Буйство незащищённых технологий

Информбезопасность для бизнеса станет приоритетом лишь тогда, когда в России заработает риск-менеджмент, появится внятное госрегулирование, а потребители начнут уходить к более защищённым конкурентам

В конце мая в Москве прошел Positive Hack Days — международный форум, посвящённый практическим вопросам информационной безопасности (ИБ). Эксперты Positive Technologies протоколировали: в России много лет ведётся дискуссия о выборе правильной политики, о новых требованиях по защите персональных данных, о построении взаимоотношений между ИБ-службой и руководством. Но слова воплощаются в дела со скрежетом. Уровень защищённости, например, крупных компаний (в том числе входящих в топ-400 по версии журнала "Эксперт") за последние два года значительно понизился. Согласно тестам, проведённым в 2014-м, злоумышленник, находящийся за пределами организации, не имеющий никаких привилегий и данных о сети, может преодолеть периметр почти в 90% случаев (показатель 2012-го — 74%). При этом 61% систем может успешно атаковать преступник низкой квалификации (в 2012 году такие нарушители могли взломать 46% систем).

Немногим ранее, в апреле, консалтинговая компания KPMG опубликовала результаты опроса 133 глобальных институциональных инвесторов (под их управлением находятся активы на сумму более 3 трлн долларов). 79% респондентов заявили, что не захотят вкладывать средства в компанию, которая подверглась хакерской атаке.

Так ли всё плохо с инфобезом? Ответ на этот вопрос по просьбе "Э-У" пытаются найти представители крупных отечественных ИТ-компаний.

Дорогая страховка

— Бизнес, принимая решения о развитии ИБ, руководствуется несколькими подходами — рисками, инцидентами, требованиями рынка или регулятора. Ни один из этих "драйверов" в нашей стране не работает, — уверен заместитель генерального директора InfoWatch Рустэм Хайретдинов. — Для понимания рисков необходимо иметь актуальную оценку информактивов (она не делается) и точную статистику по инцидентам (по России оставляет желать лучшего). Регулирование в области информбезопасности довольно слабое и бессистемное, а наказания за нарушения настолько ничтожны, что проще платить штрафы, чем заниматься внедрением каких-либо решений. Рынок абсолютно не требователен к ИБ: инциденты не приводят к сколько-нибудь значимым потерям, клиенты не бегут от менее защищённых компаний к более защищённым. Особенно это чувствуется в реальном секторе: вне зависимости от утечки данных или компрометации сайта, нефть будет добываться, металл плавиться. Чувствительный ущерб успешная атака наносит только интернет-компаниям (таким как электронная торговая площадка, интернет-СМИ, сайт электронной коммерции, игровой портал). В отсутствии чёткого понимания смысла и стоимости защиты информации большинство организаций руководствуются следующим принципом: "Дорогая служба ИБ, вот тебе 5 — 10% ИТ-бюджета, сделай нам что-нибудь, чтобы мы чувствовали себя защищёнными".

ИТ-специалисты замечают: ИБ — это страховка, которую бизнес "покупает" на сугубо добровольных началах. Никаких прибылей бизнесу информбезопасность не приносит, она уберегает его от убытков.

— В то же время другие ИТ-проекты — это обычно решения из серии "время — деньги", — замечает директор учебного цент­ра SearchInform Алексей Дрозд. — Например, ERP повышает рентабельность бизнеса на несколько десятков процентов. Любой нормальный бизнес действует обычно ради одной цели — увеличение прибыли. Всё, что не соответствует этой цели, вторично. Правда, кое-какие "снижатели" маржи сегодня уже стали нормой. Я говорю о комфортабельном офисе, различных пиар-активностях, заботе об экологичности товара. Многие компании поняли, что данные факторы, пусть косвенно, но работают на них. С ростом уровня угроз бизнес неизбежно осознаёт, что защищаться необходимо. Чем старше и крупнее становится организация, тем больше у нее шансов стать жертвой собственного пренебрежения вопросами ИБ. Падение уровня защищённости, на мой взгляд, во многом связано с проникновением технологий в те сферы, где нет пользователей соответствующей квалификации. Это как рост числа мелких ДТП после появления на дорогах "подснежников". По мере роста ИБ-грамотности населения проблема будет решаться.

С последним тезисом соглашается эксперт по технологиям защиты информации компании "Код безопасности" Андрей Степаненко: "Бизнес выделяет деньги на ИБ. Но с учётом того, что параллельно эволюционирует ИТ-инфраструктура, активно внедряются облачные сервисы, растёт использование социальных сетей, мобильных устройств, средств на соответствующее развитие систем защиты не хватает".

Рустэм Хайретдинов сетует: конкуренция производителей программного обеспечения, как тиражного, так и заказного, вынуждает их как можно быстрее выпускать новый функционал в ущерб защищённости. На смену закрытым уязвимостям приходят тысячи новых. Максимум, что могут ИБ-компании — указать производителям и пользователям на наличие проблемы. Закрыть дыры внешними, "навесными" решениями можно в очень ограниченном числе случаев.

В "Аладдин Р.Д." считают, что защита информации (в компании предпочитают избегать неоднозначно трактуемого термина "информбезопасность") никогда не станет для бизнеса приоритетом. Она будет сопутствующей, не слишком деш`вой, а иногда и очень неудобной в использовании нагрузкой. Тем не менее драматизировать ситуацию не стоит, уверен заместитель гендиректора "Аладдин Р.Д." Алексей Сабанов:

— Проникнуть — это одно, а что-то реальное натворить — это совершенно другое. Строго говоря, об уровне защищённости информсистемы можно судить только по комплексным показателям, критериями которых являются конфиденциальность, доступность, целостность данных. В связи с интенсивной информатизацией общества даже ранее закрытые локальные корпоративные сети вынуждены выносить сервисы за пределы защищённого периметра. И совершенно естественно, что уровень проникновений стал расти. Но так ли это критично для бизнеса? Как правило, у крупных компаний риски утечки информации ограниченного доступа находятся в пределах допустимого уровня.

Враг повсюду

В условиях нехватки ресурсов на ИБ принципиальным вопросом становится "что и от кого защищать в первую очередь". Понятно, что каждая отрасль и каждая компания имеет свою специфику, однако ИТ-безопасники всё же усматривают некоторые общие места.

— Наибольшая опасность исходит изнутри — от сотрудников компании и их рабочих мест, — уверен гендиректор ГК "Хост" Константин Суслов. — Если злоумышленник проник во внутреннюю сеть, он прошёл половину пути. А когда работник и преступник одно и то же лицо, отследить вектор атаки и предотвратить деструктивные действия могут только системы защиты внутреннего контура. К сожалению, в региональных компаниях почти не используются системы предотвращения вторжений из локальной сети, системы поведенческого анализа всех поступающих файлов, межсетевые экраны нового поколения для фильтрации трафика.

Соглашаясь с Константином Сусловым, Алексей Дрозд приводит красочную аналогию: "Вспомните недавний случай с крушением самолета в Альпах. Если пилот заперся в кабине и решил “уронить” лайнер, то никакого террориста не нужно. Сегодня самыми безопасными являются системы с минимальным присутствием человека. Беспилотные автомобили, которые уже ездят по США, до сих пор не задавили ни одного пешехода. Поэтому сегодня в ИБ на первое место выходят решения, которые контролируют действия персонала на рабочих местах, ведь именно на этих людей, а не на вирусы и хакерские атаки приходится львиная доля ущерба от инцидентов".

Рустэм Хайретдинов придерживается несколько иной точки зрения:

— Внутренние корпоративные приложения (ERP-системы, бухгалтерские приложения, системы организации групповой работы) могут иметь большое количество незакрытых уязвимостей, но поскольку доступом к ним располагают только сотрудники, которых легко идентифицировать, вероятность того, что они будут атаковать, невелика. Приложения же, "смотрящие" в сеть, даже имея всего одну незакрытую уязвимость, рискуют гораздо больше: воспользоваться слабым местом может любой из миллиарда пользователей интернета. Проблема состоит ещё и в том, что внешние решения постоянно модифицируются, расширяя функционал, а значит, защита должна быть непрерывной. В целом можно сказать, что основная угроза исходит из сети, и она направлена на корпоративные веб-приложения.

На наш взгляд, наиболее важная мысль последнего комментария — защита должна быть непрерывной. Информбезопасность — не проект, не продукт, не решение. Это процесс. Киберзло не есть константа, оно перманентно трансформируется. Каким бы продвинутым ни было ИБ-решение, в перспективе нескольких лет (или даже месяцев) оно теряет актуальность. "Сколько ни усиливай входную дверь, это не убережет компанию от инцидента, если хакеры уже научились лазать через окно", — ещё одна красочная аналогия от Алексея Дрозда.

Поставить точку мы бы хотели с помощью Рустэма Хайретдинова.

— Разработчикам систем защиты информации никогда не опередить хакеров. Это как известные задачи об Ахиллесе и черепахе в трактовке Зенона. Или о снаряде и броне: как только создаётся новая марка стали для усиления брони, разрабатывается снаряд, способный её пробить. Злоумышленник с помощью взлома хочет получить деньги, это сильная мотивация. Как только ущерб начинает превышать критический уровень, уязвимость в обороне закрывают. При этом, как правило, невозможно заткнуть "дыру", которую ещё не обнаружили. Образуется цикл. В итоге система становится более защищённой. Диалектика. И одновременно объективная реальность

Дополнительные материалы: