Digital Security: Кибервойны уже ведутся, а в будущем будут лишь ужесточаться

18.08.2015

Оригинал: http://digital.report/digital-security/
Автор: Владимир Волков
На вопросы Digital Report отвечает Юлия Кольдичева,
директор по связям с общественностью Digital Security

Через несколько лет кибервойны по размаху и жестокости смогут сравниться с классическим вариантом вооруженного конфликта. Несмотря на то, что киберпространство не подразумевает кровопролития и прямых разрушений, эффект от противостояния «в цифре» может быть гораздо более катастрофичным для всего мира.  Чего ждать людям от цифрового будущего и как готовится к «войне» Digital Report рассказал директор по связям с общественностью Digital Security Юлия Кольдичева.

Насколько серьезно компании и люди относятся к вопросам информационной и кибербезопасности?

Пока серьезное внимание безопасности уделяют, прежде всего, те компании, бизнес которых непосредственно связан с клиентскими денежными средствами и конфиденциальными данными, для которых остановка бизнеса даже на несколько минут может стать фатальной.

В настоящее время вопросами кибербезопасности озабочены, скорее, государственные власти и представители бизнеса. Простые граждане по-прежнему далеки от этих проблем. Государство на уровне руководства страны причисляет вопросы ИБ к стратегическим, поскольку все чаще встречаются прецеденты в сфере направленных атак, которые ставят под угрозу нормальное функционирование отдельных общественных институтов и страны в целом. Бизнес, прежде всего, заботит сохранность конфиденциальной информации (данные о контрактах, клиентских счетах, секретные договоренности и прочее). Если такие сведения попадут в руки конкурентов или злоумышленников, это может привести к остановке или нарушению отдельных бизнес-процессов, а в некоторых случаях – к полной остановке бизнеса. Основными задачами обеспечения безопасности считаются: доступность, целостность, включающая аутентичность, а также конфиденциальность. Кибербезопасность является необходимым условием развития информационного общества.

Готов ли бизнес серьезно вкладываться в информационную безопасность и в каких сферах на это не принято жалеть денег: банковская, промышленность?

Бизнес-среда гораздо лучше осознает сейчас важность вопросов ИБ, чем это было, скажем, пять лет или даже два года назад. Помимо новостей и различных информационных материалов на тему угроз в ИБ, хорошим способом привлечь внимание являются участившиеся инциденты в сфере ИБ. Бизнесмены всегда должны четко понимать, зачем им вкладывать средства в то или иное направление. И когда появляются проблемы и реальные потери, есть шанс оценить на практике необходимость грамотной защиты. Финансовая сфера традиционно была самой «щедрой» в плане затрат на безопасность. Это не удивительно, учитывая объемы транзакций и репутационные риски банков и других организаций, чья деятельность непосредственно связана с деньгами. Также солидные вложения в ИБ можно отметить в телекоммуникационной сфере, в нефтегазовом секторе, в крупных логистических и транспортных компаниях. Пока серьезное внимание безопасности уделяют, прежде всего, те компании, бизнес которых непосредственно связан с клиентскими денежными средствами и конфиденциальными данными, для которых остановка бизнеса даже на несколько минут может стать фатальной.

Можно ли назвать современные программные и технические продукты для обеспечения безопасности качественными и надежными? Нет ли в бизнесе, основанном на кибербезопаности желания отдельных компаний увеличить прибыльность без привязки к качеству? Есть ли примеры откровенно провальных, но дорогих продуктов?

Абсолютно надежных систем и продуктов, конечно, не существует. Нельзя просто поставить антивирус или межсетевой экран и расслабиться. Даже самое дорогое оборудование не гарантирует стопроцентной защищенности. Помимо человеческого фактора, который никогда нельзя исключать, нередко даже самые замечательные системы некорректно используются. Неправильная конфигурация, отсутствие обновлений, слабые парольные политики – эти факторы могут значительно ослабить любой функционал, заложенный разработчиком. В целом, качество продукта обычно адекватно его стоимости. Редко кто выходит на рынок сразу с дорогим решением, обычно сначала предлагают хороший функционал по доступной цене, чтобы привлечь клиентов. Далее, стоимость может расти (параллельно с развитием продукта), но заказчики всегда (или почти всегда) понимают, за что платят. Жизнь провального, но дорогого продукта на рынке будет очень короткой.

Зачем нужна сертификация в области безопасности данных? Для того, чтобы защитить себя от возможных рисков?

О возможности финансового блекаута говорить не приходится (пока), однако, миллионные убытки через эксплуатацию различных уязвимостей нанести возможно.

В основном, сертификация нужна для выполнения требований регуляторов или в целях маркетинга, если мы говорим о частных компаниях. Реже — для получения какой-то конкретной бизнес-выгоды, повышения безопасности. Эффективная защита строится на основании целей бизнеса, его особенностей. Только зная, как работает бизнес, имея поддержку руководства, правильно оценивая риски ИБ, можно выстроить эффективную защиту. Сертификация по требованиям регуляторов или каких-либо стандартов —  менее гибкий инструмент в построении защиты, и иногда приходится менять существующие бизнес-процессы, чтобы подстроится под стандарт. Это влечет за собой снижение эффективности бизнес-процессов и дополнительные расходы.

Есть мнение, что кибербезопасность в России для многих компаний — это не построение действительно качественных систем безопасности, а «гонка» за сертификатами, которые помогут избежать претензий в случае атак или взлома. Это действительно так?

В различных компаниях разный уровень осознания ИБ, у каждого руководителя свое понимание того, для чего нужна ИБ и какое место она должна занимать в организации. Чем меньше понимания роли ИБ, тем больше веры в сертификаты. Но это, скорее, от недостатка знаний в области ИБ и веры в красивые слова вендоров. У нас в стране в случае ЧП всегда искали крайнего, поэтому, если произойдет инцидент и сертифицированная система не выполнит требуемого, то найдут с кого спросить. Сертификат не спасет. На ошибках учатся.

Чаще вера в сертификаты встречается в государственных учреждениях. В частных компаниях все же преследуются другие цели. Бизнес с бОльшим интересом следит за своими доходами и убытками, поэтому в его интересах обеспечить реальную защиту своих активов, иметь более грамотных специалистов. Однако, если сертифицированные средства выполняют требуемое, то почему бы их не использовать?

Какие законодательные решения необходимы в России для усиления внимания к вопросам защиты данных?

В принципе, в настоящее время власти предпринимают достаточно усилий в данном направлении. В каждой сфере есть свои регуляторы, от которых зависит принятие различных решений и дальнейшее развитие отрасли. И сейчас внимания к вопросам защиты данных достаточно, но в силу объективных причин пока не получается закрыть все «бреши». Со временем, ситуация должна улучшиться.

Какие положительные и негативные последствия в законодательном принуждении иностранных компаний хранить персональные данные жителей России локально, внутри страны?

Нам не хотелось бы комментировать данный вопрос, поскольку наша компания является российской, и мы не сталкивались на практике с подобными требованиями.

Существующие в России ГОСТы безопасности можно назвать современными и отвечающими степени технического развития информационных сетей и возможностей?

Получается, что самый надежный способ защитить информацию – это не только отключить ПК от глобальной сети, но и не отходить от него ни на шаг. Вряд ли кого-то устроит такой сценарий.

Да, их можно назвать вполне современными. Если есть недоработки, органы власти всегда стараются вести работу по их устранению, хотя не всегда это получается сделать оперативно.

Компании, которые работают напрямую с клиентами спешат использовать возможности мобильных приложений. Существует тысяча версий мобильных банков, финансовых клиентов. Насколько они безопасны, может ли в какой-то момент случиться масштабный финансовый блэк-аут?

Наш исследовательский центр регулярно проводит анализ нескольких десятков приложений мобильного банкинга. И раз за разом в подавляющем большинстве мобильных клиентов обнаруживаются различные уязвимости. С их помощью злоумышленники могут получать доступ к пользовательским устройствам и содержащейся на них информации, копировать ее и изменять, а также похищать денежные средства с личных аккаунтов. О возможности финансового блекаута говорить не приходится (пока), однако, миллионные убытки через эксплуатацию различных уязвимостей нанести возможно.

С большим вниманием стоит относиться к проблемам безопасности, существующим в приложениях для удаленной работы с АСУ ТП. В рамках недавнего исследования, проведенного специалистами нашей компании, в мобильных клиентах для АСУ ТП таких известных производителей, как Siemens, GE, Schnieder Electric, Movicon, Autobase и др., доступных, в том числе, через магазин Google Play, было обнаружено 50 уязвимостей. Большинство из них – логические и архитектурные, и эксплуатировать их достаточно просто. Среди обнаруженных уязвимостей: незащищенные или недостаточно защищенные методы передачи и хранения данных (в том числе, некорректное использование SSL или «самодельные» криптоалгоритмы), удаленная атака на отказ в доступе на клиент и сервер, SQL-инъекции, использование недоверенных входных данных в качестве параметров настройки техпроцесса и др. Особую тревогу вызывает тот факт, что в приложениях удаленного доступа было найдено больше уязвимостей и слабостей, чем в клиентах для работы внутри безопасного периметра. Это недопустимо для решений, работающих через незащищенные каналы связи.

Эксплуатация перечисленных проблем ИБ потенциально позволяет реализовать ряд опасных атак как на приложение, так и на оператора. В последнем случае, реально создать ложное представление о текущем состоянии технологического процесса, что может привести к принятию неверных решений с тяжелыми последствиями для предприятия.

Насколько реальной может оказаться фантастическая идея о хакерских атаках на автоматизированные системы городского управления. Сегодня автоматика управляет энергией, светофорами, камерами. Может ли преступная группа взять под контроль целый город?

Теоретически может, но здесь есть несколько серьезных сложностей. Во-первых, автоматизированные системы городского управления не очень доступны для атак и децентрализированы. То есть доступ возможно получить только к одному-двум сегментам, а не к целой системе. Во-вторых, в случае обнаружения подозрительной активности, скорее всего, сработает автоматика, и система просто отключится, не дав ничего сделать. В-третьих, не ясно, зачем такую атаку осуществлять, ведь на организацию придется потратить солидные средства.

Самая надежная защита информации – это отключение компьютера от глобальной сети? Так ли это?

Есть разные способы похитить информацию. Если есть физический доступ к устройству, то Интернет и не нужен. Как говорится, «если плохие парни получили доступ к твоему компьютеру, это больше не твой компьютер». Получается, что самый надежный способ защитить информацию – это не только отключить ПК от глобальной сети, но и не отходить от него ни на шаг. Вряд ли кого-то устроит такой сценарий.

И кибервойны уже ведутся, а в будущем будут лишь ужесточаться. Готовиться к ним необходимо даже не «сегодня», а «вчера», ну а завтра точно будет поздно.

Почему, как вы считаете, не удается победить киберпреступность? Ведь в отличии от классической, не техногенной преступности, в ее основе – образованные люди, во многом законопослушные?

Мотивы киберпреступников мало чем отличаются от мотивов преступников из других сфер – это жажда наживы и личный интерес. Не всегда они хотят просто получить деньги. Иногда хакерами движет желание прославиться, насолить конкурентам или отомстить кому-то. Эти мотивы вечны, как неискоренимы и ошибки, связанные с «человеческим фактором». Информационные системы создаются людьми, управляются людьми, а значит, уязвимости будут всегда. И всегда будут желающие воспользоваться ими. Мы не сомневаемся, что компании должны стремиться поддерживать исследователей, которые работают над поиском проблем безопасностей разных вендоров. Найти уязвимости при помощи «хороших парней» раньше, чем это сделают «плохие», сработать на опережение – эта стратегия позволит избежать многих проблем и сделать мир ИТ более защищенным.

Что нужно, чтобы в России кибербезопасность стала приоритетным направлением? И нужно ли это?

В настоящее время кибербезопасность является приоритетным направлением в России, поскольку Президент высказался однозначно по этому поводу. Другое дело, когда заданным курсом будут осознанно двигаться все властные структуры, — вот в чем вопрос. Отдельные меры предпринимаются уже сейчас, работа ведется.

Информация – ключевой ресурс бизнеса и государства.

Какие ошибки делают компании и люди в вопросах кибербезопасности? Можете назвать основные?

Главная ошибка пользователей систем любого уровня и масштаба – полагать, что они абсолютно защищены от действий злоумышленников. Всегда и всем стоит постоянно быть начеку и соблюдать простые правила безопасности, которые описаны в любой политике и в любом учебнике. Человеческий фактор – всегда самое слабое звено в защите, а потому стоит регулярно проводить обучение пользователей, чтобы снизить риски возникновения инцидентов.

Насколько жестокими могут быть кибервойны? Нужно ли к ним готовиться в будущем?

Информация – ключевой ресурс бизнеса и государства. И кибервойны уже ведутся, а в будущем будут лишь ужесточаться. Готовиться к ним необходимо даже не «сегодня», а «вчера», ну а завтра точно будет поздно. Сейчас много говорится о том, что в будущем нас ждет передел сфер влияний в мировой экономике, перераспределение ролей различных государств. И успех гарантирован только тем странам, чьи власти уже озаботились созданием кибервойск и различными ресурсами, связанными с защитой информационных систем государственного масштаба.