Персональные данные стали не только предметом торга, но и объектом хищения интернет-мошенников. Генеральный директор Angara Security Сергей Шерстобитов рассказал, как оборотные штрафы помогут компаниям-операторам персональных данных повысить уровень безопасности.
Насколько реально обеспечить 100% защиту персональных данных клиентов?
Постоянной мишенью для преступников стали ритейлеры, телеком-операторы, сервисы доставки, пользовательские платформы, которые оперируют данными миллионов человек. Наиболее серьезными инцидентами в компаниях все чаще называют хищение средств, вмешательство в системы контроля сетевого оборудования, компрометацию и заражение сетей, шифрование корпоративных данных, атаки через подрядчиков, а также нарушение работы сайтов и приложений. При атаках на крупных онлайн-ритейлеров объем недополученной прибыли на фоне простаивающего сайта достигает сотен миллионов рублей. И невольной жертвой этих атак становится каждый из нас, так как, кроме невозможности получить нужный сервис, наша персональная информация становится легкодоступной.
Поэтому основной целью защиты становится поиск и применение способов и инструментов того, как минимизировать риск утечек на стороне операторов данных, снизить влияние и возможности недобросовестных сотрудников и злоумышленников. Если утечка все же произошла, ее необходимо локализовать и отработать в кратчайшие сроки.
Также важно выстроить сквозную систему информационной безопасности на уровне компании, дочерних организаций, подрядчиков и субподрядчиков. Сейчас вопросами ИБ преимущественно занимаются крупные компании, бизнес меньшего масштаба в этом не заинтересован. С одной стороны, нет таких объемов информации и понимания ее ценности и уязвимости, а также необходимости системно инвестировать в кибербезопасность, с другой стороны, эти средние компании становятся привлекательной мишенью для преступников за счет массовости и уязвимости их IT-инфраструктуры. Поэтому цепочки поставок являются одним из актуальных векторов атак, которые нацелены на менее защищенные активы и организации в структуре взаимодействия компании и бизнес-партнеров.
Государство будет регулировать сферу информационной безопасности по аналогии с западными странами. Действенная система выполнения требований в Европе базируется на оборотных штрафах.
А как оборотные штрафы помогут бороться с утечками и мошенничеством?
Зачастую расходы бизнеса на информационную безопасность рассматриваются не как первоочередные. Многие компании до сих пор ориентируются на "бумажную кибербезопасность", не выполняя базовых, гигиенических правил. Притом что киберпреступники постоянно совершенствуют способы атак. Сейчас дешевле заплатить штраф, чем инвестировать в создание системы ИБ, поскольку взыскание для компании, допустившей утечку персональных данных, составляет всего 100 тыс. руб. при первом случае и до 300 тыс. руб. при его повторении.
Законопроект об оборотных штрафах, который активно обсуждается в сообществе, в первую очередь резко повышает меру ответственности бизнеса. Оборотные штрафы определенно заставят систематизировать работу по защите данных клиентов и информационной безопасности организации.
То есть оборотные штрафы делают расходы на кибербезопасность дешевле финансовых последствий утечек?
Исходя из предложенного законопроекта, наказание за подобные инциденты составит до 3% совокупной выручки компании. Сейчас регуляторы и бизнес обсуждают различные варианты административной ответственности и размеры штрафов: от 3 до 10–15 млн рублей при утечке баз данных от 10 000 до 100 000 учетных записей.
С биометрией еще жестче. За утечку биометрических персональных данных предлагается штрафовать юрлица на сумму от 15 млн до 20 млн руб. И это только штраф без учета расходов на устранение последствий этих утечек. За повторное же событие, даже если утечкам подверглась тысяча пользователей, планируется взыскивать от 0,1% до 3% от выручки за календарный год, предшествующий нарушению.
При этом штраф будет рассчитываться не по прибыли, а по выручке. Например, даже для ритейлера с годовым оборотом в несколько десятков миллиардов рублей 3% от выручки будут существенной суммой. Со временем и с развитием технологий мы придем к тому, что штрафы будут назначаться автоматически, сразу после выявления нарушения. Обнаружили в даркнете базу данных — автоматически назначили штраф.
Уверен, такие нормативы будут мотивировать бизнес серьезнее относиться к вопросам кибербезопасности, потому что выгоднее купить профессиональный сервис за 10-20 млн руб., чтобы минимизировать риски утечки персональных данных клиентов и последствия других типов кибератак.
Поэтому мы рассматриваем законодательные инициативы об оборотных штрафах как мощный драйвер для развития российского рынка ИБ, повышения общего уровня защищенности организаций в корпоративном и госсекторе.
А, допустим, страхование рисков может решить проблему утечек? Или только усугубит?
Законопроект об оборотных штрафах становится драйвером новой рыночной ниши — страхования киберрисков. Мне нравится аналогия со страхованием ОСАГО и КАСКО. На старте полисы ОСАГО внедрялись "со скрипом", но впоследствии эта мера стала привычной для автомобилистов и в комплексе с внедрением интеллектуальных транспортных систем позволила повысить безопасность на дорогах. До введения обязательного страхования интерес к страхованию автомобилей был невысоким. С введением ОСАГО взаимодействие между водителями стало более прозрачным и понятным. Таким образом государство через механизм страхования практически искоренило мошенничество, так называемые "автоподставы", реализовало единый и понятный механизм действий при наступлении ДТП.
На мой взгляд, такой же подход сработает и в сфере информационной безопасности. На фоне новых штрафов за утечки ПДн страхование киберрисков позволит снизить итоговый ущерб для компании в случае возникновения инцидентов. Компании также получат стимул перейти от "бумажной кибербезопасности" к полноценной защите цифровых активов, включая регулярное тестирование, поиск и устранение уязвимостей, подключение сервисов расследования и предотвращения инцидентов.
Страхование киберрисков — это не "волшебная пуля" и не альтернатива созданию полноценной системы информационной безопасности, а скорее инструмент по минимизации ущерба от атаки на инфраструктуру. Всегда есть риски человеческого фактора как на дороге, так и в компании. Но если страховой случай наступит, значительная часть потерь будет компенсирована.
Стоимость страхового полиса должна варьироваться в зависимости от уровня ИБ конкретной компании. Если клиент готов к внедрению решений, снижающих риск утечек, для него страховой полис будет дешевле, чем для компании, которая игнорирует замечания и рекомендации экспертов.
Сейчас мы наблюдаем, как рынок киберстрахования только формируется, за последние несколько лет было заключено всего несколько десятков контрактов на страхование рисков в информационной безопасности. Как только будет урегулирован вопрос с оборотными штрафами, сервисы киберстрахования, которые уже получили распространение за рубежом, будут востребованы и в России.
Кто опаснее: хакер, который пытается добыть данные снаружи, или сотрудники, которые могут их "слить" изнутри?
В 90-х я учился на факультете защиты информации в РГГУ, и уже тогда нам объясняли, что если объем бизнеса превышает $30–50 тыс. в год, компания может стать объектом атаки и эти риски нужно учитывать.
Внутренняя угроза потенциально несет гораздо большую опасность и больший риск, потому что сотрудник уже обладает достаточными правами доступа и полномочиями. Конечно, работающая система безопасности фиксирует аномалии в поведении пользователей: если пять лет сотрудник обращался к одним и тем же ресурсам с одинаковой периодичностью и вдруг стал искать информацию на других серверах, закачивать или выгружать нетипичные файлы, то система поднимает тревожные флажки. Таких ИБ-платформ в России пока немного, не более сотни инсталляций.
Такой продвинутый инструмент эффективен, только если выстроена база: проведен аудит информационной безопасности, выявлены и устранены уязвимости. Далее можно фокусироваться на проектировании собственной ИБ-инфраструктуры или использовать внешние сервисы информационной безопасности. Сейчас рынок MSS-сервисов также набирает обороты, так как зачастую коробочное решение с поддержкой от провайдера на 30% дешевле, чем собственные затраты на ФОТ IT-команды и создание ИБ-инфраструктуры внутри компании.
Дальше возникают существенные различия в подходах между крупными компаниями, которые обладают бюджетами для формирования собственной ИБ-инфраструктуры и управления ей, и средним, малым бизнесом, который стремится обеспечить базовые требования к информационной безопасности и защитить свои конкурентные преимущества.
Один из моих знакомых обнаружил, что коммерческий директор его компании передавал конкурентам информацию о новых разработках. Как вывести такого директора на чистую воду? Это, пожалуй, вопросы не столько специализированных систем, сколько предусмотрительности и качества операционного управления.
Какие еще инструменты и решения используются для выстраивания ИБ-защиты?
Информационная безопасность цифровых активов — это масштабная задача, с которой сталкиваются и государственные организации, и коммерческие компании во всех отраслях экономики.
Например, среди наших клиентов есть компании финансового и страхового сектора, телеком и IT, госсектор, промышленность, производственные компании, ритейл. Только мы с 2015 года реализовали более 600 проектов инфраструктуры ИБ с интеграцией решений как российских, так и иностранных вендоров.
Любой проект начинается с аудита информационной безопасности. После этого проводится оценка рисков ИБ, включая выявление уязвимостей во внутреннем и внешнем контуре безопасности организации. Исходя из этого создается инфраструктура ИБ, в которую входят системы защиты web-приложений, комплекс отражения DDoS-атак, мониторинг киберугроз и система реагирования на них, а также инструменты расследования киберинцидентов в рамках SOC.
Для малого и среднего бизнеса похожие по функционалу решения мы реализуем в формате MSS-сервисов. Например, больше всего востребованы решения для защиты рабочих станций и серверов, почтового трафика. В госсекторе наиболее востребованы отечественные системы комплексной защиты информации объектов КИИ, ГИС, информационных систем персональных данных пользователей цифровых ресурсов.
Если переходить к конкретным решениям, то система обеспечения ИБ может содержать различные классы средств защиты информации (средства антивирусной защиты, межсетевого экранирования, endpoint-решения, ловушки, "песочницы" и много чего еще).
А после внедрения этих решений их нужно сопровождать, вести постоянный мониторинг для своевременного выявления инцидентов. Таким образом формируется полноценная система, которая включает инструменты и выстроенные бизнес-процессы, работающие в связке на постоянной основе.
Отечественные решения, которые вы упомянули, — это самостоятельные разработки или наш ответ на санкции?
Санкции и вынужденный шаг импортозамещения иностранных решений безусловно подстегнули российский ИБ-рынок. Но не стоит забывать, что и до 2022 года российские решения занимали доминирующее положение: 61% - в 2021 году, в 2022 года доля рынка выросла до 70%. При этом в денежном выражении иностранные решения по-прежнему сохраняют высокую долю – около 30% по итогам 2022 года. Лидерами рынка производителей средств ИБ с заметным отрывом являются "Лаборатория Касперского" и Positive Technologies. К числу ключевых разрабочиков также отнесу Код Безопасности, Гарда Технологии, Инфотекс и "Ростелеком-Солар".
С одной стороны, российские разработчики получили уникальный шанс для замещения освободившихся ниш и развития отечественных решений, с другой, важно не просто копировать функциональность иностранных аналогов или создавать однотипные продукты, а развивать новые, прорывные технологии в рамках долгосрочной стратегии для ИБ-рынка.
Сейчас вендоры сфокусированы на расширении продуктового портфеля в рамках своих экосистем, появлении очередных SIEM и NGFW, которые необходимы "здесь и сейчас" в проектах по импортозамещению. Мы как системный интегратор до сих пор отмечаем нехватку готовых для внедрения высокопроизводительных решений в части сетевой безопасности, программно-управляемых сетевых инфраструктур и решений по управлению доменной инфраструктурой. К перспективным направлениям также относим решения для контроля сетевого доступа, брокеры безопасного облачного доступа и автоматизация аудита МСЭ.
Как партнер по системной интеграции, мы стремимся организовать для заказчиков максимально бесшовную миграцию с иностранных решений на российские аналоги с минимальным изменением текущих бизнес-процессов, собираем и анализируем обратную связь в ходе пилотных проектов и обмениваемся выводами с вендорами ИБ-решений. Таким образом Angara Security также способствует развитию российского рынка информационной безопасности.
Какова роль в обеспечении кибербезопасности AI- и ML-решений? Нужно ли для их внедрения менять законодательство?
Искусственный интеллект сейчас активно внедряют в различные сферы — от транспорта и медицины до творчества и креативных технологий. В ИБ технологии машинного обучения успешно применяются в системах защиты информации, таких как IDS/IPS, WAF, Antivirus, Anti-phishing, DLP, UEBA и т. д. Они даже постепенно начинают проникать в операционные процессы по мониторингу и расследованию киберинцидентов и киберугроз, находящиеся в промышленной, а не опытной эксплуатации.
Тем не менее риски применения ML и AI без ограничений, сформированных совместно с экспертами и регуляторами, очевидны. Например, недавно специалисты из Университета Карнеги — Меллона, некоммерческой организации Center for AI Safety ("Центр безопасности ИИ"), а также ИИ-центра Bosch разработали новую методологию атак на большие языковые модели, которая позволяет обойти средства защиты в ChatGPT, Bard и Claude, вынуждая ИИ выполнять вредоносные запросы.
В опубликованном докладе эксперты подчеркивают, что автоматизация подготовки контента для таких атак снижает эффективность защитных и отладочных механизмов. Сейчас нет серьезных регулирующих мер для использования ИИ и нет ограничений по их развитию со стороны государства и международных организаций, поэтому возможный переход в будущем от Artificial Intelligence к Artificial General Intelligence (то есть к полноценному искусственному интеллекту) несет высокие риски, которые пока не анализируются и не оцениваются.
Мы считаем, что для масштабного внедрения данного рода технологий в состав информационных систем и инфраструктур в промышленной эксплуатации необходимо участие и государства, и регуляторов. Работы в этом направлении
На наш взгляд, было бы полезным включить в разработку нормативной документации и стандартов представителей IT- и ИБ-отрасли. Также будет целесообразным сформировать отраслевые инициативы или рабочие группы с участием экспертов рынка, бизнеса и государства для совместного формирования стандартов и планирования дальнейших шагов.
Поэтому, пока искусственный интеллект не встал "на ноги", главным в сфере информационной безопасности остается человек и его профессиональная экспертиза, дефицит которой только нарастает.
Я не вижу предпосылок для решения этой проблемы сейчас ни в России, ни в мире. Это толкает компании в сторону сервисной модели, в сторону машинного обучения, автоматизации процессов в информационной безопасности. В ряде проектов по мониторингу киберинцидентов мы используем нейросети для автоматизации рутинных операций и привлекаем сотрудников для решения более творческих экспертных задач.
Мы живем в конкурентном мире, объем и ценность информации в котором неуклонно растут. Поэтому крайне важно обеспечить базовый "здоровый" уровень кибербезопасности бизнеса и клиентов. Часто мишенью для атаки становятся не конкретные компании, а просто менее защищенные, на взлом которых потребуется меньше времени и ресурсов. Для отдельных компаний кибератаки могут поставить под сомнение само существование организации. Поэтому информационная безопасность — это одно из ключевых конкурентных преимуществ, которое определяет срок жизни бизнеса.
21.09.2023 13:40:00