Три дня — с 6 по 8 октября — специалисты по информационной безопасности и информационным технологиям обсуждали последние новости и тренды в рамках форума Global Information Security Days 2021. Впервые форум проходил сразу на двух площадках: в Москве и Санкт-Петербурге. В программе было более 30 докладов, прямые включение из двух студий и разбор реальных кейсов. Почему стоит прятать лицо и опасаться школьников из Telegram, рассказали эксперты, выступавшие в московской студии.
Независимость и импортозамещение: кто кому мешает
Начало мероприятия было нестандартным и сразу же задало тон, потому что открылось дискуссией. Модератор секции «Технологическая независимость» Олег Седов, директор по развитию направления «Кибербезопасность населения», «Ростелеком-Солар», назвал выбранную тему для диалога «взрывоопасной». Технологическая независимость — термин широкий, и его неправильное понимание может привести к движению в неверном направлении. Независимость и импортозамещение — синонимы или одно другому мешает?
«Независимость подразумевает возможность принимать самостоятельные решения. Если нам нужно сделать сетевое устройство, то должна быть возможность его создать, и неважно, из российских компонентов или нет», — подчеркнул Андрей Духвалов, главный стратегический архитектор, «Лаборатория Касперского».
Современный мир таков, что никто не может сформировать весь технологический ландшафт самостоятельно, из подручных материалов. «Ни одна страна мира не способна сделать только для себя смартфон с нуля, осуществить производство полного цикла, начиная с аппаратной платформы и заканчивая приложениями, — уверен Евгений Хасин, заместитель директора департамента обеспечения кибербезопасности, Минцифры России. — Для крупных государственных или корпоративных платформ это утверждение еще более справедливо». По его мнению, вопрос импортозамещения, безусловно, важен, но технологическую независимость нельзя к нему приравнивать. Тут важно сохранить баланс между функциональностью и обеспечением безопасности.
«Независимость означает, что мы исключаем внешнее блокирующее воздействие: никто не может остановить технологическое развитие или процесс», — говорит Арутюн Аветисян, директор Института системного программирования РАН. Он полагает, что технологическая независимость не означает разрыв цепочек производства. Не нужно все делать обязательно у себя, сокращать кооперацию — просто к этому нужно правильно подойти. «Не нужно никого обгонять, нужно ехать с лидерами в одном вагоне, быть на переднем крае науки и уметь воспроизвести всю технологическую цепочку, — считает спикер. — Можно все понимать, но не иметь возможности изготовить даже опытный образец. Нужно запустить весь механизм — это ключевая задача нашей страны до 2030 года. У нас есть всего десятилетие. Если мы ничего не сделаем, нас просто сомнут».
«Я не согласен только с одним. Нам надо прыгать не только в первый вагон. Мы должны быть в каждом вагоне, присутствовать там со всеми компетенциями и авторитетом, — добавляет Олег Седов. — Хотя бы потому, что никто заранее не знает, какой вагон пойдет по другому пути, какие будут пересадки и кто, в результате, приедет первым». «Надо просто делать лучше, чем все остальные, и тогда не будет проблем ни с независимостью, ни с импортозамещением», — резюмирует Андрей Духвалов.
В дискуссии были затронуты даже вопросы образования и вопрос PR. Авторитет, репутация, партнерские отношения — все эти, казалось бы, нравственные категории на самом деле являются экономическими. Они влияют и на деньги, и на успех. Но у них, как у молока, небольшой срок годности. Репутацию нужно постоянно поддерживать, авторитет и отношения — обновлять, заново доказывая свою значимость и ценность. Все это — работа, которую нельзя не делать. «Нам нужно быть смелее, — заключили участники дискуссии. — Ведь России есть, чем гордиться».
Информационная безопасность из облака
Рынок информационной безопасности увеличивается с каждым годом. Так, по статистике CNews, выручка тридцати крупнейших участников рейтинга CNews Security в 2019 г. выросла на 37%, при этом более половины оборота компаний из рейтинга приходится на трех крупнейших игроков («Лаборатория Касперского», «Цитадель» и Softline).
Наибольшие затраты в 2020 г. в сфере ИБ пришлись на облачную безопасность. Цифры из отчета Gartner в своем докладе привел Юрий Хомутский, директор ИТ-маркетплейса Market.CNews, выступавший в секции «Облачные решения, аутсорсинг сервисов в ИТ». По его словам, коронакризис и режим изоляции не внесли кардинальных изменений в направления развития ИТ и ИБ, но существенно сместили акценты. На первое место вышли решения для удаленной работы, все заинтересовались облачной безопасностью и потреблением ИБ из облака.
Объем рынка ИБ в России
«В 2019 году мы уже 10 лет были онлайн-компанией. Но еще раньше, в 2018, пришло понимание, что нужно переносить инфраструктуру в облако и пользоваться IaaS, ведь скоро мы не сможем инвестировать необходимые деньги в ее обновление, создавать новые среды и вводить в работу сервера с той скоростью, которая необходима бизнесу,— поделился Илья Садовенко, директор по информационным технологиям, Mary Kay Europe. — Еще одна проблема — человеческие ресурсы. Мы не ИТ-компания, и нам сложно находить и удерживать людей с нужной квалификацией».
Рынок созрел только сейчас: все осознали, что использовать облака экономически выгодно. Более того, у облачного провайдера хранить данные безопаснее. «Что касается физической безопасности, то в облаках она выше, — отмечает Илья Садовенко. — Ведь сервер, что стоит под вашими ногами, можно взять и вынести. А в облаках найти клок тумана, который относится именно к вашей компании, довольно сложно. В любом случае придется кому-то верить, в противном случае нужно будет тратить бесконечное количество денег». Илья Садовенко также отметил, каким требованиям должен соответствовать облачный провайдер.
Выбор провайдера по критериям ИБ
Почему e-commerce без облаков невозможен, каковы сильные и слабые стороны облачного подхода в ритейле? Ответы на эти вопросы попытался дать Евгений Михалев, корпоративный ИКТ-директор, «Май». «Наша компания диверсифицирована: с одной стороны, у нас давний традиционный бизнес, с другой стороны — в e-commerce мы только начинаем», — представился спикер и добавил, что именно это разделение влияет на то, что в «Май» по-разному относятся к облакам и не практикуют одинаковый подход к одним и тем же сервисам. По его мнению, стоимость SaaS-решений для средних FMCG-компаний пока остается слишком большой. «Наверное, нужно иметь более высокую отраслевую маржу, чем наша, чтобы использование этих решений было экономически обосновано», — подчеркнул он.
Однако электронная торговля не просто нуждается в облаках — она находится в них изначально. E-commerce открыт всему интернету, и поэтому онлайн-продавцы используют более широкую модель рисков, нежели традиционный ритейл. Впрочем, непредсказуемы и широки тут не только угрозы, но и возможности. Задача e-commerce — непрерывно работать даже под напором угроз и быстро масштабироваться, когда предоставляется такая возможность. В «Май» используют SaaS в качестве защиты от DDos и парсинга сайтов, PaaS как защиту для мобильных приложений и IaaS для геораспределения и резервирования. «Сейчас очень много сервисов в интернете, которые могут организовать DDos-атаку за небольшие деньги», — призвал не терять бдительности Евгений Михалев.
Похожую историю рассказал Кирилл Ильин, руководитель отдела кибербезопасности, SberAuto. Сервис SberAuto как стартап развивался в концепции cloud native приложений, что само по себе подразумевает использование облачных решений. Выступающий решил поговорить про риски и угрозы, но для начала перечислил главные тенденции в развитии облачных вычислений. В них появляется искусственный интеллект, SaaS становится умным, мультиоблака дрейфуют в сторону омниоблака, контейнеризация продолжает развиваться. Все больше компаний использует подход cloud native, появляется понятие security as a service, и даже блокчейн стремится в облако.
Главные тенденции облачных вычислений 2021
Облачная стратегия имеет ряд преимуществ для стартапа. Но эти же преимущества оборачиваются угрозами. «Мы получаем большее количество уязвимостей в разрабатываемом коде, увеличение поверхности атаки, так как используем разные облачные решения. Наконец, появляются совершенно нетипичные угрозы,» — перечисляет докладчик. Риски возникают и со стороны провайдера, и со стороны самих облаков. Кирилл Ильин называет IaaS непривычным, PaaS — проблемным, SaaS — партизанским. Проблемы возникают потому, что паттерны безопасной архитектуры и стратегия облачной безопасности отсутствуют, контроль за изменениями недостаточный, интерфейсы взаимодействия и API небезопасные, а сами облачные сервисы непрозрачны.
Угрозы из облака
Одна из самых больших проблем во время перехода в облака — реализация соответствующей архитектуры, способной противостоять современным кибератакам и угрозам, характерным для облачной инфраструктуры. Правильная архитектура и стратегия безопасности являются необходимыми элементами для безопасного перемещения, развертывания и работы в облаке. «К сожалению, у нас в государстве нет стандартов, которые бы правильно описали построение нужной архитектуры», — прокомментировал Кирилл Ильин. По его словам, такую информацию приходится вычитывать в блогах.
Удаленный контроль
В компании Coca-Cola первые эксперименты с удаленной работой начали проводить еще в 2018 году — появилась возможность 5 дней в неделю работать из дома. «Многие руководители переживали, не зная, как будут контролировать сотрудников и измерять их эффективность, — вспоминает Екатерина Власова, менеджер по реализации стратегических проектов, Coca-Cola HBC Россия. — Но первые итоги оказались позитивными: 88% опрошенных сотрудников отметили, что проект положительно повлиял на их продуктивность».
Сколько раз в неделю вы хотели бы работать из дома? Результаты опроса сотрудников в 3 кв. 2020 г.
Covid рассадил всех по домам, и многим это понравилось. Компания провела новый опрос в конце 2020 года. Только 10% респондентов изъявило желание работать из офиса всю неделю. Большинство высказалось за удаленный формат. Компания тоже перестроилась: и морально, и материально, планируя практиковать гибридные режимы присутствия даже после окончания пандемии. Теперь в офисах нового образца нет закрепленного за каждым человеком рабочего места: его нужно бронировать через мобильное приложение. Сейчас в Coca-Cola действуют три формата работы: полностью удаленный, офисный и гибридный с гибким графиком и присутствием в офисе только по необходимости.
Новые ИБ-риски
Любые изменения финансового или бизнес-процесса несут новые риски. Доверие, которое формируется при переходе на дистанционный режим, работу в коворкинге или с помощью мобильного устройства, подразумевает усиление контроля. «Лучше, чтобы этот контроль был не организационный, а технологический, связанный с циклом выявления и отработкой инцидентов», — считает Алексей Плешков, директор по информационной безопасности Газпромбанка. В секции «Новая реальность организации офисов. Коворкинги и Workation» он рассказал о том, как преступники следуют за модными тенденциями, постоянно трансформируются и вовлекают в преступную деятельность сотрудников компаний.
Между хакерами и бизнесом уже нет разницы. Киберпреступники называют своих жертв «клиентами», обещают им «техподдержку» и устраивают настоящие онлайн-курсы. Их можно пройти на спецсайтах и в Telegram. Приглашают школьников, от 12 лет. Недорого, бывает, что стоимость обучения всего несколько сотен или тысяч рублей. Дальше все как положено: книги, хорошо написанные, понятные инструкции в PDF-файлах. После этого готовый специалист получает возможность «трудоустроиться».
Дети учатся на готовых скриптах, которые поступают от бывших сотрудников финансовых организаций. Затем детей приглашают поработать в интернет-проекте, при этом они даже не подозревают о том, что будут помогать мошенникам.
Иногда скрипты передают не бывшие, а нынешние сотрудники банков, имеющих отношение к фронт-офису. Их просят сфотографировать некоторые стандартные операции и отослать снимки заказчикам из даркнета. Доказать такие преступления сложно, служба безопасности не успевает отследить подобные действия, а текучка кадров делает свое дело: когда нарушителя приходят ловить, он уже давно уволился.
Прячьте лица и глаза
На секции «Коммерческое использование биометрии» обсуждались самые свежие новости: стоит ли доверять системам оплаты «по лицу» и другим сервисам, связанным с биометрией. Биометрические данные, казалось бы, отличная замена надоевшим паролям, которые невозможно запомнить и легко потерять. Сетчатку глаза или отпечаток пальца потерять сложнее, но и поменять в случае компрометации нельзя. Александра Кирьянова, главный редактор CNews, уверена, что проблемы с безопасностью биометрических данных со временем будут решены. «Биометрические данные нужны: они помогают ловить преступников, делают улицы безопаснее, а в корпоративном секторе контролируют доступ в здания или к приложениям, устройствам. Биометрию используют при прохождении пограничного контроля. Однако регуляторика вокруг нее еще не сложилась, идут обсуждения», — рассказывает она.
Сейчас в России развивается Единая биометрическая система (ЕБС), запущенная в 2018 г. силами Минцифры и Центробанка РФ (оператор – «Ростелеком»). «Однако система пока не взлетела, сейчас в ней зарегистрировано менее 200 тыс. россиян. Планируется, что скоро там будет зарегистрирована половина населения страны, но пока этого не произошло, да и как этого достичь — непонятно», — отметила Александра Кирьянова. Сейчас ЕБС используется для удаленного обслуживания в банках, дистанционной сдачи экзаменов в вузах, оплаты проезда и доступа на некоторые территории Москвы.
Риски от некорректного внедрения биометрии перечислил Данила Николаев, директор некоммерческого партнерства «Русское биометрическое общество». «Мы атаковали систему и взломали практически все. Ошибка систем была 0,3-0,4, слишком далекая от нуля, — рассказал он о результатах испытаний, которые проводились на объекте заказчика. — Вы меня простите, но это были ведущие компании. На бумаге они все показывают хорошие результаты, но когда доходит до реальных действий на объектах, в той инфраструктуре, с которой будут взаимодействовать физические лица, мы видим: каждая вторая ситуация — это перевод денег в пользу мошенников».
Теория и практика. Реальные значения метрик на инфраструктуре заказчика
По словам Данилы Николаева, проблема отчасти в нормативных актах, призванных регулировать отрасль. ГОСТ Р 58624.3 регламентирует, в том числе, проведение испытаний алгоритмов по обнаружению атак на биометрическое предъявление, то есть по выявлению дипфейков или иных подложных данных, например, когда системе показывают фотографию, а не настоящее лицо. Международные требования (ISO/IEC 19989-2), сформированные в рамках международных стандартов, определяют минимальные значения вероятности ложного доступа для систем с очень высоким уровнем доверия как 0,000001% (10-8), а для минимального, то есть базового уровня доверия — не менее 1% (10-2). «Отечественные документы сейчас гарантируют только минимальный уровень доверия биометрических систем. Те ошибки, которые зарубежные коллеги допускают только для слабых доверенных систем, у нас утверждены для всех систем. В приказах учитывается только вероятность ложного совпадения, но не учитывается вторая биометрическая ошибка — вероятность ложного несовпадения. Нет учета обобщенных ошибок, когда система вас вообще не видит и не дает ответа. И опять подчеркну: необходимо обеспечить высокий уровень доверия систем, а не низкий, как это сейчас прописано в документе», — говорит Данила Николаев. В противном случае не стоит удивляться, если граждане начнут массово терять деньги или обнаружат, что их квартиры теперь принадлежат кому-то еще.
«Четыре года назад, когда мы проводили первый GIS DAYS, вопросы информационной безопасности интересовали, в основном, только профильных специалистов. Сейчас эта тема находится в топе новостей, а киберугрозы стали предметом для светских бесед, первополосных публикаций и профессиональных форумов», — подытожил директор департамента организации работ с заказчиками компании «Газинформсервис» Роман Пустарнаков. По его словам, пандемия, безусловно, выступила катализатором актуализации темы, но это не единственный фактор.
Тотальная цифровизация приводит к фундаментальным изменениям в коммуникациях и бизнесе. «На мой взгляд, ниша регулярного петербургского бизнес-форума, посвященного вопросам информационных технологий и кибербезопасности, на данный момент свободна, и мы хотим ее занять. В этот раз, на GIS DAYS 2021, мы подготовили студии в Москве и Петербурге. Организовали три тематических дня для разных целевых аудиторий: руководителей и собственников бизнеса, айтишников и специалистов из сферы кибербезопасности. Мы сделали гибридный формат, так как по объективным причинам вынуждены оптимизировать количество очных участников», — продолжает Роман Пустарнаков. За три дня мероприятия выступили с докладами 60 экспертов в сферах ИТ и ИБ, а онлайн-трансляция форума объединила свыше 6 000 профессионалов отрасли.