Киберпреступники максимально быстро адаптируются к новым реалиям бизнеса и технологий. Поэтому противостоять им можно, только лишь учась на собственных ошибках и опыте других и перенимая их умение быстро перестраиваться.
Аналитики Cisco прогнозируют дальнейшую эволюцию кибератак, рост масштабов и усугубление их последствий во всем мире. По мнению специалистов компании, сегодня именно информационная безопасность является ключевым фактором, определяющим не только стабильное функционирование отдельных предприятий, но и успех цифровых преобразований, на которые нацелилось наше государство. Однако проблема в том, что необходимые действия предпринимаются менее чем в половине случаев, когда компании получают предупреждения об информационных угрозах — такие данные приводятся в отчете ACR 2017. О том, что бизнесу необходимо делать для обеспечения информационной безопасности сегодня, и как эта проблема будет решаться в будущем, РБК + рассказал инженер-консультант Cisco Василий Томилин.
ВОЛШЕБНАЯ ТАБЛЕТКА
— Киберпреступники постоянно трансформируются, ищут новые методы и инструменты для атак на бизнес. Есть ли волшебная таблетка, которая сейчас поможет бизнесу защититься? Или единственный вариант — разрабатывать какие-то комплексные подходы?
— Ни волшебной таблетки, ни даже волшебной палочки нет и не будет. Естественно, любой руководитель бизнеса хочет поставить «волшебную коробку», которая решит все проблемы, но так не получается. И не получается уже 10, а то и 15 лет. Мы уже более десятилетия говорим о том, что бизнесу необходимо разрабатывать подходы к обеспечению информационной безопасности. Я бы даже сказал, что мы кричим об этом на всех углах. Также поступают и наши коллеги по отрасли. Но пока достичь желаемого результата не удается.
Ситуация с киберугрозами специфична: они меняются, причем достаточно быстро — это как раз и является константой, определяющей рынок. Каждый год профиль угроз меняется, что-то уходит на второй план, какие-то атаки становятся более активными, что-то появляется новенькое или всплывает хорошо забытое старое. И поэтому самая главная проблема в том, что многие заказчики пока никак не хотят понять и принять тот факт, что информационная безопасность — это процесс. Это некий свод элементов, процедур, правил, дополненных ресурсами, людьми, решениями, которые должны не только непрерывно функционировать, но и непрерывно адаптироваться.
— Каким должен быть системный подход, чтобы он действовал несмотря на внешние изменения?
— Декомпозиция сложной проблемы на элементарные этапы позволяет идти в ногу со временем независимо от внешних факторов. Наша компания, к примеру, такой подход называет «До — Во время — После». Речь идет именно о целостной стратегии обеспечения информационной безопасности. Мы этот подход активно продвигаем, последние годы акцентируя внимание на этапе «После», предполагая, что этапы «До» и «Во время» за предыдущие десятилетия уже всеми осознаны и приняты. Но в действительности у многих пока и первые два этапа не обеспечены.
— Что включается в эти этапы?
Этапу «До» традиционно учат в вузах. Перед тем, как строить любую систему обеспечения информационной безопасности, надо понять, чего мы боимся, за что мы волнуемся больше всего и как оцениваем разные риски. Или построить модель рисков, разработать модель угроз, создать модель нарушителя, выработать на основании этого набор различных мер, нейтрализующих, сдерживающих, компенсирующих, при этом с некоторыми рисками мы вполне можем осознанно смиряться. То есть мы не можем от них защититься и считаем, что даже если подобные инциденты случатся, катастрофы не произойдет.
— То есть угрозы, которые на бизнес не повлияют?
— Не повлияют существенно. Например, есть маленькая компания, которая продает шариковые ручки и больше ничем не занимается. Она спокойно может хранить свои коммерческие данные в условном облаке Google, потому что целенаправленная кража их данных (при соблюдении базовых мер обеспечения ИБ) из публичного облака настолько маловероятна и бесполезна, что этим риском можно пренебречь. Но когда компания становится крупной, ее руководство в какой-то момент поймет, что хранение данных в публичном облаке стало угрожать бизнесу достаточно серьезно.
«В ДОМИКЕ»
— Получается, что проблем, которыми могут пренебречь крупные компании, меньше? Или они просто другие?
— Другие. Дело в том, что у каждой компании свой профиль. Представим организацию, которая занимается массовым обслуживанием населения. Для этого она использует веб-сайт, доступность которого имеет для ее деятельности первостепенное значение, потому что это бизнес-инструмент. Другое дело, когда речь идет о предприятии — «оборонном почтовом ящике». Три страницы сайта оно запускает ради выполнения отраслевого распоряжения, поэтому если доступность сайта кто-то нарушит, с бизнесом ничего не случится. У каждой организации в зависимости от ее масштабов, вида деятельности, модели ведения бизнеса обычно свой набор рисков. Их, конечно, можно типизировать — есть общие риски, есть индивидуальные, — но результирующий набор свой. И только после того, как он определен, можно выбирать решения, которые должны от рисков спасать — и это все этап «до».
Фактически мы строим свой домик, возводим вокруг него забор, там вешаем систему видеонаблюдения, ставим сигнализацию, если нужно. И в какой-то момент решаем, что уже построили систему обеспечения безопасности, у нас сформирована политика безопасности, в соответствии с которой мы все делали. У нас есть процессы, наборы правил, и мы просто ждем инцидента.
Потом наступает этап «Во время». Как ни печально, но он наступит рано или поздно. И тут остается только надеяться, что построенная система спасет, заблокирует, предотвратит. И если работа сделана с умом, то так и будет. Но практика показывает, что от всех угроз уберечься крайне сложно. И поэтому инциденты — дай Бог, мелкого масштаба — происходят в любой организации. И вот тут надо помнить про этап «После».
Прежде всего, надо избежать паники. Именно для этого должны быть прописаны процессы и процедуры, потому что паника — это самое страшное, что может быть. Во-вторых, конечно, у нас должны быть средства, которые позволят нам обнаружить, что безопасность нарушена, что с этапа «До» мы прошли этап «Во время и оказались на этапе «После». Мы должны узнать об инциденте. И последнее — это очень печальная история.
— Почему?
— Злоумышленники деньги зарабатывают, а поэтому тренируются, готовятся. Так что, как правило, воздействие осуществляется достаточно успешно, быстро и оперативно, а обнаруживается оно, по отраслевой статистике, в среднем где-то через десятки дней. То есть у нас инцидент уже давно произошел, а мы об этом еще не знаем. И минимизировать время между инцидентом и получением информации о нем — очень важно.
— Это реально?
— Да, если вы наряду с различными системами обнаружения вредоносного воздействия внедряете систему контроля, мониторинга всего, что происходит у вас, умеете отлавливать так называемые индикаторы компрометации. То есть не только ищете в потоках трафика различные сигнатуры атак, а контролируете, не заражены ли ваши узлы, не пытаются ли они подключаться, куда не надо, не совершают ли они странных действий, которых раньше не было, не появился ли с них какой-то необычный внутрисетевой трафик, который трудно объяснить. Причем, все это желательно делать автоматически — администратор в ручном режиме этого сделать не сможет. Нужна логика, аналитика и автоматизация этого процесса, построенная на базе этой логики.
Когда вы оказались на этапе «После», выполнили сдерживание и расползание той заразы, которая попала к вам, когда вы ее нейтрализовали и устранили, как это ни смешно, надо возвращаться по кольцу на этап «До» с полученным опытом. Потому что причина инцидента в том, что либо вы не учли какой-то фактор риска, либо ваша модель угроз была неполной, либо неверно выбрали решение, либо просто появился новый вектор угроз — но в любом случае вам необходимо скорректировать свой подход.
И дальше мы снова бежим по этому кругу, потому что бизнес-модель меняется, как и инструменты и приемы, которые используют злоумышленники. У предприятия постоянно появляются какие-то новые компоненты инфраструктуры, но никто не успевает перерабатывать, а на практике — часто даже не задумывается о том, что надо переработать модель рисков и модель угроз.
ОБЪЕДИНЯЙСЯ И ВЛАСТВУЙ
— В теории звучит красиво. Но смогут ли малые предприятия обеспечить такую работу над инфобезопасностью? Зачастую ведь у небольших предприятий даже ИТ-специалиста нет, не то что специалиста по ИБ. С другой стороны, для крупных предприятий проблемы могут возникнуть потому, что бизнес слишком сложен и все учесть просто нереально. Есть ли какие-то варианты решения таких проблем?
— Ответ один: информационная безопасность — это в первую очередь здравый смысл и системный подход, а уже только потом решения и продукты. Если предприятие совсем небольшое, то у него и рисков, скорее всего, крайне мало. Оно начинает потихоньку расти, становится средним, и вот тогда ему становятся нужны системы, решения. Есть прекрасный механизм — облачные системы, которые работают сами, обеспечивают уже достаточно широкий спектр услуг в области ИБ, автоматизируя многие, если не все задачи. Нехватка специалистов на стороне заказчика уже заложена в современные продукты, поэтому они поддерживают глубокую автоматизацию внутри предприятия — это тенденция, которая должна проявляться у всех вендоров.
Кроме того, уже сформирован процесс взаимодействия различных компонентов инфраструктуры. У Cisco есть интерфейсы взаимодействия между разными компонентами: эти интерфейсы открыты, мы их отдали в отрасль и они поддержаны коллегами по отрасли. Это работает так. Если межсетевой экран увидел, что в сети появился зараженный компьютер, то он автоматически дает системе управления доступом к сети команду поместить этот узел в карантин. Не просто записывает событие в журнал, который может быть кто-то проанализирует, а делает все, чтобы автоматически изолировать «пациента».
— Коллеги-конкуренты тоже открыты к такому сотрудничеству?
— Они реализуют у себя разработанные нами интерфейсы, используют данные из нашей системы. Наш интерфейс двунаправленный. С одной стороны, система управления доступом к сети отдает накопленный ею массив информации об узлах, чтобы их могли использовать сторонние решения (например, межсетевой экран), и именно такую интеграцию в одну сторону пока реализует один из наших технологических партнеров-конкурентов. Передавать нам команду он пока не спешит — для этого нужны усилия их программистов, и мы не можем требовать этого. Берут от нас информацию — и хорошо, потому что это позволяет гораздо более эффективно управлять доступом в Интернет.
Касперский как-то сказал, что компании, которые профессионально занимаются информационной безопасностью, находятся вне политики. И он прав: я считаю, что у нас есть гораздо более масштабные цели.
ЧЕЛОВЕЧЕСКАЯ УЯЗВИМОСТЬ
— Вернемся к крупным предприятиям — им ведь очень сложно обеспечить защиту. Может, проще и дешевле смириться с потерями?
— Ставки крупных предприятий слишком высоки, поэтому, как бы ни было сложно обеспечивать защиту, это обязательно. Джон Чемберс, возглавлявший нашу компанию до недавнего времени, всегда говорил, что информационная безопасность — это крайне важный вопрос, за который отвечает каждый сотрудник, и начинается она с него. Даже если этот сотрудник никогда не был специалистом по ИБ.
— Вопрос в том, как донести до каждого сотрудника эту мысль.
— Да, но тут надо руководствоваться еще одним принципом ИБ: только с системами работают любители, профессионалы работают с людьми. И это правда. До сих пор наиболее распространенным вектором угрозы является не красивый киношный взлом межсетевого экрана, а грамотно составленное поддельное письмо, которое заставляет сотрудника открыть зараженный файл.
Человек всегда уязвим. Но мы строим процесс и должны учитывать, что человек не совершенен — это тоже здравый смысл. Поэтому наша задача — продумать систему так, чтобы, даже если сотрудник сделал что-то неправильное, бизнес был защищен. Конечно, мы постараемся не допустить этого: системы защиты от спама и фишинга стараются предупреждать, и у них неплохие количественные показатели по отлову таких писем. Но даже если сотрудник сознательно или по недомыслию что-то сделал, мы должны иметь возможность оперативно обнаружить этот факт, автоматически на него отреагировать и минимизировать последствия.
ВПЕРЕД СКАЧКАМИ
— Звучит убедительно, но почему же тогда не все идут таким путем?
— Объективный фактор — нехватка ресурсов. Совершенно иные приоритеты, потому что очень сложно человеку, занимающемуся каким-то бизнесом, объяснить, что ему надо уделять внимание ИБ. К сожалению, у нас в стране, да и не только у нас, есть жесткое убеждение, что ИБ — это только затраты, и нужно внедрять такое решение, чтобы не оштрафовали. Так что, с одной стороны, бизнес недооценивает последствия. Дай Бог, если он их игнорирует как принятый риск — это нормально. Но обычно это не так.
С другой стороны — это недопонимание того, что ИБ в целом может быть затратной, но может и создавать дополнительные прибыли организации. Хрестоматийный пример — безопасный удаленный доступ для сотрудников. Если система защищенного удаленного доступа внедрена, то, как показывает отраслевая статистика, сотрудники работают дольше, больше и с удовольствием. А это дополнительные прибыли для предприятия.
— С точки зрения обеспечения информационной безопасности, в России ситуация лучше, чем в других странах, или хуже?
— Сложно сказать. У нас есть как преимущества, так и недостатки. С одной стороны, мы очень любим все засекретить, независимо от того, нужно это ли нет. И это зачастую нам помогает, потому что все изначально лучше спрятано. К тому же у нас изначально более низкий уровень цифровизации. Это также может защищать. С другой стороны, те системы, которые используются, у нас не всегда хорошо защищены. Именно поэтому в России многие компании пострадали от массовых заражений в прошедшем году.
— Раз у нас пока низкий уровень цифровизации и мы сейчас эту проблему стараемся решить, взяв курс на цифровую экономику, то в ближайшем будущем ситуация может сильно ухудшиться?
— У нас есть колоссальное преимущество. Так получилось, что наша страна все время развивается скачками. При Петре I был сделан такой скачок, и сейчас тоже. Поэтому мы всегда захватываем все самое современное. Например, если у банка нет приложения для смартфона, то все «показывают пальцем» и «кривят физиономию». Такое же отношение и к такси. В то же время в США есть колоссальные объемы унаследованной от прежних времен инфраструктуры и гораздо больше инерционность. Так, зачастую запуск банковского приложения равносилен открытию века. Россия не страдает от тяжести старых ИТ и телеком-систем. Мы берем все новое, поэтому нам проще. Так что есть шанс, что мы будем строить цифровизацию на базе современных платформ, уже понимая важность ИБ с самого начала. Поэтому процесс цифровизации может пройти без детских болезней. И при этом у нас еще нет старческих хворей.