|
|
Обзор подготовлен
Несмотря на то, что российские компании тратят миллионы рублей на обеспечение ИБ, фактический уровень защищенности информационных сетей остается очень низким. В то время как киберпреступность уже стала стабильным сверхприбыльным бизнесом, российские предприятия готовы вкладывать деньги в формальную информационную безопасность и мало озабочены реальной защищенностью своих систем.
Как известно, обеспечение информационной безопасности – комплексный процесс, который включает не только техническую, но и организационную составляющую, то есть, составление и методическое выполнение корпоративной политики безопасности. Однако именно ей в российских условиях уделяется чрезвычайно мало внимания. Причины этого понятны. Во-первых, политика безопасности не может быть универсальной и должна учитывать специфику организации, следовательно, ее разработка – более трудный процесс, чем использование универсальных технических средств. Во-вторых, она направлена на людей, а не на машины, и ее реализацию невозможно автоматизировать.
Использование технических средств информационной безопасности в отрыве от организационных во многих случаях обессмысливает затраты на ИБ и оставляет систему полностью незащищенной. Выступая на IV Конгрессе CIO&CXO "Подмосковные вечера", директор Центра информационной безопасности компании "Инфосистемы Джет" Игорь Ляпунов сообщил, его компания проводит в год порядка 20 тестов на проникновение – и все они завершаются успешно, причем для проникновения бывает достаточно "абсолютно пионерских" методов: "В 9 из 10 случаев это эксплоиты из интернета. Это не заказыне трояны и не спецметоды, которые применяются для взлома", – поясняет Игорь Ляпунов.
Эксперт "Инфосистем Джет" привел недавний случай из практики, когда для проникновения в корпоративную сеть крупной компании, ИБ-расходы которой на информационную безопасность составляют 2 млн долл. в год, потребовалось лишь половина рабочего дня. Сначала выяснилось, что администраторы компании оставили себе на внешних межсетвых экранах открытый доступ. Далее были использованы известные уязвимости в клиентском ПО, таком как Adobe Reader и Flash (в последнее время уже научились устанавливать обновления для уязвимостей в ОС, но лишь немногие всерьез обращают внимание на обновления для пользовательских программ). Затем выяснилось, что на части коммутаторов используются пароли по умолчанию. После этого оставалось лишь просканировать сетевой трафик, выловить пароль администратора – и получить полный контроль над сетью.
По мнению Игоря Ляпунова, 80% в области информационной безопасности в России – это проекты инфраструктурного характера, не затрагивающие организационные процессы предприятия, такие как миграция антивирусного ПО, замена одного сетевого экрана на другой, установка различных дополнительных средств защиты. Такие проекты осуществляются в стремлении обеспечить соответствие требованиям законодательства или ради воспроизведения существующих в отрасли "лучших практик". Важно, что оба этих мотивирующих фактора мало связаны с внутренними потребностями организации и во многом носят формальный характер.
Отвечая на вопрос CNews, Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems, отметил, что перекос в сторону инфраструктурных проектов действительно характерен для российского рынка, однако еще больший негативный эффект порождает "перекос в сторону регулятивных требований – супротив реальной безопасности". Выполняя проект в области информационной безопасности, российские компании в первую очередь "смотрят, что устроит регулятора, а что его не устроит", и это негативно сказывается на фактическом уровне защищенности корпоративных сетей.
Почему российские предприятия готовы тратить деньги на формальную информационную безопасность и при этом так мало озабочены реальной защищенностью своих систем? Игорь Ляпунов считает, что степень озабоченности зависит от рода деятельности предприятия. Банки проявляют большую обеспокоенность, поскольку для них угрозы в сфере ИБ уже воспринимаются как вполне конкретные риски, связанные с финансовыми потерями. В то же время, компании, работающие в других сегментах рынка, пока не начали воспринимать проблему информационной безопасности как бизнес-угрозу.
С этим мнением не согласен Алексей Лукацкий, который считает, что не выделяются на общем фоне российских компаний в плане своей компетенции в вопросах информационной безопасности. Проблема несбалансированного подхода к ИБ затрагивает все сегменты российского рынка: "Считать риски ИБ в России не умеют", – резюмирует Алексей Лукацкий. Однако в этой проблеме, считает эксперт, виноваты не только заказчики, но и сами специалисты в области ИБ, которые "не могут доказать бизнесу нужность безопасности".
Один из возможных способов сделать угрозы в сфере информационной безопасности более осязаемыми – это посмотреть на проблему с другой стороны, т.е. глазами киберпреступников и их заказчиков. Генеральный директор компании Group-IB Илья Сачков приводит любопытную статистику. В одном случае владелец бот-сети, предоставляющий ее в аренду, смог за полтора года заработать и обналичить 1,733 млн долл. В другом случае, "спам-партнерка" из 15 человек зарабатывает 24 млн долл. в месяц – и это чистые деньги, с которых не выплачиваются никакие налоги. "Сейчас хакерство – это настоящий бизнес со свехприбылью. Они зарабатывают более, чем наркоторговцы, на данный момент, – говорит Илья Сачков. – Обладая такими возможностями, хакеры получают не только технические преимущества, но и зачастую – юридическую неприкосновенность.
По сведениям эксперта Group IB, услуги киберпреступников сейчас без труда можно приобрести в интернете по доступной цене. 80% объявлений о таких услугах являются чистым мошенничеством, однако на остальные 20% – это реальные предложения киберпреступников. Илья Сачков считает, что, учитывая возможности современных киберпреступников, одних лишь мер по защите информации сегодня недостаточно. Компания, которая действительно стремиться свести к минимуму риски в сфере ИБ, должна разработать грамотный процесс реагирования на компьютерные преступления – при правильном подходе к делу, такой процесс можно разработать за 2-3 дня, обязательно вместе с юристами.
По мнению Игоря Ляпунова, информационная безопасность может быть более эффективной, но для этого потребуется не только изменение целеполагания (от механического копирования "лучших практик" – к сбалансированной ИБ, основанной на анализе бизнес-рисков), но и смещение приоритетов от инфраструктурной составляющей ИБ к ее организационной составляющей. Инфраструктура обеспечения информационной безопасности бесполезна, если корпоративная сеть не находится под постоянным мониторингом со стороны специалистов. "Следует не увеличивать забор, а поставить кого-то, кто будет за этим забором следить", – резюмирует свою позицию эксперт.
Кроме того, чрезвычайную важность имеет методическое выполнение таких базовых практик ИБ как своевременная установка патчей и обновлений, обеспечение качества базовой конфигурации. Все эти меры имеют отношение не столько к инфраструктуре, сколько к организационному обеспечению информационной безопасности, однако, по мнению эксперта "Инфосистем Джет", информационная безопасность – это и есть прежде всего процесс.
В целом, российские предприятия, по-настоящему заинтересованные в информационной безопасности, должны в большей мере инвестировать в прозрачность и управляемость информационной безопасности. Для этого не обязательно раздувать штат сотрудников – оптимальной для российских предприятий Игорь Ляпунов считает маленькую, компактную, но эффективную службу ИБ.
"Вопрос численности штатных сотрудников зависит от культуры, исторических корней и специфических рисков организации", – считает Алексей Лукацкий. Не существует универсальных рецептов относительно численности штата службы ИБ. С одной стороны, есть примеры, когда задачи информационной безопасности полностью выносятся на аутсорсинг в организациях, численность сотрудников которых превышает 100 000 человек. В других организациях, напротив, служба ИБ фактически дублирует часть задач, выполняемых ИТ-подразделением. Такой подход, по мнению Алексея Лукацкого, нельзя назвать неправильным – дублирование оказывается оправданным в силу специфики корпоративной культуры, истории и структуры организации.
Егор Гребнев / CNews Analytics
CNews: Как изменились в последние годы потребности российских государственных корпораций с точки зрения информационной безопасности?
Андрей Казачков: Поскольку госкорпорации начали создаваться всего три года назад, актуальнее было бы говорить о развитии, нежели об изменении потребностей в сфере информационной безопасности. Первоначально многие пытались решать проблему безопасности с помощью стандартных средств защиты периметра: виртуальных частных сетей, межсетевых экранов и средств контроля доступа. Вначале эти решения действительно выполняли возложенные на них функции. Однако со временем всегда появляются новые источники утечки информации. Кроме того, развитие высокоскоростных интерфейсов связи и использование услуг аутсорсинга привели к "размыванию" такого понятия, как традиционный периметр сети. Это обстоятельство послужило еще одним доказательством того, что средства обеспечения информационной безопасности должны постоянно эволюционировать, иначе они теряют свою актуальность. А для госкорпораций это огромный риск: все они реализуют проекты государственного значения, много работают с конфиденциальной информацией. Соответственно – необходимо особенно внимательно относиться к защите данных от утечек и несанкционированного доступа.