Как самостоятельно противостоять киберугрозам и все проиграть
В ближайшем будущем основные угрозы ИБ будут заключаться как в усилении таргетированных атак, так и в более широком и изощренном использовании ransomware, то есть программ, с помощью которых преступники лишают своих жертв доступа к компьютеру и вымогают у них деньги. Именно эти виды угроз наиболее эффективны в финансовом плане и, значит, привлекательны для злоумышленников. Готова ли отрасль к борьбе с ними? А к борьбе с кибертерроризмом? Об этом мы поговорили с несколькими авторитетными экспертами – участниками недавнего форума ITSF в Казани.Сегодня в мировой экономике правит тренд на цифровизацию бизнеса, и преступники изучают все новые и новые мишени для атак, которые появляются благодаря этой цифровизации. Бизнес становится все более зависимым от ИТ, все больше систем «светят» в интернет: клиент-банки, интернет-магазины, СЭД и другие. Обретает формы интернет вещей – и количество проблем, которые предстоит решить отрасли информационной безопасности, возрастает по экспоненте.
На рынок киберпреступности благодаря многочисленным удачным атакам хлынули деньги: покупаются инсайдеры в компаниях-жертвах, хакеры изучают ПО на предмет «уязвимостей нулевого дня», на «темную сторону» переходят вчерашние специалисты по информационной безопасности. Как результат, ущерб от атак возрастает с каждым годом. Только в России в 2015 году организации потеряли 203,3 млрд руб., по данным Group-IB, «Фонда развития интернет-инициатив» и Microsoft. Общее число инцидентов увеличилось более чем в два раза, а средний ущерб от инцидента – в 1,5. Причем в остальном мире за этот же период отмечалось сокращение количества инцидентов ИБ на 3% и финансовых потерь на 10–15%. Следовательно, в России нужно доводить уровень защиты до западного, чтобы добиться таких результатов.
Беззащитный интернет вещей
Уже сегодня специалисты бьют тревогу: мало кто из производителей устройств для интернета вещей думает об их защите. Если и принимаются какие-то меры, то в большинстве случаев они недостаточны. И это наглядно продемонстрировала атака вируса WannaCry: по СМИ и форумам разлетелись многочисленные фотографии блокиратора на экранах не только пользовательских компьютеров, но и банкоматов, платежных терминалов, табло электронных очередей, работающих под управлением ОС Windows.
«Эти системы раньше не защищались, потому что не было вектора атак, – поясняет директор по корпоративным решениям «Лаборатории Касперского» Кирилл Керценбаум. – Но хакеры постоянно стремятся использовать все новые и новые устройства для получения доступа к атакуемым ресурсам. Чем активнее бизнес применяет цифровые технологии, тем больший интерес он вызывает у киберпреступников, потому что появляется больше «точек входа» внутрь периметра».
мало кто из производителей устройств для интернета вещей думает об их защите
Если посмотреть отчеты аналитических компаний, год за годом демонстрирующих резкое увеличение объемов данных, уровня проникновения ИТ в экономику, а также оценить не менее впечатляющий рост убытка бизнеса от действий киберпреступников – даже с учетом того, что далеко не весь ущерб становится известен широкой публике, – создается впечатление, что разработчики средств защиты не успевают находить решения возникающих задач и проигрывают эту войну. Но оснований для паники нет – это всего лишь классическая картина соревнования щита и меча: защита появляется после атаки. «Достаточно вспомнить, – говорит Кирилл Керценбаум, – что на момент появления первых компьютерных вирусов еще не было антивирусов. Появились вирусы – был разработан способ борьбы с ними, потом научили защитное ПО анализировать поведение программ и устранять любую известную подозрительную активность».
Кибертеррор уже завтра
Основные ожидания специалистов по ИБ связаны с усложнением ИТ-инфраструктур компаний и развитием интернета вещей, промышленного интернета вещей. Они определят «лицо» отрасли завтрашнего дня. Сегодня «меч» позволяет киберпреступникам быстрыми ударами добывать деньги, воруя их со счетов компаний и банков, продавая конфиденциальные данные или просто вымогая деньги у жертв. Но доходы никогда не распределяются равномерно: пока одни хакеры разрабатывают золотую жилу, другие подбирают остатки, а вновь прибывшим вообще не хватает места. И начинается борьба за новые ниши для монетизации своих усилий. Одну из них специалисты называют уже давно: кибертерроризм. По сравнению с тем, что можно сотворить, получив доступ к системам энерго-, тепло- и водоснабжения, к индустриальным системам, к управлению беспилотными автомобилями, известный по иранским событиям вирус Stuxnet покажется детской шалостью – которой он, впрочем, по реальному результату работы и являлся.
Кирилл Керценбаум отмечает, что индустриальные информационные системы защищаются по максимуму, чтобы перекрыть сами пути вероятных угроз: «Правило отставания защиты от нападения не всегда работает в промышленности, потому что атака на критическую инфраструктуру может привести к катастрофическим последствиям. И в сфере индустриальной безопасности защитные технологии появляются раньше потенциальных угроз. В том, что такие атаки будут в ближайшее время, я не сомневаюсь, и оцениваю их вероятность более чем в 30%.
Аналогичные перспективы видит и руководитель отдела информационной безопасности компании «ICL Системные технологии» Иван Шашуров: «Сегодня террористы создают собственные защищенные контуры для обмена информацией друг с другом. Но в ближайшие 10 лет я не исключаю появления целых бирж, на которых террористические группировки будут размещать заказы, а хакеры – соревноваться за них. Изменится способ контакта злоумышленников между собой, упростится монетизация деятельности киберпреступников. Нам это грозит увеличением числа техногенных аварий: никто не будет вымогать деньги, цель будет – уничтожение как минимум информации, а как максимум – физических объектов. И отрасль ИБ, и государство должны быть готовы вместе отразить эту угрозу».
Надежды на СПО
После двукратной девальвации в 2014 году рубль так и не «отскочил», поэтому стоимость иностранных решений для ИБ на прежний уровень не вернулась, несмотря на большие скидки, которые вендоры часто предоставляют российским компаниям. Но ИТ и ИБ-системы нуждаются в поддержке и развитии. Как же теперь покупать?
Часть ответа известна: в России взят курс на импортозамещение. На этой волне российские компании стремятся продвигать свои технологии, а иностранным игрокам становится все сложнее и сложнее работать. И такой курс продлится, скорее всего, до 2030 года, судя по утвержденной «Стратегии развития информационного общества».
Создан реестр отечественного программного обеспечения, в котором значительная часть представленных программ и систем разработана на базе open source решений. Считается, что открытый исходный код позволяет обезопасить российские организации от разного рода недокументированных возможностей – их находили в самых известных корпоративных решениях крупнейших вендоров. Произошло ли это в действительности за последние годы? Независимый эксперт Алексей Лукацкий уверен, что СПО никак не повлияло на защищенность компаний, потому что декларации об отсутствии закладок и их реальное отсутствие – не одно и то же: «Безопасным может считаться только проверенный код. Но специалистов, способных это сделать, в России немного, не говоря уже о конкретных компаниях-заказчиках. А если говорить про регуляторов, то им все равно, опенсорсное у вас решение или проприетарное – они требуют предоставления доступа к исходному коду при сертификации. Поэтому СПО внедряют чаще по экономическим соображениям».
«Импортозамещение невозможно реализовать быстро, – добавляет Иван Шашуров. – Для появления качественного продукта нужны много денег, время и функциональный заказчик. И тогда через 2–4 года в России появятся новые качественные, мощные, конкурентоспособные продукты. При этом системы ИБ очень специфичны, и российские решения в массе своей не выйдут за пределы рынка СНГ». На этом пути отрасли необходимы и государственная финансовая поддержка, и наличие заказчиков, имеющих сформулированные требования к нужным системам и готовых инвестировать в их создание.
Такое разное государство
Алексей Лукацкий отмечает негативные тенденции, связанные с не всегда умелым и компетентным вмешательством государства в дела отрасли. «Если рассматривать внутреннюю политику, то в России продолжат развиваться тенденции, когда будут реализованы не самые эффективные с точки зрения развития цифровой экономики, но отвечающие требованиям национальной безопасности решения, например, «законы Яровой», которые предусматривают новые подходы к анализу и хранению трафика и т.п. Более того, учитывая, что государство активно «закручивает гайки» в области интернета, – это и требования по деанонимизации мессенджеров, и блокировки сайтов, и запрет VPN, – обязательно появятся решения, которые, может быть, нарушают конституционные и иные права граждан, но они будут востребованы государством, а, если есть рынок, решения будут развиваться».
Само появление законов, в ходе обсуждения которых отрасли ИТ и ИБ буквально взрываются возмущением, говорит о том, что чиновники и депутаты далеко не всегда интересуются мнением специалистов, как их предложения отразятся на реальной жизни, можно ли их воплотить, сколько это стоит и кто понесет расходы. Почему они не интересуются, почему обращения различных отраслевых объединений всегда звучат постфактум – вопрос отдельного обсуждения. Но на стороне государства есть и позитивные сдвиги, которые отмечают многие участники рынка. Речь идет о роли регуляторов. За последние годы тот же ФСТЭК эволюционировал, превратившись из бюрократа и формалиста в организацию, работа с которой в период сертификации может быть реально полезной для улучшения качества продуктов компаний.