Злоумышленники, в том числе недобросовестные сотрудники, повышают риски кибербезопасности компаний за счет существующих и возникающих угроз.
Кибербезопасность - это процесс, а не однократное решение, и проблема злоумышленников, включая недобросовестных, а также невнимательных и неинформированных сотрудников, со временем решена не будет. Каждая новая или улучшенная мера безопасности хороша до тех пор, пока не будет придуман способ, как ее обойти.
Лучшее, что могут сделать инструменты по обеспечению кибербезопасности - приостановить злоумышленников и устранить обнаруженные проблемы. Однако, ситуация не безнадежна. Пока решаются существующие проблемы, такие каквирусы ,программы-вымогатели , боты,угрозы нулевого дня и прочее, злоумышленники расширяют свой арсенал новыми угрозами, подобными следующим:
Другая проблема связана с профессионалами в области кибербезопасности. Существует их дефицит на рынке (46% организаций утверждают, что испытывают нехватку квалифицированных специалистов по кибербезопасности), и порой они перегружены работой, чтобы выполнять свою работу на должном уровне.
Согласно новому исследованию более половины из них (56%) заявило, что не обеспечивает требуемого уровняразвития навыков для борьбы новыми развивающимися угрозами. «Это исследование наглядно представляет опасную игру в догонялки, масштабы которой постоянно увеличиваются, а нынешние профессионалы в области кибербезопасности находятся на линии фронта этой непрекращающейся битвы, нередко зная, что они уступают в численности и не имеют достаточной квалификации и поддержки», - делится мыслями Йон Олтсик (Jon Oltsik), старший аналитик Enterprise Strategy Group (ESG).
С увеличением многообразия киберугроз растет и количество решений, однако усталость от постоянных новостей и предупреждений об опасности новых угроз может повлиять на имеющееся положение дел. «Существует формарастущего снижения чувствительности к ежедневным отчетам о кибератаках и угрозах до такой степени, когда некоторые начинают задаваться вопросом: а в чем смысл кибербезопасности?» - отметил в недавней записи в блоге Эрл Перкинс (Earl Perkins), вице-президент Gartner Research и гуру в сфере цифровой безопаности.
К счастью, грамотно разработаннные процедуры безопасности, методы и решения могут почти полностью остановить злоумышленников. Но для этого требуются совместные усилия специалистов, сотрудников, партнеров и клиентов, чтобы сводить к минимуму все виды атак и контролировать, чтобы проблемы не переросли в катастрофу.
Тим Компстон обсудил с Клиффом Уилсоном, ассоциированным партнером подразделения IBM Security Business Unit (Великобритания и Ирландия), основные проблемы кибербезопасности и уязвимости устаревших промышленных систем управления и критически важной инфраструктуры. Он упоминает и кибератаку на энергосистему Украины. Мы подготовили для вас перевод.
Когда мы начинали интервью с Клиффом Уилсоном, ответственным за бизнес-процессы безопасности IBM в промышленном, энергетическом и коммунальном секторах в Великобритании и Ирландии, он выразил обеспокоенность по поводу того, что многие промышленные системы управления были разработаны, созданы и внедрены задолго до появления интернета. Предполагалось, что эти системы будут работать в более или менее закрытой среде, хотя и с подключением к простой широкополосной сети передачи данных.
В настоящее время эти инфраструктуры все чаще подключаются к контрольным и аналитическим системам для конечных пользователей. Многие даже подключены к интернету для удобства и снижения стоимости доступа. Эта новая возможность соединения делает их уязвимыми для кибератак отдельных лиц или государств: «В дополнение к старости, эти системы могут быть очень хрупкими. Таким образом, тестирование на проникновение или другое аналитическое тестирование безопасности должно проводиться осторожно — нетрудно вывести из строя унаследованный программируемый логический контроллер (ПЛК)».
С точки зрения масштабов промышленных систем управления, Уилсон подтверждает, что они играют важную роль в повседневной работе различных объектов: «Имеются ввиду производственные мощности, гражданская атомная энергетика, производство электроэнергии, распределение электроэнергии, коммунальные услуги, очистка воды и ряд других предприятий», — говорит он.
Вспышка серьезных атак
Обращаясь к тенденциям, которые Уилсон и его коллеги из IBM видят в отношении уровня и происхождения кибератак на промышленные системы управления, он отмечает, что это очень смешанная картина.
С одной стороны Уилсон отмечает, что количество атак со стороны так называемой «прыщавой молодежи», которая просто заходит на сайт и пытается проникнуть в систему, сократилось. «Это одна из причин того, что общий график количества атак стремится вниз» С другой стороны, Уилсон указывает на тревожную эскалацию атак более серьезного уровня: «Это такие атаки, как нападение на энергосистему Украины, которая была широко освещена в международной прессе».
Развивая тему кибератаки наУкраины, Уилсон говорит, что кто-то, который как полагалось был третьей стороной, по существу достиг целей и отключил мощности энергосистемы: «Он в значительной степени нарушил энергетическую сеть по всей стране и сделал это так, что операторы энергоснабжения не могли снова включить систему. Можете себе представить, если бы вы жили в стране, где внезапно исчезла вода, исчезло электричество, какое количество страха и паники могло бы это вызвать».
Скрытые угрозы
Уилсон продолжает эту тему, рассказывая мне, что существует также большое беспокойство по поводу того, что вредоносные программы могут существовать на клиентских системах, особенно тех, которые связаны с критической инфраструктурой. Это означает, что потенциальные злоумышленники — отдельные лица или государственные субъекты — могут потенциально нарушить работу критически важных систем и процессов — и никто не поймет, что происходит за кадром: «Такое подозрение возникает в ряде случаев, когда некоторые критически важные инфраструктурные организации подробно изучили свои системы и обнаружили программное обеспечение, которого там не должно было быть, и, действительно, впоследствии было доказано, что это программное обеспечение в некоторых случаях существовало в течение значительного периода времени», — говорит Уилсон.
Судебный анализ
Подчеркнув, насколько легко установить, что такое вредоносная программа, Уилсон признает, что на практике все происходит не так просто, как может показаться на первый взгляд: «Если вы не проведете достаточно глубокий анализ безопасности, как правило, Вы не узнаете, что делает это программное обеспечение. Например, мне известно об одной организации в другой стране. Когда они обнаружили подозрительное программное обеспечение, местное правительственное учреждение рекомендовало не удалять его или что-либо с ним делать, а отслеживать его деятельность, чтобы понять, какова была его цель. Это была фильтрация данных? Связано ли это с какой-то внешней системой управления и контроля? Это просто сбор информации о сети? Иногда просто вырывать подозрительное программное обеспечение, с точки зрения удаления его с любого сервера, не самое умное, что нужно делать».
Построение связей
Попросил прокомментировать, является ли одной из проблем то, что коммунальные предприятия и другие пользователи стремятся к более широкому охвату своих систем с точки зрения бизнеса. Уилсон соглашается с тем, что это действительно «наблюдаемое явление»: «Все больше и больше систем подключается к интернету, поскольку необходимо иметь возможность исправлять прикладное программное обеспечение, извлекать данные журнала, обновлять версии программного обеспечения — независимо от того, что это может быть — а также это возможность извлекать данные операционного процесса для отправки в корпоративные системы управления. Вместо того, чтобы фургон ездил по всей стране возвращаясь на полпути, например, чтобы посмотреть на часть промышленного контрольного оборудования, гораздо проще подключить устройство к интернету и иметь возможность запрашивать его удаленно». Угрозой является то, — говорит Уилсон, — что люди подключают часть старого оборудования к интернету, делая это быстро и просто без учета надлежащей безопасности.
Инструменты поиска
По словам Уилсона, ситуация с промышленными системами управления становится еще более опасной благодаря широкой доступности онлайн-инструментов, которые злоумышленники могут использовать в своих интересах: «Что-то под названием Shodan — программный продукт, который может искать устройства, в том числе промышленные системы управления, и когда он находит, он пытается войти на них, используя различные методы. Он снова выходит из системы, но сохраняет эту информацию в базе данных в интернете, которую каждый теперь может найти». Далее Уилсон объясняет последствия этой информации, которая доступна для общественности. В основном, он говорит, что если кто-то решится проникнуть в системы коммунальной компании, например, они могут быстро выяснить, подключено ли какое-либо оборудование промышленного управления к интернету: «Они просто ищут через Shodan, пока не находят уязвимые устройства».
«Если люди не могут найти что-то в Google, они думают, что это не сможет найти никто. Это не так», – как утверждает Джон Мэзерли, создатель Shodan, самого страшного поискового движка интернета.
В отличие от Google, который ищет в сети простые сайты, Shodan работает с теневыми каналами интернета. Это своего рода «черный» Google, позволяющий искать серверы, веб-камеры, принтеры, роутеры и самую разную технику, которая подключена к интернету и составляет его часть. Shodan работает 24 часа в сутки 7 дней в неделю, собирая информацию о 500 млн подключенных устройствах и услугах ежемесячно.
Просто невероятно, что можно найти в Shodan с помощью простого запроса. Бесчисленные светофоры, камеры безопасности, домашние системы автоматизации, системы отопления – все это подключено к интернету и легко обнаруживается.
Пользователи Shodan нашли системы управления аквапарком, газовой станцией, охладителем вина в отеле и крематорием. Специалисты по кибербезопасности с помощью Shodan даже обнаружили командно-контрольные системы ядерных электростанций и ускорителя атомных частиц.
И особенно примечателен в Shodan с его пугающими возможностями тот факт, что очень немногие из упомянутых систем имеют хоть какую-то систему безопасности.
«Это гигантское фиаско в безопасности», – цитируют Эйч-Ди Мур, директора по безопасности в Rapid 7. Эта компания имеет частную базу данных типа Shodan для собственных исследовательских задач.
Если сделать простой поиск по запросу «default password», можно найти бесчисленное множество принтеров, серверов и систем управления с логином «admin» и паролем «1234». Еще больше подключенных систем вообще не имеют реквизитов доступа – к ним можно подключиться с помощью любого браузера.
Независимый специалист по проникновению в системы Дэн Тентлер в прошлом году на конференции по кибербезопасности Defcon продемонстрировал, как он с помощью Shodan нашел системы управления испарительными охладителями, нагревателями воды с давлением и гаражными воротами.
Уязвимости
Присоединяясь к беспокойству по поводу инструментов поиска, Уилсон подчеркивает, что есть две стороны медали в том факте, что правительства и производители промышленного оборудования для контроля дают в интернете перечень известных уязвимостей, связанных с конкретным оборудованием: «Якобы это делается, чтобы технический специалист мог исследовать вопросы, связанные с оборудованием, находящимся под его контролем, и принять соответствующие меры по исправлению ситуации – например, выпустить обновление или патч, или даже принять решение о замене некоторых устройств. Недостатком здесь является, конечно, то, что злоумышленники будут искать эти же репозитории информации, для них это будет означать, что есть компания, цель, с большим количеством промышленного контрольного оборудования, вот список всех уязвимостей, и их можно просто атаковать», объясняет Уилсон.
Время действовать
Переходя к потенциальным решениям и о том, как IBM работает со своими клиентами над решением проблемы кибербезопасности, Уилсон сообщает, что ее можно решать с разных точек зрения: «Мы проводим тестирование на проникновение и тестирование системных гарантий, особенно в области промышленного контроля, идея состоит в том, чтобы увидеть, насколько трудно на самом деле проникнуть в промышленные системы управления, скажем, в критическую национальную инфраструктурную компанию. Как ни странно, обычно не так уж сложно войти. Мы также ищем то, чего не должно быть, и где есть утечка данных которой не должно быть. Мы также ищем различия между «как-проектировали» и «как построена» система. Мы часто участвуем в консультировании наших клиентов о том, как ликвидировать эти пробелы или закрыть эти «черные ходы» в своих промышленных системах управления и как повысить уровень безопасности».
Уилсон говорит, что один из подходов, который реализован, имеет форму технологии, которая в основном предназначена для обеспечения защитного конверта для этих старых и «скрипучих» промышленных систем управления: «В Великобритании и Ирландии в IBM мы разработали решение безопасности на основе многоуровневого протокола Deep Packet Inspection (DPI), который может быть вставлен практически в любую устаревшую промышленную систему управления любого типа. Решение позволяет поставить современную и надежную систему управления безопасностью вокруг ключевых активов. «Теперь больше нет оправдания наличию уязвимых систем управления», — заключает Уилсон.
кибербезопасность цифровой подстанция надежность
Основная суть проблемы кибербезопасности заключается в том, что закрытость объекта больше не является барьером для кибератаки, которая может преодолеть изоляцию, и все данные на верхнем уровне АП с внедрением IEC 61850, если не принять специальные меры, могут стать доступными не по назначению. В настоящее время IEC 61850 лучше всего реализован через инфраструктуру Ethernet, что из-за связи с корпоративной сетью лишает систему преимуществ изоляции. Дополнительно отмечается, что одноранговая связь через GOOSE подвержена рискам, связанным с воспроизведением событий и манипулированием ими, а связи «клиент-сервер», поддерживающие более одного клиента, увеличивают возможность появления в них неавторизированного клиента.
Требования по безопасности
Для обеспечения требований по безопасности и для оценки её уровня упомянутая рабочая группа предлагает использовать семь основополагающих требований, кодифицированных в ISA 01.01.99:
Управление доступом (AC Access Control), чтобы защитить от несанкционированного доступа к устройству или информации;
Управление использованием (UC Use Control), чтобы защитить от несанкционированного оперирования или использования информации;
Целостность данных (DI Data Integrity), чтобы защитить от несанкционированного изменения;
Конфиденциальность данных (DC Data Confidentiality), чтобы защитить от подслушивания;
Ограничение потока данных (RDF Restrict Data Flow), чтобы защитить от публикации информации на несанкционированным источниках;
Своевременный ответ на событие (TRE Timely Response to Event), мониторинг и протоколирование связанных с безопасностью событий и принятие своевременных мер по ликвидации последствий в ответственных задачах и в критических ситуациях по безопасности;
Доступность сетевого ресурса (NRA Network Resource Availability), чтобы защитить от атак «отказ в обслуживании».
Отмечается, что эти требования не отличаются от предъявляемых к обычным вычислительным сетям, однако ввиду изолированности объекта и связанной с этим иллюзией безопасности до настоящего времени к таким сетям зачастую не применявшимся.
Анализ стандартов
Анализ существующих и разрабатываемых стандартов, выполненный рабочей группой Исследовательского комитета СИГРЭ по релейной защите, показал, что ни один из рассмотренных документов не удовлетворяет всем семи требованиям. При этом некоторые предлагаемые решения оказались противоречивыми и приводящими к путанице. В то же время необходимо искать правильные решения, потому что эти требования должны стать исходным руководством для инженеров-релейщиков, так как они:
Определяют требования кибербезопасности в заказных спецификациях;
Улучшают существующие меры по кибербезопасности при применении IEC 61850;
Улучшают механизмы кибербезопасности, используемые в существующих системах с использованием IEC 61850.
Определено, что из всех действующих стандартов лучшие решения в части мер обеспечения безопасности по первым трём требованиям (для управления доступом, целостности и конфиденциальности данных) предлагает стандарт IEC 62351 . Этот стандарт прямо рекомендует их при реализации IEC 61850. Однако для выполнения других требований, например, по своевременному ответу на события, стандартные решения отсутствуют. В целом IEC 62351 представляет собой серию стандартов, регламентирующих вопросы безопасности для профилей протоколов на базе стека TCP/IP, в том числе для протоколов IEC 60870-5, IEC 60870-6, IEC 61850. На рисунке 1 раскрывается отображение стандарта IEC 61850 в стандарте МЭК 62351.
Рисунок 1 Структура стандарта IEC 62351
Другие стандарты, такие как ISA-99 и NERC CIP, охватывают более широкую область основополагающих требований, но содержат рекомендации, а не конктретные инструкции о том, что и как должно быть сделано. Рабочая группа Исследовательского комитета В5 СИГРЭ пришла к заключению, что только стандарт IEC 62351 и технические стандарты требований ISA-99 предлагают требования безопасности для передачи сообщений IEC 61850 в пределах подстанций. При этом следует отметить, что технические требования ISA 99 ещё находятся на ранней стадии развития.
Проблемы кибербезопасности, особенно в свете недавних масштабных атак на компьютеры предприятий, банков и государственных учреждений, приобрели чрезвычайную актуальность. В нашей стране в последнее время вопросам информационной безопасности (ИБ) в разных секторах экономики, в том числе в финансово-банковском секторе, уделяется особое внимание.
Информационная безопасность складывается из целого комплекса различных мер и действий. Это, прежде всего, контроль действий различных субъектов бизнес-процессов - рядовых сотрудников компании, привилегированных пользователей, ИТ-аутсорсеров, контрагентов. Кроме того, это четкое разграничение прав доступа внутри компании, использование резервного копирования данных, а также наличие простой, понятной и доведенной до сведения работников политики безопасности. В текущих реалиях защита должна быть гибкой, чтобы обеспечить и достаточный уровень защищенности, и выполнение бизнес-целей.
В Банке России считают, что в целом уровень киберустойчивости в нашей стране находится на соответствующем уровне. Также регулятор ожидает снижения количества успешных кибератак и, соответственно, ущерба от них. По итогам первой половины 2017 года количество успешных атак составило порядка 30 % от уровня прошлого года по физическим лицам и порядка 25 % - по юридическим лицам. Например, атака вирусов-шифровальщиков WannaCry и NotPetya практически не коснулась российской финансовой системы. Были единичные случаи заражения информационной инфраструктуры, но это не вызвало негативных последствий - финансово-кредитные организации продолжили свою работу, не было отмечено случаев каких-либо финансовых потерь их клиентов.
Гипотетические сценарии, которые могут стать реальностью
Согласно информации, которая содержится в совместном исследовании Lloyd’s of London и Cyence, финансовые потери от масштабной кибератаки могут стоить мировой экономике от 15,6 до 121 млрд долларов. Если рассматривать наиболее пессимистический сценарий развития событий, то потери от кибератак могут превысить экономический ущерб от урагана «Катрина», который стал самым разрушительным в истории Соединенных Штатов. Потери от него составили 108 млрд долларов.
В докладе указываются два потенциальных сценария развития глобальной кибератаки: взлом провайдеров облачных хранилищ или использование возможных уязвимостей в операционных системах.
В первом сценарии хакеры модифицируют «гипервизор», управляющую систему облачных хранилищ, в результате чего все хранящиеся файлы оказываются утерянными для пользователя. Во втором варианте рассматривается гипотетический случай, когда кибераналитик случайно забывает в поезде сумку, в которой хранится доклад об уязвимостях всех версий операционной системы, установленной на 45 % всех мировых устройств. Этот доклад впоследствии продается в «даркнете» неизвестным криминальным группам.
Минимальный ущерб при первом сценарии составит от 4,6 до 53,1 млрд долларов в зависимости от продолжительности периода недоступности облачных сервисов, а также от того, какие организации подверглись атаке. Эта сумма при определенном, наиболее негативном раскладе может увеличиться до 121,4 млрд долларов, считают эксперты. При втором сценарии потери составят от 9,7 до 28,7 млрд долларов.
Безопасность должна закладываться в процессах
На многочисленных конференциях, семинарах, круглых столах поднимается тема противодействия современным киберугрозам. Так, недавно в рамках XXVI Международного финансового конгресса (МФК-2017), прошедшего с 12 по 14 июля 2017 года в Санкт-Петербурге, была организована сессия «Информационная безопасность. Современные вызовы и методы обеспечения».
Участники этой сессии обсудили тему информационной безопасности в финансово-банковском секторе и способы противодействия современным киберугрозам, требования к кадрам, в том числе необходимость повышения общего уровня киберграмотности сотрудников компаний и госслужащих.
Президент группы компаний (ГК) InfoWatch Наталья Касперская, выступившая в качестве модератора дискуссии, в своем вступительном слове напомнила, что по результатам исследования Аналитического центра InfoWatch в России в 2016 году был зафиксирован рост количества утечек информации на 80 % по сравнению с 2015 годом. При этом в девяти из десяти случаев утекали персональные данные (ПДн) и платежная информация.
В ходе сессии заместитель председателя правления Банка ВТБ Ольга Дергунова обратила внимание на неготовность российской судебной системы к работе с цифровыми доказательствами. Она отметила, что судебная система фундаментально не готова рассматривать цифровые доказательства киберпреступлений в качестве аргументов ни в арбитражном, ни в уголовном процессе.
Заместитель председателя правления Сбербанка России Станислав Кузнецов, выступивший в ходе дискуссии, отметил, что необходима законодательная основа, которая позволит применять более жесткие меры в отношении киберпреступников, и экосистема кибербезопасности, подключение к которой обеспечит защищенность от киберугроз. «80% успеха при обеспечении кибербезопасности зависит от того, насколько правильно выстроены процессы, и только 20% - от технологий», - заявил эксперт.
Начальник отдела информационной безопасности банка «Глобэкс» Валерий Естехин согласен с последним тезисом. Он считает, что безопасность должна прежде всего закладываться в процессах и только потом начинают эффективно работать технологии, инструменты и ИБ-команда.
Руководитель отдела информационной безопасности ипотечного банка «ДельтаКредит» Всеслав Соленик также полагает, что кибербезопасность в большей степени зависит от правильно выстроенных процессов. «Большинство игроков на рынке используют одинаковые или схожие технологии безопасности, но даже с одинаковыми технологиями одна компания может пострадать от кибератаки, а другая - нет. И не пострадает та компания, которая корректно произвела настройки, поставила обновления на ПО, вовремя обнаружила атаку и среагировала на нее, а это уже операционная составляющая», - отмечает эксперт. Однако Всеслав Соленик делает оговорку, что все вышесказанное справедливо только при условии наличия ресурсов. Если же присутствует значительная недофинансированность или не хватает иных, нефинансовых ресурсов для обеспечения ИБ компании, тогда без должного технологического инструментария процессы будут очень громоздкими и трудоемкими, а значит, неэффективными.
Директор департамента нефинансовых рисков и финансового мониторинга РосЕвроБанка Марина Бурдонова считает, что именно отлаженность процессов является главным компонентом кибербезопасности. «Если система изначально настроена правильно, алгоритм работы понятен всем участникам, то уровень защиты может быть очень высоким. Безусловно, новые технологические решения также существенно помогают повысить уровень эффективности работы, но это инструмент, который должен быть в надежных руках», - предупреждает специалист.
Человеческий фактор
Именно проблема «надежных рук» или, говоря иными словами, квалифицированных кадров по-прежнему является одной из самых насущных. Она имеет особую актуальность на протяжении всех последних лет, потому что на сегодняшний день человек остается самым уязвимым звеном в ИT-инфраструктуре.
«Самое слабое звено в информационной безопасности банка - это сотрудник компании, - уверен Валерий Естехин (банк «Глобэкс»). - Иногда невнимательный, иногда неосторожный, иногда доверчивый, иногда скучающий на работе, иногда корыстный», - перечисляет эксперт возможные варианты возникновения проблем. Во всех перечисленных случаях последствия могут оказаться весьма плачевными не только для сотрудника, но и для организации, в которой он работает.
Марина Бурдонова (РосЕвроБанк) также главным фактором риска считает человеческий. «Если сотрудники не соблюдают правила безопасности, то технологии не смогут помочь защититься», - поясняет она свою точку зрения. Всеслав Соленик (банк «ДельтаКредит») указывает, что при использовании социальной инженерии злоумышленники могут заставить сотрудника организации совершить какое-то действие, которое упростит проведение атаки. «Часто, чтобы подобрать пароль к аккаунту, злоумышленнику не обязательно его взламывать - вся информация о пароле есть в профилях социальных сетей или рядом с рабочим столом. Даже сотрудники на руководящих позициях производят манипуляции, спровоцированные злоумышленниками, что уж говорить о сотрудниках на рядовых позициях. Отдельной строкой можно привести нежелание сотрудников следовать политикам и требованиям по ИБ, потому что это может усложнить их работу. В результате они игнорируют риски, которые таким образом появляются», - подчеркивает эксперт.
По мнению Всеслава Соленика, чтобы минимизировать влияние человеческого фактора, нужно постоянно повышать осведомленность сотрудников в области информационной бе-зопасности, а также внедрять систему контроля и мониторинга соблюдения политик и требований в области ИБ.
Среди основных способов минимизации угрозы ИБ Валерий Естехин называет повышение осведомленности персонала в вопросах информационной безопасности, проведение тестов, деловых игр, киберучений. Наряду с человеческим фактором серьезную угрозу для информационной безопасности компании представляют, по мнению Валерия Естехина, устаревший парк оборудования и не поддерживаемое производителем ПО, отсутствие решений для мониторинга корпоративной сети, утечка баз данных через сотрудников, ИТ-аутсорсеров, разработчиков ПО.
Недооцененные риски
В связи с проблемой рисков, которые несет человеческий фактор, любопытно вспомнить исследование антивирусной компании ESET, опубликованное в июле 2017 года. Четыре компании из пяти недооценивают риски информационной безопасности, связанные с человеческим фактором. Такой вывод сделали сотрудники ESET после опроса интернет-пользователей из России и СНГ.
Респондентам предложили выбрать ответ на вопрос: «Проходили ли вы на работе тренинг по информационной безопасности?». Поразительный для нашего времени факт, но результат был следующим: отрицательный ответ лидирует с большим отрывом. 69 % респондентов никогда не проходили обучение основам кибербезопасности в своих компаниях. Еще 15 % участников опроса сообщили, что их работодатели ограничились минимальным объемом информации. Обучение не выходило за рамки «в случае неполадок перезагрузите компьютер», правила кибербезопасности не затрагивались.
Только 16% респондентов прошли качественные тренинги с подробным рассказом об информационной бе-зопасности и актуальных угрозах.
Для сравнения: больше 60% участников аналогичного опроса в США сообщили, что их работодатели организовали для них обучение по кибербезопасности.
Далее участникам опроса ESET предложили перечислить аспекты компьютерной безопасности, информации о которых им не хватает для обеспечения защиты. Респонденты честно признали наличие пробелов в своих познаниях.
70 % участников сообщили, что недостаточно знакомы с темой безопасности беспроводных сетей, в частности угрозами для Wi-Fi.
Другие категории вредоносного ПО - банковские трояны и вредоносные программы для мобильных устройств - получили по 56% голосов. 57% участников опроса хотели бы знать больше о безопасности паролей, 51% - о защите от «классических» инструментов интернет-мошенников (фишинга и спама).
«Большая часть нарушений информационной безопасности в компаниях связана с ошибками персонала, - комментирует результаты опроса руководитель ESET Consulting Виталий Земских. - На человеческом факторе - социальной инженерии - и старых уязвимостях ПО построены целевые атаки на организации. Снизить риски и найти слабое звено в компании раньше, чем это сделают злоумышленники, позволяет обучение сотрудников, а также разного рода тесты, определяющие внутренние угрозы безопасности».
Кадровый голод ИБ
Эксперты отмечают, что скорость изменения и появления новых технологий стала причиной кадрового голода, а в среде специалистов по ИБ по всему миру наблюдается нулевая безработица.
Заместитель начальника главного управления безопасности и защиты информации (ГУБЗИ) ЦБ РФ Артем Сычев в ходе сессии «Информационная безопасность. Совре--менные вызовы и методы обеспечения» в рамках МФК-2017 подтвердил проблему нехватки кадров в сфере информационной безопасности для финансовой индустрии. Работа современной финансовой системы невозможна без применения принципа security by design (разработка информационных систем, изначально защищенных от различного рода угроз), для чего нужны квалифицированные специалисты.
Говоря о кадровой проблеме, Артем Сычев также отметил необходимость появления новых профессий на стыке ИТ и других дисциплин. Например, требуется совмещение профессии специалиста по безопасности и юриста. Такие специалисты могли бы помочь правоохранительным органам в борьбе с киберпреступниками.
Кибербезопасность - одна из самых динамично развивающихся отраслей, поэтому спрос на кадры очень высокий, подчеркивает Марина Бурдонова (РосЕвроБанк). А образовательный рынок отреагировать на эту тенденцию успел не в полной мере, именно с этим связана данная проблема. Но через 3-5 лет ситуация с кадрами будет значительно лучше, считает эксперт РосЕвроБанка.
«Самые талантливые хотят работать на самые успешные компании, - говорит Валерий Естехин (банк «Глобэкс»). - Приходится довольно долго искать нужных людей, как правило, с опытом, с необходимой квалификацией. Хочется нанимать людей, заряженных на результат, а не нытиков. Требования к квалификации, опыту и компетенциям специалистов диктуются сложностью и многообразием применяемого для защиты информации оборудования и ПО». Ведь, несмотря на помощь интегратора или вендора при внедрении средств защиты, дальнейшая эксплуатация решения лежит на плечах ИБ-команды компании, подчеркивает специалист.
Самые опасные кибератаки
Отчет Cisco по информационной безопасности за первое полугодие 2017 года указывает на быструю эволюцию угроз и рост их масштабов, а также на распространение атак типа «прерывание обслуживания» (destruction of service, DeOS), которые способны уничтожать резервные копии и страховочные системы (safety net), необходимые организациям для восстановления систем и данных после атаки. С появлением интернета вещей (Internet of Things, IoT) все больше операций в ключевых отраслях переводится в онлайн-режим, что расширяет горизонт атак, увеличивает их масштабы и усугубляет последствия.
Недавние атаки WannaCry и NotPetya продемонстрировали скорость распространения вредоносного ПО, которое выглядит как программа-вымогатель, но на самом деле способно вызвать куда более существенные разрушения в информационно-технологической сфере. Это предвещает появление угроз, которые Cisco назвала атаками типа «прерывание обслуживания»: они чрезвычайно опасны потому, что в случае успешного их проведения пострадавший бизнес фактически полностью лишается возможности восстановиться.
Впрочем, есть и другие очень опасные явления в сфере ИБ. Так, Всеслав Соленик из ДельтаКредит самыми опасными считает «тихие» атаки, которые могут долгое время оставаться незамеченными. Цель атак может быть различной - похищение данных, финансовые хищения, проникновение к партнерам, эксплуатация ресурсов или все эти цели сразу. По словам специалиста, уже были зафиксированы прецеденты, когда злоумышленники годами использовали инфраструктуру банковской организации, и сотрудники, отвечающие за обеспечение информационной защиты компаний, даже не догадывались об этом - естественно, до того момента, когда ущерб бизнесу становился реальным и очевидным.
Марина Бурдонова (РосЕвроБанк) полагает, что наиболее опасны те атаки, которые организованы профессионалами, имеющими опыт работы в индустрии ИБ. Например, если речь идет о каких-то спланированных атаках в интересах крупных групп влияния. «В этом случае уровень опасности очень высокий», - подчеркивает эксперт.
«Любая нештатная ситуация - это проверка на профпригодность безопасников, айшников, - говорит Валерий Естехин (банк «Глобэкс»). - Последние события с атаками WannaCry, NotPetya и др. это наглядно показали. Самыми эффективными атаками для средних и малых компаний являются, как ни странно, довольно примитивные и понятные в реализации виды атак, такие как попытки вторжения через уязвимости в ПО, обман или злоупотребление доверием, заражение вредоносным ПО через фишинговые рассылки по каналам электронной почты, целевые атаки на персонал с необходимым уровнем доступа».
Большинство из таких атак можно было бы предотвратить, применяя базовые принципы защиты информации. Среди главных принципов эксперт банка «Глобэкс» называет следующие: использование спам-фильтров в электронной почте, сегментирование корпоративной сети, проверка наличия сертификатов устанавливаемых программ, фильтрация подозрительных URL, исполь-зование патчей и обновлений безопасности для эксплуатируемого ПО, отслеживание запущенных процессов в корпоративной сети, повышение осведомленности персонала. Наряду с этим важно осуществлять сканирование антивирусными решениями (обновление антивирусных баз), настройку поведенческого анализа в антивирусных решениях, использовать файрвол, межсетевые экраны. Конечно, работники компании не должны открывать ссылки в письмах, пришедших из непроверенных источников. Наконец, необходима организация обмена информацией об инцидентах между участниками информационного взаимодействия в рамках центров реагирования на компьютерные преступления.
Наиболее актуальные угрозы
инфор-мационной безопасности банков в последнее время связаны с целенаправленными атаками: на адреса сотрудников рассылаются почтовые сообщения, содержащие вредоносное ПО, прокомментировали ситуацию в пресс-службе банка ВТБ 24. Также актуальными остаются угрозы, связанные с DDoS-атаками и атаками на клиентов систем дистанционного банковского обслуживания (ДБО).
Минимизировать такие риски можно путем внедрения современных систем защиты и эффективных процедур реагирования, выполнения требований информационной безопасности, повышения осведомленности персонала в области информационной безопасности. «При разработке мобильных приложений мы анализируем и пресекаем уязвимости и угрозы в области безопасности, - подчеркивают в пресс-службе банка. - На регулярной основе проводится проверка уязвимости приложений с привлечением внешних специализированных компаний. На наш взгляд, внешний подрядчик с надежной репутацией и опытом работы на рынке априори будет обладать большей компетенцией, в том числе компетенцией по части безопасной разработки. Также в ВТБ 24 внедрена антифрод-система, которая выявляет аномальное поведение клиентов в дистанционном банковском обслуживании (ДБО) и останавливает мошеннические операции. В приложениях ВТБ 24 многофакторная аутентификация работает во всех системах ДБО. В мобильном приложении ВТБ 24 не зафиксировано ни одного случая взлома».
Биометрическая идентификация
В последнее время крупные банки запустили у себя пилотные проекты по использованию средств биометрической идентификации. Конечно, пока еще остается слишком много вопросов в этой сфере. Например, какой из видов биометрии наиболее эффективен и применим на практике, как подойти к внедрению биометрии с технологической точки зрения, а также с точки зрения правового и методологического обеспечения самого процесса идентификации клиентов по биометрическим данным? Ведь перспективы использования биометрических технологий до сих пор сдерживаются пробелами в действующем законодательстве, высокой стоимостью и несовершенством решений. Однако при всем при этом крупные финансово-кредитные институты уже сегодня используют биометрические технологии в целях обеспечения информационной безопасности, противодействия внешнему и внутреннему мошенничеству. Например, банку ВТБ 24 интересна возможность применения биометрических технологий, прокомментировали в пресс-службе организации. «Преимущество биометрии - удобство клиента. Пароли могут быть потеряны или украдены, а биометрические данные уникальны, поэтому можно говорить о надежности метода», - считают специалисты ВТБ 24.
В начале 2017 года ВТБ 24 завершил пилотный проект по голосовой идентификации клиентов при обращении в контактный центр, что позволяет создать удобный для клиента и достоверный для банка процесс подтверждения операций. Это может в разы увеличить объем проверяемых операций и минимизировать риски клиентов и банка, считают в финансово-кредитной организации.
Также ВТБ 24 запустил проект биометрической аутентификации клиентов по внешности в новом типе офисов с безбумажным обслуживанием. При посещении таких отделений клиенты подписывают только электронные версии документов. При этом, помимо традиционной идентификации по паспорту, банк предлагает пройти аутентификацию на планшете, которая дополнительно подтверждает, что именно этот человек в определенный день и время подписал документы.
В розничном бизнесе банка ВТБ и ВТБ 24 уже внедрен сервис использования отпечатка пальца в мобильном банке на вход, а в розничном бизнесе банка ВТБ - еще и на подтверждение операций.
Очевидно, что по мере развития финансовых технологий и их инкорпорирования в банковский бизнес будут возрастать и риски в сфере ИБ, и требования к профильным управлениям и департаментам. Банковские эксперты уверены, что дорогу осилит идущий. С другой стороны, общая их позиция такова: поскольку речь идет о комплексной многосоставной проблеме, то для ее решения необходим и комплексный подход. В деле обеспечения надежной «крепостной стены» для банков не может быть одного-единственного решения или действия, способного раз и навсегда устранить риски ИБ.
Технологии кибербезопасности: какие решения перспективны и можно ли полностью защититься уже сейчас
Обзор рынка и мнения экспертов
Вконтакте
Одноклассники
С развитием цифровой экономики и компьютерных систем стремительно набирает в размерах мировой рынок информационной безопасности. По данным аналитиков Gartner, в 2018 году объем продаж средств ИТ-безопасности в мире вырастет на 8% по сравнению с 2017 годом и составит $96,3 млрд. Примерно такие же темпы роста этот рынок показывал в 2017 году.
При этом нехватка квалифицированных специалистов и сложный характер самих угроз информационной безопасности подталкивают компании к переходу на аутсорсинг в этой сфере. Так, в 2018 году, по оценкам Gartner, расходы на аутсорсинговые услуги в области защиты данных должны вырасти на 11% до $18,5 млрд.
Специалисты компании ISACA считают, что к 2019 году дефицит кадров в сфере ИБ возрастет до 2 млн вакансий. К схожим выводам приходят и аналитики Frost & Sullivan, отмечая, что около 62% кадровиков уже сейчас сообщают о нехватке специалистов по информационной безопасности.
Увеличивать расходы на средства защиты данных мировой бизнес вынуждают громкие истории, связанные с утечкой данных из-за кибератак, скандалы вокруг крупных компаний или даже отдельных стран и меняющиеся правила регулирования информационной безопасности. Но какими могут быть угрозы на рынке данных?
Специалисты выделяют угрозы информационной безопасности трех типов в зависимости от задач, которые должны решать средства защиты: это угрозы доступности, угрозы целостности и угрозы конфиденциальности. К угрозам доступности относятся непреднамеренные ошибки и отказы пользователей, кроме того, отказывать могут системы и поддерживающая их инфраструктура. Угрозы целостности включают в себя риски, связанные с действиями злоумышленников, подлоги и кражу информации. К угрозам конфиденциальности относят опасности, которые таит в себе ненадежная защита конфиденциальной информации, будь то корпоративные данные или информация о частных лицах.
Корпоративные и персональные данные
На сегодняшний день самыми распространенными угрозами корпоративной информационной безопасности являются «преступление как услуга», риски, связанные с интернетом вещей и работой компаний с поставщиками. Все более массовый характер приобретает использование непрофессиональными хакерами модели «преступление как услуга».
Киберпреступления сегодня стали доступны практически для каждого начинающего хакера из-за проникновения недорогих пакетов криминальных услуг от зрелых хакерских сообществ на даркнет-рынок. Это в свою очередь значительно увеличивает число кибератак в мире и создает новые угрозы для корпораций.
Потенциальные риски содержит в себе также применение интернета вещей в различных компаниях. IoT-устройства сегодня, как правило, отличаются слабой защитой, что открывает дополнительные возможности для их атаки. По данным «Лаборатории Касперского», за 2017 год количество зловредных программ, атакующих устройства интернета вещей, выросло более чем в два раза. Кроме того, компании, использующие интернет вещей, не всегда могут отслеживать, какие из собранных «умными» устройствами данных передаются внешним организациям.
Цепи поставок угрожают компаниям потерей контроля над ценной и конфиденциальной информацией, которую они передают своим поставщикам. Перед такими организациями встают все три типа угроз: риски нарушения конфиденциальности, целостности и доступности информации.
Любой может стать жертвой хакеров
Между тем, с угрозами информационной безопасности в повседневной жизни сталкивается почти каждый из нас. Для частных лиц значительные риски представляет вредоносное ПО (вирусы, черви, троянские программы, программы-вымогатели), фишинг (получение доступа к логинам и паролям пользователей) и кража личности (использование чужих персональных данных для обогащения). Предметом охоты злоумышленников в этом случае становятся аккаунты в соцсетях и приложениях, паспортные данные и данные кредитных карт пользователей.
Особенно актуален сейчас также вопрос продажи персональных данных клиентов крупных компаний третьим лицам. Один из самых громких случаев незаконного использования большого массива персональных данных - скандал с участием консалтинговой компании Cambridge Analytica и социальной сети Facebook, разгоревшийся в марте 2018 года. По данным журналистов, британская компания использовала данные около 50 млн пользователей Facebook, чтобы оказывать влияние на ход выборов в разных странах мира.
Перспективные технологии защиты данных
Криптография
Специалисты по безопасности особое внимание сегодня обращают на криптографическое шифрование информации. Криптографические методы шифрования делятся на симметричные
и ассиметричные
. В первом случае для зашифровывания и расшифровывания данных используется один и тот же ключ. Во втором случае используются два разных ключа: один для зашифровывания, другой для расшифровывания. При этом выбор того или иного решения зависит от целей, которые ставит перед собой специалист.
Зашифрованные с помощью криптографии данные остаются защищенными сами по себе, а доступ к зашифрованной информации может и вовсе не ограничиваться какими-либо иными технологиями.
Действительно сильные средства криптографической защиты могут позволить себе сегодня далеко не все развитые страны. Необходимыми для этого знаниями и инструментами обладают лишь отдельные государства, в число которых входит и Россия.
Примером криптографических методов защиты данных является цифровая (электронная) подпись. При ее разработке могут использоваться алгоритмы хэш-функций
- это третий тип криптоалгоритмов, кроме двух других, о которых шла речь выше. Цифровая подпись позволяет аутентифицировать электронные документы и обладает всеми основными достоинствами обычной рукописной подписи.
На сегодняшний день используют электронную подпись далеко не все (поэтому, например, обсуждается возможность сделать идентификатором личности номер мобильного телефона - ожидается, что это будет более доступным вариантом. - Прим. Rusbase
), однако ее достоинства уже успели оценить многочисленные энтузиасты среди частных лиц и компаний. Кроме того, электронная цифровая подпись - обязательный элемент при проведении некоторых операций в России, таких как сдача финансовой отчетности, участие в закупках, ведение юридически значимого документооборота и подача арбитражных исков в суды.
Квантовая криптография
Одной из самых многообещающих технологий защиты данных сегодня аналитики называют криптографию. Эта технология позволяет обеспечить практически абсолютную защиту шифрованных данных от взлома.
В основе работы квантовой сети лежит принцип квантового распределения ключей. Ключ генерируется и передается посредством фотонов, приведенных в квантовое состояние. Скопировать такой ключ нельзя. При попытке взлома фотоны, передающие информацию, согласно законам физики, меняют свое состояние, внося ошибки в передаваемые данные. В таком случае можно только подобрать и отправить новый ключ - до тех пор, пока при передаче не будет достигнут допустимый уровень ошибок.
Квантовая криптография пока не используется на практике, однако технология уже близка к этому. Активные исследования в этой области сегодня проводят компании IBM, GAP-Optique, Mitsubishi, Toshiba, Национальная лаборатория в Лос-Аламосе, Калифорнийский технологический институт, а также холдинг QinetiQ, поддерживаемый британским министерством обороны.
Блокчейн
Развитие технологий информационной безопасности также тесно связано с возможностями и . Когда исследователи поняли, что вносить в регистр можно не только данные транзакций с криптовалютами, но и различные метаданные, блокчейн начал активно расширяться на сферу защиты информации. Эта технология может гарантировать не только сохранность, но и неизменность и подлинность данных, а также делает практически невозможным обман систем идентификации.
На сегодняшний день специалисты называют блокчейн одной из самых безопасных, прозрачных и неизменных систем хранения информации.
Возможности использования технологии распределенного реестра для верификации кредитных карт уже сейчас изучают в компании Mastercard. В платежной компании говорят, что интеграция нового решения в POS-терминалы позволит надежно защитить транзакции и избавит пользователей от необходимости носить платежные карты с собой.
Токенизация
Одним из самых надежных способов защитить платежные данные является технология токенизации. Ее суть заключается в подмене реальных конфиденциальных данных другими значениями, или токенами. В результате в торговых компаниях может исчезнуть необходимость хранить платежные данные пользователей, а злоумышленники, которые получат доступ к информации о картах клиентов компаний, не смогут никак ею воспользоваться.
Токенизация особенно активно используется в . В настоящий момент технологию поддерживают платежные системы и , однако с развитием бесконтактных платежей и финансовых технологий применение токенизации уже в скором будущем может распространиться на весь рынок торговли.
Технология защиты движущейся цели
Значительный вклад в кибербезопасность в будущем может внести также технология защиты движущейся цели. Сейчас эта технология только тестируется и не используется широко на практике.
Новая система защиты впервые была представлена в 2016 году учеными из университета Пенсильвании. С помощью технологии защиты движущейся цели разработчики намерены решить одну из главных проблем защиты данных - лишить авторов кибератак доступа к коду, который используется при шифровании. Эксперты говорят, что наличия одного факта шифрования сегодня недостаточно. Чтобы защитить данные, нужно непрерывно изменять систему, и тогда злоумышленник не сможет получить актуальную информацию о ее состоянии, которую можно использовать в следующий момент времени. В итоге спланировать атаку будет крайне сложно.
Биометрическая аутентификация
К числу перспективных направлений информационной безопасности специалисты относят также технологии биометрической аутентификации, позволяющие аутентифицировать пользователей при помощи измерения физиологических параметров и характеристик человека и особенностей его поведения.
Быстрее всего в этом сегменте развиваются технологии голосовой биометрии и распознавания лиц. Эти решения уже активно применяются в области криминалистики и социального контроля и постепенно становятся стандартной функцией в смартфонах. Однако аналитики считают, что будущее биометрии за использованием «закрытых данных», таких как сердечный пульс, рисунок внутриглазных сосудов, форма мочек ушей и другое. Кроме того сделать защищенными биометрические данные позволят имплантированные под кожу чипы, таблетки-компьютеры, а также тест ДНК и анализ нейронных связей человека.
С одной стороны, биометрические данные надежнее паролей, но с другой - где гарантии, что их нельзя будет подделать?
Искусственный интеллект
Новые возможности для специалистов по информационной безопасности открывает искусственный интеллект. Технологии машинного обучения уже сейчас помогают защищать корпоративные данные в почтовом сервисе Gmail. В июне 2017 года Google представила новую систему обнаружения фишинговых атак для компаний с помощью технологий машинного обучения, которая отправляет моментальные предупреждения о переходе по подозрительным ссылкам, присылает сообщения об отправке нежелательного ответа получателям за пределами домена и предлагает встроенные функции защиты от новых угроз.
Искусственный интеллект для защиты данных активно применяет в своей работе «Лаборатория Касперского». Технология Machine Learning for Anomaly Detection,
Согласно данным исследования, проведенного Orange Business Services и IDC, рынок корпоративных услуг в сфере кибербезопасности в России должен приблизиться к 6 млрд рублей (около $103 млн) в 2021 году. Быстрее всего на рынке будет развиваться сегмент консалтинга по кибербезопасности. В 2017 году его объем в России составил почти $30,9 млн, а в 2021 году достигнет $37,8 млн. Главной причиной роста сектора информационной безопасности, по мнению экспертов, является дефицит специалистов на рынке труда. Как следствие компании вынуждены привлекать внешних подрядчиков, а это в свою очередь стимулирует развитие рынка.
Мария Воронова уточняет, что под защитой данных следует понимать обеспечение конфиденциальности, доступности, целостности и аутентичности информации. При этом выполнять все эти функции одновременно на сегодняшний день не может ни одна из технологий. Поэтому соблюдение каждого из этих принципов требует использования соответствующих решений.
«Поскольку "умные" устройства становятся неотъемлемой частью наших городов и домов, мы подвергаемся риску появления новых видов кибератак. В ближайшем будущем жилые дома будут представлять собой сложные сети с десятками и сотнями устройств. Киберпреступники смогут регулировать температуру наших термостатов, вторгаться в нашу конфиденциальность с помощью камер безопасности и видеонянь, делать заказы на покупку товаров за наш счет с помощью "умной" колонки, добавлять "умный" телевизор в ботнет и совершать ограбления домов, используя уязвимости "умных" замков. Когда мы выйдем на улицу, мы снова будем окружены интернетом вещей, включая "умные" светофоры и автономные автомобили. Понятно, что окружающая нас экосистема интернета вещей должна быть защищена от взлома, чтобы обезопасить нас, наши дома и семьи».
Луис Корронс говорит, что в будущем продолжат стремительно развиваться технологии квантовой криптографии. Специалист уверен, что именно это направление позволит существенно улучшить методы защиты переноса данных. Однако для реализации этих разработок, по словам Луиса Корронса, может понадобиться не менее 10–20 лет.
Кроме этого эксперты из Avast предсказывают большое будущее использованию блокчейн-технологий. Технология распределенного реестра уже сейчас внедряется в такие сферы информационной безопасности, как цифровые идентификационные данные и процесс голосования. При этом первоначальное тестирование, по словам Луиса Корронса, эта технология будет проходить именно там, где она и задумывалась - при операциях с криптовалютами в криптообменниках и цифровых кошельках.
Специалисты InfoWatch будущее индустрии ИБ видят за решениями, предназначенными для предупреждающего выявления атак и нарушений систем безопасности. При этом помочь компаниям точно спрогнозировать возможные угрозы в будущем должны будут анализ больших данных и технологии машинного обучения.