Два года российские специалисты по информационной безопасности живут и работают практически в боевых условиях. На 2022 год пришелся пик атак на российские предприятия и организации, новости об этом публиковались едва ли не каждый день. ИБ-специалисты, как работающие на стороне клиента, так и разработчики и интеграторы прошли «боевое крещение». Чему они научились за это время? Вырос ли их опыт и профессиональные возможности? Кто и зачем сегодня пытается атаковать российские компании? На чьей стороне перевес в извечной борьбе «снаряда» и «брони»?
Редакция журнала IT Manager совместно с клубом «ИТ-диалог» организовала и провела круглый стол «Превентивная безопасность», в котором приняли участие как разработчики, так и заказчики средств ИБ. Они обсудили ряд наболевших и актуальных тем. Модератором дискуссии выступил известный эксперт Олег Седов.
Проигрываем ли мы в кибервойне?
Ни для кого не секрет, что по другую сторону баррикад находятся не хакеры-одиночки и даже не группировки злоумышленников, действующих исключительно ради «искусства» либо удовлетворения собственных амбиций. Нам противостоят мощные силы из недружественных стран, нередко напрямую поддерживаемые правительствами этих государств. Поэтому можно смело говорить, о том, что Россия ведет настоящую кибервойну. Проигрываем ли мы в ней?
Максим Степченков, основатель и совладелец компании RuSIEM, выразил мнение, что утверждение о проигрыше в кибервойне не соответствует действительности. Он отметил, что поражение терпят те, кто не занимается защитой. По его словам, в сфере кибербезопасности идет постоянная борьба: заказчики против хакеров, государства против государств. При этом есть случаи, когда злоумышленники добиваются успеха, отключая компании от сетевых сервисов, но в целом инфраструктура страны и банковская система продолжают работать. Утечки данных происходят, и люди становятся умнее. Максим подчеркнул, что с ростом инцидентов и их публичности, руководство компаний начинает понимать важность кибербезопасности. Он привел пример с нашумевшей атакой на службу доставки СДЭК, после которой владельцы крупных бизнесов осознали, что кибератака может произойти и у них. По его мнению, ситуация улучшается, так как внимание к проблеме растет.
Павел Кузнецов, директор по стратегическим альянсам и взаимодействию с органами государственной власти группы компаний «Гарда», тоже считает, что, несмотря на определенные трудности и утечки данных, нельзя сказать, что Россия проигрывает в кибервойне. Павел отмечает, что страна у нас большая, и не все компании могут быстро достичь необходимого уровня защиты, особенно в условиях текущей геополитической обстановки. Он подчеркивает усилия Минцифры и коммерческих организаций в улучшении ситуации. Хотя борьба с киберугрозами непростая, Павел Кузнецов видит позитивные изменения и сохраняет оптимизм. Михаил Бачинский, исполнительный директор компании «САЛД», выразил мнение, что понятие "проигранной кибервойны" не существует. Он отмечает, что ситуации с шифровальщиками и удаленным доступом ведутся уже давно и не ограничиваются только Россией. В пример эксперт привел уже упомянутый инцидент со СДЭК, напомнив, что аналогичные атаки происходили и в других странах.
Модератор Олег Седов задал уточняющий вопрос о том, не означает ли рост суммы выкупа за расшифровку данных, что война проиграна. На это Михаил Бачинский ответил, что кибервойна не может быть проиграна, так как основная цель атакующих — получение денег. Он также напомнил, что фиксируется спад в средних выплатах и рост в мелких и крупных, что свидетельствует о перераспределении атак – началась охота «на крупную дичь». Михаил также пояснил, что средний чек за выкуп растет, так как «сервис» по шифрованию поставлен на промышленный поток, и в Даркнете можно приобрести инструменты для проведения таких атак. Он подчеркнул, что время нахождения атакующих в сети компаний увеличилось, и теперь составляет в среднем два с половиной-три месяца. Это позволяет хакерам тщательно изучать сеть и наносить более точные удары, а не просто разрушать все на своем пути.
Заказчики в целом согласны с вендорами по вопросу о проигрыше в кибервойне. Однако, проигрыш в войне подразумевает капитуляцию или полное уничтожение противника. Но киберландшафт и политическая ситуация в мире говорят о том, что на нашем полигоне сейчас любая страна может экспериментировать любыми кибервоздействиями и это приводит к существенным потерям. Кроме того многие годы культивировалась так называемая «бумажная безопасность». В прошлом компании тратили немалые деньги на сотрудников, которые занимались бумажной работой, не требующей особых усилий от всего коллектива. Сейчас же нужны технические специалисты, которые стоят дорого, и чья стоимость на рынке растет с каждой минутой. И руководству бизнеса зачастую тяжело понять необходимость таких изменений.
Александр Луганский, менеджер по развитию UserGate,отметил, что проигрывая конкретную битву, компания может выиграть в долгосрочной перспективе, осознавая важность защиты. Он подчеркнул, что такая осведомленность помогает компании понять, что они также могут стать объектом атак.
Резюмировал дискуссию Дмитрий Овчинников, руководитель лаборатории стратегического развития продуктов кибербезопасности аналитического центра кибербезопасности «Газинформсервис». Он напомнил, что с 2020 года активно началась цифровизация во многих сферах. Некоторые компании уже имели опыт в этой области, а другие только начали переходить на цифровые технологии. Это привело к увеличению числа ИТ-сервисов. Соответственно, с ростом числа сервисов увеличивается и количество кибератак и угроз. Это естественный процесс: чем больше сервисов, тем больше потенциальных уязвимостей, что ведет к росту киберугроз как в нашей стране, так и в мире. Эксперт подчеркнул, что киберпреступность значительно выросла. Если раньше такие хакеры, как Кевин Митник, взламывали системы ради интереса и самоутверждения, то сейчас киберпреступность перешла на коммерческие рельсы. Современные киберпреступники требуют выкуп и зарабатывают на этом деньги, что свидетельствует о взрослении и развитии ИТ-отрасли.
Максим Степченков, основатель и совладелец компании RuSIEM, выразил мнение, что утверждение о проигрыше в кибервойне не соответствует действительности. Он отметил, что поражение терпят те, кто не занимается защитой. По его словам, в сфере кибербезопасности идет постоянная борьба: заказчики против хакеров, государства против государств. При этом есть случаи, когда злоумышленники добиваются успеха, отключая компании от сетевых сервисов, но в целом инфраструктура страны и банковская система продолжают работать. Утечки данных происходят, и люди становятся умнее. Максим подчеркнул, что с ростом инцидентов и их публичности, руководство компаний начинает понимать важность кибербезопасности. Он привел пример с нашумевшей атакой на службу доставки СДЭК, после которой владельцы крупных бизнесов осознали, что кибератака может произойти и у них. По его мнению, ситуация улучшается, так как внимание к проблеме растет.
Павел Кузнецов, директор по стратегическим альянсам и взаимодействию с органами государственной власти группы компаний «Гарда», тоже считает, что, несмотря на определенные трудности и утечки данных, нельзя сказать, что Россия проигрывает в кибервойне. Павел отмечает, что страна у нас большая, и не все компании могут быстро достичь необходимого уровня защиты, особенно в условиях текущей геополитической обстановки. Он подчеркивает усилия Минцифры и коммерческих организаций в улучшении ситуации. Хотя борьба с киберугрозами непростая, Павел Кузнецов видит позитивные изменения и сохраняет оптимизм. Михаил Бачинский, исполнительный директор компании «САЛД», выразил мнение, что понятие "проигранной кибервойны" не существует. Он отмечает, что ситуации с шифровальщиками и удаленным доступом ведутся уже давно и не ограничиваются только Россией. В пример эксперт привел уже упомянутый инцидент со СДЭК, напомнив, что аналогичные атаки происходили и в других странах.
Модератор Олег Седов задал уточняющий вопрос о том, не означает ли рост суммы выкупа за расшифровку данных, что война проиграна. На это Михаил Бачинский ответил, что кибервойна не может быть проиграна, так как основная цель атакующих — получение денег. Он также напомнил, что фиксируется спад в средних выплатах и рост в мелких и крупных, что свидетельствует о перераспределении атак – началась охота «на крупную дичь». Михаил также пояснил, что средний чек за выкуп растет, так как «сервис» по шифрованию поставлен на промышленный поток, и в Даркнете можно приобрести инструменты для проведения таких атак. Он подчеркнул, что время нахождения атакующих в сети компаний увеличилось, и теперь составляет в среднем два с половиной-три месяца. Это позволяет хакерам тщательно изучать сеть и наносить более точные удары, а не просто разрушать все на своем пути.
Заказчики в целом согласны с вендорами по вопросу о проигрыше в кибервойне. Однако, проигрыш в войне подразумевает капитуляцию или полное уничтожение противника. Но киберландшафт и политическая ситуация в мире говорят о том, что на нашем полигоне сейчас любая страна может экспериментировать любыми кибервоздействиями и это приводит к существенным потерям. Кроме того многие годы культивировалась так называемая «бумажная безопасность». В прошлом компании тратили немалые деньги на сотрудников, которые занимались бумажной работой, не требующей особых усилий от всего коллектива. Сейчас же нужны технические специалисты, которые стоят дорого, и чья стоимость на рынке растет с каждой минутой. И руководству бизнеса зачастую тяжело понять необходимость таких изменений.
Александр Луганский, менеджер по развитию UserGate,отметил, что проигрывая конкретную битву, компания может выиграть в долгосрочной перспективе, осознавая важность защиты. Он подчеркнул, что такая осведомленность помогает компании понять, что они также могут стать объектом атак.
Резюмировал дискуссию Дмитрий Овчинников, руководитель лаборатории стратегического развития продуктов кибербезопасности аналитического центра кибербезопасности «Газинформсервис». Он напомнил, что с 2020 года активно началась цифровизация во многих сферах. Некоторые компании уже имели опыт в этой области, а другие только начали переходить на цифровые технологии. Это привело к увеличению числа ИТ-сервисов. Соответственно, с ростом числа сервисов увеличивается и количество кибератак и угроз. Это естественный процесс: чем больше сервисов, тем больше потенциальных уязвимостей, что ведет к росту киберугроз как в нашей стране, так и в мире. Эксперт подчеркнул, что киберпреступность значительно выросла. Если раньше такие хакеры, как Кевин Митник, взламывали системы ради интереса и самоутверждения, то сейчас киберпреступность перешла на коммерческие рельсы. Современные киберпреступники требуют выкуп и зарабатывают на этом деньги, что свидетельствует о взрослении и развитии ИТ-отрасли.
Хватает ли денег?
Финансирование – основа для любой деятельности. Чтобы ИБ работала на деле, а не на бумаге, необходимы средства на современные защитные решения и профессиональных специалистов, которые смогут эти продукты обслуживать, отражая с их помощью атаки и другие инциденты. Получает ли сегодня ИБ финансирование в достаточном объеме?
Максим Степченков сравнил финансирование ИБ с уплатой налогов. Это обязательная процедура для каждого, но за эти налоги мы получаем те или иные блага. В государственных компаниях значительные изменения часто происходят после принятия стратегии по цифровизации. Даже выделение 10% от ИТ-бюджета на информационную безопасность позволяет гибко реагировать на существующие угрозы. И хотя такой бюджет нельзя назвать чрезмерным, его также нельзя назвать скромным - он достаточен, хотя иногда приходится «затягивать пояса». Добавим, что например в Санкт-Петербурге расходы на информационную безопасность значительно увеличились.
«Бюджеты стали расти, но не всегда компании тратят их разумно», — сказал Дмитрий Овчинников. По его словам, многие компании могут позволить себе дорогую SIEM-систему, но при этом не обеспечивают необходимый персонал для её обслуживания и мониторинга. Дмитрий Овчинников также обратил внимание на позитивные изменения по сравнению с 2009 годом, когда он только начинал свою карьеру в информационной безопасности. Он отметил не только рост бюджетов, но и повышение компетенций сотрудников. Что касается бизнеса, который за это платит, то для них ситуация тоже улучшилась, считает спикер. Появилось больше компетентных специалистов, и необходимость обеспечения устойчивости бизнеса стала осознаваться на уровне топ-менеджмента, а не только среди администраторов.
Илья Борисов, директор департамента методологии ИБ компании VK,предостерег от стереотипа, что злоумышленники при атаках используют ограниченный набор техник и тактик. Напротив, они проявляют изобретательность и зачастую адаптируются под конкретную компанию. Поэтому защита, основанная исключительно на комплаенс практиках, может быть крайне неэффективным решением. Эксперт подчеркнул, что бюджеты на информационную безопасность растут, но это не всегда повышает реальную защищенность, так как рост вызван, в том числе, неизбежной инфляцией из-за дефицита кадров и удорожания средств защиты.
Александр Луганский выразил уверенность в том, что обучение сотрудников безопасному поведению должно стать привычкой, развиваемой не только на работе, но и в личной жизни. Это может быть достигнуто через регулярные тренинги, а не только за счет покупки дорогих решений. Спикер также указал на инфляцию и рост стоимости продуктов и услуг в сфере кибербезопасности. Он упомянул, что зарплаты специалистов выросли, и найти квалифицированных сотрудников за меньшую сумму становится нереально. Это отражает глобальные тенденции на рынке труда и в экономике. Наконец, он подчеркнул, что безопасность должна рассматриваться как постепенный процесс, начинающийся с базового уровня и развивающийся вместе с ростом осведомленности и культуры безопасности в компании.
Анализ неудач
Олег Седов предложил участникам круглого стола обсудить очень чувствительный и деликатный, но при этом крайне важный вопрос — какие ошибки допускаются компаниями, что позволяет злоумышленникам добиваться успеха, атакуя их?
Павел Кузнецов обозначил несколько важных аспектов на основе реального опыта. Он сказал, что причинами неудач являются следующие ситуации. Во-первых, это формальное выполнение нормативных требований, которое часто ограничивается поверхностными действиями, как "купили SIEM, поставили его в углу". На бумаге соответствует требованиям, но не обеспечивает реальной защиты. Во-вторых, это частое нарушение политик безопасности привилегированными пользователями, включая сотрудников службы ИБ. Например, когда сотрудник запускает подозрительное вложение на рабочем компьютере, несмотря на предупреждения. Третья типичная причина заключается в том, что некоторые уязвимые сервисы остаются в компании из-за сопротивления влиятельных сотрудников, которые привыкли ими пользоваться. Служба информационной безопасности сталкивается с трудностями при попытках устранить такие уязвимости.
Максим Степченков подчеркнул важность мотивации сотрудников в предотвращении инцидентов ИБ. Эксперт выделил два пути, которые обычно следуют после инцидента: наказание или отсутствие наказания. Однако, по его мнению, сотрудники должны получать мотивацию за предотвращение инцидентов. Он также указал на проблему коммуникации между службой информационной безопасности и руководством компаний. Часто служба не может донести до руководства необходимость мер по предотвращению инцидентов и их пользу для бизнеса.
Мысль о положительной мотивации поддержал Александр Васильев, заместитель генерального директора по информационным технологиям и кибербезопасности компании «Невский экологический оператор». «Все обсуждают атаку на СДЭК. Но во время ПМЭФ была колоссальная атака на «Ростелеком», которую он успешно выдержал. Эту новость кто-то обсуждал? Нет. Мы обсуждаем только негативные новости, потому что позитивные не могут быть измерены и представлены должным образом. Вот почему за позитивные события часто не благодарят», — заявил он.
Иван Земцов, директор по ИБ Красноярской краевой больницы, приходит к выводу, что при наличии злоумышленника внутри инфраструктуры невозможно полностью предотвратить проникновение, даже если оно займет больше времени. Он подчеркивает, что научно доказанных методов в информационной безопасности всего два: мандатная модель разграничения доступа и шифрование. Только их использование может гарантировать надежную защиту информации, тогда как другие методы не могут быть обоснованы с научной точки зрения.
Кирилл Куликов, ИТ-директор компании Татспиртпром считает, что безопасность зависит не только от специалистов по безопасности и айтишников, но и от всех сотрудников компании. Эксперт указывает на проблему отсутствия гигиены информационной безопасности среди сотрудников, приводя в пример частые случаи открытия фишинговых писем. По его мнению, это проблема не только для России, но и для многих других стран. Куликов выражает разочарование тем, что многие люди до сих пор не осознают значимость и влияние информационных технологий на их повседневную жизнь.
На тему анализа неудач высказался и Михаил Бачинский. По его мнению, для эффективной защиты информации необходим комплексный подход, включающий технические, административные и программные меры. Проект по защите информации должен быть целостным и увязанным во всех аспектах. По словам эксперта, руководство компаний должно осознавать стоимость информации, затраты на восстановительные работы и потери от простоев, чтобы понять важность комплексной защиты.
«Лишние» меры
Олег Седов спросил участников дискуссии, какие меры кибербезопасности за последние годы оказались избыточными и, в конечном итоге, бесполезными. Дмитрий Овчинников напомнил, что в последние годы компании часто покупали дорогие средства, но не проводили обучение сотрудников и не выделяли бюджеты на отдельные кадры для работы с этими системами. Он подчеркнул, что без надлежащего управления и процессов такие траты оказывались избыточными и неэффективными.
Иван Земцов согласился с Дмитрием, добавив, что в его организации были случаи, когда назначались ответственные за ИБ, но они даже не знали об этом. Средства защиты информации закупались, но оставались неиспользованными. Он отметил важность комплексного подхода, включающего силы, средства, документы и процессы.
Кирилл Куликов указал на другую проблему — нехватку экспертизы на рынке. По его словам, компании часто предлагают стандартные решения, такие как DLP и SIEM, но не готовы инвестировать время и силы в разработку индивидуальных решений для конкретных предприятий. "Мне иногда нужно конкретно для меня провести какую-то экспертизу," — сказал Кирилл Куликов, добавив, что каждая компания имеет свои уникальные потребности.
Продолжение следует
Дискуссия на Круглом столе оказалась живой и неформальной. У вендоров и заказчиков появился новый опыт, новые компетенции. Многие осуществили переход с зарубежных ИБ-решений на отечественные продукты. Руководство бизнеса начало осознавать важность безопасности не для «галочки», а для реальной защиты и противостояния угрозам. Бюджеты растут, но остаются вопросы, связанные с их максимально эффективным использованием. Вопросов еще очень много, поэтому обсуждение острых вопросов и проблем информационной безопасности на страницах нашего журнала обязательно будет продолжено.
Автор — Григорий Рудницкий
Автор — Григорий Рудницкий