Эксперт в области информационной безопасности, генеральный директор компании Angara Security (поставщик ИБ-решений для бизнеса и государственного сектора) Сергей Шерстобитов рассказал РБК, как Россия может противостоять атакам на критическую инфраструктуру, кому могут грозить оборотные штрафы и как страховые продукты должны поспособствовать повышению кибербезопасности отечественных компаний.
Как за последний год изменился формат киберугроз? Правда ли, что сейчас цель большинства атак – не дестабилизировать и расшатать, а вывести систему из строя?
Это действительно так. До недавнего времени киберпреступность была своего рода бизнесом, и основной целью преступников было зарабатывание денег. Это неприятно, но у жертвы сохранялась возможность восстановить свои данные, например, заплатив «выкуп», сумма которого почти сразу и обозначалась. Соответственно, до 2022 года основной мишенью киберпреступников были финансовые организации. Сейчас ситуация изменилась. Акцент сместился в сторону предприятий промышленности, организаций госсектора. Задача преступников заключается в том, чтобы нанести максимальный ущерб и нарушить работоспособность системы, вывести из строя ИТ-инфраструктуру.
Есть ли какая-то статистика относительно количества кибератак?
На этот вопрос нельзя ответить однозначно, потому что статистика зависит от того, что именно считать атакой. К тому же, сведения далеко не обо всех таких случаях становятся публичными. Но в масштабах страны счет в любом случае идет на сотни тысяч атак ежегодно.
Также нужно понимать, что изменилась тактика нападающих. Раньше, после разведки и выявления уязвимостей, атака развивалась достаточно быстро, преступники стремились как можно скорее продемонстрировать эффект. Сейчас, после того как уязвимые места обнаружены и определенные учетные записи скомпрометированы, злоумышленники могут долго оставаться незамеченными, ждать стечения определенных событий или каких-то команд, прежде чем реализовать разрушительные действия. То есть, если ущерб еще не нанесен, это не значит, что атака уже не подготовлена.
Все это очень сильно напоминает реальные военные действия – разведка, засада… Мы живем в условиях кибервойны
Мы живем именно в условиях кибервойны. Те узлы, с которых происходят атаки, довольно часто находятся за пределами Российской Федерации, и к неправомерным действиям в отношении наших компаний во многих случаях причастны представители других государств. Я не исключаю, что в атаках могут быть задействованы и иностранные госструктуры. Однако я не уверен, что действия всех этих многочисленных группировок согласованы между собой. С другой стороны, это может означать, что мы еще просто не увидели основной фазы той кибервойны, которая против нас ведется.
Поэтому сейчас очень важно максимум внимания уделить тому, чтобы преступные планы не реализовались. Особенно, если они касаются угроз в отношении государственных органов и крупных корпораций, отвечающих за цепочки поставок продовольствия, энергии, топлива и т.д. В общем, всех сервисов, дестабилизация которых напрямую влияет на качество жизни граждан.
Но ведь одно дело – сбой работы службы доставки, и совсем другое – вывод из строя диспетчерской службы аэропорта. Насколько уязвима российская критическая инфраструктура?
Я со всей уверенностью могу сказать, что абсолютно защищенных систем не бывает. Вопрос только в том, сколько времени и сил надо потратить на взлом и насколько масштабным будет ущерб от атаки. Крупные компании и организации все-таки в значительной степени защищены. Эффективно работают наши регуляторы – Федеральная служба безопасности, Федеральная служба по техническому и экспортному контролю, да и сами компании потратили немало сил и средств на выстраивание своих систем безопасности. Но мы же не можем рассматривать эти структуры обособленно от всего остального окружения, в котором они живут и работают.
У каждой крупной организации есть большое количество подрядчиков, субподрядчиков, дочерних компаний, которые не всегда соответствуют регуляторным требованиям. Именно они, за счет своей недостаточной защищенности, становятся слабым звеном, через которое реализуются кибератаки.
Также важно отметить, что мы живем во времена цифровой трансформации. Мы уже не представляем себе жизни без смартфонов, банковских приложений и онлайн-кабинетов для оплаты услуг…
Получается, мы сами создали благоприятные условия для действий кибермошенников?
Каждое новое устройство несет новые возможности и новые риски, а любое удобство для пользователя подразумевает потенциальную уязвимость. Думаю, что сейчас мы находимся в стадии накопления этого опыта и понимания необходимости цифровой гигиены.
Но здесь вопрос не только к пользователям, но и к разработчикам. Цифровая трансформация предполагает развитие большого количества сервисов и продуктов, но, к сожалению, компании, которые этим занимаются, редко в должном объеме выполняют требования безопасности.
Проведем простую параллель. При создании автомобиля разработчик каждого узла должен отвечать за его механическую прочность. Также и разработчики ИТ-систем должны обращать внимание не только на функционал и качество, но и на защищенность своих продуктов. Немаловажно и то, что аутсорсеры, которые обеспечивают эксплуатацию цифровых сервисов, обязаны следить за безопасностью своей инфраструктуры. Потому что через учетку внешнего подрядчика часто можно подобраться к самому сердцу корпоративной сети крупной корпорации.
Какими инструментами для минимизации киберрисков сегодня обладают компании?
Здесь есть две составляющие – сами инструменты и их эффективное взаимодействие между собой. С точки зрения инструментария, российский рынок предлагает достаточное количество возможностей для эффективного отражения компьютерных атак. Но потом мы упираемся в экспертизу, в знания тех людей, которые с этими инструментами работают.
Гонка за кадрами сейчас сумасшедшая. Я больше 20 лет работаю в этой индустрии, и всегда казалось, что экспертов по информационной безопасности не хватает. Но сейчас дефицит просто колоссальный, и я не вижу предпосылок к тому, чтобы эта ситуация изменилась. Я считаю, что дефицит экспертизы будет только нарастать, и люди, умеющие корректно использовать инструменты информационной безопасности, будут все больше и больше востребованы рынком.
Есть ли какие-то способы закрыть эту кадровую брешь? Например, за счет каких-то программ переподготовки?
В вузах действительно открывается все больше подобных кафедр и факультетов, и бизнес тоже активно включается в подготовку кадров. У нас, например, есть авторский курс по обнаружению компьютерных атак, который мы читаем в нескольких вузах.
Но классическая парадигма образования здесь мне представляется не очень эффективной. Она немного отстает от жизни – мир и средства нападения меняются гораздо быстрее, чем наши образовательные программы. Это не означает, что ситуация безнадежна. Это значит только то, что студентов, получивших базовый набор знаний, нужно максимально плотно интегрировать в условия реальной боевой обстановки, где ребята смогут получить практические навыки и перенять опыт у более опытных коллег. Также важно, чтобы между представителями отрасли осуществлялся информационный обмен в области кибербезопасности.
А не создаст ли такая кооперация новых угроз?
Чтобы этого не случилось, существуют определенные механизмы отбора и классификации. Например, серьезные компании, занимающиеся информационной безопасностью, являются лицензиатами ФСТЭК и ФСБ. Это накладывает на них определенные обязательства. Не ко всем ИТ-компаниям такие требования применимы, потому что на протяжении долгого времени это считалось ограничением конкуренции. Например, при проведении конкурсных процедур требования о наличии лицензий ФСБ и ФСТЭК расценивалось как избыточное. Сейчас же жизнь подводит нас к тому, что это требование становится одним из базовых.
Одновременно необходимо выстраивание центров обнаружения и предотвращения компьютерных атак. Такие организации в России существуют. На государственном уровне это Национальный координационный центр по компьютерным инцидентам. Но важно объединить крупнейших игроков, наиболее экспертные команды в более формализованную конструкцию. Причем, это не должен быть закрытый клуб, условия и возможности доступа в него должен быть прозрачными.
На мой взгляд, консолидация бизнеса и государства перед лицом киберугроз – наиболее правильный вектор для более эффективной защиты критической инфраструктуры.
Бизнес понимает необходимость такого объединения?
Мы уже сейчас в рабочем порядке осуществляем подобное взаимодействие. И большинство участников рынка осознает необходимость перехода от формата частных инициатив к более плотному взаимодействию по вопросам методологии, наработки правоприменительной практики и т.д. Это комплексный вопрос, который затрагивает и работу правоохранительных органов, и возможные изменения законодательных актов. Наказание за компьютерные преступления должно быть более серьезным и неотвратимым, а мы должны понять, что живем в новой реальности, где каждая компания может стать объектом кибератаки.
Располагает ли российская ИТ-сфера достаточным количеством отечественных продуктов, обеспечивающих кибербезопасность? Или здесь тоже нужно импортозамещать?
- Я убежден, что российская индустрия предлагает потребителям достаточный набор инструментов и технологий. И это случилось благодаря тому, что в далеком 1992 году Федеральная служба по техническому и экспортному контролю, которая тогда еще называлась Гостехкомиссией, утвердила ряд требований к средствам защиты информации, что дало старт развитию индустрии. За минувшие тридцать лет мы неплохо в этом преуспели. Главная наша проблема, как я уже сказал, – дефицит соответствующих потребностям рынка экспертов. Но, надо отметить, что это глобальная проблема.
Так какая модель обеспечения информационной безопасности в этих условиях является наиболее предпочтительной?
Я думаю, что наиболее эффективна сервисная модель, когда специализированная компания предоставляет услугу по информационной безопасности, а потребитель избавлен от проблем с поиском и удержанием специалистов, с выбором инструментов. Самостоятельно выстроить эффективную систему информационной безопасности очень сложно, особенно для предприятий малого и среднего бизнеса. Ведь не будем скрывать, что во многих компаниях ИТ-системы создаются и администрируются удаленными или приходящими сотрудниками, и контролировать их работу практически невозможно.
Одновременно, у организаций должна быть не только возможность, но и мотивация заниматься вопросами кибербезопасности. И важным стимулом, похоже, станут оборотные штрафы за нарушения требований по защите информации в случае утечки персональных данных, введение которых планирует Минцифры.
С персональными данными работают почти все организации, и как только наказание станет необратимым, появится понимание, что этим действительно нужно заниматься. Ну а чтобы эти требования не стали для компаний железным прессом, может быть применен институт страхования киберрисков. Такие продукты, кстати, на российском рынке уже есть, но пока они не востребованы. В масштабах страны заключено несколько десятков таких контрактов, не больше. А если ситуацию переломить, то ответственность компаний будет перекладываться на внешнего провайдера, а потери при наступлении страхового случая будут компенсированы. Пока это еще инициатива участников рынка, но, я думаю, мы найдем понимание и на уровне государства после того, как будет накоплен практический опыт.
Это похоже на введение ОСАГО…
Это моя любимая аналогия. Я уверен, что, как после введения ОСАГО улучшилась ситуация на дорогах, так же и после введения процедуры страхования киберрисков, повысится безопасность наших ИТ-систем. Причем, по всей цепочке – от крупных корпораций до предприятий малого и среднего бизнеса, которые и формируют экономику Российской Федерации.
06.06.2023