Пандемия COVID-19 обнажила многие проблемы в сфере информационной безопасности
Дзвинко
исполнительный директор НПЦ
"БизнесАвтоматика"
О том, как усугубились проблемы в сфере информационной безопасности на фоне пандемии COVID-19 и как компаниям добиться минимизации рисков в создавшихся условиях, рассказал исполнительный директор НПЦ "БизнесАвтоматика" Роман Дзвинко.
- Какие проблемы в сфере информационной безопасности, на ваш взгляд, являются наиболее актуальными?
Их довольно много, и при желании можно перечислять до бесконечности, особенно если учитывать специфику работы той или иной организации. Все же если попытаться ответить на вопрос кратко и емко, то основная проблема связана с увеличением финансовых потерь от кибератак. Например, в 2017 году экспертная организация Ponemon Institute (партнер IBM) в своем отчете, посвященном анализу ущерба от кибератак, указывала, что за один 2017 год компании в среднем потеряли около $11,7 млн из-за проблем с информационной безопасностью, что на 27,4% больше по сравнению с показателями предыдущего года. К слову, самый крупный размер ущерба оценен в $77 млн. Если мы обратимся к отчету Ponemon Institute за следующий, 2018 год, то увидим, что годовые финансовые потери компаний в среднем составили уже $13 млн. Чем объяснить тенденцию, если не ограничиваться банальным утверждением, что информационные технологии все глубже проникают в нашу жизнь?
Во-первых, объяснить можно ростом количества потенциальных киберугроз, что связано с усложнением информационной инфраструктуры. Во-вторых, финансовой мотивацией злоумышленников, которые в погоне за прибылью совершенствуют свои навыки и придумывают новые схемы для обхода систем безопасности и обмана граждан. В-третьих, относительной доступностью средств для осуществления кибератак. Тут в качестве примера можно вспомнить новость в июле 2020 года по поводу того, что "Ростелеком" заподозрил группу школьников в организации DDoS-атаки на электронные дневники и сайты с проверочными работами. В-четвертых, слабым международным законодательством в области противодействия киберпреступлениям. В-пятых, плохой осведомленностью людей о методах противодействия преступлениям такого рода. Принцип "осведомлен - значит вооружен" в случае с ИБ крайне эффективен. Перечислять можно и дальше, однако тенденция, думаю, ясна. Количество преступников увеличивается, они становятся опытней и организованней, их тяжелее поймать и наказать. При этом компаниям и другим потребителям ИТ-продукции приходится тратить значительные ресурсы на обеспечение информационной безопасности, и не всегда эти меры оказываются адекватными и эффективными, что в конечном счете увеличивает риски, а с ними и стоимость выпускаемой продукции и услуг, тем самым нанося вред экономике и усиливая негативные тенденции.
- Сегодня почти все эксперты говорят о росте киберпреступности на фоне пандемии COVID-19. Как вы оцениваете сложившуюся ситуацию?
По сути, история с пандемией просто обострила существующие проблемы, но не выявила ничего принципиально нового, хотя цифры и пугают. Так, по данным МВД, количество киберпреступлений выросло на 90,2%, причем основная доля преступлений связана с кражей чувствительных данных - реквизитов банковских карт, паролей от учетных записей, сведений о кредитных обязательствах, информации о клиентах и т.д. Рост обусловлен прежде всего массовым переводом людей на удаленный режим работы, когда службам безопасности становится тяжелее обнаружить канал утечки данных и вовремя устранить последствия. В некоторых случаях люди даже и не подозревают, что кто-то крадет у них важные сведения.
- Как изменился вектор атак в связи с тем, что многие люди перешли на удаленный режим работы?
Тут нужно учитывать сразу несколько аспектов. Развернутые атаки на хорошо защищенную инфраструктуру на самом деле стоят довольно дорого и, как правило, проводятся на базе специализированных центров с хорошим кадровым и техническим финансированием, то есть это уровень спецслужб. Киберпреступники же в большинстве своем стараются использовать простые и эффективные с точки зрения финансовых вложений схемы, поэтому бьют в самые слабые места, а таким местом продолжают оставаться внешние каналы связи, например электронная почта, через которую можно передать вредоносную программу или выманить у человека с помощью методов социальной инженерии нужную информацию. Например, под предлогом оформления электронного пропуска выманить паспортные данные, номер телефона, а заодно и номер банковской карты. С другой стороны, кризисы порождают в людях ощущение нестабильности, тем более что компании начинают сокращать персонал или урезают зарплаты, в итоге растут риски, связанные с кражей чувствительной информации сотрудником, который работал или продолжает работать в организации.
- Что нужно делать компаниям для ликвидации угроз и минимизации рисков в условиях пандемии?
Сложный вопрос, на который невозможно дать краткий ответ в ходе интервью, но я все же остановлюсь на нескольких ключевых моментах. Еще в конце марта этого года ФСТЭК выпустила письмо с рекомендациями по минимизации рисков во время удаленного режима работы. Это, скажем так, минимальный набор санитарных правил, проблема только в том, что не все компании могут этим правилам следовать чисто по финансовым причинам, которые особенно остро чувствуются на фоне сокращения нормы прибыли. Например, ФСТЭК не рекомендует пользоваться на удаленной работе домашними устройствами - в идеале организация должна сама обеспечить сотрудников ноутбуками, планшетами и другой мобильной техникой. Для многих компаний малого и среднего бизнеса такие меры наверняка покажутся излишне жесткими с учетом, что эти устройства нужно еще настроить специалистам. Но даже если компания выполнит все рекомендации ФСТЭК, то все равно остается риск, что сотрудник сам украдет данные или внедрит в инфраструктуру организации вредоносное ПО. Вот с этим бороться намного сложнее. Если вы интересовались, почему в крупных ИТ-компаниях такие высокие зарплаты, то теперь понимаете одну из причин - таким образом компании пытаются сохранить лояльность сотрудников. В сегодняшних условиях финансовое благополучие - это, увы, один из аспектов информационной безопасности.
- Что делать небольшим компаниям с ограниченными бюджетами в условиях пандемии?
В первую очередь сосредоточить внимание на работе сотрудников, ведь именно их действия зачастую помогают злоумышленникам получить доступ к охраняемым данным. Банальный инструктаж способен в разы сократить риски по информационной безопасности. Например, можно объяснить персоналу, почему нельзя доверять публичным точкам доступа Wi-Fi или почему нужно в обязательном порядке скрывать персональные данные в социальных сетях, особенно данные касательно места работы и позиции в компании. Также следует присмотреться к cloud-сервисам, поскольку большинство провайдеров облачных услуг предоставляют своим пользователям определенные гарантии безопасности и широко применяют методы шифрования данных, а также современные способы авторизации и аутентификации пользователей. Да хотя бы даже использование VPN-сервисов в разы сократит риски по ИБ.
- Мы довольно много говорили о проблемах коммерческого сектора и простых граждан, но давайте поднимемся на уровень выше. Ведь российское государство тоже выделяет значительные средства на обеспечение информационной безопасности. С чем это связано?
Государство само активно внедряет информационные технологии, а кроме того отвечает за общее благосостояние общества. Если граждане и компании несут убытки, то вместе с ними несет убытки и государство, однако государственный подход в плане обеспечения информационной безопасности более комплексный, обстоятельный и рассчитан на перспективу. Можно касаться разных аспектов этого подхода, но, на мой взгляд, его направленность особенно четко видна в разрезе политики импортозамещения. Например, мы знаем, что отечественная инфраструктура до сих пор зависит от иностранного телекоммуникационного оборудования и программного обеспечения, а такая зависимость грозит потенциальной катастрофой в случае ухудшения внешнеполитической обстановки. Можно вспомнить историю 2019 года, когда "Газпром" столкнулся с принудительным отключением компрессорных установок австрийской фирмы LMF. Естественно, государство пытается максимально снизить риски, в связи с чем, например, в российском законодательстве еще в 2017 году появился термин КИИ - критическая информационная инфраструктура. К ней относятся информационные системы банков, топливно-энергетических компаний, атомных электростанций и т.д. Сейчас Минцифры работает над законом, который обяжет владельцев объектов КИИ перейти на оборудование и ПО отечественного производства. Разумеется, системы защиты информации на объектах КИИ должны быть также российскими, ведь отечественные решения проще контролировать в плане отсутствия программных-закладок и уязвимостей. Однако участники ИТ-рынка, владельцы объектов КИИ и правительство пока не могут прийти к единому мнению по поводу сроков внедрения российского ПО, что обусловлено, с одной стороны, нехваткой самого программного обеспечения, а с другой - стоимостью его разработки. В сегодняшних условиях затраты компаний невозможно компенсировать без участия государства.
- Как вы оцениваете меры, которые принимает российское правительство для укрепления информационной безопасности страны? Можно ли назвать их достаточными?
Приходится признать, что в данной сфере Россия ощутимо отстает от США. Например, американское правительство планирует к концу 2020 году потратить $17,4 млрд (примерно 0,46% годового бюджета) на меры по обеспечению информационной безопасности, причем значительную долю средств получит Министерство обороны США. Если мы посмотрим на предыдущие годы, то увидим, что Америка в течение трех последних лет постоянно увеличивала данную статью расходов. Однако отмечу, что в сравнении с ведущими странами Западной Европы Россия выглядит вполне конкурентоспособно, например, правительство Великобритании потратит на развитие ИБ-инфраструктуры £1,9 млрд в период с 2016 по 2021 годы, в то время как в национальную программу "Информационная безопасность" заложено 27,922 млрд рублей, рассчитанных на период с 2018 по 2021 год.
- Поскольку мы затронули западные страны, как вы оцениваете специфику европейского и российского подходов к обеспечению информационной безопасности? В чем сходства и различия?
На самом деле различий меньше, чем принято думать. Если мы посмотрим на Стратегию безопасности ЕС (EU Security Union Strategy), то найдем много точек пересечения с проектом "Информационная безопасность". Это касается политики сертификации оборудования, программ инвестиций в перспективные разработки и программ обучения специалистов на базе профильных научных центров. В этом плане Россия мало чем отличается от ЕС. С другой стороны, ЕС нуждается в развитой трансграничной информационной инфраструктуре, которую будут курировать соответствующие комиссии и агентства, поэтому все же у европейского подхода иной вектор развития. Например, ЕС планирует потратить €10 млрд на создание собственной индустрии облачных вычислений, чтобы не зависеть от американских и китайских провайдеров, таких как Amazon, Google и Alibaba. Однако, на мой взгляд, основное различие между ЕС и Россией заключается в подходе к защите персональных данных. Напомню, что в Евросоюзе действует "Общий регламент по защите данных", в основе которого лежит принцип сохранения конфиденциальности информации, что в свою очередь вызывает раздражение у американских компаний, вынужденных платить многомилионные штрафы за несоблюдение прав европейских пользователей. Многие отмечали, что "Общий регламент" вынуждает законодателей США пересматривать собственную нормативную базу. В то же время регламент можно рассматривать в качестве инструмента политического и экономического давления. В свою очередь Россия выбрала иной путь и требует от иностранных компаний обязательного переноса серверов с данными российских пользователей на свою территорию, что, опять же, лежит в русле национальной политики обеспечения информационной безопасности. В качестве примера можно вспомнить миллионные штрафы, наложенные в этом году на Facebook и Twitter по иску Роскомнадзора.
- "БизнесАвтоматика" сотрудничает с государственными заказчиками. Какие проблемы приходится решать специалистам компании в ходе реализации проектов?
По сути, мы сталкиваемся с теми же проблемами, что и все специалисты в области защиты информации. Мы занимаемся моделированием угроз, определением степеней защиты информационных систем, поиском уязвимостей и программных закладок, проведением пентестов и нагрузочных испытаний. Перечислять можно довольно долго, просто отмечу, что у нас есть лицензия ФСБ на разработку средств шифрования, а также лицензии ФСТЭК на создание собственных средств защиты информации. Мы также проводим аттестацию информационных систем на соответствие государственным стандартам по безопасности, равно как проводим и другие виды аудита в области ИБ, поэтому в данном вопросе наша компания является экспертом. Нам доверяет Минэкономразвития и Минкомцифры, а также такие крупные коммерческие организации, как, например, "Ростелеком". Отдельно отмечу, что "БизнесАвтоматика" разрабатывает информационные системы в рамках оборонного заказа, поэтому мы накопили достаточно большой опыт в сфере шифрования и безопасной передачи данных, что отразилось в том числе на наших гражданских разработках, в частности на платформе