Бизнесу необходима реальная ИБ
Секция «Информационная безопасность» в рамках 16-го ежегодного «CNews FORUM 2023: Информационные технологии завтра» показала, что ИБ становится неотъемлемой частью бизнес-стратегии, а также элементом корпоративной информационной культуры.
В поиске баланса между ИТ и ИБ
«Тема ИБ востребована, и действительно есть, что обсудить», — задал тон дискуссии в приветственным слове модератор Сергей Демидов, директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса группы «Московская Биржа». В своем докладе эксперт углубился в поиски ответов на вопрос, как найти баланс между ИТ и ИБ?
Актуальность достижения этого баланса в текущих условиях невозможно переоценить. Причин тому множество, главная из которых вызвана конфликтом интересов ИТ-подразделения и бизнеса с одной стороны, и ИБ и службой комплаенс с другой. Откуда взялся этот конфликт?
Во-первых, ИТ стали самой настоящей «фабрикой» по производству цифровых продуктов, которые зачастую, как это и произошло с биржей, легли в основу ведения бизнеса этой инфраструктурной финансовой организации. А раз так, то одной из главных метрик успешности этого цифрового производства является показатель скорости вывода продуктов на рынок (time-to-market). В рамках классических процессов обеспечения информационной безопасности, волей-неволей служба ИБ становится тормозящим элементом в этой схеме, поскольку финансируется большей частью по остаточному принципу и не имеет достаточных ресурсов для ускорения.
Во-вторых, процесс импортозамещения помимо всего прочего доказал, что безопасность — это действительно результат слаженной совместной работы значительного числа ИБ-подсистем. К сожалению, не все из них из числа включенных в Реестр Минцифры, соответствуют мировым аналогам. Отсюда и неприятные инциденты.
В-третьих, радикально изменились характер и модель угроз: от статического набора, популярного до февраля 2022 года, произошел практически одномоментный переход «к редким, но метким» атакам с эксплуатацией уязвимостей нулевого дня. При этом никуда не делились массированные вирусные заражения, мощные DDoS-атаки, фишинг и социальная инженерия.
И, наконец, по словам эксперта, регуляторы проявляют высочайший уровень активности, который, к сожалению, далеко не всегда согласовывается с требованиями других регуляторов и текущими реалиями. Все это дало Сергею Демидову основания охарактеризовать ситуацию следующим образом: «Мы живем в эпоху невыполнимых требований».
Симбиоз стратегий бизнеса и ИБ
Поэтому «Московская биржа» пошла по пути устранения самих причин конфликта интересов: была создана такая стратегия ведения и развития бизнеса, при которой не было бы противостояния со службой ИБ — безопасность стала свойством всех продуктов в рамках концепции Security by Design, а процесс создания безопасного ПО теперь происходит в рамках конвейера DevSecOps с учетом имеющихся у ИТ и ИБ ресурсов.
Про людей и правильный подход к делу
Константин Родин, руководитель направления по развитию продуктов компании «АйТи Бастион», в продолжение начатой модератором темы о «правильном» взаимодействии людей, процессов и технологий выступил с презентацией «Системы контроля критичных для бизнеса систем: от задачи к защите».
Речь шла о лучших практиках применения отслеживания, обнаружения, предотвращения и расследования несанкционированного привилегированного доступа к критически важным ресурсам благодаря инструментам класса PAM (Privileged Access Management). PAM — это единая точка доступа в инфраструктуру (SSO), которая должна обеспечить гибкую ролевую модель доступов с возможностью интеграции в существующую инфраструктуру, а также полную запись видео и метаданных сессий с созданием долгосрочного архива.
Докладчик предложил разобраться в резонансном инциденте, произошедшем в компании Uber. «В компании подобного уровня и масштаба были все технические средства ИБ с тем, чтобы сотрудники могли работать удаленно и получать доступ к нужной им по долгу службы информации. Был там и PAM. Но он не помог. Проблема была в человеке», — говорит он.
Злоумышленники проникли в ИТ-инфраструктуру Uber, преодолев два эшелона защиты, дважды использовав пресловутый «человеческий фактор». В первый раз был задействован принцип «надоевшего будильника», когда администратор системы двухфакторной аутентификации, устав от потока спам-запросов на доступ, попросту нажал на кнопку Accept. Второй рубеж в виде PAM-системы, блокирующей доступ к критическому бизнес-узлу, был преодолен благодаря наличию в файловом хранилище документов подрядчика по внедрению одной из систем в этом узле. В нем для удобства сотрудников были сохранены все учетные данные для прохода через PAM.
«О чем говорит этот кейс? Он говорит про людей и про выстраивание «правильных» подходов к организации безопасности. ИТ и ИБ не должны конфликтовать, обе эти службы должны быть заинтересованы в том, чтобы выстроить бизнес-процессы таким образом, чтобы они стали прозрачными для успешного проведения расследования инцидентов. А для этого требуется обучение и навыки обращения с теми инструментами, которые есть», — резюмировал Константин Родин.
Аутсорсинг в помощь
Проблема с кадрами, сложности с выполнением определенных нормативных актов регуляторов, задача снижения CAPEX и еще как минимум десяток иных причин привели к разогреву интереса к ИБ-аутсорсингу. Вишенкой на торте аутсорсинга стал Законопроект № 404786–8 «О внесении изменений в отдельные законодательные акты РФ «О совершенствовании правовых основ для аутсорсинга ИТ и использования облачных услуг финансовыми организациями», подготовленный Банком России и внесенный им в Государственную думу. Рынок может одномоментно серьезно вырасти за счет более чем 40 тыс. финансовых компаний. Понятно, что сессия не могла обойтись без обсуждения этой темы.
Продакт-менеджер направления ИБ компании «Онланта» Дмитрий Заболотный в докладе «Современный взгляд на аутсорсинг информационной безопасности» представил взгляд сервис-провайдера на эту проблему.
По его словам, неопределенность ситуации в безопасности, порождаемая тем, что опора на законодательные акты не гарантирует результат, а также табуированием темы ИБ со стороны ряда руководителей — «хватит и сертификата ФСТЭК» — усугубляемая неопределенностью в ИТ-ландшафте вследствие импортозамещения, действительно способствует росту популярности ИБ-аутсорсинга.
Структура передачи на аутсорсинг ИБ в России и в мире
«Но главная проблема — это люди. Все компании сегодня конкурируют за квалифицированные кадры в сфере информационной безопасности. Я уверен, что переход к сервисной модели позволяет организациям использовать лучшие практики ИБ и полностью соответствовать требованиям законодательства и регуляторов. Кроме того, отчасти решается тот самый пресловутый конфликт интересов ИТ и ИБ», — высказал свое мнение Дмитрий Заболотный.
Эксперт поделился личным опытом расследования первого в России инцидента, связанного с подключением одного из банков к Единой биометрической системе (ЕБС). В Банк России поступила жалоба от клиента этого банка о том, что он получил уведомление о том, что сданные им биометрические данные были изменены без его ведома. Выяснилось, что причина была во все том же человеческом факторе, как и в кейсе с Uber.
Сервис-провайдеры в силу специфики своего основного бизнеса используют лучшие практики и обладают компетенциями, помогающими успешно преодолеть и совместно с заказчиками решать самые необычные и сложные проблемы. В этом их сила и конкурентное преимущество.
Но не все так безоблачно в аутсорсинге и в сфере облачных услуг, если взглянуть на ситуацию глазами банкиров, которые прекрасно умеют управлять рисками и считать деньги. Руслан Ложкин, директор департамента кибербезопасности Абсолют Банка, в своей презентации «Аутсорсинг ИБ. Плюсы и минусы», поделился наблюдениями.
«Финансовый директор банка сфокусирован на пересечении кривых себестоимости собственного ИБ и внешнего аналогичного сервиса с учетом размера компании. И здесь неожиданного выясняется, что именно размер бизнеса является решающим фактором. В малых финансовых организациях фонд оплаты труда ИБ-департамента настолько велик по отношению к величине инвестиций в ПО и оборудование, что ИБ-аутсорсинг выглядит более чем привлекательно. В крупных организациях ситуация ровно обратная. А вот средние банки оказались перед лицом непростого выбора», — описал ситуацию докладчик.
В Абсолют Банке, входящем в число средних кредитных организаций, пошли по пути создания финансовой модели на основе операционных, проектных и сервисных затрат. Что-то передать на аутсорсинг не представляется возможным в силу бизнес-критичности некоторых процессов, а что-то вроде Threat Hunting идеально ложится в сервисное русло. В итоге по совокупности затрат и невозможности передачи сторонним организациям ответственности за сохранность банковской тайны и персональных данных был выбран вариант собственной службы ИБ с отдельными компонентами аутсорсинга.
Выбор модели аутсорсинга компаниями разного размера
Демьян Раменский, руководитель направления «Информационная безопасность» компании CorpSoft24, добавил некоторые «облачные» факты с точки зрения хостинг-провайдера. В частности, он подтвердил выводы аналитиков о годовом росте атак на web-приложения примерно на 100%, что не может не беспокоить их владельцев — ведь у всех владельцев бизнеса имеется веб-сайт. Сканирование вновь появившегося в сети веб-проекта злоумышленниками происходит в тот же день, и в случае обнаружения уязвимостей заражение сайта зловредным ПО — вопрос времени.
«К сожалению, большинство клиентов, как это ни печально, не задумываются или не знают о том, что система защиты их web-приложений и хостинга в целом строится из комплекса технических и организационных мер. Большинство продолжает свято верить в магическую силу антивирусов и миграции с ОС Windows на Linux. В итоге мы предложили таким клиентам услугу разработки комплексных мер ИБ, что оказалось весьма востребованным», — рассказал Демьян Раменский.
Далее эксперт посоветовал тем, кто решил, что «облачный путь» — для него, погрузиться в тему, как у сервис-провайдера устроена техническая поддержка. Не должна случиться такая ситуация, когда потребителю услуг выдали на руки виртуальные машины и лицензии на ПО, а затем тепло попрощались и пожелали ему счастливой самостоятельной работы.
«Сказанное в первую очередь относится к техподдержке средств защиты, поскольку это именно та головная боль, которую нельзя лечить терапевтическими методами. Если средство ИБ неправильно эксплуатируется, значит, оно не работает со всеми вытекающими из этого последствиями», — сделал вывод представитель компании CorpSoft24.
Стартапостроение в GIS
Сергей Никитин, руководитель группы управления продуктами «Газинформсервис» (GIS), рассказал о том, что не просто стартапы, а успешные молодые компании в сфере ИБ у нас в стране все же существуют. Кроме того, в качестве победителя CNews Awards 2023 в номинации «Защита ИТ-инфраструктуры: платформа года», эксперт поделился некоторыми деталями недавней презентации продукта Efros DefOps в одном отечественном горнорудном гиганте. «Металлурги заявили нам, что время экосистем прошло. От этого маркетингового термина заказчики уже устали. Им нужны лучшие в своем классе ИБ-продукты», — вспоминает эксперт.
Сергей Четвертаков, Prof IT, — о навыках диалоговых и программных роботов и генеративном ИИ в разговорных ассистентах
ТелекомСобственно эта идея и легла в 2017 году в основу разработки решения для анализа защищенности ИТ-инфраструктуры крупного бизнеса. Этот рынок тогда был поделен между транснациональными грандами и их продуктами: Cisco ISE, Algosec Firewall Analyzer, Tufin SecureTrack, Skybox Security Suite, решениями от Solarwinds, Tripwire и многих других. Если тогда конкуренция с ними считалась авантюрой, то теперь ситуация в корне изменилась, и «черные лебеди» сменили цвет на белый с «импортозамещенным» оттенком.
Нетрудно было предположить, что вопрос из зала к спикеру касался опыта внедрения в облачных инфраструктурах. Сергей Никитин не ушел от ответа: «Опыта пока немного, потому что сейчас в облаках переход на отечественные ИБ-решения только наметился. Еще далеко не все компании готовы дать разрешение на загрузку ПО в их корпоративные облака. Но ситуация постепенно меняется, спрос появляется, а мы развиваем сотрудничество с партнерами, имеющими соответствующую экспертизу, и развиваем собственную».
Безопасности много не бывает
К не раз вскользь упоминавшейся в ходе сессии проблеме соответствия нормативным актам различных ИБ-регуляторов предложил вернуться Алексей Плешков, заместитель начальника департамента защиты информации Газпромбанка, в докладе «Внутренние угрозы и как с ними бороться».
На одном из слайдов презентации была представлена информация полугодовой давности, собранная в Даркнете и говорящая о том, что некая известная преступная группировка набирает сотрудников из различных структур отечественной экономики для постоянного сотрудничества в сфере поиска и похищения информации. Свежие данные говорят о том, что инсайдеры набраны, о чем свидетельствует реклама этой группировки о продаже своих услуг и конфиденциальных данных.
Активность преступных группировок в Даркнете
На основании информации, а также данных компетентных органов, Алексей Плешков сделал вывод: «В четвертом квартале 2023 года основными векторами внутренних угроз станут неправомерное повышение полномочий штатных сотрудников, а также сговор внутренних инсайдеров с внешними заказчиками и «случайные» утечки конфиденциальной информации не только в банках, но и в других компаниях, где происходит накопление данных в формате базы, и где эти данные можно выгрузить и предоставить по запросу криминала».
В этой связи Газпромбанк официально заявляет о том, что намерен неукоснительно выполнять требования ИБ-регуляторов. А инсайдерам и их заказчикам напоминает о статье 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру», а также о 266-ФЗ от 14.07.2022 о внесении изменений в 152-ФЗ п.23. «Информация о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) ПДн, передается в РКН в установленном порядке». Сил и средств, включая киберразведку, у Газпромбанка для пресечения действий инсайдеров достаточно.
Информационные культура и безопасность
Михаил Левашов, член экспертной коллегии Фонда «Сколково» выбрал темой своего выступления «Информационная культура цифровой трансформации как необходимое условие обеспечения ИБ».
Станислав Логинов, Тюменская область: Мы ждем от отечественных ИБ-решений продвинутых технологий, в том числе с применением ИИ, которые компенсируют нехватку ИБ-специалистов
безопасность«Информационная культура личности — одна из составляющих общей культуры человека, совокупность информационного мировоззрения, системы знаний и умений, обеспечивающих целенаправленную самостоятельную деятельность по оптимальному удовлетворению индивидуальных информационных потребностей с использованием как традиционных, так и новых ИТ», — такое определение этому явлению дал эксперт.
Цели использование средств ИТ, особенно мобильных, как в личных, так и в служебных целях настолько переплелись, что с точки зрения ИБ разницы между ними нет. А, значит, на первый план выходит некий универсальный «гигиенический» минимум, который, позволяет сократить личный ущерб пользователя информационных систем, например, от фишинга и социальной инженерии. Это с одной стороны. А с другой стороны — человек должен оставаться в бизнес-контексте и, к примеру, оставлять в тексте деловой переписки свои актуальные персональные реквизиты, благодаря которым контрагент может связаться с ним и удостовериться в его личности и намерениях.
Однако злоупотребление некоторыми элементами информационной культуры, например, подразделениями фрод-мониторинга банков при блокировке подозрительных транзакций, может «обнулить» эту самую культуру. Например, нередки случаи, когда сотрудники банков вместо того, чтобы позвонить клиенту и уточнить детали той или иной транзакции, проявляют излишнюю инициативу и блокируют счет, чем могут поставить человека в крайне неловкую ситуацию, например, у кассы супермаркета. Иными, словами, культура — это такая вещь, которая либо есть, либо ее нет. В век тотальной связанности людей и технологий, ее необходимо самым тщательным образом развивать.
Взгляд визионера IoT
Завершилась сессия докладом «Интернет вещей как новый вызов», который сделал Андрей Ярных, член правления РОЦИТ, независимый эксперт по информационной безопасности.
Наиболее важным вариантом использования устройств интернета вещей (IoT) в сегменте являются потребительские интернет-устройства и мультимедийные устройства, такие как смартфоны, где, по прогнозам, к 2030 году число устройств интернета вещей вырастет более чем до 17 млрд. Причем, многие классы этих устройств появятся в массовом доступе уже через 3–5 лет.
Топ-10 наиболее перспективных технологий IoT
«Цифры прогнозов впечатляют. Однако еще больше впечатляет отношение к обеспечению ИБ этих устройств — сейчас оно находится на минимальном уровне. Все предпочитают считать, что ничего не случится и ничего не произойдет. Возможно, так и будет, если в этом сегменте прочно закрепится концепция Securityby Design. Но сейчас это не так», — дал оценку ситуации Андрей Ярных.
А что именно может случиться, эксперт продемонстрировал на конференции ООН в 2018 году, когда на основании исследований «Лаборатории Касперского» было доказано, что устройства типа носимых трекеров несут скрытые угрозы, о которых не думает никто, что стало настоящим шоком для членов международной комиссии. В частности, данные с браслетов позволяют по биометрическим данным его владельца, наложенным на карту местности, вычислить место его местонахождения, маршруты передвижения, а также особенности его образа жизни и биоритмов. Истории поимки и ликвидации некоторых террористов спецслужбами тому подтверждение. К сожалению, эти технологии сейчас доступны не только силовикам.
Таким образом, пренебрежение как элементарным «гигиеническим» ИБ-минимумом, так и довольно сложными нормативными актами регуляторов в итоге может оказаться себе дороже. Как уставы вооруженных сил «написаны кровью», так и лучшие практики информационной безопасности пропитаны украденными деньгами, шантажом вымогателей и взломами критической инфраструктуры. Об это надо помнить всегда.
Итоги CNews FORUM 2023
Шестнадцатый по счету CNews FORUM — крупнейшая независимая площадка для встречи ИТ-директоров, руководителей ИТ-компаний и представителей органов власти — стал рекордным по масштабу и количеству участников. CNews FORUM посетили более 1700 человек. Было заслушано около 120 экспертных докладов. На выставочном пространстве форума было представлено более 60 стендов.
«За прошедший год российским предприятиям и органам госвласти удалось проделать огромный объем работы по поддержанию устойчивости ИТ-инфраструктур и по их модернизации на основе отечественных технологий. Несмотря на беспрецедентное давление, России удается успешно противостоять всем вызовам. И как гласит народная пословица «Нет худа без добра». Благодаря неблагоприятным обстоятельствам многие высокотехнологичные индустрии и научные центры нашей страны получили новый импульс для развития. Страна переживает очередной технологический рывок и отрасль информационных технологий находится в авангарде этой глобальной трансформации», — говорит главный редактор CNews Александра Кирьянова.
Главные мероприятия форума
На старте CNews FORUM состоялся диалог с отраслью главы Минцифры Максута Шадаева. Затем в пленарной части форума выступили заместитель генерального директора РЖД Евгений Чаркин, директор по информационной инфраструктуре «Росатома» Евгений Абакумов, заместитель председателя правления Россельхозбанка Николай Ульянов, ИТ-директор Дом.рф Антон Петухов, первый вице-президент по технологиям МТС Павел Воронин, вице-президент по ИТ «Евраз» Артем Натрусов и многие другие.
В сессионной части было проведено пять тематических отраслевых секций: «Цифровизация финансового сектора», «Импортозамещение», «Информационная безопасность», «Цифровизация торговли», «Цифровая трансформация». Своим видением цифрового развития России поделились представители крупнейших компаний ВТБ, Абсолют банк, Русагро, «Самолет», «Аэропорт Шереметьево», СИБУР, «Московская биржа», X5 Group, СОГАЗ, Норникель, НЛМК.
Лауреатами ежегодной премии CNews Awards стали 14 компаний, предложивших в текущем году наиболее яркие, социально-значимые проекты, оказавшие влияние на рынок ИТ и телекоммуникаций России.
Следующий CNews FORUM Кейсы и вручение ежегодных премий «Инновация года» и «Импортозамещение года» состоятся в июне 2024 г.
Вадим Ференец
Полный текст статьи читайте на CNews