Источник фото: РБК. Цитирование, копирование и распространение настоящего материала и/или его фрагментов возможно только при размещении активной ссылки на данную публикацию.
14 апреля 2023 года в Москве состоится XVI Межотраслевой форум директоров по информационной безопасности CISO – Forum – бутик–мероприятие для рынка ИБ, по традиции объединяющее главных трендсеттеров российской кибербезопасности. В преддверии мероприятия мы публикуем цикл интервью с экспертами, которым задаем главные для развития отрасли вопросы: как обеспечить информационную безопасность в условиях оттока талантов? Какие сценарии кибератак необходимо предусмотреть? И как выстраивать современную эффективную систему защиты? Ответы – в эксклюзивном интервью Trinity Events Group дает Алексей Плешков, независимый эксперт в сфере информационной безопасности.
– Алексей, мы рады приветствовать вас в числе спикеров предстоящего форума. Расскажите немного о том, как вы пришли в профессию, какие сферы и аспекты вас интересуют больше всего?
Благодарю организаторов форма CISO за приглашение, за предоставленную возможность выступить и поделиться своей экспертизой и наработками. Очень надеюсь, что тема и содержание моего доклада станут полезными и не оставят равнодушными слушателей форума – моих коллег.
Мой карьерный путь для некоторых может показаться не очень увлекательным. Уже почти 20 лет я работаю в области защиты информации. У меня профильное образование – МИФИ, факультет «Информационная безопасность». В профессию пришел осознанно еще в начале нулевых, будучи студентом, и продолжаю оставаться ей верным. Уже скоро 18 лет, как я сотрудничаю с одной известной финансовой группой компаний.
В фокусе моего профессионального интереса сейчас следующие темы и направления:
– В минувшем году одной из ключевых проблем для ИБ стали регулярные утечки данных. Значит ли это, что наши компании стали менее защищенными?
Утечки данных были всегда, не только в 2022 году. Например, очень сложно будет забыть период 2020 – 2021 годов, когда практически каждому жителю РФ позвонили мошенники и «предупредили» о том, что «его деньги в банке в опасности», или «в банке произошел сбой и нужно перепроверить всю информацию по карте», или «счетом пытаются воспользоваться мошенники и надо перевести деньги на безопасный счет в ЦБ» и др.
В настоящее время объемы подтвержденных утечек в мире исчисляются терабайтами. В Интернете, не в российском сегменте конечно, даже есть облачные порталы, профессионально собирающие и обрабатывающие данные об утечках, после их публикации в открытом доступе.
По состоянию на март 2023 один из таких порталов (haveibeenpwned.com – далее портал) собрал 664 крупных утечки и накопил 12,5 миллиардов уникальных скомпрометированных учетных данных. Значит ли это, что компании в России и в мире стали менее защищены? Нет. Они защищены так же, как и ранее. Однако злоумышленники постоянно учатся и развиваются, находят все новые способы, как обходить традиционные – уязвимые – системы защиты и получать доступ к данным.
К примеру, сейчас очень популярными у злоумышленников стали сценарии взлома, объединяющие применение технических инструментов (удаленный доступ, вредоносное программное обеспечение) с методами на основе социальной инженерии.
– Кого утечки касаются острее всего – малый, средний или крупный бизнес?
Большинство современных злоумышленников (если не брать во внимание целевые кибератаки проправительственных кибергруппировок на объекты критической информационной инфраструктуры – тут совершенно иная логика, нужно это понимать) не особо избирательно подходят к выбору потенциальных целей для кибератак. В Интернете, как и в бане, в целом для них все равны, и на первый взгляд, без предварительной проработки вопроса, потенциальные цели для них одинаково привлекательны безотносительно уровня бизнеса.
Сценарии действий таких «хакеров» плюс/минус одинаковы: взломать систему защиты, найдя подходящую уязвимость, получить доступ сначала в систему, затем к данным, эти данные скопировать, и через подставных лиц в теневом сегменте перепродать несколько раз, окупив затраты и время. Для «них» взлом – это работа, способ зарабатывания денег. А информация и удаленный доступ в обход системы безопасности – это востребованный товар на черном рынке.
Иногда злоумышленник может получить больший доход от продажи данных, взломав за полчаса сайт лаборатории по сбору анализов в регионе, чем несколько недель перебирая пароль для входа на виртуальный сервер с базой данных в облаке. Таким образом, на мой взгляд, частота и эффективность совершения попыток взлома скорее зависит от степени защищенности того или иного объекта в Интернет, выбранного злоумышленниками в качестве цели, чем от уровня экономического развития компании.
– Какие наиболее громкие случаи утечек мы видели в 2022 и успели увидеть с начала 2023 года?
Не хотел бы останавливаться на каких-то конкретных утечках. К сожалению, информации о них сейчас очень много в Интернете, гораздо больше, чем хотелось бы мне, как специалисту по защите информации.
Но для меня, как для аналитика больших данных, такой объем чувствительной информации, сосредоточенный на черном рынке, да и в доступе в обычном Интернете (просто надо знать, что и где искать), является маркером-предвестником таких грядущих событий, как:
– Насколько эти случаи повлияли на профессиональное сообщество и регуляторов?
Разноплановые утечки 2022 года наглядно продемонстрировали скептикам и обывателям, что даже у крупнейших игроков российского рынка могут быть проблемы с кибербезопасностью. Судя по статистике компьютерных инцидентов, представленной регулятором (ФСТЭК), злоумышленники не особо избирательно подходят к выбору целей: в 2023 году в фокусе кибертеррористов остаются отечественные компании, ведущие свой бизнес с применением Интернет-технологий.
Для тех руководителей, кто привык сравнивать свою компанию с конкурентами, такие утечки и инциденты стали индикатором, указывающим на необходимость срочной реализации защитных мер. А обеспечение информационной безопасностью как организационными, так и техническими мерами, там, где оно осознанно было внедрено задолго до 2022 года, в очередной раз продемонстрировало для бизнеса свою важность и необходимость.
– Мера по внедрению закона об оборотных штрафах вызвана этим – активностью киберпреступников и ростом числа утечек? Будет ли мера эффективной?
По моему мнению, разработка закона об оборотных штрафах скорее вызвана крайне пассивной позицией российского бизнеса и управленцев в государственных компаниях по отношению к происходящим в реальной жизни и в киберпространстве событиям. Вместо того, чтобы активно бороться с внешними угрозами, многие руководители компании предпочитают вложениям в кибербезопасность инвестиции в переориентирование и развитие новых сегментов для бизнеса.
Это происходит во всех секторах экономики и финансов на фоне появления новых ниш, освободившихся после ухода западных – уже не партнеров – с российского рынка. Поэтому, в стремлении компенсировать такие понятия, как рост/развитие бизнеса, с безопасным исполнением, Минцифры предпринимает практические шаги в области защиты интересов обычных граждан. Насколько эффективной будет эта мера на данном этапе, сказать сложно.
Европейский опыт внедрения оборотных штрафов для бизнеса за нарушения требований стандарта GDPR для России нерепрезентативен в силу специфики законоприменительной практики и сильно не похожего на европейский менталитета граждан в нашей стране. Предлагаю вернуться к обсуждению этого вопроса через 2 – 3 года.
– Какие бы рекомендации вы сейчас могли дать компаниям, чтобы выстроить надежную защиту? Во что важно инвестировать, а какие траты лучше отложить?
Если в некой крупной современной российской компании по состоянию на март 2023 года не выстроена защита информации, это означает, что компанию гарантированно уже взломали, возможно даже не один раз, и в ней наверняка происходили ранее и происходят сейчас значимые компьютерные инциденты. Такая недальновидность скорее рано, чем поздно привлечет внимание регулятора.
Для такой компании единственный вариант для продолжения существования на рынке – грамотный, опытный, практического плана специалист/компания по защите информации (в штате, на аутсорсинге или по договоренности с собственником – условия привлечения тут не так важны).
Такой человек или группа лиц сможет, с учетом специфики компании, изучив бизнес–процессы и инфраструктуру, предложить разумный оптимум между срочными изменениями (приобретением программно– аппаратных средств защиты информации, безопасной настройкой уже внедренных компонентов, компенсирующими (часто, организационными) мерами и моделью управления риском ИБ.
Именно поэтому в настоящее время я рекомендую собственникам компаний инвестировать в компетенции своих работников по практическому противодействию кибератакам, а если таких специалистов по каким-то причинам в компании нет, задуматься о привлечении новой профессионально подготовленной по специальности защита информации «крови с рынка».
– Какая стратегия сейчас поможет компаниям, когда с одной стороны – угрозы атак, а с другой – угроза крупного штрафа. Что бы вы посоветовали делать отделам ИБ в компаниях?
Я бы рекомендовал коллегам из служб информационной безопасности сконцентрировать ресурсы и сосредоточить свое внимание на трех основных аспектах:
Межотраслевой форум директоров по информационной безопасности – полный обзор главных новостей и трендов, актуальная повестка, дискуссии на сцене и в кулуарах, неограниченные возможности для общения, ответы и прогнозы экспертов – из первых уст. 14 апреля 2023 года очно и в онлайн-формате.
Подключайтесь, чтобы быть в курсе!