Требования к ИБ ужесточаются во всем мире, и Россия не исключение. Однако появление все новых и новых законов еще не является гарантией безопасности – злоумышленники, зачастую, оказываются существенно проворнее законодателей. Более того, стоимость целевых атак постоянно снижается, а значит, они становятся все более и более популярными, говорят участники организованной CNews Conferences конференции «Информационная безопасность бизнеса и госструктур».
Ужесточение требований к безопасности – это мировой тренд. В мае 2018 г. вступает в силу общеевропейский свод законов GDPR (General Data Protection Regulation), защищающий персональные данные (ПД) жителей ЕС. Сенат США недавно одобрил законопроект, в соответствии с которым глава компании, пытавшийся утаить факты компрометации персональных данных, может получить 5 лет лишения свободы.
Как защищается Россия
Информационная безопасность все чаще становится частью внешней политики, начал свое выступление Тимур Аитов, заместитель генерального директора ГК «Программный Продукт». Россия, как и другие страны, стремится к тому, чтобы максимально себя обезопасить. Например, в нашей стране уже создан аналог SWIFT, национальная система платежных карт, принят 187-ФЗ о критической инфраструктуре (КИС), сведения о ее безопасности признаны государственной тайной. Все объекты КИС должны быть подключены к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Все более популярным становится отказ от западного ПО и оборудования в пользу свободного ПО российского производства. Плюсы этого процесса очевидны: это инвестиции в российский высокотехнологический рынок в целом, создание новых рабочих мест и сокращение «утечки мозгов», поддержка системы профессионального образования и поступление налоговых платежей в российский бюджет. «Однако несмотря на очевидность того, что санкции – это надолго, к замене иностранного ПО надо подходить очень аккуратно, – уверен Тимур Аитов. – Нужна дорожная карта мер, учитывающая все ракурсы темы противодействия санкциям, включая технологические аспекты, организационные и средства GR и PR».
При разработке политики обеспечения информационной безопасности представители бизнеса и государственные организации руководствуются одной и той же законодательной базой, говорит Лев Палей, начальник отдела ИТ-обеспечения защиты информации СО ЕЭС. В списке нововведений, вступивших в силу в 2017 г., требования к лицензированию деятельности по мониторингу информационной безопасности средств защиты и систем информатизации (ФСТЭК), федеральный закон «О безопасности критической информационной инфраструктуры», программа «Цифровая экономика», серия законов, регулирующих VPN, анонимайзеры, мессенджеры, указ о совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).
Требования к обеспечению ИБ
Источник: СО ЕЭС, 2018
В ближайшее время можно ожидать дальнейшего ужесточения законодательства в сфере ИБ, в том числе, появления требований к идентификация владельца информации по доступным каналам, ограничения доступных каналов, унификации, формализации требований к основным видам «новых» услуг, определения методик, состава и результатов основных процессов ИБ на объектах КИИ, а также принятия мер, направленных на поддержку развития отечественных ИТ- и ИБ-решений.
Курс на целевые атаки
Хакеры все чаще прибегают к целевым атакам, рассказала участникам конференции Яна Шевченко, менеджер по развитию направления защиты от передовых угроз «Лаборатории Касперского». Так, по данным исследования «Информационная безопасность бизнеса» (Kaspersky Lab Corporate IT Security Risks Survey), организованного аналитическим агентством B2B International по заказу «Лаборатории Касперского», в 2017 г. доля целевых атак выросла на 10% по сравнению с 2016 г. и составила 23%, что поставило их в ряд самых стремительно развивающихся угроз. Каждая четвертая крупная организация стала жертвой целенаправленной атаки, 22% всех опрошенных в России компаний подозревают, что стали жертвой не случайно, а целенаправленно. При этом 31% опрошенных признали, что их организация не понимает, какая стратегия по борьбе с целевыми атаками и подобными им угрозами является эффективной. 42% руководителей служб ИБ не уверены в эффективности существующей стратегии защиты против передовых угроз, а 53% компаний считают, что защита их организаций рано или поздно будет взломана.
Традиционных средств защиты для противодействия целевым атакам явно недостаточно. Необходим комплексный подход, объединяющий традиционные решения эшелонированной защиты (NGFW, EPP) и специализированные решения, способные обнаружить сложносоставные атаки путем интеграции различных событий в единый инцидент, проведения ретроспективного анализа, имеющие многоуровневые механизмы обнаружения на базе динамического машинного обучения и поведенческого анализа.
Что необходимо учитывать при выборе решения
Источник: Лаборатория Касперского, 2018
Проблемы информационной безопасности становятся все более актуальными, и для этого есть несколько причин. Во-первых, это снижение стоимости целевых атак, продолжает Сергей Демидов, директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса группы «Московская биржа». По его словам, его коллеги провели исследование стоимости подобных услуг, в результате которого выяснилось, что вирус, гарантирующий проникновение, можно заказать за 30 000 руб.
Во-вторых, новые технологии зачастую появляются на рынке существенно раньше, чем средства, обеспечивающие их безопасность. Например, недавно выяснилось, что в набирающих все большую популярность публичных облаках достаточно легко можно атаковать своего соседа. Кроме того, не до конца понятно, как защититься от действий администратора такого облака. Существует проблема и с квалифицированными кадрами – по данным The International Information System Security Certification Consortium, к 2022 г. их дефицит достигнет 1,8 млн специалистов. «При этом не надо забывать и о том, что безопасность – это часть бизнеса, и она должна помогать ему не просто не терять деньги, но и приносить их!», – напомнил Сергей Демидов.
Вопрос обеспечения информационной безопасности является одним из самых обсуждаемых при переходе в облако, продолжает Иван Гузев, директор по ИБ IBS DataFort. Часто компании или не доверяют поставщику услуг, или уверены, что по закону они не смогут передать вопросы ИБ в его ведение. Компания IBS DataFort имеет все необходимое, чтобы обеспечить соответствие PCI DSS, 152-ФЗ, 161-ФЗ, 187-ФЗ, требованиям к государственным информационным системам и СТО ИББР как с технической, так и с организационной стороны. Еще один повод отказаться от услуг облачного провайдера – боязнь того, что ИТ-подразделение станет ненужным бизнесу. Этого не произойдет, уверен Иван Гузев. Кроме того, провайдер готов взять на себя все заботы о миграции информационных систем своих заказчиков и их интеграции с новыми решениями.
Не только технологии
Всемирный экономический форум в Давосе признал кибератаки наиболее вероятным риском для человечества, наряду с природными катаклизмами. А ущерб, который они могут нанести, сравним с ущербом от применения оружия массового поражения, напомнил Константин Коротнев, старший менеджер по киберрискам PwC.
Киберугрозы 2018
Источник: PwC, ISF Threat Radar, 2018
В качестве примера эксперт привел ритейл, где 7 из 10 основных направлений развития связано с высокими киберрисками. При этом эти киберриски не всегда являются следствием кибератак – они могут быть также вызваны сбоями в работе ИТ-инфраструктуры или стать следствием разгильдяйства сотрудников. Таким образом, киберустойчивость бизнеса должна обеспечиваться не только силами ИТ-специалистов, но и принятием самых серьезных организационных мер.
Любые технические средства обеспечения безопасности бесполезны, если не уделять достаточно внимания организационным мерам, продолжает Дмитрий Кандыбович, генеральный директор StaffCop («Атом Безопасность»). Помощником в этом процессе должно стать комплексное решение по информационной безопасности, учету рабочего времени и контролю эффективности сотрудников StaffCop. Оно обеспечивает полный контроль за рабочим местом каждого сотрудника – почты, мессенджеров, печати, файловых операций, веб-трафика, USB-устройств, клавиатуры, веб-камеры, микрофона. Кроме того, решение позволяет вести учет рабочего времени, оценивать его эффективность, обнаруживать угрозы и проводить расследование инцидентов ИБ. «У офицера по безопасности нет цели блокировать работу сотрудника, но он должен сделать ее максимально безопасной для бизнеса», – говорит Дмитрий Кандыбович. Снизить стоимость StaffCop позволяет использование открытых решений Linux и PostgreSQL, а его SaaS-версия дает возможность сэкономить на инфраструктуре.
Никакие средства информационной безопасности не помогут, если сотрудники компании не обучены работе с ними, согласен с предыдущим спикером Сергей Борисов, заместитель генерального директора по ИБ компании «Информационные системы и аутсорсинг». Например, неграмотный сотрудник может на время отключить средства ИБ, и как раз в это время произойдет атака. Еще одна проблема, которую часто можно наблюдать в компаниях, – это нерегулярное обновление документации по информационной безопасности. Также бывает, что из-за невысокого уровня квалификации ИБ-специалисты просто не знают, как реагировать на инциденты. Для того, чтобы обеспечить имеющимся в компании техническим средствам ИБ максимально эффективную организационную поддержку, Сергей Борисов предлагает использовать специальную информационную систему, автоматизирующую управление мероприятиями и оргмерами в сфере ИБ.
Просто, но безопасно
Москва входит в Топ-10 «умных» городов мира. Это заставляет предъявлять самые серьезные требования к обеспечению информационной безопасности городских информационных ресурсов. При этом доступ к ним граждан должен оставаться максимально простым и удобным, говорит Александр Горбатько, заместитель руководителя ДИТ Москвы.
Число IoT-устройств в городской инфраструктуре постоянно растет. Например, городская система видеонаблюдения сегодня включает в себя более 160 000 видеокамер. Планируется, что их число будет ежегодно увеличиваться на 5000. Одновременно растет и число угроз для них. И в этом виноваты не только хакеры, но и сами производители, которые недостаточно защищают свою продукцию. «Любое новое устройство, которое появляется в интернете, сразу становится объектом атаки», – говорит Александр Горбатько. Их защита – это большая нагрузка не только на персонал, но и на городскую инфраструктуру в целом. При этом надо понимать, что отключение той или иной государственной системы влечет за собой не только экономические, но и социальные последствия.
«Интернет вещей становится неотъемлемой частью нашей жизни, – согласен с представителем Москвы Яков Долмацкий, руководитель департамента киберзащиты на промышленных предприятиях при Министерстве окружающей среды Израиля. – И вместе с этим растет число кибератак, в особенности на мобильные устройства. Особую обеспокоенность вызывает произошедшая в 2017 г. утечка киберинструментов, разработанных АНБ США». Помимо угроз, исходящих от обычных хакеров, Израиль вынужден бороться еще и с кибератаками, инициированными различными организациями. Для обеспечения кибербезопасности в стране разрабатывается закон о национальной киберзащите. Создан Директорат национальной кибербезопасности, одной из задач которого является выработка стратегии и разработка дорожной карты внедрения средств ИБ на всех предприятиях. При этом было принято решение не создавать новых законов, а внедрять требования ИБ в уже существующие нормативно-правовые акты как в сфере производства, так и в сфере образования. Директоратом разработана соответствующая методология, которой должны следовать все министерства и ведомства. Так, на промышленных предприятиях внедрение ИБ должно стартовать 1 июля 2018 г.
Как оценить риски
Решения по ИБ стоят недешево, поэтому перед тем, как начать их внедрять, необходимо разработать стратегию информационной безопасности, говорит Дмитрий Устюжанин, руководитель Управления ИБ ТК «Мегаполис». Для того чтобы стратегия оказалась успешной, надо уточнить у бизнеса, чем и в какой степени он намерен рисковать, и только потом заниматься построением системы адекватного реагирования на эти риски. Соблюсти баланс между стоимостью и качеством решений по ИБ помогут грамотное использование базовых технических средств и построение адекватной архитектуры, внедрение действенных организационных мер и системы компенсации рисков, постоянное обучение и тестирование персонала, контроль аутсорсеров и партнеров, а также налаживание системы отчетности и коммуникации в сфере ИБ.
Что ждет рынок ИБ в 2018 г., обсудили участники дискуссии. В 2018 г. тренд роста числа целенаправленных атак будет продолжаться, уверена Яна Шевченко. А появление все новых и новых нормативно-правовых актов в сфере ИБ несет с собой угрозу, что компании, стремясь обеспечить соответствие их требованиям, перестанут обращать должное внимание на эффективность принимаемых мер, говорит Сергей Демидов. Лев Палей также ожидает усиления внимания государства к безопасности больших данных и ужесточения законодательства в этой области. При этом, по его словам, во многих компаниях система ИБ уже выстроена, и новые законодательные инициативы могут привести к существенному росту затрат на нее, при том, что новые сертифицированные средства защиты зачастую еще несовершенны. Альтернативой может стать проведение оценки в форме испытаний уже имеющихся средств ИБ на соответствие требованиям ФСТЭК, и участники дискуссии поделились своим опытом их проведения.
В Израиле тоже стоял вопрос о регуляции технических средств защиты, однако было принято решение о том, что государство должно как можно меньше диктовать бизнесу, что он должен использовать. Ведь как только тот или иной продукт попадает в список одобренных государством средств защиты, цена на него сразу увеличивается, продолжил Яков Долмацкий.
Также среди трендов текущего 2018 г., по мнению Тимура Аитова, существенное повышение статуса службы ИБ в компаниях. Уже сейчас то, как выстроена система ИБ в компании, существенно влияет на ее капитализацию. Однако, служба ИБ должна вести разговор с бизнесом на бизнес-языке, то есть оценивать эффективность затрат на предотвращение рисков и на этой основе принимать решения о внедрении тех или иных продуктов, уверены участники дискуссии.