Одним из последствий цифровой трансформации, которая постепенно охватывает все больше отраслей, станет повышение уровня киберугроз. Предприятия вынуждены будут тратить на обеспечение информационной безопасности все больше денег, что может стать сдерживающим фактором для цифровизации отдельных предприятий, ведь найти источники финансирования смогут не все. Но все же остановить глобальный процесс трансформации не сможет даже растущее число угроз, уверены участники круглого стола в рамках V Digital City Forum РБК.
Страх как катализатор развития
Рынок информационной безопасности сегодня если переживает не золотой век, то точно приближается к расцвету. Еще недавно вопросами инфобезопасности интересовались лишь специалисты, а сейчас тема горячо обсуждается на всех уровнях — от президента страны и правительства до конечных пользователей. Даже не самые крупные утечки и не самые успешные вирусные атаки становятся поводом для дискуссий.
Такая публичность позитивно оценивается экспертами в области информационной безопасности (ИБ) и специалистами ИТ-рынка. «Чем больше мы будем говорить об этих инцидентах, о том, какой ущерб они наносят, тем яснее руководители предприятий будут понимать, что безопасность — это основа бизнеса, — объясняет Василий Дягилев, глава представительства в России и СНГ компании Check Point Software. — Ведь если вам не верят, вы не сможете вести бизнес».
«Если у людей нет информации о возникающих инцидентах и использованных путях их решения, у них создается чувство ложной безопасности, — подтверждает ведущий системный инженер Digital Design Вячеслав Пронин. — Появляется уверенность в том, что их это не касается сейчас и не коснется никогда. Если же подобные истории и отчеты будут выноситься в публичное поле (причем не только в виде коротких газетных заметок-пугалок), то мы все получим четкую и ясную картину того, каким опасностям мы подвергаемся, и какие пути у нас есть».
Имиджу предприятий рассказ даже о глобальных утечках не особенно вредит, уверены эксперты. «Даже те компании, кто пострадал от киберпреступников, рады появлению подобных кейсов, — поясняет директор по продажам Symantec Россия Кирилл Керценбаум. — Именно благодаря им и публичности бизнесу стало проще обосновывать траты на ИБ. На Западе в этом отношении бизнесу проще: там есть комплаенс [от англ. compliance — согласие, соответствие— ред.], требования стандартов и законов, в том числе к обязательной огласке инцидентов ИБ, поэтому и у бизнеса не возникает вопроса, нужно ли защищаться. У нас такого еще совсем недавно не было в принципе, и бизнесу было непонятно, зачем инвестировать в инфобезопасность».
«Это действительно работает. После нескольких инцидентов я легко защитил бюджет на ИБ», — подтверждает Виктор Верниковский, директор по информационным технологиям ПАО «Кировский завод».
На ошибках учатся
Влияет публичность и на самих игроков рынка безопасности. Прежде всего, это способствует усилению взаимодействия между производителями решений в области ИБ. Например, в сегменте антивирусных продуктов давно существует практика обмена сэмплами [англ. sample — «образец»]. «Конечно, сигнатурами никто не обменивается — это все-таки интеллектуальная собственность. Но то, что ты нашел, не жалко отдать другим — потому что за одно дело боремся, — добавляет Кирилл Керценбаум. — Для рынка информационной безопасности открытость — это то, что нужно. Государству даже не надо нас к этому принуждать — необходимо только не мешать».
Проявляется данный тренд и в другом. Комплексный подход к защите зачастую требует, чтобы решения разных производителей могли быть интегрированы друг с другом. Так что конкуренты на рынке ИБ часто становятся друзьями — хотя бы временно, чтобы обеспечить эту потребность.
«Мысль киберпреступников постоянно развивается и подчас быстрее, чем системы безопасности. В борьбе с кибератаками значительно помогает превентивная оценка уязвимостей и прогнозирование рисков. Также на помощь аналитикам приходит искусственный интеллект. Современные средства аналитики, используя обучающийся искусственный интеллект, помогают специалистам по информационной безопасности в расследовании сложных атак, обращая их внимание на возможные скрытые риски, — рассказал Алексей Иващенко, директор филиала IBM в Санкт-Петербурге. — Например, нескольким банкам из первой тридцатки предиктивная аналитика позволила отразить ряд очень серьезных атак, на анализ которых человеку потребовалось бы слишком много времени. Но даже предиктивная аналитика не может быть универсальным инструментом, защищающим от всех атак. Именно поэтому сейчас как никогда актуален вопрос международной интеграции, которая позволит объединить усилия всех производителей средств защиты информации, чтобы конечные пользователи получали максимальный эффект. Сегодня открытый обмен данными об угрозах и атаках в контексте общей безопасности носит глобальный характер».
Способствует публичность инцидентов и развитию решений по защите. «Такая открытость позволяет делать именно те решения, которые нужны бизнесу — и это крайне важно, — говорит менеджер по продукту «Газинформсервис» Сергей Никитин. — Публичность инцидентов позволяет понять, что именно и кому угрожает в настоящее время, а значит — и вовремя внести изменения в планы развития средств защиты информации. Не нужно «пугать» заказчика выдуманными проблемами, лучше узнать его реальную потребность и удовлетворить ее — ведь как бы вы ни апеллировали к мнению экспертов, что пуленепробиваемые стекла — лучшая защита от воров, если покупателю нужна дверь, стекла он у вас вряд ли купит».
Сила слабого звена
Позитивное влияние информация об инцидентах и угрозах оказывает и на отдельных пользователей. Как известно, именно люди часто делают даже самые закрытые периметры уязвимыми.
«Важно помнить, что безопасность не обеспечивается за счет отдельной технологии. Кроме огромного количества решений, которые сегодня требуются компаниям, безопасность всегда «завязана» на людях. В 95% случаев успешно реализованных атак в компании был персонал, ответственный за безопасность, были решения, но это не спасло. Если бы этот персонал знал, что делать хотя бы согласно регламентам, если бы решения были правильно настроены, то атаки не были бы результативными. Так что очень многое зависит от людей», — убежден исполнительный директор ТС Солюшен Михаил Зимин.
Заметим, что речь уже даже не идет о предсказуемых паролях — примеров дичайшего пренебрежения правилами отдельных сотрудников у каждого эксперта множество. Как рассказал Василий Дягилев, однажды после заполнения анкеты для оформления кредита в одном из автосервисов агент попросил прислать копии документов на личную почту, а не на корпоративную. При расспросах выяснилось, что после кибератаки на банк все вложения тяжелее мегабайта в электронных письмах запрещены. Выездные сотрудники выходят из положения просто: они получают файлы на «домашнюю» почту, скачивают на флешку и с нее загружают на офисный компьютер.
«Это очень хороший пример того, что безопасность требует не только набора технологий, но и постоянного обучения людей. Если вам нужна безопасность, нельзя строить заборы, через которые люди будут перелезать, потому что им это более удобно, чем идти до ворот, — подчеркивает Василий Дягилев. — Сейчас на некоторых предприятиях разворачивается очередной этап борьбы с телефонами на рабочем месте. Но что будет делать человек поколения Z, выросший со смартфоном в руках? Он все равно настроит рабочую почту на мобильный телефон, потому что для него это нативный способ общения. Он найдет способ выйти в соцсети, поставив анонимайзер. Чтобы вы ни делали, если безопасность будет исключительно превентивной, человек найдет варианты обхода. Безопасность всей системы определяется силой ее самого слабого звена».
«Сейчас станки становятся все более интеллектуальными, однако работают на них сотрудники, у которых нет офисной культуры. Это часто приводит к печальным прецедентам, — дополнил Виктор Верниковский. — Например, они приносят игры на флешке. Технологи могут что-то поправить в программе на домашнем компьютере, принести на той же флешке и загрузить на рабочий ПК. Так в закрытом, казалось бы, периметре, появляются вредоносные программы. Кроме того, при подключении внешних устройств или попытке установить стороннее ПО система может зависнуть — а это означает простои, убытки. Поэтому многие предприятия вынуждены физически закрывать доступ к USB-разъемам».
Взломать ДНК
Единого решения — что может заставить пользователей и отвечающих за безопасность сотрудников уделять этому вопросу должное внимание - нет. Даже во взглядах на целесообразность обучения персонала эксперты разошлись. Сергей Житинский, генеральный директор Git in Sky, указывает на целесообразность тренингов: «Основную опасность я вижу в том, что из-за внедрения в жизнь каждого индивидуума цифровых привычек, понятия «внутреннего» и «внешнего» контура начнут размываться. То есть все контуры как бы станут «внешними» с точки зрения ИБ. Бороться с этим можно будет только путем обучения информационной гигиене. Это не быстрый процесс, но обязательный. Для подстраховки нам уже сейчас надо озаботиться созданием новых технологических решений для смешанных контуров».
Генеральный директор «Комфортел» Дмитрий Петров, напомнил, как Рик Рескорла спас более 2,5 тыс. человек из башен-близнецов в США во время теракта 11 сентября. Он в масштабах всей компании проводил частые и неожиданные пожарные учения, выработав тем самым необходимые навыки эвакуации, которые и спасли столько людей. «Тренировки и выработка базовых навыков однозначно должны лежать в основе всего, потому что безопасность — как физическая, так и информационная — это в первую очередь подход. Подход и к внедрению технологий, и к управлению людьми», — резюмировал Дмитрий Петров.
Кирилл Керценбаум рассказал, что сейчас в США популярные в последние годы игровые тренинги Security Awareness начинают считать малоэффективными. «Сколько ни учи людей, сколько времени и денег на это ни трать, результат будет в рамках статистической погрешности, — говорит он. — Если ты правильно настроил свою систему, никто не сможет ее перенастроить. А для «взлома» человека все равно будут найдены новые методы социальной инженерии. Для того чтобы решить вопросы на уровне людей нужно внести изменения в ДНК – увы, но в этом направлении технологии еще не продвинулись».
Руководитель продуктового управления биометрических систем ГК ЦРТ Алексей Маркачев, верит в силу неотвратимого наказания и примеров. Успешным можно считать внедрение в 2015 году биометрической системы распознавания лиц на стадионе ФК Зенит. Тогда хулиганы срывали матчи, команда играла без зрителей, а это не только наносило урон имиджу клуба на международной арене, но и приносило финансовые потери. Благодаря внедрению служба безопасности Зенита и стадиона получила возможность выявлять нарушителя, узнавать его среди пришедших на следующий матч и проводить беседы или не пускать на стадион. «Таким образом среди болельщиков стала формироваться личная и коллективная ответственность», — говорит Алексей Маркачев.
Что касается правового регулирования, то, по мнению Алексея Маркачева, в связи с распространением новых технологий, в том числе — лицевой биометрии, существующий регламент защиты персональных данных приобретает новую актуальность. Однако этот же тренд требует и снятие ряда законодательных ограничений, препятствующих внедрению инноваций — например, в аэропортах при прохождении предполетных формальностей.
Директор Института Цифровой Экономики СПбГЭУ Денис Горулев, отметил важность появления персональной — и в том числе уголовной — ответственности. «Если в случае какого-либо инцидента раньше речь шла только о штрафах, то сейчас можно оказаться в тюрьме. Это перевело вопрос обеспечения ИБ в другую плоскость и, кстати, сильно повлияло и на размер бюджетов на ИБ, и на взаимодействие с подразделениями ИБ», — отметил эксперт.
История без счастливого конца
Цифровое будущее у участников дискуссии не вызывает особых опасений. Да, распространение цифровизации принесет с собой новые угрозы, но они не появятся одномоментно и все сразу, так что время на адаптацию и подготовку к ним есть.
Правда, количество названных экспертами потенциальных угроз несколько пугает. Виктор Верниковский, к примеру, видит значимые опасности в развитии интернета вещей. «В этой области в сегменте защиты информационной безопасности нет ни устоявшихся политик и практик, ни идеологии, поэтому каждый вендор создает решения так, как считает нужным. Это может привести к печальным последствиям: например, подключенное промышленное оборудование окажется незащищенным».
Один из экспертов заметил, что цифровизация уже пошла в производство, опыт которого в ИБ невелик, поэтому угрозы есть уже сегодня, а в будущем они лишь усилятся. Например, по его данным, для организации движения одного из высокоскоростных отечественных поездов были изготовлены специальные стрелки с новой системой управления. После поставки новое оборудование полтора года работало в открытом режиме, данные передавались в открытый интернет. Два года назад уязвимость была устранена, но в действительности это хорошая иллюстрация того, с чем мы столкнемся в ближайшее время.
Михаил Зимин согласился с тем, что опасность интернета вещей в будущем будет расти. «Мы уже вступили в эпоху подключенных устройств — телевизоров, мультиварок, чайников, видеокамер. Прецеденты атак через них уже есть, потому что они не защищены. Не за горами то время, когда число атак увеличится, а методы атак станут более изощренными», — подчеркнул он.
Кирилл Керценбаум назвал безопасность в эпоху интернета вещей историей без счастливого конца. Но, по его мнению, это не единственная угроза: «Нам уже в ближайшее время грозит попытки фальсификации информации, даже целых баз данных. Цель таких атак может быть разной — от внесения нужной злоумышленнику информации и шантажа до нанесения ущерба отдельным людям, бизнесу или государству».
О похожей угрозе говорили и другие спикеры. «Есть риск, хоть и не уровня Судного дня, что цифровизация сотрет разницу между цифровой и физической безопасностью, — Василий Дягилев. — Тогда мы превратимся в некий хеш, набор данных, который имеет физическую оболочку. И тогда при краже или при исчезновении identity человек будет исключен из социума».
Сергей Никитин заметил, что к печальным последствиям может привести нелегитимное или ошибочное изменение информации, которая используется для принятия решений. Кроме того, не менее актуальным становится вопрос доверия к разработчикам аналитических систем, в том числе — на основе искусственного интеллекта. «ИИ предназначен для помощи в принятии решений на основании обработки больших объемов данных, но мы не всегда знаем, какие алгоритмы в него заложены создателями, насколько они корректны. А ведь от этого зависит результат, который выдаст система», — говорит Никитин.
Алексей Маркачев выделил усиливающуюся уже сегодня угрозу спуфинга — взлома системы биометрической идентификации с помощью поддельного материала. «Это вызов, прежде всего, для самих разработчиков систем распознавания лиц, который стимулирует к поиску все новых и новых средств защиты. Это вечная история: чем доступнее становятся современные технологии, облегчающие взлом системы, тем более прогрессивными должны быть и алгоритмы защиты. Мы всегда должны быть на шаг впереди злоумышленников, чтобы обеспечить безопасность и удобство пользователю, поэтому мы в ЦРТ, как, я думаю, и другие компании-разработчики, продолжим эксперименты с различными методами liveness detection — защиты от взлома», — говорит Маркачев.
Есть и глобальные опасности цифровизации. Так, Вячеслав Пронин уверен, что с отдельными угрозами справиться можно: они достаточно знакомы, меры и решения известны. «Самое страшное и дорогое — это цифровизация ради самой цифровизации. Например, при строительстве нового квартала: используя модные Big Data и ИИ, одевая AR-очки, но при этом связывая жилые дома с городом все той же тропинкой вдоль шоссе. Или в медицине — используя сверхсовременные средства связи, аналитику, и мобильные приложения, но оставив стандартные диагнозы на все случаи жизни и прописывая гомеопатию для щитовидки. К сожалению, на практике такое вполне может быть, и тогда ценность цифровизации таких процессов будет нулевой», — комментирует Пронин.
Вице-президент Клуба IT-директоров Олег Суворов опасается, что информационная безопасность станет технологическим тормозом, так как своими подходами как минимум утяжеляет треки внедрение новых решений, а иногда просто блокирует. «Мы видим, как иногда в бизнесе происходит коллапс из-за того, что требует ИБ-департамент. В этом случае вопрос может решить только собственник, и пока идет дискуссия, появляются конкурентные потери. Если ИБ не будет обращать на это внимания, то к нему будут относиться хуже и хуже, включая урезание бюджетов», — предостерегает Олег Суворов.
Путь к элегантности
По прогнозам Gartner, проекты цифровой трансформации вынудят более чем 40% организаций во всем мире в ближайшие два года тратить дополнительные средства на обеспечение безопасности. По данным российского опроса «Кода Безопасности», этот тренд уже заметен. Так, в 2019 году 35% респондентов планируют увеличить бюджет на информационную безопасность и лишь 11% компаний сократят его объем.
Олег Суворов убежден, что особого увеличения инвестиций в ИБ ждать не стоит: «Бюджеты не растут и особо расти не будут, потому что ценность информации не увеличивается. Если рассматривать необходимость защитить квартиру как сферического коня в вакууме, то мы можем сделать это любой ценой — например, взвод солдат разместить или танк поставить. Но согласитесь: устанавливать дверь, которая стоит дороже, чем сама квартира — это неправильно. Формируя бюджет на ИБ, нужно трезво оценить стоимость данных и потенциальные потери. Если ценность информации сопоставима с ценностью «желтых страниц» в интернете, тратиться на ИБ нет необходимости».
И все же игроки рынка ИБ рассчитывают, что объем индустрии в целом вырастет. Кирилл Керценбаум, к примеру, прогнозирует двукратный рост в перспективе 6-7 лет. Однако прибыль отдельных игроков при этом вряд ли вырастет.
«Рынок, безусловно, будет расти, станет больше игроков и решений. Но при этом зарабатывать мы будем меньше, и нам придется оптимизироваться — повышать качество сервисов и продуктов. Это приведет к удешевлению ИБ-решений и стоимости защиты в целом. Например, 5 лет назад система превентивного обнаружения вторжения стоила миллионы долларов. Сейчас подобное решение покупается в коробке и стоит 30-35 тыс. долларов на среднем размере трафика. Вендор не стал на этом больше зарабатывать, но решения стали дешевле и элегантнее. Так будет и дальше», — резюмирует Василий Дягилев.
