Кибербезопасность: актуальные риски и тренды

Жизнь в информационном обществе не только дарит бизнесу новые возможности, но и ставит перед новыми вызовами. Системные уязвимости могут привести к многомиллионным убыткам, а борьба с киберпреступностью становится повседневной необходимостью. Политическая ситуация в мире, санкции и необходимость быстро перейти на отечественные программные продукты делают этот процесс еще более сложным и запутанным. На конференции «Кибербезопасность-2024: актуальные риски и тренды», организованной издательским домом «Коммерсантъ», эксперты рассказали о самых актуальных угрозах для информационной безопасности компаний и поделились способами борьбы с ними.

Открывая конференцию, ее модератор, исполнительный директор Kama Flow Павел Охонин заметил, что актуальность темы нельзя переоценить: она представляет интерес и для российских компаний-разработчиков, и для представителей бизнеса, и для органов власти.

Главный инженер Центра защиты информации Новосибирской области Василий Полынский перечислил, с какими проблемами при защите информации органов власти региона приходится сталкиваться чаще всего. «В первую очередь это кадры: существуют сложности с поиском и удержанием сотрудников. У действующих работников возникает профессиональное выгорание, которое может привести к ошибкам в работе и катастрофическим последствиям. Чтобы это предотвратить, мы предлагаем конкурентную зарплату и комфортные условия, а для борьбы с выгоранием практикуем перевод сотрудников в параллельные отделы. Меняется функционал, и человек переключается на новые задачи»,— пояснил спикер.

Необходимость быстрого импортозамещения в сфере программного обеспечения также вызывает сложности: отечественные решения пока еще имеют ограниченный функционал, ошибки и уязвимости, но при этом достаточно дорогостоящи, заметил господин Полынский. «Конечно, это сильно зависит от области применения. Например, российские продукты в криптографии очень хорошие. В целом ситуация улучшается, но пока далека от идеала»,— оценил он. И третья проблема — это кратно возросшее количество и качество атак на государственные ресурсы. Самыми распространенными из них Василий Полынский назвал фишинг, DDoS-атаки (англ. Distributed Denial of Service — «распределенный отказ в обслуживании»), вредоносное ПО и атаки через цепочку поставщиков, которые могут быть более уязвимы перед злоумышленниками.

«Многие российские компании-разработчики действительно пользуются ситуацией на рынке и завышают цены на свои продукты. Но, думаю, скоро произойдет стабилизация ценообразования: в марте ФАС отменила мораторий на проверки ИТ-компаний»,— прокомментировала выступление сомодератор конференции, руководитель корпоративной и налоговой практик адвокатского бюро «Гребнева и партнеры» Регина Бакшун.

7 мая 2024 года президент РФ Владимир Путин подписал указ №309 «О национальных целях развития РФ на период до 2030 года и на перспективу до 2036 года», в нем в числе прочего говорится о необходимости обеспечения сетевого суверенитета и информационной безопасности страны и создании системы эффективного противодействия преступлениям, совершаемым с использованием информационно-телекоммуникационных технологий.

По мнению заместителя начальника отдела продаж компании ООО «Код Безопасности» Романа Лопатина, в ситуации, когда здесь и сейчас требуется построение устойчивой к атакам злоумышленников цифровой парадигмы, которая бы при этом получила одобрение контролирующих органов и не усложняла работу бизнеса, производители должны объединяться в киберальянс, предоставляя пользователям набор лучших на рынке комплексных решений. «Сегодня уже понятно, что рубикон пройден: пора перестраивать всю цифровую инфраструктуру под отечественное “железо” и программное обеспечение. На нашем рынке при этом нет универсальных решений, но есть много узкопрофильных наработок хорошего качества. Мы выбрали подход использования мультивендорных комплексных решений: в зависимости от потребности заказчика мы связываем наши продукты с решениями других производителей,— пояснил господин Лопатин.— При этом понятно, что все подряд покупать дорого и бессмысленно. Нужно подбирать набор средств защиты под каждую конкретную организацию после оценки ее бизнес-процессов».

По его словам, согласно данным Реестра программного обеспечения, к настоящему моменту на российском рынке зарегистрировано 242 программно-аппаратных комплекса и 994 средства защиты информации. Таким образом, проблема не в количестве программного обеспечения, а в его качестве. И здесь не последнюю роль играет репутационная история каждого из вендоров. «Атак становится все больше, они разноплановые и “летят” по разным сценариям. Это представляет реальную угрозу для всех компаний. Также понятно, что универсальных решений нет: информационная безопасность требует комплексного подхода, а для решения целевых задач узкопрофильные компании будут в приоритете. Поэтому мы выступаем за создание технологического союза, в котором продукты разных производителей были бы совместимы друг с другом»,— подвел итог Роман Лопатин.

Участники конференции заметили, что при обеспечении безопасности очень часто слабым звеном оказываются сотрудники организации, которые намеренно или случайно допускают проникновение вредоносных программ и утечку информации.

Специалист отдела внедрения Staffcop Николай Сухотерин представил решение компании для расследования инцидентов внутренней безопасности и мониторинга активности сотрудников. ПО позволяет удаленно управлять системой, осуществлять контроль доступа к файлам, контролировать съемные носители, почту, печать, мессенджеры и социальные сети, посещаемые сайты, делать снимки с веб-камеры и рабочего стола, записывать аудио с микрофона и колонок. Решение позволяет настраивать необходимый объем сбора данных, самостоятельно формировать отчеты по разным показателям, составлять карточки сотрудников и оценивать эффективность их работы, блокировать устройства, подключения, приложения и сайты. Доступ осуществляется через веб-консоль. «Регуляторы ужесточают правила: теперь необходимо уведомлять контролирующие органы об утечках информации в течение 24 часов после их возникновения, а в течение 72 часов предоставлять информацию о внутреннем расследовании инцидента. Отчеты, формируемые нашей системой мониторинга, подходят для этих целей»,— заметил Николай Сухотерин.

«Внедрение данного программного обеспечения направлено на повышение уровня защиты компании, а не на усиление контроля за деятельностью сотрудников. Тем не менее соблюдение всех правовых норм обязательно: работодатель должен подготовить необходимую документацию, получить письменные согласия от сотрудников на сбор данных и уведомить их об использовании такой системы.

Сейчас наблюдается тенденция к более спокойному отношению сотрудников к мониторингу, особенно после опыта удаленной работы во время пандемии COVID-19»,— добавил он.

Контролирующие органы действительно ужесточают правила: все чаще заходит речь о введении оборотных штрафов за утечку персональных данных. О судебной практике при утечках персональных данных и управлении рисками при работе с обработчиками персональных данных рассказала юрист направления ИТ-проектов адвокатского бюро «Гребнева и партнеры» Софья Серова. По ее словам, под утечкой персональных данных понимается их случайная или неправомерная передача, в том числе в результате компьютерного инцидента, которая влечет за собой нарушение прав субъектов персональных данных. По сравнению с законопроектом об ужесточении ответственности за утечку и несоблюдение требований №152-ФЗ на сегодняшний день минимальный размер штрафа за нарушение требований по обработке персональных данных для юридических лиц составляет 60 000 руб.

«Итак, допустим, данные утекли. Какие доказательства есть у контролирующих органов? Главное — это признание оператора. При этом судебная практика показывает, что своевременное уведомление Роскомнадзора не всегда является смягчающим фактором. Также в судебных решениях не фигурирует исследование технических мер защиты. «Как суды оценивали наличие технических мер? Никак. Мне кажется, это демотивирует компании»,— заметила спикер.

Особое внимание следует уделить взаимодействию с обработчиками персональных данных — лицами, выполняющими обработку персональных данных по поручению оператора. Обработчики, пользуясь тем, что несут ответственность за свои действия только перед оператором, зачастую навязывают оператору свои условия взаимодействия.

Чтобы защитить свою компанию при заключении договора с обработчиком, Софья Серова советует включить в него ясный и недвусмысленный механизм возмещения имущественных потерь при возможных утечках, а также оформить в качестве заверения об обстоятельствах обязанность обработчика предоставлять информацию, подтверждающую принятие мер и соблюдение требований №152-ФЗ.

Тема вызвала бурную дискуссию. «Дело в том, что суд некомпетентен в оценке качества используемого программного обеспечения. Но дилемма в другом. К оператору предъявляются требования: купить, поставить и настроить ПО для защиты. Эти меры он обязан выполнить, а Роскомнадзор за этим проследить. Но если у него все стоит в соответствии с требованиями, а утечка произошла, это, по сути, компрометирует ФСТЭК: значит, меры, прописанные ей, не работают. Мы видим, что существующей сегодня регуляторики не хватает. Нормативная база должна динамично меняться и подстраиваться под современные угрозы»,— вступил в обсуждение Роман Лопатин.

«Нормативная база все равно будет отставать. Но если выполнить уже существующие требования, это уже улучшит ситуацию. У многих компаний на сервере до сих пор не установлен банальный антивирус. Кто-то из сотрудников вставил флешку, и вот она зловещая хакерская атака. Поставьте антивирус, расскажите людям, что не нужно его выключать, и это сильно облегчит всем жизнь»,— прокомментировал Василий Полынский.

Осознанность сотрудников в вопросах информационной безопасности действительно играет ключевую роль. Генеральный директор Phishman Алексей Горелкин считает, что человеческий фактор — основной и компаниям нужно внедрять киберкультуру и выстраивать доверительные отношения между отделом информационной безопасности и другими работниками. «Чем раньше будет обнаружена атака, тем меньше неприятных последствий возникнет. За последний год количество фишинговых атак выросло в три раза. И главная проблема здесь „молчуны“. Люди не признаются, что, например, перешли по ссылке в письме или допустили другие ошибки. „Я не знаю, оно само“. Такая реакция означает, что служба безопасности все время наказывает, люди боятся с ней связываться. А нужно добиваться, чтобы люди с ней сотрудничали. „Безопасник“ — наш друг и помощник. Нужно этим заниматься, привлекать в союзники эйчаров, придумывать поощрения для вовремя обратившихся и рассказавших о проблеме. Для этого нужно выстраивать киберкультуру. Киберкультура — это то, что делают люди, когда за ними не следят»,— пояснил он. Алексей Горелкин предлагает использовать человекоцентричный подход в безопасности. «В основе концепции повышение киберосознанности пользователей, прецедентное обучение и выявление сотрудников, которые являются слабым звеном. Мы поднимаем их уровень киберграмотности, нарабатываем необходимые навыки. Безопасность, которую у компании не отнять и не взломать, — это кибергигиена и знания сотрудников. Люди должны четко знать, что можно, а что нельзя делать»,— подвел итог спикер.

О тенденциях кибератак в России рассказала региональный представитель «Лаборатории Касперского» Оксана Артемьева. «Можно сказать, что Россия стала целью номер один для кибермошенников со всего мира, мы по сути являемся полигоном. В 2023 году число атак увеличилось в два раза и продолжает расти, больше половины из них оцениваются как критические. Основные точки входа — почта и мобильные устройства. При этом более 80% киберинцидентов вызваны человеческим фактором. Представители среднего бизнеса в среднем теряют более 5 млн рублей в случае успешной атаки, а малый бизнес в 60% случаев и вовсе прекращает свою деятельность. Поэтому в конце 2023 года наша компания разработала ряд решений, которые подходят для надежной защиты небольших компаний. Это EDR-решение (англ. Endpoint Detection & Response — «обнаружение конечных точек и реагирование») для защиты и расследования инцидентов, защита почтовых серверов, мобильных устройств, защита от DDoS-атак, а также новая линейка решений для умной защиты среднего бизнеса Kaspersky Smart. Кроме того, мы проводим обучающие тренинги и семинары по кибербезопасности для всего персонала компаний».

«Компания “ИнфоТеКС” — ведущий разработчик и производитель высокотехнологичных программных и программно-аппаратных средств защиты информации. В портфеле ИнфоТеКСа более 50 продуктов, выпускаемых под брендом ViPNet, в числе которых решения по обнаружению и пресечению угроз и вторжений. Такие системы решают задачи по обнаружению и блокировке атак в гетерогенной среде на хостовом и сетевом уровнях как внутри, так и за пределами защищенного периметра, производят агрегирование и анализ событий безопасности в едином центре, формируют карточку инцидента и могут отправлять данные во внешние системы. Отличительной особенностью подобных систем защиты является возможность реализации на их основе концепции ZTNA на исключительно сертифицированных решениях, таких как ФСТЭК России (системы обнаружения вторжений, межсетевые экраны, средства защиты от НСД), ФСБ России (средства криптографической защиты до КС3 включительно). Еще одно преимущество — покрытие и управление из единого центра одновременно как реализацией на ОС Windows, так и на отечественных ОС», – прокомментировал заместитель руководителя обособленного подразделения ИнфоТеКС Валентин Селифанов.

«Еще один важный момент, о котором стоит помнить, выстраивая систему защиты информации. Обеспечение безопасности — это постоянный процесс, который не может закрыть только ИБ-специалист, работающий восемь часов пять дней в неделю, учитывая, что при этом сам объект защиты работает 24/7. В такой ситуации без привлечения коммерческого SOC (например, от компании «Перспективный мониторинг») обойтись нельзя»,— добавил Валентин Селифанов. Подводя итоги конференции, участники отметили, что киберпреступность не стоит на месте, придумывая все новые и более изощренные способы атак. Компании-разработчики постоянно развивают свои решения, пытаясь найти и закрыть новые уязвимости. И только комплексный подход (серьезная подготовка кадров, использование разных средств защиты, обучение людей кибергигиене) позволит активно противостоять злоумышленникам.

Обстановка по росту киберугроз в мире, и особенно в России, ярко показывает, как и без того актуальная проблема информационной безопасности выходит на новый уровень каждый год.

Как приспособиться к тому, что многие крупные зарубежные игроки рынка информационной безопасности ушли из России и с чего начать процесс импортозамещения? Где взять компетентных ИТ-специалистов и кому доверить «перестройку» собственной ИТ-инфраструктуры?

С учетом этих непрекращающихся киберпроблем текущая ситуация только добавляет новых вопросов. Так как же защитить собственный бизнес от кибератак и оставить в сохранности все данные?

Участники конференции: генеральные директора и собственники бизнеса, руководители ИТ-департаментов крупного и среднего бизнеса, представители отрасли ИТ, ритейла, консалтинговых компаний, страховых компаний, СМИ.

К выступлению приглашены: министерство цифрового развития и связи НСО, министерство науки НСО, независимые эксперты, представители компаний сферы ИТ-безопасности, представители крупного бизнеса.

Возрастное ограничение: 16+