Кибербезопасность: кто кого?

Сегодня риски бизнеса в сфере кибербезопасности только растут. Какие лучшие практики есть в компаниях, для того чтобы вовремя реагировать на киберугрозы? Насколько значима роль человеческого фактора и что делать небольшим компаниям, которые не могут позволить себе отдельную команду, обеспечивающую безопасность бизнеса? Эти и другие вопросы обсудили участники конференции «Кибербезопасность: актуальные риски и тренды», организованной ИД «Коммерсантъ Сибирь».

Перейти на отечественное

Модератор мероприятия, эксперт ИТ-рынка Юрий Горев, открывая конференцию, обозначил, что сегодняшняя ситуация в отрасли дает целый ряд новых возможностей для предпринимателей. Бизнес получает бесценный опыт на фоне ухода с рынка иностранных компаний и обострившейся активности киберпреступников.

«Ситуация сейчас достаточно сложная, но зато можно внедрять то, что никогда не внедряли, и реализовывать свои затеи. Благо на нашем рынке есть с чем работать — есть поставщики, есть готовые решения, накопленный опыт. В последнее время он копится семимильными шагами — день за десять проходит»,— заключает Горев.

Директор по развитию бизнеса по региону Сибирь и Урал компании «Код безопасности» Николай Бабичев добавляет, что актуальные риски сегодня можно поделить на две большие группы — конъюнктурно-рыночные и продуктовые. «К первым как раз относятся сегодняшние тренды, связанные с атаками на наши организации. Мы видим, что их интенсивность выросла, и им начали подвергаться все российские компании независимо от масштабов и сферы деятельности»,— подтверждает эксперт. По его словам, на рынке есть решения, которые позволяют такие риски нивелировать.

«В частности, это наша платформа “Континент 4”, на базе которой крупные, средние, мелкие организации из любой отрасли могут построить сетевую защиту с продвинутым функционалом анализа трафика. Общий подход к разработке платформ — это отечественная сборка, программный стэк. Масштаб платформы определяется масштабом задачи заказчика»,— отмечает Бабичев.

По словам Николая Бабичева, производителям российского ПО нужно догонять функционал зарубежных вендоров, чтобы у бизнеса была мотивация двигаться в сторону российских решений целиком, а не частично. И сегодня компании вкладывают в это средства, стараясь обеспечить максимальную надежность и функционал.

Кроме того, многие российские вендоры сегодня реализуют масштабные проекты для клиентов, когда нужно перейти на российское ПО. «К примеру, кейс, находящийся у нас сейчас в работе: у заказчика огромная инфраструктура на базе CISCO — ее нельзя менять маленькими кусочками, возникает вопрос о сроках поставки. Речь, конечно, идет об аппаратных платформах. Мы можем справиться с таким проектом за 3–5 недель, и это хороший срок на рынке»,— рассказывает эксперт.

Технический директор МТС RED Денис Макрушин отмечает, что DDoS-атаки^* остаются одним из самых популярных инструментов злоумышленников во многом потому, что ресурсы для их проведения можно легко арендовать по доступным ценам на специализированных площадках и форумах. Несмотря на свою доступность для злоумышленника, такие атаки несут репутационные риски и могут привести к временной остановке бизнеса, финансовым потерям и оттоку клиентов.

Основной риск для компаний, подвергшихся кибератакам, — утечка персональных данных пользователей: от имен и фамилий клиентов до платежных реквизитов, данных карт и даже паролей от различных сервисов.

Ситуацию усугубляет тот факт, что самостоятельно оценить реальный уровень собственной защищенности компании и организации зачастую не могут, подчеркивает эксперт. Например, многие обслуживались у вендоров, покинувших российский рынок, или использовали зарубежные решения, которые из-за санкций невозможно обновить.

В этих условиях как никогда важна профилактическая работа, которую должны проводить эксперты, имеющие весомую репутацию на российском рынке, считает Макрушин. Это могут быть классические форматы услуг по анализу защищенности IT-инфраструктуры и поиску уязвимостей на веб-ресурсах компании, в мобильном приложении и другом критически значимом ПО. Или комплексный аудит информационной безопасности, включающий регулярные тестирования на проникновение, круглосуточный мониторинг, реагирование на атаки и расследование инцидентов, а также киберучения.

«В первую очередь нужно обеспечить непрерывность процессов повышения уровня информационной безопасности, во вторую — такую же непрерывность оценок этих процессов, их следует постоянно пересматривать и улучшать»,— поясняет Денис Макрушин.

Таким образом, важным фактором для компаний становится непрерывность анализа защищенности. «Технологии позволяют проводить тестирование на проникновение автоматически, вне зависимости от человеческого фактора. Если у вас уже настроены средства защиты и есть центр мониторинга и реагирования, то следующий этап, о котором стоит подумать, — это внедрение непрерывного анализа защищенности»,— заключает Макрушин.

ПО как произведение

 Руководитель практики по защите интеллектуальных прав «Адвокатское бюро Гребнева и партнеры» Андрей Колесников отмечает еще одну «уязвимость» предпринимателей — это отсутствие оформленных прав у компаний-разработчиков на их же ПО.

«Мы часто проводим аудиты в рамках сделок по слиянию и поглощению и замечаем, что еще нередко в компаниях нет порядка с авторскими правами на программные продукты»,— рассказывает Андрей Колесников. Между тем с точки зрения закона программное обеспечение охраняется авторским правом, как, например, литературное произведение.

Колесников поясняет, что авторское право существует как самый простой вариант защиты. Право возникает с момента создания продукта. Считается что в ПО есть творческий элемент — его можно написать разными способами, поэтому оно тоже охраняется авторским правом. Под закон попадает именно реализация, к примеру, конкретный код, на основе которого все работает.

Чаще всего программное обеспечение создает сотрудник, который устроен по трудовому договору. Колесников советует обращать внимание на то, чтобы сотрудник являлся разработчиком по должности, и ему следует давать конкретные задания на создание продуктов в письменном виде — что нужно сделать, какой функционал и так далее. Это нужно для того, чтобы сотрудник потом не сказал, что это была его собственная разработка и он делал ее по вечерам, в свободное от работы время. Конкретные технические задания помогают доказать право компании на продукт.

«В идеале необходимо периодически выплачивать сотруднику вознаграждение конкретно за создание продукта, подписывать с ним акт приема-передачи. Мало кто из работодателей это делает, но даже если деньги чисто номинальные, вам гораздо легче будет доказать ваше право на продукт в случае необходимости»,— отмечает господин Колесников.

Что делать небольшим компаниям?

Совладелец компании RuSIEM Максим Степченков говорит, что не понаслышке знает проблемы малого и среднего предпринимательства: «Многие из них говорят: нас взломали, и у нас нет 50 тыс. руб., чтобы заплатить выкуп кибервымогателям». По мнению Степченкова, сегодня бизнес нуждается в SIEM (с англ.: Security Information and Event Management — управление событиями и информационной безопасностью) — это система, которая собирает в одно место данные об информационной безопасности и на основании событий выявляет те или иные инциденты, без этого сложно построить систему защиты информации.

Максим Степченков вспоминает, что когда он устанавливал систему первому клиенту (это был  банк), выяснилось, что сервер финансовой организации атаковали на протяжении четырех лет с одного китайского сервера. «Тут вспоминается старый анекдот, как китайцы взломали Пентагон — сделали миллиард попыток, каждый вводил пароль, в конце концов сервер не выдержал. Как вы понимаете, если сервер четыре года атакуют, то рано или поздно пароль подберут»,— предупреждает господин Степченков.

В этом году компания Степченкова выпустила систему RuSIEM Monitoring. Это система мониторинга ИТ-структуры с возможностью удаленного администрирования и встроенным HelpDesk (система для автоматизации обработки запросов клиентов).

На базе системы RuSIEM построены SOC (с англ.: Security Operations Center — центр мониторинга информационной безопасности) таких компаний, как «Эр-телеком», «Мегафон» и других.

Бывает, что клиенты вспоминают об инфобезопасности, лишь когда сталкиваются с нападением кибермошенников. Степченков делится одним из последних случаев при работе с клиентами: заказчик с утра пришел на работу и увидел сообщение: «У вас осталось два дня, потом все ваши данные будут зашифрованы».

«Что мы сделали при разборе? За полчаса подключили SIEM, еще за два часа подключили туда все источники, разобрались, выяснили, что в системе много уязвимостей. Интересно, что заказчика одновременно “ломали” три преступные группировки. Обычно они могут договориться о “процентовке” выплаты, здесь же одна из преступных группировок установила средство защиты информации, а остальных выгнала. Нам пришлось переустановить ряд ПО. Заказчик установил наш продукт и уже основательно занялся информационной безопасностью, потому что ущерб от простоя бизнеса гораздо выше, чем инвестиции в безопасность»,— объясняет эксперт.

Угроза изнутри

Но угроза может прийти и оттуда, откуда не ждали. Старший специалист отдела внедрения Staffcop (ООО «Атом безопасность») Александр Курьянов отмечает, что не стоит также забывать о внутренней безопасности и рисках, которые компания может понести непосредственно от сотрудников. Ведь в последних общеизвестных случаях кражи данных преступникам даже не пришлось устанавливать вредоносное ПО, они просто притворились сотрудниками компании, используя информацию в открытом доступе.

«Мы расследуем инциденты, связанные с утечкой информации, покрываем риски, связанные с удаленной работой, мониторим дисциплину, работу с конфиденциальными данными, финансовой и коммерческой информацией и на основании собранных данных можем уже предупреждать мошеннические действия внутри компании»,— рассказывает Александр Курьянов.

Аналитика, которую получают клиенты компании, также показывает эффективность сотрудников и их активность в течение рабочего времени. Заказчик получает отчеты на регулярной основе. Так, по учету рабочего времени можно увидеть «тепловую диаграмму» рабочего дня сотрудника. Это позволяет отследить нецелевое использование ПК, а кроме того, выявить сотрудников, которые не слишком честно выполняют свои трудовые обязанности на удаленке.

Также система позволяет составить график загруженности по отделам и увидеть, какие сотрудники слишком завалены работой, а кто, наоборот, «отлынивает». «Есть и разные индивидуальные настройки: если сотрудник начал искать работу — система это зафиксировала, или можно, например, ограничить массовое копирование файлов. Сами понимаете, что эти вроде бы простые технические действия способны значительно снизить потенциальный вред для бизнеса»,— резюмирует Курьянов.

Снизить риски влияния людей

Директор департамента информационной безопасности и специальных решений Sitronics Group Александр Дворянский важнейшим аспектом защиты современных компаний называет комплексный подход Awareness (повышение уровня осведомленности персонала в вопросах информационной безопасности). По его словам, сегодня более 50% современных атак и компрометации информации так или иначе происходят из-за человеческого фактора. «Для понимания: МИД РФ спрогнозировал, что к 2025 году потери мировой экономики от киберпреступности составят более $11 трлн. Теперь представьте, что больше половины — это из-за человеческого фактора. Соответственно, если все правильно организовать, то более половины денежных средств могли бы сберечь»,— говорит Дворянский.

Эксперт отмечает, что информационная безопасность — это не разовый проект, его нельзя просто сделать и закончить: «Это постоянный процесс, который нужно постоянно и регулярно адаптировать, и он тоже постоянно эволюционирует. И связано это с тем, что злоумышленники тоже не стоят на месте, в развитие этого сегмента тоже вкладываются средства. Нам не то чтобы нужно идти с ними в ногу, нам необходимо быть на шаг впереди».

Позитивным фактором Дворянский называет поддержку государства в этой сфере, к примеру, появление концепции формирования и развития культуры информационной безопасности, которую правительство РФ одобрило в декабре 2022 года.

Однако сегодня важно помнить, что даже если периметр компании полностью технически защищен, то человек, к сожалению, продолжает оставаться самым слабым звеном, и этим непременно пользуются злоумышленники. Поэтому сейчас бизнесу необходимо проводить постоянное обучение для всех групп сотрудников: регулярные тесты, рассылки, имитацию и отработку разных сценариев атак и реагирования на них. «Здесь мы говорим не только про технический персонал, а в первую очередь про линейный. Да, технические средства защиты играют ключевую роль и могут в том числе подстраховывать людей, но забывать о постоянном повышении уровня осведомленности внутри компании сегодня крайне опасно»,— предупреждает эксперт.

_{* с англ.: Distributed Denial of Service — распределенный отказ в обслуживании}

После мировых событий 2022 года рост киберугроз стал одной из самых обсуждаемых тем для российского бизнеса. А текущая обстановка ярко показала, как и без того актуальная проблема кибербезопасности может выйти на новый уровень. Как приспособиться к тому, что многие крупные зарубежные игроки рынка информационной безопасности ушли из России и с чего начать процесс импортозамещения? Где взять компетентных ИТ-специалистов и кому доверить «перестройку» собственной ИТ-инфраструктуры?

С учетом этих непрекращающихся киберпроблем текущая ситуация только добавляет новых вопросов. Так как же защитить собственный бизнес от кибератак и оставить в сохранности все данные?

Участники конференции: генеральные директора и собственники бизнеса, руководители ИТ-департаментов крупного и среднего бизнеса, представители отрасли ИТ, ритейла, консалтинговых компаний, страховых компаний, СМИ.

К выступлению приглашены: министерство цифрового развития и связи НСО, министерство науки НСО, независимые эксперты, представители компаний сферы ИТ-безопасности, представители крупного бизнеса.

Возрастное ограничение: 16+