– Алексей, насколько Россия вписывается в ту картину современного рынка ИБ, которую компания Cisco наблюдает по всему миру, в первую очередь в США и Европе?
– Несомненно, российский ландшафт информационной безопасности отличается от зарубежного спецификой законодательства и применяемыми технологиями. Однако если рассматривать Россию как объект атак, особенных отличий мы не увидим. Активно атакуются шифровальщиками банки, организации разных сфер деятельности, при этом злоумышленникам все равно, у кого получать выкуп – у крупного промышленного холдинга, предприятия малого бизнеса или индивидуального предпринимателя.
Единственное – некоторые российские хакерские группировки склонны к проявлению некоего «патриотизма». Анализируя разработанный ими код, мы часто замечаем, что он не предназначается для атак в зоне Рунета. Интересная тенденция, но всецело полагаться на нее я бы не стал, так как зарубежные группировки действуют не менее активно.
Алексей Лукацкий, бизнес-консультант по безопасности Cisco
– Есть ли у вас статистика затрат российских компаний на ИБ и объема рынка в России в целом?
– Согласно отчету Cisco 2021 Data Privacy Benchmark Study, в среднем российские компании тратят на меры по защите данных около 1,4 млн долларов в год. Конечно, такая сумма характерна прежде всего для компаний среднего и крупного бизнеса. Представители этих организаций отмечают также, что выгода от внедрения ими технологий защиты вдвое превышает эти инвестиции. Хотя и здесь нужно понимать условность этих данных. Всегда очень сложно подсчитать выгоду от применения средств защиты, это кумулятивный показатель, включающий в себя и предотвращенные потери, и улучшения бизнес-результатов, и возможность более быстрого осуществления сделок, и возможность ускорения многих процессов, например при переходе на безопасную удаленную работу.
На вопрос об объеме и динамике рынка ИБ в России тоже сложно ответить точно. Во-первых, потому, что мы никогда не видели аудируемую отчетность этого рынка целиком. Можно говорить о его росте до 50%, но опять же скачки курса доллара и изменения в законодательстве могут сильно влиять на этот показатель. Можно, пожалуй, более уверенно говорить об увеличивающемся обороте отдельных компаний на рынке.
– Очевидно, что в 2020 году злоумышленники не могли обойти вниманием медицинские организации. Насколько это характерно для нашей страны?
– Мы действительно отметили участившиеся в 2020 году атаки вредоносных программ, особенно шифровальщиков, на медицинские учреждения и организации, которые занимаются исследованиями в области здравоохранения. К сожалению медицинским учреждениям, особенно крупным частным клиникам, приходится платить злоумышленникам выкуп, поскольку речь идет о жизни и здоровье людей. С другой стороны, выросли и инвестиции в безопасность объектов сферы здравоохранения. Но это касается скорее ситуации в мире.
В России нам не известны случаи атак шифровальщиков на медицинские организации, хотя в прошлом году мы фиксировали атаки на организации, которые занимались приемом медицинских анализов. Известны также случаи кражи клиентской базы у частных клиник с целью рассылки рекламных сообщений от конкурентов. Но пока это не стало трендом и не носит массового характера.
– А что можно сказать про атаки на объекты КИИ, в частности – АСУТП? Видите ли вы результат от вступления в силу закона «О критической информационной инфраструктуре»?
– Рост интереса злоумышленников к такого рода системам есть, но пока он не взрывной. К тому же, если атаки и осуществляются, то не на сами промышленные системы, а скорее на офисные системы промышленных предприятий, опять же с целью получения выкупа. Злоумышленники пробуют свои силы в этой области, разрабатывают вредоносный код для разведывательной деятельности и сбора данных о внутренних активах промышленных площадок. Но пока они не слишком хорошо понимают, как эти атаки можно монетизировать.
Ужесточение контроля со стороны ФСТЭК подхлестнет интерес владельцев объектов КИИ по обеспечению безопасности, но не ранее, чем через год-полтора. По нашим данным, первые проверки ФСТЭК начнутся со второй половины этого года и их число не будет большим. Пока российский бизнес не столкнется с реальными штрафами или даже уголовными делами по закону о КИИ, серьезно вкладываться в обеспечение законодатательных требований он не будет: затрат очень много, а выгода совершенно неочевидна.
– Российские госучреждения, которые сейчас массово переходят на импортозамещенные операционные системы, имеют большие или меньшие риски киберугроз, чем пользователи Windows?
– Безусловно, пока у них риски гораздо меньше. Во-первых, переход на операционные системы вроде Astra Linux или «Аврора» во многих организациях еще не завершен, то есть нет той массовости применения, при которой злоумышленники всерьез начнут исследовать эти системы. Кроме того, даже получить копию такой ОС сегодня непросто, их распространение строго контролируется. Однако после массового перехода на российские ОС число атак на них, конечно, возрастет. Это, кстати, проблема не только импортозамещения, но и любой новой технологии: как только она становится популярной, ее берут на карандаш и злоумышленники.
– На первый взгляд, на российском рынке ИБ существует множество решений для отражения как простых, так и направленных атак, для защиты ИТ-инфраструктуры на сетевом, программном, аппаратном уровнях. Почему организации до сих пор не справились с шифровальщиками, троянами и прочими вредоносами?
– Мы проводили опрос на эту тему, в том числе и в России. Одной из сложностей грамотного обеспечения ИБ респонденты отметили «заплаточный» подход, отсутствие целостного архитектурного взгляда бизнеса на безопасность. Иными словами, проблемы до сих пор решаются по мере их появления, мало используются методы предсказания, моделирования угроз, мало внимания уделяется стратегии обеспечения безопасности.
Вторая сложность связана с нехваткой в организациях инструментов мониторинга и реагирования на инциденты. Это объясняется тем, что раньше многие крупные коммерческие или госпредприятия в России были ориентированы на выполнение требований законодательства – ФСТЭК, ФСБ, Центробанка и т. д. А в этих требованиях основной фокус делался на предотвращении угроз, выстраивании некой стены вокруг защищаемых активов – и не было предпосылок к тому, что эти стены могут быть обойдены. К оперативному реагированию на инциденты многие оказались не готовы. Сейчас картина меняется, в нормативных документах появляются требования непрерывного мониторинга угроз, обязательного уведомления регуляторов об инцидентах. Но процесс этот, к сожалению, не очень быстрый. Требуется время, чтобы его привести в состояние, адекватное существующим угрозам.
Впрочем, российские организации, согласно опросу Cisco Outcomes Study, довольно позитивно оценивают ключевые факторы успеха в ИБ. По 9 из 11 факторов их показатели оказались выше среднемировых: это предупреждение серьезных инцидентов, соблюдение норм соответствия и другие. По двум параметрам показатели оказались ниже. Это, во-первых, вовлечение коллег – то, что на Западе получило название «гитхабизация ИБ», обмен данными об угрозах, лучшими практиками. Во-вторых, минимизация внеплановых работ: то есть зачастую мы не готовы к работе вне определенного регламента, к реакции на внештатную ситуацию.
– Изменения в законодательстве, гитхабизация – насколько это полезно для организаций?
– На мой взгляд, сегодня ни одно государство не готово к борьбе с угрозами в распределенной экономике, к которой относится, например, биткоин. Можно законодательно запрещать криптовалюты, устанавливать новые требования к ИБ, увеличивать наказания для преступников, но это все не работает эффективно. Гитхабизация, которая сейчас активно развивается на мировых рынках, тоже не является панацеей, потому что ответственность за инцидент мы все равно никому передать не сможем. Главное для организации – самостоятельно заботиться о своей безопасности, не полагаться на кого-то, кто за нее эту проблему решит.
– Насколько в российских компаниях распространена практика страхования от киберрисков, и насколько успешно компании могут доказать страховой случай?
– Мы знаем отдельные примеры страхования от киберрисков, которые связаны с выплатами вымогателю или нарушением работоспособности ИТ-инфраструктуры – то есть то, что относится к материальной составляющей ИТ-систем. К сожалению, практики страхования от потери информации у нас пока не существует. На самом деле еще с конца 1990-х годов в стране предлагались законодательные инициативы, касающиеся обязательного страхования информационных рисков. Но все они разбивались о классическую проблему: в отличие от традиционного страхования, где можно посчитать стоимость материального объекта, с учетом его амортизации, по отношению к информации нет единых, всеми признанных методик ее оценки. Информация, которую ее владелец оценивает в миллион, для страховой компании может стоить копейки. Пока они не договорятся между собой, страхование киберрисков будет неэффективным.