Бизнес под киберугрозой
ПОСТРЕЛИЗ
Тотальная цифровизация делает нашу жизнь проще, а работу специалистов по кибербезопасности — тяжелее, в том числе и потому, что киберпреступники ежесекундно оттачивают свое мастерство. Есть ли возможность спасти свое киберсудно от цифрового абордажа, обсудили на дискуссии ИД «Коммерсантъ» в рамках онлайн-киберполигона The Standoff. Что такое киберугрозы и с какими основными атаками могут столкнуться как люди, так и бизнес, выяснял у экспертов модератор конференции, ведущий «Коммерсантъ FM» Рамаз Чиаурели.
Все основные риски представлены на киберполигоне, в рамках которого проходит конференция, отметил директор по развитию бизнеса в России Positive Technologies Максим Филиппов. На полигоне находится 14 объектов инфраструктуры, каждому из которых присущи бизнес-риски, сформулированные как задания для атакующих. Например, на объекте «Аэропорт» среди бизнес-рисков — это получение контроля над системой онлайн-регистрации билетов, вывод из строя системы маршрутизации багажа, нарушение процессов посадки и высадки пассажиров
Треть рисков, представленных на киберполигоне, может влиять на физическую безопасность людей. Например, если хакеры захватят управление посадочными «рукавами» в аэропорту, то, это чревато травмами и даже гибелью пассажиров, падающих из нелегитимно управляемого удаленно «рукава». По словам Максима Филиппова, в подходах компаний к защите он наблюдает такие сценарии: не надо защищаться, потому что полноценной защиты не бывает; регуляторы за все отвечают, а мы будем только соответствовать их требованиям; хакеров не бывает и пр.. Поэтому если в мире среднее время пребывания злоумышленника в инфраструктуре до его обнаружения — около 200 дней, то в России — порядка 2–3 лет, заметил господин Филиппов. «Безопасники в России превратились в такое закрытое коммьюнити, которое мало кто понимает, особенно бизнес, особенно когда над нами еще законодательство, ФСБ и ФСТЭК — бизнесу проще дать денег и не понимать, чем они занимаются», — отмечает эксперт. По его словам, основные цели для атакующих — это госкомпании, промышленность, медицина, онлайн-сервисы и банки.
Хакерам в сфере водоснабжения неинтересно и дорого, утверждает директор по информационным технологиям ГК «Росводоканал» Сергей Путин. Это касается сферы АСУ ТП, а с точки зрения работы с клиентами и внутренних бизнес-процессов служба информационной безопасности находится «на переднем крае обороны», поясняет он.
Телеком — это та инфраструктура, атака на которую может сказаться не только на том, кого атакуют, но и на том, кого, возможно, не хотел бы атаковать, отмечает начальник отдела обеспечения информационной безопасности МТС Андрей Дугин. Забавнее, когда кто-то атакует кого-то другого, а телеком-компании попадают «под раздачу»: например, если DDoS-атака идет из Китая в США через российских операторов связи, и им приходится тоже иметь дело с этой атакой, добавляет руководитель по услугам кибербезопасности «Мегафона» Артём Лосев. Поэтому в «Мегафоне» есть лаборатория киберразведки, с помощью которой оператор борется с мошенническими вызовами, рассказал он. Наиболее часто в телекоммуникационной отрасли нам встречаются атаки на абонентов сотовых сетей, в том числе вышибание из сети, перехват смс и трафика, подделка номеров, добавил Максим Филиппов. Также нередко происходят атаки на инфраструктуру телеком-операторов с целью получения контроля и дальнейшего совершения атак, рассказал он. Так как все телеком-операторы мира предлагают возможность перевода денежных средств от абонента к абоненту, то получение контроля над почтовыми ящиками — тоже «лакомый кусок» для хакеров. Когда происходит утечка данных почтового сервера, сразу же видны попытки подбора паролей от личных кабинетов: то есть мошенник понимает, что один и тот же пользователь наверняка использует тот же пароль и почты, и от личного кабинета, и пытается в него попасть, рассказал господин Филиппов.
Как стадо бизонов бежит со скоростью самого медленного бизона, так и в информационной безопасности наименее защищенный компонент становится точкой проникновения в более защищенный, рассуждает Андрей Дугин. Поэтому важно, чтобы все системы имели одинаково хороший уровень безопасности и были разграничены по уровням доступа, полагает он. Чем больше в экосистеме связанных сервисов, тем лучше надо защищать каждый из них и тем интереснее задача для специалиста по информационной безопасности, отмечает господин Дугин. Когда наши исследователи совершают пентест, то есть «дружественный взлом», зачастую они делают это через менее защищенных подрядчиков организации, подтверждает Максим Филиппов.
Облачные технологии — сравнительно новые, но статистика показывает, что защита облачного провайдера лучше среднестатистической компании на рынке, отметил руководитель направления развития облачных сервисов безопасности «Яндекс.Облако» Андрей Иванов. Хакеры предпочитают ломать непосредственно клиентов, нежели инфраструктуру облачных провайдеров, полагает он. Кроме того, захват облачной инфраструктуры сложнее монетизировать, чем, например, захват банка. Однако облачный провайдер должен закладывать в свои риски все, так как злоумышленник может интересоваться любой из компаний, которая пользуется сервисом, отметил господин Иванов.
Защита облачных платформ — нетривиальная задача, потому что получается, что на твоей инфраструктуре хостятся «троянские кони», согласился Максим Филиппов. По его словам, рынок киберполигонов, необходимый для тестирования инфраструктуры, сейчас только зарождается: какие-то компании проводят учения на своей инфраструктуре, есть киберполигоны, где атака и защита проходят по сценариям.
Плотность атак на компании обычно неравномерная, но на полигоне инфраструктура находится под атакой непрерывно 30 часов, указывает Андрей Дугин. При этом на полигоне The Standoff, например, команде защитников изначально дается «голый» кусок железа, защиту которого нужно продумать с нуля, и команда понимает, какие их ошибки могут повлечь непоправимые последствия и какие меры эффективны превентивно, а какие ― стоит мониторить, рассуждает он.
Цифровизация — это не просто маркетинг, это то, что прочно вошло в нашу жизнь и сделало ее удобной, но с темпом проникновения технологий баланс сместился в сторону атакующих, отметил Максим Филиппов. Безопасность не может жить в изоляции, поэтому бизнес должен подходить комплексно к оценке рисков и затрат, уточнил Артем Лосев. При обилии проблем важно сосредоточиться на чем-то конкретном и выделить критичный для себя уровень риска, заметил господин Филиппов. Отдел безопасности должен помочь бизнесу оценить риски и совместно с бизнесом выбрать правильную тактику их отработки, согласился Андрей Иванов. Причем основополагающую ответственность за безопасность сервиса несет его руководитель, поэтому он заинтересован в такой коллаборации, отметил господин Иванов, указывая, что сотрудники должны помнить о важности безопасности компании на любом из уровней и знать базовые правила ее соблюдения.