство под контроль.

8. Шифрование – ваш союзник. Если есть способ заставить ваши устройства Интернета вещей обмениваться данными в зашифрованной форме, используйте его.

9. Обновления – еще один ваш союзник: устанавливайте заплаты независимо от того, проверяют устройства наличие обновлений сами или это надо регулярно делать вручную. Не используйте оборудование, которое не может получать обновления.

10. Принимая во внимание предыдущий пункт, не используйте продукты, которые уже не поддерживаются производителем, либо те, чью защиту уже невозможно обеспечить.

* Online Trusted Alliance был основан в 2005 году как отраслевая ассоциация для борьбы с угрозами безопасности, связанными с использованием электронной почты, и со спамом. С тех пор задачи альянса эволюционировали, поскольку диапазон технологий, находящихся в сфере интересов организации, стал гораздо шире и включает технологии Интернета вещей. В 2012 году OTA был поглощен более крупной организацией Internet Society и сейчас работает в ее составе.

– Jon Gold. 10 tips to minimize IoT security vulnerabilities. Network World. April 20, 2018

Состояние информационной безопасности

Безопасность ИТ имеет решающее значение для любого бизнеса, но понятие это настолько всеобъемлющее, что получить представление о реальном положении дел в отрасли и перспективах развития на будущее очень сложно. Вот почему ежегодно издание CSO совместно с компанией PwC проводит опрос руководителей служб технической безопасности во всем мире, с тем чтобы понять какая ситуация сложилась на сегодняшний день.

Опрос «Глобальное состояние информационной безопасности в 2018 году» был проведен среди читателей CIO и CSO, а также клиентов PwC. Соответствующий отчет был составлен по итогам ответов более чем 9,5 тыс. генеральных и финансовых директоров, руководителей информационных служб, директоров по безопасности и информационной безопасности, вице-президентов, ИТ-директоров и специалистов по безопасности из 120 стран.

Результаты проведенного исследования дают ответы на следующие вопросы:

• Кто несет ответственность за безопасность?
• На что тратятся выделяемые средства и какие мероприятия планируются в этой сфере?
• Каковы существующие технологические тенденции, с которыми приходится сталкиваться специалистам по безопасности?
• Как отражается на безопасности взаимодействие различных организаций друг с другом?

Кто отвечает за безопасность?

Люди, возглавляющие направление информационной безопасности, как правило, входят в состав высшего руководства компаний. У 52% компаний, принимавших участие в опросе, имеется должность директора по информационной безопасности, а у 45% – директора по безопасности. Специалисты, занимающие эти должности, подчиняются обычно непосредственно главе организации. Только 24% находятся в подчинении у директора ИТ-службы; все же остальные подчиняются либо генеральному директору (40%), либо совету директоров (27%).

Но, когда мы начинаем спускаться по иерархической пирамиде ниже, ситуация становится более запутанной. Менее чем у половины компаний, принимавших участие в опросе, имеются специальные сотрудники, занимающиеся обеспечением безопасности внутренних бизнес-операций. Только 46% респондентов сообщили об объединении в их организациях вопросов информационной и физической безопасности, лишь у 43% в программу информационной безопасности включены функции конфиденциальности, а более четверти опрошенных не знают, какую позицию по этому поводу занимает их компания.

Ошибки планирования

Число компаний, разрабатывающих конкретные стратегии безопасности, оказалось не так уж велико. Лишь у 56% стратегия информационной безопасности была сформулирована в целом. Что же касается технологий безопасности в специфичных областях, здесь цифры еще хуже – доля не превышает 50%. Перечислим эти области:

• социальные медиа: 44%;
• большие данные: 44%;
• облачные вычисления: 46%;
• мобильные устройства: 47%.

Непосредственное участие в разработке стратегии безопасности в целом советы директоров принимают менее чем у половины компаний. До сих пор во многих организациях советы директоров не имеют никакого отношения к контролю за повседневными операциями.

Безопасность – процесс непрерывный

Многие из будничных, но жизненно необходимых мер безопасности включают в себя повторяющиеся меры – не слишком привлекательные, но зачастую очень важные для подготовки организации к защите от атак. В большом числе организаций такие меры не являются приоритетными, и только около половины опрошенных отметили, что их компании прилагают значительные усилия в этом отношении. Перечислим, каким мерам, имеющим отношение к безопасности, уделяется внимание:

• повышение уровня информированности: 52%;
• программа для выявления важных активов: 46%;
• оценка уязвимости: 46%;
• реакция в рамках управления инцидентами: 46%;
• тестирование на предмет возможностей проникновения: 42%.

Куда и почему уходят деньги?

Вопросы информационной безопасности в организациях зачастую считают поглотителями финансовых средств, далеко не всегда приносящими желаемую отдачу. Чем определяется выбор направлений затрат в компаниях, принимавших участие в нашем опросе? Приведем пару довольно интересных результатов:

• 49% опрошенных утверждают, что затраты на безопасность зависят исключительно от оценки рисков; 
• 66% отметили, что в их организациях расходы определяются доходами каждого из направлений бизнеса.

Возникает вопрос: ведется ли в компаниях «борьба с пожарами» повсюду, где они появляются, или же защитить стремятся лишь наиболее ценные активы? Интересно также, какова степень распыления расходов между разобщенными активами. В любом случае высокотехнологичные операции нуждаются в защите: 59% опрошенных заявили, что после перевода экосистемы бизнеса на цифровые рельсы их компании стали инвестировать в безопасность больше.

Защита облака

Несмотря на то что только у 46% компаний имеется стратегия обеспечения безопасности облачных вычислений, переход в облако происходит, и происходит быстро. Уже сейчас 46% опрошенных утверждают, что большая часть ИТ-сервисов у них доставляется через облако, а 60% рассчитывают на то, что это произойдет в течение ближайших пяти лет. Если говорить о данных, то тут положение дел меняется еще быстрее: 40% уже хранят важные данные в различных облачных ресурсах, а 36% планируют проделать это в ближайшие год-полтора.

А теперь перейдем к использованию моделей облачных вычислений (учтите, что каждой из них присущи свои собственные проблемы, связанные с безопасностью):

• публичное облако: 34%;
• частное облако: 55%;
• гибридная модель: 29%.

Роботы и гаджеты

Роботы, устройства Интернета вещей и другие распределенные встроенные системы начинают из произведений научной фантастики перемещаться в реальный мир и нуждаются в защите. Некоторые компании уже внедряют у себя роботов, и их беспокойство в отношении угроз безопасности вполне обоснованно: 40% опасаются кибератак, которые могут привести к нарушению производственных процессов, а 22% говорят даже о потенциальной угрозе жизни людей.

Гаджеты Интернета вещей, наверное, не столь опасны для жизни, но это не может стать поводом для самоуспокоения. 67% компаний уже имеют или планируют стратегию в отношении Интернета вещей, но только 34% оценивают риски Интернета вещей для бизнеса. Кто конкретно отвечает за безопасность Интернета вещей? Ответы респондентов таковы: 29% указывают на директора по информационной безопасности, 20% – на инженерный персонал, а 17% называют ответственным директора по рискам.

Взаимодействие с другими организациями

В области безопасности всегда полезно знать о лучших достижениях отрасли, даже если для этого приходится поддерживать связь с конкурентами. Существуют официальные отраслевые объединения, помогающие получать необходимую информацию, и 37% компаний принимают участие в их работе. В целом 58% организаций так или иначе поддерживают связь с другими компаниями.

Какой информацией они готовы делиться? Здесь также существуют определенные градации, и результаты нашего опроса помогают понять, какие сведения организации считают полезными для себя:

• внутренняя информация об угрозах: 70%;
• тактики, технологии и процедуры нейтрализации угроз: 56%;
• внутренние инциденты в области безопасности: 55%;
• тактики реакции на инциденты: 44%;
• изучение угроз: 30%.

Приносит ли такая кооперация свои плоды? Только 37% опрошенных считают, что соответствующие усилия помогли им повысить уровень своей осведомленности об угрозах и способах эффективного противостояния им.

Внешние поставщики

ИТ становятся все более взаимозависимыми, особенно в свете передачи многих функций поставщикам облачных сервисов. В компаниях не обходят своим вниманием и возникающие при этом вопросы: 38% организаций ежегодно проводят оценку безопасности своих поставщиков, а 56% делают это дважды в год или даже чаще. Вместе с тем только 39% опрошенных считают себя «хорошо подготовленными» с точки зрения защиты важных данных в облаке или в среде независимых поставщиков.

Результаты опроса объясняют, почему им не хватает уверенности. Только 46% респондентов проводят аудит внешних поставщиков, позволяющий гарантировать защиту клиентских данных. И лишь 46% компаний требуют от поставщиков услуг соблюдения утвержденной политики конфиденциальности.

Драгоценные данные

Компании начинают понимать, что клиентские данные являются одним из самых ценных активов, а их утечка может привести к фатальным последствиям. К сожалению, лишь около половины организаций принимают меры для защиты этой информации:

• 53% компаний требуют от сотрудников изучения политики конфиденциальности и принятия мер по защите соответствующих данных;
• 49% ограничивают возможности сбора персональной информации, ее хранения и доступа к ней тем минимальным объемом, который необходим сотрудникам для выполнения их легитимных функций;
• 51% следят за процессом сбора, передачи и хранения персональных данных своими сотрудниками.

Тем не менее можно утверждать, что компании постепенно начинают осознавать приоритетность культуры защиты конфиденциальной информации: 67% опрошенных сообщили, что за соблюдением соответствующих правил следит директор по конфиденциальности или специальный сотрудник, а 12% планируют ввести у себя такую должность в течение ближайшего года.

– Josh Fruhlinger. Information security, 2018: What we have here is a failure to plan. CSO. October 18, 2017

Преступность переместилась в киберпространство. Сегодня мошенники, не выходя из своего дома, могут причинить ущерб в несколько миллионов рублей. И с каждым днем ситуация только обостряется.

По оценке Сбербанка, ежегодные убытки российской экономики от киберпреступлений составляют не менее 600-650 млрд руб. Прокуратура РФ отмечает 6-кратный рост – до 70 тыс. подобных атак за последние четыре года. Только за первое полугодие 2017 года общая сумма выкупов после захвата компьютеров вирусами-вымогателями достигла отметки в 18 млн долл.

Ни один бизнес не защищен от атак

В уходящем году десятки тысяч компьютеров в 150 странах были заражены вирусом-вымогателем WannaCry. Попав в систему, он шифровал все данные, а за возврат доступа к информации его создатели просили заплатить 300 долл. в криптовалюте. Доступ к данным больниц, банков, государственных учреждений и бизнеса был заблокирован. Только в Великобритании вирус поразил компьютеры 40 клиник – свыше 7 тыс. назначений и операций, даже значимых и срочных, пришлось отложить до тех пор, пока атаку не отразили. Здоровье людей оказалось под угрозой из-за компьютерного вируса.

Еще один вирус – Petya – начал распространение в Украине и парализовал работу различных предприятий в 65 странах. Подобные вирусные атаки влекут за собой финансовый ущерб, угрозу потери данных, а в худшем случае – всего бизнеса. Киберпреступность – растущая проблема для всех крупных компаний, в распоряжении которых большие объемы данных о клиентах.

События 2017 года показали, что сегодня надежная защита информации и приложений – это базовая необходимость для бизнеса.

Как защититься от вредоносных программ

Сохранить данные при возможной атаке вируса поможет комплекс простых мер. Один из основных элементов борьбы – создание бэкапов. Однако нужно помнить, что вирус, попав в систему, может распространиться и на резервные копии. Чтобы этого избежать, рекомендуется следовать правилу «3-2-1»: создавать минимум три резервные копии на двух типах носителей. При этом один бэкап должен храниться удаленно — на физическом носителе или в другой сети. Это не требует специальных технологий, зато увеличивает безопасность данных в случае атак. Были случаи, когда удавалось возвратить все файлы благодаря ленточным магнитным библиотекам.

Следующий важный момент в обеспечении безопасности данных – обучение пользователей. Многие забывают о том, что кликать по сторонним гиперссылкам может быть небезопасно. То же самое относится и к скачиванию файлов из социальных сетей с рабочих компьютеров. Что касается работы с хранилищем резервных копий, то для входа стоит использовать отдельные учетные записи. Достичь максимального эффекта от этой меры можно, ограничив круг доверенных лиц и отделив рабочую среду от инфраструктуры бэкапа.

Когда атака случится – вопрос времени

По данным ФБР, в 2016 году компании выплатили разработчикам вирусов-вымогателей около 1 млрд долл., или в 40 раз больше, чем в 2015 году. По результатам исследования Veeam Availability Report 2017, из-за незапланированных простоев, одной из причин которых как раз и могут быть вирусы, компании в среднем терпят ущерб на сумму 21,8 млн долл. в год. К сожалению, нет какого-то единого решения, которое способно обеспечить комплексную защиту от всех возможных угроз. Однако сегодня бизнес может дополнительно обезопасить себя от простоев посредством постоянного резервного копирования всех важных данных. Тогда восстановление информации не займет несколько часов или дней – потребуется всего лишь несколько минут. Важно, что такие решения могут осуществлять постоянное копирование данных и проводить мониторинг состояния и способности восстановления уже созданных копий. Это и есть та самая гарантия, которая нужна бизнесу.

Киберпреступность – серьезная угроза, и с ней нужно бороться совместно. Нет сомнений в том, что потеря данных и остановка работы важных приложений критичны как для бизнеса, так и для государственных учреждений. Создание резервных копий и их защита – одни из самых эффективных способов противостоять вирусным атакам. Однако, для того чтобы противостоять вызовам современности и обеспечить надежное хранение информации, нужно несколько слоев комплексной защиты. Также крайне важно разработать план аварийного восстановления, чтобы знать, как действовать при атаке вируса-вымогателя. Ведь сегодня вопрос не в том, нападут ли на вас, а в том, когда это случится.

Без соответствующей подготовки бизнес остается уязвимым для незапланированных простоев, которые, как можно было увидеть при атаках на Uber, Equifax, Verizon, British Airways и Delta, могут привести к серьезным последствиям: финансовым потерям, ущербу для репутации бренда и потере доверия клиентов.

– Виталий Савченко, руководитель группы системных инженеров Veeam Software в России и СНГ

У Москвы весьма обширное ИТ-хозяйство, в столичном центре обработки данных сосредоточено более 300 информационных систем. Многие из них критически важны для функционирования городской инфраструктуры, а значит, требуют повышенной защиты. Техническую политику, основные принципы создания ИТ-ландшафта и информационных систем, в том числе и политику безопасности, определяет государственная программа Москвы «Информационный город». О том, как устроена работа по защите городских информационных ресурсов, с какими вызовами приходится сталкиваться и чем опыт столицы может быть полезен бизнесу, рассказал заместитель руководителя столичного Департамента информационных технологий (ДИТ) Александр Горбатько.

Какие ключевые задачи в области информационной безопасности стоят перед ДИТ и с какими основными проблемами приходится сталкиваться при их решении?

Москва – это крупная корпорация. Одна из основных задач ДИТ – безотказная и непрерывная работа информационных систем 24 часа в сутки 365 дней в году, обеспечение конфиденциальности и целостности персональных данных граждан. В этом и заключается для нас понятие безопасности.

Сложные высоконагруженные системы, как дома, строятся по определенным принципам. Все инфосистемы города сконцентрированы в Общегородском центре обработки данных, размещенном на трех географически разнесенных площадках.

Ежедневно в информационные системы столицы заходят около тысячи системных администраторов. В ЦОДе большое количество систем, и всегда существует «человеческий фактор», поэтому доступ к ним осуществляется по определенным правилам, которые постоянно развиваются. Есть даже отдельная система, контролирующая действия администраторов внутри городского ЦОДа.

Наши технические задачи – построение и совершенствование имеющегося ИТ-ландшафта, соблюдение политики разделения защищенных систем от нулевого до десятого уровня отказоустойчивости. Особо критичные системы должны работать всегда – следовательно, затраты на их разработку и защиту более высоки. В других системах могут быть перерывы в работе – например, в ночное время или в праздники. С учетом этого информационные системы категоризируются по уровню защиты и финансовым затратам.

Основная организационная задача – доведение информации до наших сотрудников, подрядчиков, инженеров. Последние вирусные эпидемии нас почти не затронули, так как мы знали о них заранее и проводили профилактические мероприятия, информируя органы власти Москвы и пользователей, что нужно делать, а чего, наоборот, стоит избегать. Аналогичная работа идет постоянно, так как подобные угрозы возникают очень часто. Блок ИБ взаимодействует с федеральными структурами – регуляторами отрасли (ФСТЭК, ФСБ и ФСО) и видит все тенденции данной сферы. Более того, мы постоянно сотрудничаем с государственными центрами мониторинга: FinCERT – Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Центробанка, ГосСОПКА – Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак, – потому что нам важно иметь больше источников информации о происходящем в мире в области ИБ.

Даже элементарное обновление операционных систем – важный элемент в общей совокупности мер по обеспечению безопасности информационной среды. Червь WannaCry, используя машинные протоколы инфообмена, проникал в системы, которые вовремя не были обновлены.

Человеческий фактор – вторая по распространенности причина происшествий в области ИБ после вредоносных программ. Что делает ДИТ для повышения грамотности пользователей с точки зрения кибербезопасности?

Многое. Практически в течение всего мая текущего года мы совместно с Роскомнадзором и Департаментом образования города Москвы проводили лекции в московских школах по грамотной работе в Интернете. Важно отметить, что нашей аудиторией стали не только школьники, но и учителя. Считаю, что именно через электронное образование можно повысить уровень восприятия ИТ-отрасли. Мы стараемся воспитать квалифицированных пользователей или даже администраторов – будущих создателей новых информационных систем.

Мы занимаемся повышением грамотности как населения, так и самих работников ДИТ. Для коллег используется система дистанционного обучения для прохождения электронных учебных интерактивных курсов, разработанных при участии наших экспертов по ИБ. В курсах в том числе затронут актуальный вопрос защиты от методов социальной инженерии. Кроме того, сотрудники могут пройти очное обучение в специализированных аккредитованных учебных заведениях.

Для самообразования работниками ДИТ используются электронная библиотека, телеграм-канал «ЭруДИТ», база знаний на портале in.mos.ru. Проходят мероприятия по обмену опытом «ДИТ говорит» и кросс-продуктовые проекты. На постоянной основе по корпоративной электронной почте осуществляется информационная рассылка по вопросам обеспечения ИБ – например, о защите от актуального в настоящее время вредоносного ПО.

Как организована защита городских инфоресурсов?

Централизованный блок ИБ вырабатывает принципы взаимодействия с регуляторами и правила оперативного информирования. Кроме того, есть локальные ИБ-блоки, которые приближены к разработчикам и погружены в отрасль. Например, в образовании есть свой блок ИБ, который хорошо знает отраслевую задачу. Но при этом он должен выполнять правила, исходящие от централизованного блока, который и контролирует их исполнение. Он же имеет возможность проверять надежность систем, привлекая компании, которые пытаются проникнуть в них и сломать до того, как это попытается сделать реальный злоумышленник. Мы работаем на опережение: регулярно проводим аудиты и своеобразные тесты, привлекаем, как бы парадоксально это ни звучало, специально обученных хакеров – они испытывают наши системы на прочность, пробуют их взломать, тем самым выявляя слабые места и подсказывая, что нам стоит доработать.

Информационная гигиена Не стоит относиться к информационной безопасности как к чему-то необъятному и непонятному, считает Александр Горбатько. Это совершенно простые правила, которые надо знать и соблюдать ежедневно: не разбрасывать логины и пароли, регулярно их менять, не открывать ненужные письма, использовать достоверные источники информации, не заходить на фишинговые сайты, пользоваться антивирусом, вовремя обновлять информационные системы. «Это азбука, но все начинается с малого», – подчеркнул он.

Какие современные сложные задачи есть в вашей работе?

Такие задачи все время возникают. Мы активно участвуем во всех интернет-сообществах по ИБ, работаем с регуляторами и видим тенденции. Создаются системы с искусственным интеллектом, повышается мощность вычислительной среды. Это требует совершенно другого класса противодействия атакам, потому что данные технологии позволяют вскрыть любую существующую защиту. Борьба «щита и меча» всегда была, есть и будет. Как только мы научимся применять при аутентификации распознавание лиц и биометрию, тут же появятся средства, которые начнут использовать эти же технологии для взлома информационных систем.

Обратная сторона распределенных вычислений и дата-майнинга – это объединенные для попытки проникновения вычислительные мощности. Последние атаки показали, что можно объединить большое количество машин и использовать для взлома значительные мощности даже без участия человека. А при добавлении искусственного интеллекта получается орудие, способное пробить любую защиту. Это надо просто учитывать и применять в нашей работе.

Вы к этому готовы?

Мы обязательно будем готовы. Пока этого еще нет, есть только тенденции, и мы их знаем.

Согласны ли вы с тем, что самое эффективное средство защиты – профилактика и вкладывать в устойчивую ИТ-инфраструктуру гораздо эффективнее, чем тратиться на средства защиты, накладываемые на уже построенные системы? И можно ли назвать архитектуру ИТ-систем Москвы зрелой с точки зрения ИБ?

Да, однозначно. Каждые 30 секунд кто-то пытается проникнуть в городские системы. Хорошо, что в 95% случаев это просто интерес обычных горожан, прочитавших инструкцию об использовании «дырок» в операционных системах. Сейчас несложно стать «бытовым хакером» – в Интернете огромное множество инструментов, которые позволяют это сделать. Но 5% – это серьезные атаки, от них приходится защищаться, в том числе прибегать к внешним компаниям и просить помощи у регулятора.

Мы сейчас пытаемся решить важную задачу – не только предотвратить атаку, но и наказать нападающего. С нашими техническими возможностями логирования и аналитики мы можем найти любого, кто пытается проникнуть в городские системы. Но, по закону, дальше действовать вправе только правоохранительные органы.

Наша задача – работать на упреждение. Когда систему уже взломали, можно сделать хороший пиар о ее спасении, но это значит, что техническая служба и отдел безопасности плохо сработали, не предусмотрели необходимого заранее.

Истории с WannaCry – это недостаток профилактической работы и качественного построения как самих систем, так и их защиты. Безопасность не может «стоять в сторонке» при разработке информационной сиситемы и создании ИТ-ландшафта. Безопасность строится вместе с администраторами и разработчиками.

В последнее время Москва очень быстро запускает новое программное обеспечение, и мы дорожим умением выпускать качественные и востребованные сервисы. Но при этом всегда приходится искать компромисс – как внедрить сервис быстро и в то же время отладить ИБ.

Изначально уязвимые и вынужденные заниматься ИБ, «умные» города последние несколько лет пытаются превратить недостаток в преимущество, становясь поставщиками не только ИТ-услуг, но и услуг ИБ. Не намерен ли ДИТ предоставлять услуги ИБ для своих подрядчиков, тем самым повышая и уровень защиты городских систем?

Компетенции у нас высокие, но работать на рынок мы не планируем. С точки зрения методологии и опыта мы всегда открыты, участвуем во всех семинарах и конференциях, готовы рассказывать, что нужно делать, и показывать, как это реализовано практически.

А есть необходимость раскрывать «зонтик» над теми подрядчиками, где уровень ИБ ниже?

Для этого у нас есть регламенты и контроль подрядчиков, в этом состоит наша воспитательная роль: мы рассказываем, на что нужно обратить внимание. Но «построить» коммерческую организацию – не в нашей компетенции. Если подрядчик работает с нашей системой, мы требуем обеспечить безопасность такой работы.

Но ведь современные архитектуры устаревают?

Они все время видоизменяются, это живой организм. Сейчас мы подключаем российский сегмент Интернета (RSNet), появляются новые международные и отечественные решения, их добавляем в ИТ-ландшафт. Например, для усиления защиты переходим к модели ZeroTrust для разделения системы внутри защищенного сегмента ЦОДа. Множество систем и администраторов иногда начинают мешать друг другу, технологическая модерация позволяет отделить проблемы одной системы от другой. Мы стараемся свести к минимуму человеческий фактор, совершенствуем технический ландшафт, чтобы недобросовестных исполнителей отделить от добросовестных. Проект пилотируется полгода, и ряд систем уже перешли на эту модель защиты.

Это небыстрый процесс, но даже один межсетевой экран на другой сразу сменить невозможно. Надо учитывать, что это высоконагруженное устройство: у нас почти нет «окон», когда можно все выключить и что-то починить. Мы всегда должны исправлять и совершенствовать работающий механизм. И это, наверное, самая большая трудность – как сделать его совершеннее, не нарушив принципов бесперебойного функционирования. Все работы проводятся только в ночное время и в праздничные дни.

На программу «Информационный город» в 2016 году было потрачено около 40 млрд руб., на ИБ – 500 млн руб. Это обычная пропорция в стоимости защиты и защищаемых объектов. Но в «умном» городе, где речь идет в том числе о физической безопасности жителей, об экологии, разве расходы на ИБ не должны быть выше?

Затраты на ИБ варьируются в зависимости от задач. Если у нас появляется более высоконагруженная система, критичная с точки зрения доступности для пользователей, то мы выделяем больше средств на ее защиту.

Базис, централизованная защита – общегородской ЦОД, система ZeroTrust, ПО для логирования действий администраторов в ЦОДе. Эти расходы довольно просто посчитать. Дальше в каждом направлении есть свои особенности.

Что из опыта столицы в области кибербезопасности может быть полезным для защиты корпоративных инфоресурсов?

Здесь две составляющие: организационная и техническая. У нас довольно обширная библиотека методик, регламентов взаимодействия. Есть большая лаборатория, там мы тестируем все без исключения решения. Все, что закупается для нужд города, тестируется на подтверждение технических характеристик и на совместимость. Информация о результатах отладки как ПО, так и оборудования открыта, мы можем точно сказать, что работает, а что – нет.

К сожалению, все высокопроизводительное «железо» не российское. Мы полностью перешли на отечественный антивирус, но уйти от некоторых зарубежных разработок не можем, как бы мы ни хотели заниматься импортозамещением. В городские системы ежедневно заходят почти 2 млн пользователей. Обеспечить такую мощность и обновить ПО до того, как появятся атаки, наши производители пока не могут.

Думаю, это экономическая проблема: чтобы разрабатывать и обновлять продукт такого уровня, нужен рынок, одна Москва не может обеспечить достаточный финансовый поток. Но подобных корпоративных клиентов, потребляющих тяжелое оборудование с похожими нагрузками, очень мало. Чтобы иметь постоянную финансовую подпитку и совершенствоваться, аналогичный продукт должен продаваться на мировом рынке.

Искусственный интеллект применяется уже несколько десятков лет. Первоначально он работал на основе набора заранее заданных правил. В 70-х годах широкое распространение получили технологии на основе нейронных сетей, которые посредством использования самообучающихся моделей определяли, какие данные являются нормальными, а какие – не укладывающимися в стандартную модель поведения информационной системы. В начале 2000-x годов началось активное развитие ИИ для решения практических задач: алгоритмы научились обрабатывать изображения, видео и голос. «Развитие ИИ в сфере информационной безопасности началось в 2005-2008 годах и было направлено в первую очередь на защиту наиболее атакуемых ресурсов – веб-серверов, но вскоре нейронные сети стали использовать и в других решениях, например при разработке эвристических модулей антивирусов», – говорит Андрей Заикин, руководитель направления информационной безопасности «Крок».

Камиль Газизов, генеральный директор «РТ-Информ» (Центр компетенции ИТ и ИБ «Ростеха»): «Одной из главных проблем в сфере ИИ на сегодня является создание автономной интеллектуальной системы, способной к принятию самостоятельных решений в зависимости от ситуации»

Сегодня искусственный интеллект вышел из ИТ-лабораторий в бизнес-среду, где не только стал модной тенденцией, но и нашел вполне практическое применение: для снижения издержек и оптимизации внутренних процессов. И в ближайшие десять лет технологии ИИ повлияют практически на все сферы бизнеса. По прогнозам международной исследовательской компании Markets and Markets, к 2020 году рынок ИИ вырастет до 5 млрд долл. Как объясняет Камиль Газизов, генеральный директор «РТ-Информ» (Центр компетенции ИТ и ИБ «Ростеха»), традиционно под ИИ подразумевают систему, предназначенную для автоматизации решения интеллектуальных задач. Одной из главных проблем в сфере ИИ на сегодня является создание автономной интеллектуальной системы, способной к принятию самостоятельных решений. Пока эта система использует уже заложенные в нее правила или алгоритмы. Внедрение ИИ открывает новые возможности перед специалистами по безопасности, но не отменяет их ведущей роли. Человеческий разум по-прежнему значим и необходим. Все процессы остаются под контролем специалистов по безопасности. Тем не менее попытки приблизиться к созданию автономного ИИ будут предприниматься и, возможно, со временем увенчаются успехом.

Что касается кибербезопасности, то искусственный интеллект поможет эффективнее решать задачи, которые ранее решались традиционными способами. В частности, по словам Газизова, благодаря использованию ИИ повысится уровень обнаружения угроз, сократится время реакции и усовершенствуются способы определения реальных попыток нарушения периметра безопасности. Кроме того, ИИ может устранить существующие бреши в сфере ИБ, которые появляются вследствие стремительного развития современных технологий, включая Интернет вещей.

По словам Рустэма Хайретдинова, генерального директора «Атак Киллер», как и в любой другой области, в кибербезопасности ИИ помогает оперативно анализировать большие объемы данных, освобождать операторов от рутинной и часто монотонной работы. Улучшение качества аналитики и исключение человеческого фактора позволяют эффективнее обнаруживать и отражать новые атаки.

Перспективы применения ИИ в кибербезопасности

Тимур Аитов, заместитель генерального директора группы компаний «Программный Продукт»: «Искусственный интеллект можно сравнить с ковшом экскаватора, который удесятеряет силы землекопа и позволяет перелопатить огромные объемы информации там, где появляются большие данные»

Тимур Аитов, заместитель генерального директора группы компаний «Программный Продукт», считает, что в целом перспективы применения ИИ в кибербезопасности обширны и без технологий ИИ обойтись в среднесрочной перспективе будет невозможно. С ним согласен и Заикин: «Современный ИИ – это система, способная выискивать аномалии, которые невозможно описать определенными правилами. В этом его главное преимущество по сравнению с классическими системами информационной безопасности, работающими на основе свода правил, задаваемых человеком».

Любое событие, в том числе событие информационной безопасности, всегда оставляет информационные следы, продолжает Аитов. Если стоит задача разобраться в том, что случилось, оценить вероятность повторения, дать прогноз, то информационный след должен быть максимально полным. Приходится собирать и анализировать огромное количество информации, поступающей из самых разнообразных первичных источников. При этом перерабатываются горы пустой информационной «руды», и всё для того, чтобы выявить крупицы знаний – основных взаимосвязей, позволяющих понять, что собственно случилось и почему. Здесь на помощь приходит ИИ, способный оперативно переработать и выявить эти закономерности и факты для дальнейшей оценки и принятия решений человеком. Искусственный интеллект играет роль помощника в тандеме человек-машина. Возможно, роль человека постепенно станет уменьшаться, а машины будут становиться все более самостоятельными. Но сегодня без участия оператора тандем пока работать не может. Что касается эффективности, то к каким-то радикальным изменениям в борьбе с преступниками технологии ИИ пока не приводят, но в среднесрочной и долгосрочной перспективе прогресс пойдет именно по этому пути – следить за ИТ-системами будут ИТ-системы. В выигрыше окажутся те структуры, те организации, те страны, которые первыми начали использовать эти подходы.

Влияние ИИ на информационную безопасность

Новые системы класса SIEM (security information and event management) обойтись без технологий машинного обучения и ИИ уже не могут, говорит Аитов. Системы передают предупреждения и объявляют тревогу, вычисляют типовые (средние) состояния работы систем, ищут отклонения от этих средних (или аномалии) – все это даже теоретически выполнить человеку невозможно. Искусственный интеллект используют не только SIEM, но и системы обнаружения (IDS), системы предотвращения вторжений (IPS), системы управления идентификацией и доступом (IAM), вся аналитика BI и системы продвинутой антивирусной защиты.

По словам Заикина, наибольшему влиянию со стороны ИИ подвергаются системы сетевой безопасности, проактивного обнаружения скомпрометированных узлов сети и системы сбора и анализа событий ИБ. Кроме того, имеются решения, использующие алгоритмы машинного обучения для решения таких задач, как обнаружение аномалий в работе с файловыми ресурсами, базами данных, бизнес-системами, а также предназначенные для выявления мошеннических действий со стороны сотрудников компании.

Наибольшую выгоду от применения ИИ получат те сегменты, где человек справляется хуже машины как по точности определения инцидентов, так и по скорости реакции. «Это противодействие мошенничеству (anti-fraud), анализ трафика на выявление атак, анализ аномального поведения на основе корреляции событий в информационной системе и другие области, где точность и скорость реакции являются критическими для защиты», – перечисляет Хайретдинов.

Барьеры и проблемы, осложняющие использование ИИ в информационной безопасности

В области информационной безопасности обучение на старых данных особого смысла не имеет, в то время как в традиционных для ИИ областях (распознавание лиц и голоса, машинный перевод с одного языка на другой, управление запасами, автопилоты) такой алгоритм – базовая практика. «Старые, уже известные атаки отражаются без всякого ИИ, на уровне сигнатур, и, обучаясь на них, мы можем уподобиться старым генералам, которые готовятся к прошедшей войне. Опасными являются только новые атаки, а над их созданием трудятся лучшие умы киберпреступного мира, и предугадать их идеи машине пока сложно. Поэтому ИИ в кибербезопасности использует другие алгоритмы, менее отлаженные», – считает Хайретдинов.

Аитов особых барьеров для внедрения ИИ не видит, а проблемы могут быть связаны с распределением зон ответственности: в какой мере можно делегировать системам ИИ принятие важнейших решений, кто именно будет нести ответственность за принимаемые системой решения. Проблема может быть легко устранена, если система всегда будет работать в связке с оператором, который примет важнейшие решения. Тогда и вся ответственность за решения и использование этого инструмента ляжет на него. Те же, кто будут делегировать ответственность роботам, столкнутся с проблемами. Придется аккуратно отслеживать и правовые аспекты действия систем ИИ, и подсчитывать возможные убытки – кто их будет компенсировать, если срабатывание было ложным? Пока в этой части полностью доверять машинам мы не можем.

Андрей Заикин, руководитель направления информационной безопасности «Крок»: «Искусственный интеллект – не панацея от всех проблем сетевой безопасности, а дополнительное средство, которое позволяет обнаруживать атаки и реагировать на них. При этом классические системы ИБ по-прежнему необходимы и востребованы»

Барьером, осложняющим использование ИИ, могут стать затруднения в интерпретации результатов работы алгоритмов, считает Заикин. Те системы ИИ, которые придерживались нисходящей парадигмы, ориентировались на четкие правила и могли «объяснить», почему та или иная активность является аномальной. Результат работы систем на основе нейронных сетей, придерживающихся восходящей парадигмы, не всегда так просто интерпретировать. Зачастую аналитику требуется немало времени, чтобы понять, действительно ли активность связана с вредоносными действиями злоумышленника или, допустим, в компании появился новый сотрудник, которого активно привлекают к проектам. Однако сейчас уже есть решения, которые объединяют эти два подхода, благодаря чему интерпретируемость результатов значительно повышается, а значит, сокращается время на расследование инцидента и снижается нагрузка на эксплуатационный персонал.

Еще одна сложность заключается в том, что современные системы ИИ могут обучиться совсем не тому, чему их изначально планировали научить разработчики, продолжает Заикин. Качество работы таких систем в большинстве случаев зависит от того, на каких данных они обучаются. Если в этих данных изначально присутствует аномальная активность, то ИИ будет в дальнейшем квалифицировать ее как нормальную и, следовательно, не обнаружит. Безусловно, систему можно дообучить в процессе эксплуатации, но такие сложности нельзя оставлять без внимания.

Нападение и защита: ИИ меняет соотношение сил

Хайретдинов считает: с использованием ИИ время реакции на новые угрозы может сократиться до такого минимума, что отражать новые атаки можно будет в реальном времени.

Заикин не прогнозирует кардинальных изменений в соотношении сил: «Хакеры придумывают новые способы взлома информационных систем, защитники разрабатывают новые средства и технологии защиты. Решения на основе ИИ сегодня способны распознавать уже существующие и многие новые виды атак. Но ведь и злоумышленники не стоят на месте и тоже могут использовать ИИ для достижения своих целей».

Аитов считает, что защита , как правило, всегда опережает, особенно при использовании ИИ, – на какую-то небольшую долю, скажем на 10%. Этого небольшого перевеса мы просто не видим. Защита должна соответствовать ценности того актива, который защищает. Можно сделать защиту абсолютно надежной. Но такая защита нецелесообразна – бизнес не сможет функционировать. Всегда приходится балансировать между разумным, удобным и достаточным. Это так называемый риск-ориентированный подход, который обязывает какой-то гол в свои ворота пропускать. Счет идет на уровне 1:1, и явного перевеса в чью-то сторону нет. Но соотношение сил и меры противодействия всегда будет определять защита – у нее возможностей больше.

Экономия благодаря ИИ

Киберпреступность – большой бизнес, который готов инвестировать значительные средства в разработку своих инструментов. Так возможно ли благодаря использованию ИИ избавиться от пропорционального роста инвестиций, необходимых для модернизации средств защиты?

Рустэм Хайретдинов, генеральный директор «Атак Киллер»: «Старые, уже известные атаки отражаются без всякого ИИ, на уровне сигнатур, и, обучаясь на них, мы можем уподобиться старым генералам, которые готовятся к прошедшей войне»

Безусловно, ИИ облегчает усилия защиты, растут ее качественные показатели. «ИИ решает и кадровые вопросы. Эксперты – высокооплачиваемая категория сотрудников, их может не хватать. Если же под началом специалиста по информационной безопасности работают системы ИИ, то его возможности удесятеряются, он становится более производительным, и таких сотрудников нужно уже меньше», – говорит Аитов. Что касается инвестиций в инструменты со стороны самих преступников, то успех киберпреступлений во многом зависит от мастерства злоумышленников. У киберпреступников есть свой инструментарий – пакеты, утилиты, социальная инженерия. Сделав вредоносную программу, они ее рассылают, а эффект связан с легким тиражированием ПО.

Хайретдинов же полагает, что вряд ли только посредством обучения систем защиты удастся сократить рост инвестиций в защиту. Скорее, появятся самозащищающиеся информационные системы с невозможностью выполнения команд, кроме заранее определенных. Такие системы распространены в критических отраслях (атомной, космической) и в армии, но бизнес ради удобства выбрал «системы для домохозяек» и теперь, навешивая на них дополнительные средства, пытается сделать их безопасными. Так что успех зависит больше от объединения сил разработчиков ИТ-систем и безопасников, чем от обучения «навесных» систем защиты.

Противостояние машин

Развитие и использование ИИ – это палка о двух концах, предупреждает Газизов. Безусловно, эту технологию активно осваивают и злоумышленники. Первоначальные атаки направлены на то, чтобы объект «засветил» методы защиты. И после обработки полученной информации идет целенаправленный удар по системам.

Применение ИИ атакующими – это свершившийся факт, не сомневается Хайретдинов. Атакующие обучают свои системы ИИ на атаках на системы защиты, обладают полной информацией об особенностях работы конкретных брендов и подстраивают способы атаки, во время ложных атак «засвечивая», чем именно защищается атакуемая цель. Массовые DDoS-атаки с помощью автоматического заражения или подбора паролей большого количества объектов автоматизации, автоматизированный подбор капчи, имитация поведения человека на веб-сайте – это уже реалии сегодняшнего дня. Противоборство машин уже происходит, и противостоять атакующим роботам могут только роботы-защитники.

Кибервойны уже идут, и преступники все активнее используют ИИ, уверен Аитов. А вот кто кого победит – это вопрос качества разработки. Здесь многое будет зависеть как от быстродействия машин, так и от изощренности и качества алгоритмов.

Киберпреступность – это целая отрасль, в ней задействовано множество людей по всему миру. Им доступны все те современные технологии, которые есть на ИТ-рынке. Например, активно развивается сервисный подход. Существуют сервисы, которые позволяют «прогнать» вредонос и выяснить, обнаруживается ли он антивирусными движками или «песочницами». На рынке есть алгоритмы машинного обучения, которые используют одновременно две машины. Одна из них перепроверяет действия другой, и таким образом осуществляется обучение обоих алгоритмов. Однако подобный сценарий взаимодействия используется для очень ограниченного круга задач. Между тем способов проникновения в ИТ-инфраструктуру – тысячи, и у каждого есть свои особенности и модели обнаружения аномальной активности. Поэтому на данном этапе развития технологий столкновение двух ИИ – злоумышленника и защитника – маловероятно, считает Заикин.

***

Внедрение технологий всегда создает «гонку вооружений» за миллионной прибылью, говорит Газизов. Несомненно, те, кто занимается защитой информации, столкнутся с новыми вызовами. Будь проактивным либо умри – закон новой реальности. Однако в погоне за новшествами не стоит забывать о базисе. Согласно последним исследованиям PwC, 40% российских компаний не имеют стратегии информационной безопасности. Необходимо вести работу и в этом направлении, не забывая о внедрении новых технологий, повышении квалификации сотрудников, взаимодействии и обмене опытом между ИБ-подразделениями предприятий и холдингов.

Будущее информационной безопасности – за интеллектуальными системами, способными обеспечить глубокую аналитику, прогнозирование всего спектра рисков и угроз. Внедрение таких систем создаст необходимость перестройки бизнес-процессов предприятий с учетом использования современных ИТ.

Если вы полагаете, что 2017 год был весьма неблагоприятным с точки зрения появления брешей в системах защиты данных, дождитесь наступления 2018-го. Information Security Forum (ISF), глобальная независимая ассоциация информационной безопасности, нацеленная на обеспечение кибербезопасности и управление информационными рисками, прогнозирует увеличение числа таких брешей. И связано это будет главным образом с пятью глобальными угрозами системам безопасности, с которыми организациям предстоит столкнуться в 2018 году.

В ISF отмечают, что масштабы и темпы распространения угроз информационной безопасности порождают риски для репутации даже самых устойчивых организаций. В 2018 году мы увидим более изощренные атаки, носящие персональный и изменчивый характер, атаки будут направлены на слабые места жертв и учитывать уже предпринятые защитные меры.

Рост числа брешей в системе защиты данных прямо пропорционален объемам скомпрометированных записей. Поэтому в следующем году атаки обойдутся значительно дороже организациям любой величины. Затраты эти будут обусловлены как традиционной очисткой сетей и направлением уведомлений клиентам, так и судебными тяжбами, в которые окажется вовлечен самый широкий круг сторон. Согласно прогнозам ISF, разгневанные клиенты будут оказывать давление на правительства, требуя ужесточения законодательства о защите данных, а это, в свою очередь, повлечет за собой дополнительные расходы.

Усиление наметившихся тенденций будет сопровождаться ростом пяти основных глобальных угроз системам безопасности, с которыми компаниям предстоит столкнуться в 2018 году:

• преступления, предлагаемые в качестве сервиса (crime-as-a-service, CaaS), расширят набор доступных криминалу инструментов и сервисов;
• Интернет вещей добавит неуправляемые риски;
• цепочки поставок останутся слабейшим местом в управлении рисками;
• дополнительное регулирование усложнит управление критически важными активами;
• неоправдавшиеся ожидания руководства будут подкрепляться многочисленными инцидентами.

Преступление как сервис

В прошлом году в ISF предсказывали, что концепция CaaS совершит качественный скачок. В преступных синдикатах, как и в крупных организациях частного сектора, формируются сложная иерархия, партнерские отношения и система взаимодействия.

Прогноз сбылся: в 2017 году наблюдался существенный рост киберпреступности, особенно преступлений, предлагаемых в качестве сервиса, подчеркивают в ISF. В 2018 году этот процесс продолжится. Преступные организации будут диверсифицировать свою деятельность, охватывая новые рынки, и стандартизировать ее на глобальном уровне. Некоторые организации установят связи с существующими криминальными структурами, другие же сосредоточатся исключительно на киберпреступности.

В чем главное отличие от того, что происходит уже сейчас? В 2018 году «начинающие» киберпреступники, не обладающие глубокими техническими знаниями, будут иметь возможность покупать инструменты и сервисы, помогающие проводить атаки, которые при других условиях им бы осуществить не удалось.

Возьмем, к примеру, вирусы-шифровальщики – наиболее популярную сегодня категорию вредоносных программ. В прошлом киберпреступники использовали вирусы-вымогатели, основываясь на некой форме извращенного доверия: они блокировали компьютер, жертва выплачивала выкуп, после чего компьютер разблокировался. Но вхождение в эту сферу начинающих киберпреступников приводит к разрушению «доверия». Даже если жертва выплатит выкуп, она все равно не получит ключ для разблокирования своей собственности или же киберпреступник будет возвращаться снова и снова.

Киберпреступники становятся все более изобретательными при использовании социальной инженерии. И хотя их целями чаще всего являются индивидуальные пользователи, а не предприятия, атаки такого рода представляют угрозу и для организаций.

Интернет вещей

Применение организациями устройств Интернета вещей расширяется, но большинство таких устройств не отвечают требованиям безопасности. ISF предупреждает об отсутствии прозрачности в быстро развивающейся экосистеме Интернета вещей – возникают условия, при которых организации могут использовать персональные данные нежелательным для клиентов образом. В корпоративной среде организациям будет сложно узнать о том, что информация вышла за пределы их сети, а данные тайно захватываются и передаются на различные устройства, например на смартфоны и умные телевизоры.

При возникновении брешей в системе защиты данных или при нарушении прозрачности организации, скорее всего, будут нести ответственность перед регуляторами и клиентами. Компрометация устройств Интернета вещей в промышленных системах управления может привести к физическим повреждениям и даже гибели людей.

«Очень важно, чтобы производители знали сценарии использования, тогда они смогут лучше понять конкретные ситуации, – подчеркивают в ISF. – Но в любом случае Интернет вещей порождает гораздо больше рисков, чем имелось ранее. Как обеспечить безопасность таким образом, чтобы не только устройства, но и мы находились под контролем? Необходимо повышать уровень знаний в этой области».

Цепочки поставок

Вопросы уязвимости цепочек поставок поднимаются много лет. Организации довольно часто делятся с поставщиками весьма ценной и конфиденциальной информацией. При передаче этих сведений возникает опасность их утечки. Возрастают риски конфиденциальности, целостности и доступности информации.

В прошедшем году многие производственные организации теряли производственные возможности, когда их блокировали, затрагивая в том числе и систему поставок. Неважно, чем конкретно занимается компания. Цепочки поставок есть у всех. Вопрос заключается лишь в том, чтобы узнать, где находится информация на каждом этапе производственного цикла.

В 2018 году организациям нужно будет направить максимум внимания на самые слабые места в цепочках поставок. Необходимо действовать на упреждение. ISF рекомендует использовать надежные, масштабируемые и повторяющиеся процессы. Организации необходимо интегрировать управление информационными рисками цепочек поставок в существующие процедуры снабжения и взаимодействия с поставщиками.

Регулирование

Регулирование добавляет сложностей, и принятие Европейским союзом в начале 2018 года закона о защите данных General Data Protection Regulation (GDPR) приведет к появлению еще одного уровня сложности в управлении критически важными активами.

Речь идет не только о соблюдении нормативных требований, но и о том, чтобы иметь возможность в любое время получить доступ к любым персональным данным в масштабах предприятия и цепочек поставок и понять, каким образом осуществляются управление ими и их защита. Это нужно продемонстрировать в любой момент, причем не только регулятору, но и любому их владельцу. И если мы хотим, чтобы все было реализовано правильно, нужно менять порядок ведения дел.

ISF указывает, что выделение необходимых дополнительных ресурсов на выполнение требований GDPR приведет к увеличению сложности и стоимости управления данными, отвлекая внимание и инвестиции от других видов деятельности.

Неоправдавшиеся ожидания руководства

Расхождения между ожиданиями руководства и реальными возможностями системы информационной безопасности будут представлять в 2018 году серьезную угрозу.

Руководство компаний, как правило, не в полной мере осознает последствия работы предприятия в киберпространстве. Оно считает, что директор по информационной безопасности держит все под контролем. Зачастую руководство даже не знает, как правильно сформулировать вопросы. А директор по информационной безопасности не понимает, как разговаривать на эту тему с руководством и представителями основного бизнеса.

Руководство ждет, что одобрение увеличения бюджетов на информационную безопасность в прошлые годы даст немедленные результаты. Но полностью безопасная организация – это недостижимая цель. И даже если руководство это понимает, оно во многих случаях не понимает того, что существенное укрепление информационной безопасности требует времени.

При возникновении серьезного инцидента последствия ощутит не только организация; весьма вероятно, что они самым негативным образом отразятся на репутации членов руководства, как индивидуальной, так и коллективной.

По этой самой причине роль директора по информационной безопасности требует постоянного развития. Он должен предвидеть, каким образом появляющиеся вызовы отражаются на бизнесе, и объяснить это руководству. Хороший директор по информационной безопасности должен быть и продавцом, и консультантом.

– Thor Olavsrud. 5 information security threats that will dominate 2018. CIO. NOV 20, 2017