#3 Digital Forum РБК, 18 апреля 2018
Инструменты , Санкт-Петербург и область ,  
0 

Боевые роботы и немного смерти

Фото: pixabay.com
Фото: pixabay.com
Физический и виртуальный миры настолько тесно сплелись, что зачастую не определить, где кончается угроза данным и начинается угроза жизни.

События пары недель, предшествовавших III Digital Forum РБК, показали, что вопросы информационной безопасности актуальны как никогда. Марк Цукерберг, глава Facebook Inc, был вызван в Конгресс США, чтобы дать показания об утечке данных из соцсети, которая, как полагают, позволила повлиять на результаты выборов в стране. Мессенджер Telegram начали блокировать на территории РФ из-за отказа предоставить ФСБ ключи шифрования. Появились, но были быстро опровергнуты данные о вирусе, атакующем смартфоны клиентов Сбербанка. Была выявлена весьма крупная утечка данных пользователей московской, а возможно, и петербургской Wi-Fi-сети в метрополитене. А начало апреля запомнится масштабной атакой на сетевое оборудование из-за уязвимости в программе Cisco Smart Install Client, которая «положила» сети половины интернет-провайдеров России и угрожала критической инфраструктуре. ​​​​​

Эксперты III Digital Forum РБК, обсуждавшие в рамках круглого стола «Цифра в нападении и защите» вопросы безопасности, уверены: это лишь начало. Распространение технологий безусловно приведет к тому, что количество угроз будет расти, бороться с ними будет сложнее, а их последствия будут становиться все тяжелее.

Частное и общее

Можно долго спорить о том, какая из уязвимостей, атак и пр. более критична и кто страдает больше — бизнес или отдельные граждане. Кража денег с банковской карты, может стать катастрофой для ее владельца, но банк этого даже не заметит. С другой стороны, утечка данных из банка вряд ли будет волновать клиентов, если их личные деньги остались целыми.

При этом, по мнению Якова Волкинда, директора представительства ITV | AxxonSoft в г. Санкт-Петербург, в подавляющем числе случаев цель атак — именно деньги. «Конечно, есть пранкеры, которые работают на «лайки» и просмотры, но тем не менее даже они эти просмотры и «лайки» в конечном счете монетизируют. Даже взломы ресурсов, где хранятся частные фотографии, все равно ведут к деньгам, потому что это чья-то дискредитация. Так что о чем бы ни шла речь — о похищении ли личных данных или краже информационных блоков — все это имеет финансовую подоплеку», — говорит Яков Волкинд.

Яков Волкинд (ITV | AxxonSoft)
Яков Волкинд (ITV | AxxonSoft) (Фото: РБК Петербург)

К тому же частное лицо может даже не узнать о том, что его банк подвергался атаке и потерял из-за этого деньги. Желая сохранить «лицо», многие компании замалчивают такие события, а финансовые потери компенсируют за свой счет. И это касается не только банков.

Более того, бизнес готов продавать «безопасность» как свое конкурентное преимущество. «До сих пор все телеком-компании мечтают продавать чистый трафик, в котором нет атак, вирусов, хакерских сканирований, — отмечает Рустэм Хайретдинов, генеральный директор Attack Killer, вице-президент ГК InfoWatch. — Не всегда это удается, но бизнес уже давно использует безопасность как конкурентное преимущество. Например, юрлицам в банках, поскольку размер транзакций там больше, чем у физлиц, выдаются ключи, устройства, которые защищают их счета». «Если это покупают, бизнес это будет продавать», — считает Хайретдинов.

Рустэм Хайретдинов (ГК InfoWatch)
Рустэм Хайретдинов (ГК InfoWatch) (Фото: РБК Петербург)

А Петр Щеглов, директор по продуктам Selectel, уверен, что кроме денег есть и другие важные вещи. Для частных лиц помимо финансовых важны и психологические последствия, а для бизнеса куда критичнее потеря уникальности. «Для любой организации ключевая проблема — потеря ее ноу-хау, того самого сокровенного и секретного, что обеспечивает ее уникальность на рынке. Даже сейчас, когда речь идет о платформенном подходе, бизнес хочет сохранить свои отличия и за счет этого конкурировать — особенно сегодня, когда многие переживают цифровую трансформацию», — поясняет Петр Щеглов.

Петр Щеглов (Selectel)
Петр Щеглов (Selectel) (Фото: РБК Петербург)

Егор Кожемяка, директор Центра защиты информации компании «Конфидент», акцентирует внимание на том, что у нападающего и защищающегося различные парадигмы и это надо учитывать. «Компаниям, выстраивающим систему защиты, важен системный и комплексный подход: нужно строить защиту на всех уровнях — инфраструктура, информационные системы, работа с активами и персоналом. Желательно делать это на основе анализа и управления информационными рисками, — уточняет Егор Кожемяка. — Нападающим же достаточно выявить потенциальную уязвимость в системе защиты и проэксплуатировать ее. Опять же, это может быть с разными целями — кража или подмена информации, выведение из строя систем или инфраструктуры, либо скрытое заражение с целью, например, майнинга; организация бот-сетей или вымогательства. От всего многообразия угроз полностью не защититься, поэтому важно своевременно выявлять инциденты и реагировать».

Егор Кожемяка («Конфидент»)
Егор Кожемяка («Конфидент») (Фото: РБК Петербург)

Жизнь или кошелек

Разумеется, есть отрасли и ситуации, где технологические угрозы могут привести не к финансовым убыткам, а к потере жизней и здоровья людей. И такие угрозы пугают больше всего. Истории про перехваченное через сеть управление самолетом, как правило, шокируют публику. И хорошо, что пока речь идет лишь об экспериментах отдельных гиков, а вовсе не злоумышленников.

Но уже понятно: чем активнее будут распространяться пользовательский и промышленный Интернет вещей, тем больше угроз будет возникать. К примеру, беспилотники, появления которых на дорогах общего пользования осталось ждать совсем недолго, могут стать весьма привлекательной мишенью для киберзлоумышленников.

Есть отрасли и ситуации, где технологические угрозы могут привести не к финансовым убыткам, а к потере жизней и здоровья людей. И такие угрозы пугают больше всего.

И транспортом подобные угрозы вряд ли ограничатся. «Цифровизация здравоохранения — одна из составных частей программы «Цифровая экономика», — напомнил Александр Калита, директор департамента проектирования компании «Газинформсервис». — Уже сегодня автоматизация, цифровизация и роботизация любой отрасли, а также Интернет вещей все глубже проникают в нашу жизнь. И отрасль здравоохранения не стоит на месте: передовые медицинские технологии получают все большее распространение среди российских клиник. Для примера можно рассмотреть медицинских роботов-хирургов, осуществляющих хирургические действия, требующие высокой точности. Особенностью этих роботов является то, что они не выполняют все свои действия самостоятельно, а лишь повторяют движения хирурга, т.е. роботы позволяют при значительной пространственной удаленности от врача, проводящего манипуляции, проводить сложнейшие операции. Но производители мало задумываются о вопросах обеспечения безопасности медицинских технологий. Проводился эксперимент, в ходе которого сигналы, передаваемые роботу по открытым каналам связи, были перехвачены и модифицированы. При этом манипулятор робота стал совершать хаотичные движения, что в реальной жизни вполне могло бы привести к вреду для здоровья или потери жизни пациента».

Александр Калита («Газинформсервис»)
Александр Калита («Газинформсервис») (Фото: РБК Петербург)

Александр Калита уверен, что на сегодняшний день заказные убийства, основанные на незаконном вмешательстве в цифровые технологии, не распространены, но в перспективе, по мере роста зависимости жизнеобеспечения людей от данных технологий, подобные киберпреступления могут стать реальной угрозой.

Конечно, есть другие, на первый взгляд менее заметные и пугающие угрозы. «Сейчас каждый медицинский провайдер выполняет роль оператора персональных данных, к которым относятся и медицинские данные, — напоминает Юрий Андрейчук, генеральный директор лабораторной службы Хеликс. — Во всем мире заметен тренд на операторов персональных медицинских данных — некие организации, которые выступают в роли агентов взаимодействия людей с медпровайдерами и их архивами. Но если для других отраслей потеря данных во многом ведет лишь к репутационным потерям, то в отношении медицинских данных важно не столько хищение, сколько их искажение, подмена».

Иными словами, вполне реальной является ситуация, когда по измененным злоумышленником результатам исследований будет назначено лечение, которое нанесет вред здоровью или создаст угрозу для жизни отдельного человека. А если вспомнить, что удаленно скоро можно будет управлять кардиостимуляторами и другим имплантированным оборудованием, возникает опасение, что отключение Интернета — далеко не самая страшная проблема ближайшего будущего.

Заплатка для заплатки

Вопросы обеспечения информационной безопасности сегодня действительно становятся жизненно важными. Поэтому нужно быть готовым к тому, что основные принципы защиты информации будут писаться кровью, подобно правилам пожарной безопасности.

В связи с этим особенно остро стоит вопрос ответственности: если случилась утечка или взлом, необходимо понять, кто виноват в происшествии. К примеру, в случае с вышеупомянутой апрельской уязвимостью в программе Cisco Smart Install Client логичным было бы обвинить разработчика. Однако разработчик еще в марте выявил эту уязвимость и создал патч — своеобразную заплатку. Просто большинство пользователей ее не установили.

Казалось бы, стоит наказать тех, кто не обновил систему — виновник найден. Собственно, в случае с эпидемией шифровальщика WannaCry, который получил широчайшее распространение именно из-за не проведенных вовремя обновлений, так и было: по рынку прокатилась волна увольнений. Но эксперты считают, что и тогда, и в апрельском случае с Cisco надо учитывать, что любое обновление необходимо тестировать — иначе последствия также могут быть негативными. И чем крупнее предприятие, тем больше времени может занять тестирование. Таким образом, вина тех, кто не установил обновление, неочевидна.

И все же именно человеческий фактор многие эксперты до сих пор называют одним из самых значимых в вопросах обеспечения безопасности. «Мы проводили исследование по защите «облаков» и виртуальных инфраструктур и задавали вопрос о том, какие угрозы наиболее актуальны. Две трети респондентов сказали, что более актуальны внутренние нарушители, их злонамеренные или ошибочные действия, — рассказывает Иван Колегов, менеджер по продукту компании «Код безопасности». — Если речь идет о каких-то таргетированных атаках, то это всегда дорого, преследует определенную цель, нужны квалифицированные специалисты, чтобы ее провести. Но далеко не для всех такие атаки актуальны. Гораздо чаще к сбоям и проблемам приводят ошибки пользователей. Естественно, совершить ошибку может любой человек, но на них нужно учиться. Поэтому и решать проблемы с обеспечением защиты надо комплексно — находить баланс между обучением персонала и техническими средствами».

Иван Колегов («Код безопасности»)
Иван Колегов («Код безопасности») (Фото: РБК Петербург)

Даже если дело доходит до судебного разбирательства, определить виновного не всегда просто. Татьяна Терещенко, руководитель аналитического направления Адвокатского бюро «Прайм Эдвайс», рассказала о деле, связанном с утечкой информации при пересылке бизнес-документов по каналам не корпоративной, а бесплатной электронной почты Mail.ru, к которой и предъявили иск. По мнению суда, с точки зрения формального критерия, оператор услуг связи не обладает всей необходимой информацией, хотя данные и отправляются через него, поэтому и ответственность лежит не на нем.

Татьяна Терещенко («Прайм Эдвайс»)
Татьяна Терещенко («Прайм Эдвайс») (Фото: РБК Петербург)

«Есть и масса других примеров, иллюстрирующих то, что рассчитывать на сознательность пользователей не приходится, — продолжает Татьяна Терещенко. — Владельцы соцсетей в правилах указывают, что пользователь сам решает, кому будет доступна информация о нем, будет ли она индексироваться поисковиками. Но люди далеко не всегда этой возможностью пользуются, и в результате специальные продукты для банковской сферы, которые оценивают платежеспособность по профилю в соцсети, собирают данные. Граждане этим недовольны, но с иском в этом случае в суд идут не они, а сами соцсети. При этом иск заявляется на 1 рубль, т.к. соцсети не несут из-за этого финансовых убытков. Для соцсетей важен процесс формирования определенной практики».

Разумеется, и интеграторы, и разработчики средств защиты, и операторы облачных сервисов и ШПД не снимают с себя ответственности. «Действительно, любой провайдер хочет продавать очищенный трафик, — отмечает Алексей Нестеров, директор по работе с корпоративным и государственным сегментами макрорегионального филиала «Северо-Запад» ПАО «Ростелеком». — Но дальше возникает вопрос уровня цифровой гигиены и информационной безопасности у конкретного заказчика — нам надо понять, как система организована. Ведь клиент хочет заказать сервис безопасности поверх своих систем». «Однако если соблюдение нами SLA (соглашение об уровне предоставления услуги — Ред.) требует внесения каких-либо изменений в инфраструктуру заказчика, это становится нашей зоной ответственности, — резюмирует Алексей Нестеров. — Так что мы всегда стараемся обсуждать такие вопросы заранее, еще на стадии подписания договора».

Алексей Нестеров («Ростелеком»)
Алексей Нестеров («Ростелеком») (Фото: РБК Петербург)

Проще не будет

Еще одной причиной достаточно печальной ситуации с информационной безопасностью в нашей стране эксперты считают изначально неправильный подход к развертыванию IT-инфраструктур.

«На самом деле атаки, подобные той, что мы видели в начале апреля, будут повторяться все чаще и чаще. Потому что изначально вся инфраструктура построена на неправильных, небезопасных продуктах, поэтому дырочки всегда найдутся. Мы берем «ось» для домохозяек, в которой всем можно все, и потом кучей «навесных» решений пытаемся что-то запретить, — объясняет Рустэм Хайретдинов. — Вся инфраструктура, начиная от роутеров и заканчивая софтом, строилась без понимания того, что могут быть хакерские угрозы. И что с этим делать сейчас, непонятно — дырочки всегда найдутся».

Парадоксально, но для тех, кто работает в отрасли обеспечения инфобезопасности, такая ситуация вполне благоприятна. «Нашим детям будет, что кушать, потому что число атак будет расти», — заметил один из участников форума.

Ужесточить регулирование

Любопытно, что эксперты не видят особого смысла в ужесточении регулирования не только использования ОС, но и рынка инфобезопасности в целом. К примеру, 152-ФЗ (закон о персональных данных) пока не оказал достаточного влияния на отрасль — предприятиям проще заплатить штраф, чем исполнять законодательство.

«Наш 152-ФЗ пока еще очень сырой — есть пути его неисполнения. Так что регулятор, конечно, давит на отрасль, но законодательство у нас пишется долго. Пусть так будет и дальше — это дает бизнесу временной гэп, который позволяет адаптироваться к потенциальным законам, — говорит адвокат Анна Василянская. — Хотя в американской практике есть вариант решения проблемы: многое прописывается на основе корпоративной культуры отраслевыми ассоциациями, а не регулятором. Это более эффективный подход».

Анна Василянская (адвокат)
Анна Василянская (адвокат) (Фото: РБК Петербург)

Более того, многие эксперты и участники рынка уверены, что внимание регулятора к отдельной отрасли или технологии не даст позитивного эффекта. Пример тому — «закон Яровой», который вполне может стать сдерживающим фактором в развитии телеком-бизнеса. Есть и другие примеры. «Рынок криптовалют и технологий, с ними связанных, действительно «выстрелил» за последний год-полтора. И попытки властей отреагировать на этот взлет постфактум — по сути плохой знак, еще раз показывающий, насколько госрегулирование в данной сфере отстает от фактического положения вещей в отрасли. Вместо отслеживания трендов мы получаем постфактум реакцию на совершившееся событие, — поясняет Константин Зиятдинов, руководитель департамента международных проектов Консультационной группы «Прайм Эдвайс». — Второй плохой признак — отсутствие понимания, как нужно регулировать эту отрасль. Дискуссии идут не о том, как правильно построить, а как бы так сделать, чтобы не сильно сломать (читай — навредить), обеспечивая контроль над системой. И самое важное: криптовалюты выстрелили в ответ на попытки зарегулировать и зажать банковский сектор. Поэтому очевидно, что регулирование по примеру банков ни к чему хорошему не приведет».

Полностью полагаться на международный опыт тоже не стоит, продолжает Зиятдинов. «Попытки отдельных государств легитимизировать данный рынок похвальны — например, Кореи, Сингапура и Швейцарии. Но, мне кажется, многие страны до сих пор не понимают, как именно его регулировать. У России есть прекрасный шанс быть в числе лидеров и «оседлать» отрасль, но боюсь, наша бюрократия, как всегда, сделает свое черное дело. Пример с Telegram крайне показателен», — говорит Зиятдинов.

Константин Зиятдинов («Прайм Эдвайс»)
Константин Зиятдинов («Прайм Эдвайс») (Фото: «Прайм Эдвайс»)

«Большой риск я вижу в некой местечковости, когда каждый решает свои задачи, не учитывая общую картину. Законодатель регулирует просто потому, что так положено. Бизнес продвигает в первую очередь коммерческие интересы. И любая попытка найти золотую середину наталкивается на демагогию, — резюмирует Татьяна Терещенко. — Например, необходимость обеспечить нейтральность и анонимность в Интернете противопоставляется цензуре и контролю, и начинается борьба за частную жизнь и гарантированные права. Именно отсутствие баланса в таком случае создает существенный риск. Путь решения — кооперация и компромисс между жестким регулированием и интересами бизнеса. То есть акцент надо делать на саморегулируемые организации».

Многие эксперты и участники рынка уверены, что внимание регулятора к отдельной отрасли или технологии не даст позитивного эффекта.

Армия боевых роботов

Будущее не станет безопаснее, уверены эксперты — скорее наоборот. Иван Колегов видит перспективу новых угроз в развитии «облачных» сервисов: «Облака — это много решений, каждое из которых обладает своими уязвимостями. К тому же есть разные модели потребления — IaaS, SaaS и так далее. Под каждую из них должна строиться своя модель угроз».

Александр Калита делает ставку на угрозы безопасности IoT и IIoT, хотя как раз Россия частично защищена от них, так как отстает по уровню распространения Интернета вещей в бизнесе. Кроме того, есть и другие особенности: «В нашей стране автоматизированные системы управления технологическими процессами зачастую просто не имеют доступа в Интернет, поэтому значительная часть данных угроз неактуальна для подобных систем», — поясняет Калита.

Егор Кожемяка предостерегает от околополитических и санкционных рисков: «В ближайшей перспективе в нашей стране будут ограничивать доступ к технологиям зарубежных вендоров, подобные примеры мы уже видели применительно к некоторым госзаказчкам и госкорпорациям, а именно они формируют 70-90% российского рынка ИБ. Из-за рубежа вводятся ограничения, но и мы не отстаем. Российские регуляторы сильно усложняют процедуру сертификации для зарубежных средств защиты информации. И это взаимное ограничение будет менять ландшафт рынка».

Петр Щеглов еще более пессимистичен в своих прогнозах: «Ключевой риск — это переход от фантастических фильмов к реальным кибервойнам. В ближайшее время нас ждут атаки на критическую инфраструктуру, и это станет массовым явлением».

Рустэм Хайретдинов призывает использовать роботов в защите. «Мы видим повальную роботизацию атак, уже есть боевые роботы, автономные бот-сети, тогда как мы лишь обсуждаем, как нам использовать искусственный интеллект для защиты. Но роботам противостоять могут только роботы, так как люди не способны выдерживать такие нагрузки, — говорит он. — К тому же квалифицированных сотрудников попросту не хватает. Безопасностью занимаются люди увлеченные, но считается, что круто находиться на «темной» стороне, поэтому в сфере ИБ не видно валового притока молодежи. Да и перспективы в дата-менеджменте выше, чем в безопасности. И все же у нас есть отличная российская программистская школа, на половине конференций по математическому программированию официальный язык — русский. Это внушает оптимизм в отношении будущего».

«Самый глобальный риск — многократный рост периметра потенциальных атак. Сейчас мы видим все больше устройств в сети, и от этого никуда не деться. Разумеется, и атак на периметр будет все больше и больше. Есть два пути борьбы. Первый — обеспечение безусловной компьютерной грамотности и грамотности в отношении ИБ у пользователей, чтобы каждый из них понимал, к каким последствиям могут привести его действия. Второй — расширение доверия к тем, кто специализируется на обеспечении инфобезопасности и аутсорсинг данной функции», — резюмирует Алексей Нестеров.

Компетенция Строители переходят на цифровое моделирование зданий
Содержание
Закрыть