«Слабым звеном в этой истории будет человек»: заместитель руководителя Центра предотвращения киберугроз CyberART ГК Innostage об изменениях и новых вызовах в сфере информационной безопасности

В начале осени международный форум Kazan Digital Week собрал под одной крышей представителей ИТ-сферы, лидеров производства и экспертов из совершенно разных областей: от искусства до науки и промышленности. В студии интернет-радио «ЭХО л’ОСЕЙ», официального информационного партнера форума, участники и гости Kazan Digital Week делились своим взглядом на цифровизацию, опытом внедрения новейших технологий и мнением о ситуации на рынке. Максим Акимов, заместитель руководителя Центра предотвращения киберугроз CyberART ГК Innostage и эксперт в области кибербезопасности с десятилетним опытом работы, рассказал ведущему «ЭХО л’ОСЕЙ» Андрею Гурскому, как изменилась сфера информационной безопасности за последние полгода, почему не существует «универсальной пилюли» от хакеров, а также что такое DevSecOps и почему он так важен.

– Максим, добрый день! Приветствуем тебя на радио «ЭХО л’ОСЕЙ»! Давай знакомиться. Расскажи вкратце о себе и о компании, которую представляешь.

О CyberART (ГК Innostage)

CyberART - центр предотвращения киберугроз, отвечающий за противодействие современным компьютерным угрозам. CyberART обладает всеми необходимыми средствами и возможностями для организации реагирования на компьютерные инциденты и организации взаимодействия с ГосСОПКА. Для обмена актуальными сведениями в области защиты информации заключены соглашения о взаимодействии с рядом коммерческих и государственных центров реагирования и противодействия компьютерным атакам.

– Я уже больше десяти лет работаю в сфере информационной безопасности. На текущий момент занимаюсь мониторингом информационной безопасности у заказчиков из различных сфер деятельности. Это и банковский сектор, и промышленность, и государственные организации. Мы выявляем компьютерные атаки, даем организациям рекомендации по их изолированию, ликвидации последствий и так далее. На форуме Kazan Digital Week мы в том числе представляем наш комплекс услуг по информационной безопасности, по направлению Центра кибербезопасности. В целом, наша организация занимается и поставкой ИТ-решений, и решений информационной безопасности. Также мы являемся разработчиком как информационных систем, так и средств защиты информации, таких как IRP.

Как ты оцениваешь, насколько изменилась сфера информационной безопасности за последние полгода? Насколько это стало актуальнее?

– Вообще за последние полгода серьезно выросло количество компьютерных атак на компьютерные ресурсы и сервисы российских компаний. Вы наверняка слышали про утечки персональных данных. К примеру, громкая история - утечка от службы доставки. Сегодня многие сервисы еженедельно, ежедневно и даже ежечасно подвергаются атакам. Даже существует движение «хактивизм» - это некая кооперация хакеров-энтузиастов без определенных навыков в ИБ. Однако они все равно участвуют в атаках, просто их действия координируются со стороны. Страдает из-за этого чаще всего сфера предоставления услуг гражданам. Могу привести еще один пример – хакеры атаковали службу такси. Они проникли в систему и оформили множество заказов на один и тот же адрес в Москве. В результате такой «шалости» было парализовано движение в центре города.

Помимо атак на развитие отрасли повлиял уход зарубежных компаний, в том числе и ведущих вендоров в сфере информационной безопасности. К сожалению, некоторые из этих решений на текущий момент заменить нельзя, но российские разработчики к этому стремятся, дорабатывают свои продукты.

Также за последнее время вышел ряд нормативных документов, в связи с чем вырос спрос на специалистов по информационной безопасности. По предварительным подсчетам нехватка оценивается в 50 тыс. специалистов.

 

Максим Акимов, заместитель руководителя Центра предотвращения киберугроз CyberART ГК Innostage

 

Есть такое утверждение, что не существует сейфа, который нельзя было бы не вскрыть. А как с информационной безопасностью – можно ли закрыть систему так, чтобы ее вообще нельзя было взломать? Или это невозможно?

– Есть такой стереотип, что существует «универсальная пилюля» от всех хакеров. Но на самом деле ее нет. Взломать могут инфраструктуру организации с разным уровнем «зрелости». Например, за те же последние полгода взламывали различные системы: от стартапов до ведущих ИТ-компаний и корпораций, где вопрос информационной безопасности стоит на совершенно другом уровне, нежели в обычных организациях. Поэтому так будет точнее: можно внедрить некий перечень средств защиты и минимизировать риски по взлому инфраструктуры. Но полностью ее закрыть, к сожалению, нельзя. Никто не может дать такие гарантии.

– В последнее время появляется много сообщений об утечках данных, в том числе персональных. Скажи, для нас, обычных граждан, чем это опасно? Чем может обернуться? Есть о чем волноваться, если мой номер телефона окажется в какой-то подозрительной базе данных?

– Данные бывают совершенно разные: ФИО, паспортные данные, номер телефона и адрес электронной почты. Например, если в сети в открытом доступе окажется номер телефона или почта, то, скорее всего, это приведет к каким-нибудь спам-рассылкам, может быть, звонкам мошенников. И это не так критично. Как по мне, куда более важная информация - это данные банковских карт и пароли от ваших учетных записей. Для меня, как для специалиста по безопасности, это представляет больший интерес. Если утекут данные кредитных карт, вы потеряете деньги. Если пароли, то с их помощью злоумышленники попадут в личный кабинет, и у вас смогут вытащить совершенно разную информацию.

Поэтому, думая об утечке персональных данных и учитывая, что взломать могут кого угодно, ответ на вопрос «надо ли переживать» такой: если мы с вами входим в цифровой мир и хотим пользоваться цифровыми услугами, например, сайтом «Госуслуги», то мы принимаем некие риски, связанные с этим миром. То есть, мы понимаем, что те данные, которые мы там оставляем, скорее всего, могут утечь. Поэтому надо задуматься о тех данных, которые действительно критичны для вас. Я не думаю, что серия и номер паспорта для вас более важны, чем данные банковской карты или история ваших перемещений. Многие выкладывают фотографии с геометкой и не догадываются, что мошенники могут использовать эту информацию для вашего обмана. Это уже вопрос цифровой гигиены и того, какие данные стоит загружать в интернет, а какие – держать подальше оттуда.

– Ты здорово рассказываешь про цифровую гигиену и персональные данные, это очень важно для каждого нашего слушателя. Но если вернуться к бизнесу. Ты в начале рассказал, что ваша компания занимается мониторингом событий информационной безопасности инфраструктур заказчика. Расскажи подробнее, что под этим подразумевается? Что это такое и почему заказчики выбирают вас?

– У нас есть соответствующая дежурная служба, которая в круглосуточном режиме мониторит события информационной безопасности клиентов. Есть служба аналитиков более высокого уровня, которая ищет индикаторы компрометации в инфраструктуре. Что это такое? Есть соответствующие сенсоры, которые собирают события информационной безопасности со всей инфраструктуры, со всех рабочих мест и показывают подозрительные действия. По результатам этих действий проводится расследование и делается вывод, скомпрометирована инфраструктура или нет. И направляется соответствующая рекомендация заказчику: ликвидации последствий, если они есть.

Банальный пример – это заражение компьютера вирусом. Наша группа мониторинга выявляет заражение определенного компьютера вирусом и сообщает, что необходимо его удалить, запустить антивирус, и дает рекомендацию по недопущению таких действий в дальнейшем. К чему может привести заражение вирусом? На самом деле, к чему угодно. Злоумышленник может проникнуть в инфраструктуру через различные места вплоть до целевой машины и украсть критичные для заказчика данные. Это один момент. А второй – могут запустить шифровальщика, и данные компания может вообще потерять. Это очень критично в банковской сфере и, например, в промышленности. Может остановиться производство, станки, процесс добычи нефти. Это огромные финансовые потери, иногда могут быть и экологические последствия.

– Я понял. Вопрос к тебе не как к сотруднику ГК Innostage, а как к эксперту. Что чаще выбирают заказчики: использование аутсорсингового центра мониторинга или наращивание собственных компетенций? Или совмещают и то, и то?

– На самом деле, есть три варианта развития событий. По каждому из них мы имеем компетенции и можем помочь. Например, построение собственного SOC (прим. Security Operations Center - Центр мониторинга информационной безопасности). У нас есть услуга по консалтингу: помощь в построении SOC, выстраивание процессов мониторинга, подготовка и обучение специалистов, установка соответствующих средств защиты. Можно использовать полностью наш центр мониторинга на аутсорсе, когда заказчик вообще не беспокоится и не поддерживает у себя инфраструктуру. Ему не требуется нанимать людей и платить им дополнительные средства за сопровождение вычислительных мощностей и обучение специалистов. И есть гибридная модель, когда заказчики могут частично закрыть направление информационной безопасности, например, первую линию дежурной сменой, а более глубокую аналитику предоставить нам. Мы можем помочь по всем трем моделям, у нас есть все необходимые ресурсы.

– На твой взгляд, по каким причинам компании сейчас стали допускать больше утечек информации у себя? Это пренебрежение цифровой гигиеной сотрудниками или все-таки дыры в информационной безопасности, в проектировании инфраструктуры заказчика?

 - Мне очень часто задают этот вопрос, ответ на самом деле простой. Источник проблемы всегда нужно искать в человеке. Это может быть банальная глупость, когда кто-то взял и выложил в публичный доступ ценные данные или забыл заблокировать их, в результате чего они утекли. Есть ошибки в проектировании архитектуры. Но кто их допускает? Тоже человек. И есть так называемые уязвимости нулевого дня (zero day, 0-day). На их счет есть целая паранойя – кто-то же их специально оставил, и они могут быть не zero day, а так называемыми «закладками» в коде. Поэтому слабым звеном в этой истории будет человек. И к сожалению, я думаю, что навсегда. К чему это ведет? Взломы и утечки были всегда, но за последние полгода хактивизм усилился. Проблемы и уязвимости кода также были и раньше. Просто были компании, которые чуть раньше озаботились этим вопросом и применили у себя так называемый процесс DevSecOps SDLC (прим. процесс разработки безопасного/защищённого программного обеспечения/приложения). Зарубежные компании, такие как Microsoft, Cisco, уже десятилетиями внедряли у себя этот процесс и являются передовиками в направлении, когда безопасная разработка встроена в саму разработку, когда специалисты по информационной безопасности участвуют на всех стадиях разработки продукта.

– Я правильно понимаю, что есть такая технология, которая позволяет еще на этапе разработки кода, продукта, позаботиться о его безопасности?

– Да-да. Раз уж мы заговорили про этот процесс. Есть так называемая безопасная разработка, безопасное программирование (синонимы – DevSecOps), есть соответствующие выпущенные российские ГОСТы, о которых, к сожалению, мало кто слышал из разработчиков. Я вот как раз пытаюсь донести до них мысль, что пора бы открыть, почитать. В чем состоит процесс. Разрабатывается некая модель угроз. И когда система только планируется, учитываются эти потенциальные угрозы, которые предшествуют эксплуатации системы. В процессе разработки в проверку кода включаются «безопасники»: есть статический анализ кода на уязвимости, на недекларируемые возможности, на «закладки», на бэкдоры, которые могут остаться от разработчиков. У нас как обычно разрабатывается система: быстро-быстро надо выпустить, чтобы функция заработала, а о безопасности мало задумываются. При DevSecOps как раз эти проблемы нивелируются. Проводится динамический и статический анализ кода, пентест (то есть анализ на уязвимости уже готового продукта, когда он уже уходит во внедрение). Здесь как раз подключается наш центр мониторинга CyberART, который в дальнейшем анализирует поток событий на эту инфраструктуру и говорит о каких-то артефактах и «зловредах», которые в ней гуляют. Этот процесс цикличный, замкнутый, непрерывный. Когда выявляются какие-то угрозы в информационной системе, то даются рекомендации по их устранению, дорабатывается код, анализируется уязвимость, и все прекрасно живут дальше. Но, к сожалению, мало кто из разработчиков об этом задумывается, и количество атак за последние полгода говорят о том, что пора бы начать.

– Мы поняли твой посыл! Надеемся, что все, кто нас слушает, это учтут. И последний вопрос: что ты планировал получить от форума Kazan Digital Week?

– Форум для меня – это встреча с друзьями, коллегами, с которыми можно обменяться опытом, знаниями, поделиться мнениями. Потому что сам процесс информационной безопасности не имеет однозначного решения и требует коллективного участия, мозгового штурма, так скажем. И собираясь вместе, обсуждая эту тему, мы вместе найдем решение многих проблем.

Автор: Александр Абрамов.

Тематики: Безопасность

Ключевые слова: информационная безопасность, Радио Эхо л’ОСЕЙ