«Слабым звеном в этой истории будет человек»: заместитель руководителя Центра предотвращения киберугроз CyberART ГК Innostage об изменениях и новых вызовах в сфере информационной безопасности

В начале осени международный форум Kazan Digital Week собрал под одной крышей представителей ИТ-сферы, лидеров производства и экспертов из совершенно разных областей: от искусства до науки и промышленности. В студии интернет-радио «ЭХО л’ОСЕЙ», официального информационного партнера форума, участники и гости Kazan Digital Week делились своим взглядом на цифровизацию, опытом внедрения новейших технологий и мнением о ситуации на рынке. Максим Акимов, заместитель руководителя Центра предотвращения киберугроз CyberART ГК Innostage и эксперт в области кибербезопасности с десятилетним опытом работы, рассказал ведущему «ЭХО л’ОСЕЙ» Андрею Гурскому, как изменилась сфера информационной безопасности за последние полгода, почему не существует «универсальной пилюли» от хакеров, а также что такое DevSecOps и почему он так важен.

– Максим, добрый день! Приветствуем тебя на радио «ЭХО л’ОСЕЙ»! Давай знакомиться. Расскажи вкратце о себе и о компании, которую представляешь.

О CyberART (ГК Innostage)

CyberART - центр предотвращения киберугроз, отвечающий за противодействие современным компьютерным угрозам. CyberART обладает всеми необходимыми средствами и возможностями для организации реагирования на компьютерные инциденты и организации взаимодействия с ГосСОПКА. Для обмена актуальными сведениями в области защиты информации заключены соглашения о взаимодействии с рядом коммерческих и государственных центров реагирования и противодействия компьютерным атакам.

– Я уже больше десяти лет работаю в сфере информационной безопасности. На текущий момент занимаюсь мониторингом информационной безопасности у заказчиков из различных сфер деятельности. Это и банковский сектор, и промышленность, и государственные организации. Мы выявляем компьютерные атаки, даем организациям рекомендации по их изолированию, ликвидации последствий и так далее. На форуме Kazan Digital Week мы в том числе представляем наш комплекс услуг по информационной безопасности, по направлению Центра кибербезопасности. В целом, наша организация занимается и поставкой ИТ-решений, и решений информационной безопасности. Также мы являемся разработчиком как информационных систем, так и средств защиты информации, таких как IRP.

Как ты оцениваешь, насколько изменилась сфера информационной безопасности за последние полгода? Насколько это стало актуальнее?

– Вообще за последние полгода серьезно выросло количество компьютерных атак на компьютерные ресурсы и сервисы российских компаний. Вы наверняка слышали про утечки персональных данных. К примеру, громкая история - утечка от службы доставки. Сегодня многие сервисы еженедельно, ежедневно и даже ежечасно подвергаются атакам. Даже существует движение «хактивизм» - это некая кооперация хакеров-энтузиастов без определенных навыков в ИБ. Однако они все равно участвуют в атаках, просто их действия координируются со стороны. Страдает из-за этого чаще всего сфера предоставления услуг гражданам. Могу привести еще один пример – хакеры атаковали службу такси. Они проникли в систему и оформили множество заказов на один и тот же адрес в Москве. В результате такой «шалости» было парализовано движение в центре города.

Помимо атак на развитие отрасли повлиял уход зарубежных компаний, в том числе и ведущих вендоров в сфере информационной безопасности. К сожалению, некоторые из этих решений на текущий момент заменить нельзя, но российские разработчики к этому стремятся, дорабатывают свои продукты.

Также за последнее время вышел ряд нормативных документов, в связи с чем вырос спрос на специалистов по информационной безопасности. По предварительным подсчетам нехватка оценивается в 50 тыс. специалистов.

 

Максим Акимов, заместитель руководителя Центра предотвращения киберугроз CyberART ГК Innostage

Максим Акимов, заместитель руководителя Центра предотвращения киберугроз CyberART ГК Innostage

 

Есть такое утверждение, что не существует сейфа, который нельзя было бы не вскрыть. А как с информационной безопасностью – можно ли закрыть систему так, чтобы ее вообще нельзя было взломать? Или это невозможно?

– Есть такой стереотип, что существует «универсальная пилюля» от всех хакеров. Но на самом деле ее нет. Взломать могут инфраструктуру организации с разным уровнем «зрелости». Например, за те же последние полгода взламывали различные системы: от стартапов до ведущих ИТ-компаний и корпораций, где вопрос информационной безопасности стоит на совершенно другом уровне, нежели в обычных организациях. Поэтому так будет точнее: можно внедрить некий перечень средств защиты и минимизировать риски по взлому инфраструктуры. Но полностью ее закрыть, к сожалению, нельзя. Никто не может дать такие гарантии.

– В последнее время появляется много сообщений об утечках данных, в том числе персональных. Скажи, для нас, обычных граждан, чем это опасно? Чем может обернуться? Есть о чем волноваться, если мой номер телефона окажется в какой-то подозрительной базе данных?

– Данные бывают совершенно разные: ФИО, паспортные данные, номер телефона и адрес электронной почты. Например, если в сети в открытом доступе окажется номер телефона или почта, то, скорее всего, это приведет к каким-нибудь спам-рассылкам, может быть, звонкам мошенников. И это не так критично. Как по мне, куда более важная информация - это данные банковских карт и пароли от ваших учетных записей. Для меня, как для специалиста по безопасности, это представляет больший интерес. Если утекут данные кредитных карт, вы потеряете деньги. Если пароли, то с их помощью злоумышленники попадут в личный кабинет, и у вас смогут вытащить совершенно разную информацию.

Поэтому, думая об утечке персональных данных и учитывая, что взломать могут кого угодно, ответ на вопрос «надо ли переживать» такой: если мы с вами входим в цифровой мир и хотим пользоваться цифровыми услугами, например, сайтом «Госуслуги», то мы принимаем некие риски, связанные с этим миром. То есть, мы понимаем, что те данные, которые мы там оставляем, скорее всего, могут утечь. Поэтому надо задуматься о тех данных, которые действительно критичны для вас. Я не думаю, что серия и номер паспорта для вас более важны, чем данные банковской карты или история ваших перемещений. Многие выкладывают фотографии с геометкой и не догадываются, что мошенники могут использовать эту информацию для вашего обмана. Это уже вопрос цифровой гигиены и того, какие данные стоит загружать в интернет, а какие – держать подальше оттуда.

– Ты здорово рассказываешь про цифровую гигиену и персональные данные, это очень важно для каждого нашего слушателя. Но если вернуться к бизнесу. Ты в начале рассказал, что ваша компания занимается мониторингом событий информационной безопасности инфраструктур заказчика. Расскажи подробнее, что под этим подразумевается? Что это такое и почему заказчики выбирают вас?

– У нас есть соответствующая дежурная служба, которая в круглосуточном режиме мониторит события информационной безопасности клиентов. Есть служба аналитиков более высокого уровня, которая ищет индикаторы компрометации в инфраструктуре. Что это такое? Есть соответствующие сенсоры, которые собирают события информационной безопасности со всей инфраструктуры, со всех рабочих мест и показывают подозрительные действия. По результатам этих действий проводится расследование и делается вывод, скомпрометирована инфраструктура или нет. И направляется соответствующая рекомендация заказчику: ликвидации последствий, если они есть.

Банальный пример – это заражение компьютера вирусом. Наша группа мониторинга выявляет заражение определенного компьютера вирусом и сообщает, что необходимо его удалить, запустить антивирус, и дает рекомендацию по недопущению таких действий в дальнейшем. К чему может привести заражение вирусом? На самом деле, к чему угодно. Злоумышленник может проникнуть в инфраструктуру через различные места вплоть до целевой машины и украсть критичные для заказчика данные. Это один момент. А второй – могут запустить шифровальщика, и данные компания может вообще потерять. Это очень критично в банковской сфере и, например, в промышленности. Может остановиться производство, станки, процесс добычи нефти. Это огромные финансовые потери, иногда могут быть и экологические последствия.

– Я понял. Вопрос к тебе не как к сотруднику ГК Innostage, а как к эксперту. Что чаще выбирают заказчики: использование аутсорсингового центра мониторинга или наращивание собственных компетенций? Или совмещают и то, и то?

– На самом деле, есть три варианта развития событий. По каждому из них мы имеем компетенции и можем помочь. Например, построение собственного SOC (прим. Security Operations Center - Центр мониторинга информационной безопасности). У нас есть услуга по консалтингу: помощь в построении SOC, выстраивание процессов мониторинга, подготовка и обучение специалистов, установка соответствующих средств защиты. Можно использовать полностью наш центр мониторинга на аутсорсе, когда заказчик вообще не беспокоится и не поддерживает у себя инфраструктуру. Ему не требуется нанимать людей и платить им дополнительные средства за сопровождение вычислительных мощностей и обучение специалистов. И есть гибридная модель, когда заказчики могут частично закрыть направление информационной безопасности, например, первую линию дежурной сменой, а более глубокую аналитику предоставить нам. Мы можем помочь по всем трем моделям, у нас есть все необходимые ресурсы.

– На твой взгляд, по каким причинам компании сейчас стали допускать больше утечек информации у себя? Это пренебрежение цифровой гигиеной сотрудниками или все-таки дыры в информационной безопасности, в проектировании инфраструктуры заказчика?

 - Мне очень часто задают этот вопрос, ответ на самом деле простой. Источник проблемы всегда нужно искать в человеке. Это может быть банальная глупость, когда кто-то взял и выложил в публичный доступ ценные данные или забыл заблокировать их, в результате чего они утекли. Есть ошибки в проектировании архитектуры. Но кто их допускает? Тоже человек. И есть так называемые уязвимости нулевого дня (zero day, 0-day). На их счет есть целая паранойя – кто-то же их специально оставил, и они могут быть не zero day, а так называемыми «закладками» в коде. Поэтому слабым звеном в этой истории будет человек. И к сожалению, я думаю, что навсегда. К чему это ведет? Взломы и утечки были всегда, но за последние полгода хактивизм усилился. Проблемы и уязвимости кода также были и раньше. Просто были компании, которые чуть раньше озаботились этим вопросом и применили у себя так называемый процесс DevSecOps SDLC (прим. процесс разработки безопасного/защищённого программного обеспечения/приложения). Зарубежные компании, такие как Microsoft, Cisco, уже десятилетиями внедряли у себя этот процесс и являются передовиками в направлении, когда безопасная разработка встроена в саму разработку, когда специалисты по информационной безопасности участвуют на всех стадиях разработки продукта.

– Я правильно понимаю, что есть такая технология, которая позволяет еще на этапе разработки кода, продукта, позаботиться о его безопасности?

– Да-да. Раз уж мы заговорили про этот процесс. Есть так называемая безопасная разработка, безопасное программирование (синонимы – DevSecOps), есть соответствующие выпущенные российские ГОСТы, о которых, к сожалению, мало кто слышал из разработчиков. Я вот как раз пытаюсь донести до них мысль, что пора бы открыть, почитать. В чем состоит процесс. Разрабатывается некая модель угроз. И когда система только планируется, учитываются эти потенциальные угрозы, которые предшествуют эксплуатации системы. В процессе разработки в проверку кода включаются «безопасники»: есть статический анализ кода на уязвимости, на недекларируемые возможности, на «закладки», на бэкдоры, которые могут остаться от разработчиков. У нас как обычно разрабатывается система: быстро-быстро надо выпустить, чтобы функция заработала, а о безопасности мало задумываются. При DevSecOps как раз эти проблемы нивелируются. Проводится динамический и статический анализ кода, пентест (то есть анализ на уязвимости уже готового продукта, когда он уже уходит во внедрение). Здесь как раз подключается наш центр мониторинга CyberART, который в дальнейшем анализирует поток событий на эту инфраструктуру и говорит о каких-то артефактах и «зловредах», которые в ней гуляют. Этот процесс цикличный, замкнутый, непрерывный. Когда выявляются какие-то угрозы в информационной системе, то даются рекомендации по их устранению, дорабатывается код, анализируется уязвимость, и все прекрасно живут дальше. Но, к сожалению, мало кто из разработчиков об этом задумывается, и количество атак за последние полгода говорят о том, что пора бы начать.

– Мы поняли твой посыл! Надеемся, что все, кто нас слушает, это учтут. И последний вопрос: что ты планировал получить от форума Kazan Digital Week?

– Форум для меня – это встреча с друзьями, коллегами, с которыми можно обменяться опытом, знаниями, поделиться мнениями. Потому что сам процесс информационной безопасности не имеет однозначного решения и требует коллективного участия, мозгового штурма, так скажем. И собираясь вместе, обсуждая эту тему, мы вместе найдем решение многих проблем.

Рубрики: Безопасность

Ключевые слова: информационная безопасность, Радио Эхо л’ОСЕЙ