Киберриски и информационная безопасность в условиях санкций

175

В последнее время все больше российских компаний подвергаются атакам со стороны киберпреступников. Их количество растет, а значит, вопросы киберрисков и защиты от кибератак становятся все актуальнее. Текущая ситуация в этой области обсуждалась, в частности, на недавнем форуме ассоциации риск-менеджмента «Русское общество управления рисками» (РусРиск).

Киберриски сегодня – известное и привычное понятие, но на мировой арене оно получило широкое распространение десять лет назад с подачи американских экспертов, которые начали его использовать на национальном уровне в США. Сегодня под киберрисками специалисты понимают некий срез общего множества так называемых рисков информационной безопасности. Рассматривать их в отрыве от рисков, не связанных напрямую с информационными технологиями (с не-ИТ-рисками), было бы неправильно.

Другими словами, киберриски – это риски применения информационных технологий во всех их воплощениях: системах связи, телекоммуникациях и др. Это определение было закреплено в международных стандартах еще 10 лет назад. Так, термин кибербезопасность был введен в стандарте 2012 года в рамках ISO/IEC 27032. Данный стандарт – это объемное руководство, которое является очень хорошим подспорьем для любых ИТ-подразделений компаний, в нем описаны основные кибератаки, угрозы, риски и способы противодействия им. Печально то, что сейчас этот стандарт пересматривается в угоду новой идеологии экспертов из США в международной организации по стандартизации (ИСО).

Взаимосвязи и зависимости основных понятий информационной безопасности, безопасности ИТ, кибербезопасности были сформулированы еще в конце 90‑х – начале 2000‑х годов и нашли отражение в лаконичной модели, рассматриваемой в ряде международных и профессиональных стандартов.

Иметь перед глазами такую компактную универсальную модель будет очень полезно для тех, кто приступает к изучению того, какие сущности влияют на информационную безопасность. Модель не нова, но все еще актуальна, широко используется как в универсальных стандартах по ИТ-безопасности, например, ISO/IEC 15408–1 «Information technology. Security techniques. Evaluation Criteria for IT security. Part 1: Introduction and general model», так и в промышленных стандартах. Меры по защите от киберрисков для систем автоматизации промышленных производств разрабатываются на ее основе.

 

Что касается активов

Возьмем отдельный срез активов, в частности, ИТ и программное обеспечение. Увы, качество современного программного обеспечения катастрофически падает.

Статистика показывает, что уровень дефектов (weakness) в ПО вырос по сравнению с 2003 годом в 2–3 раза. Согласно статистике, около 1% этих дефектов со временем попадает в так называемую категорию уязвимостей – а это то, что имеет подтвержденный сценарий успешных атак и может быть использовано зло-умышленниками. К настоящему времени имеется около 200 тысяч позиций (записей в соответствующих базах) о различных уязвимостях, которые содержатся в широко используемых продуктах и системах ИТ. При этом регулярно выявляются все новые и новые уязвимости, в том числе в системах автоматизации технологических процессов, которые подключаются к недоверенным сетям, таким как сеть интернет.

 

Рис.1. Модель ISO/IEC. Понятия безопасности и отношения между ними
Рис.1. Модель ISO/IEC. Понятия безопасности и отношения между ними

 

Следует учитывать также, что после 2014 года в открытые публичные базы стало попадать гораздо меньше информации о найденных критических уязвимостях в ПО. «Почему?» – спросите вы. Выводы предлагаем каждому сделать самостоятельно.

На острие ИТ-угроз – программы-шифровальщики, которые попадают на компьютер жертвы, используя уязвимости программного обеспечения, и шифруют данные, хранящиеся на нем, а также реализуют иные вредоносные стратегии. Далее обычно злоумышленники требуют выкуп за расшифровку корпоративных данных, шантажируя публикацией украденных файлов, и часто его получают.

Любая атака имеет определенные фазы.

Первая – сбор данных об объекте будущей атаки. Вторая – выстраивание оптимальной стратегии и тактики нападения. Наличие данных о том, как устроена система информационной безопасности, на каких продуктах она построена, а также как выглядит сам атакуемый объект информатизации, существенно сокращает и упрощает этапы подготовки атаки. Третья – эксплуатация найденной уязвимости через внедренного зловреда и т. д. На рис. 2 представлены все этапы подготовки и осуществления кибератак.

 

Что изменилось после 24 февраля?

Многое. Иным стал профиль злоумышленника или нападающего. Для проведения успешной кибератаки у злоумышленника должны быть: знания, опыт, ресурсы и мотивация. Если мы говорим о противостоянии на уровне государств, то знания и опыт – максимальные, ресурс – безграничный, мотивация – на самом высоком уровне.

Это нужно иметь в виду, думая о кибербезопасности как госкомпаний, так и иных экономических субъектов, а также простых граждан.

Еще один фактор риска – уход зарубежных поставщиков средств защиты информации. Это серьезная угроза для непрерывности бизнеса тех компаний, которые строили системы информационной безопасности, опираясь на зарубежные продукты.

 

Как же защититься в новых условиях?

Необходима сильная аналитика и прогноз, а для этого нужны данные, много данных собираемых с объектов и систем и, в первую очередь, со средств защиты информации. Ядром, как правило, является аналитический центр – Центр управления кибербезопасностью (SOC), созданный в организации с целью анализа всех данных, как широкодоступных, так и иных специфичных, включая данные, поступающие с эксплуатируемых средств защиты информации, их последующая интерпретация и соотнесение с моделью угроз, созданной для этой конкретной организации, и реагирования на выявленные инциденты безопасности.

 

Рис.2. Этапы подготовки и реализации кибератаки
Рис.2. Этапы подготовки и реализации кибератаки

 

Не все крупные и тем более средние организации имеют возможность создать такой аналитический центр у себя. В этом случае можно воспользоваться услугами коммерческого центра на основе аутсорсинговой модели, назначив в организации ответственных за обеспечение информационной безопасности лиц и наделив их соответствующими полномочиями, правами и, что очень важно, – обязанностями. Как это организовать, подробно раскрыто в различных стандартах. В противном случае организация остается один на один со всеми проблемами и фактически незащищенной в современных условиях. Рис. 3 иллюстрирует общую модель обеспечения ИБ. Более подробно с ее описанием и использованием можно ознакомиться в книге «Обеспечение информационной безопасности бизнеса».

 

На острие ИТ-угроз — программы-шифровальщики, которые попадают на компьютер жертвы, используя уязвимости программного обеспечения, и шифруют данные, хранящиеся на нем, а также реализуют иные вредоносные стратегии.

 

Рис. 3. Общая модель обеспечения ИБ. Управление рисками
Рис. 3. Общая модель обеспечения ИБ. Управление рисками

 

Что стоит учесть?

1 мая 2022 года президент Российской Федерации издал указ № 250 по кибербезопасности и безопасности критической информационной инфраструктуры (КИИ). В указе отражено, что в организации должен быть сотрудник, ответственный за обеспечение кибербезопасности, при этом располагающий ресурсами, полномочиями и руководствующийся наработанной практикой, отраженной в принятых нормативных актах регуляторов.

Что лежит в основе этого руководства? Для риск-менеджмента – это комплаенс. Комплаенс-риски в контексте данных требований, конечно же, актуальны как никогда. Это не только чистый комлаенс, но и содержательные риски, риски информационной и кибербезопасности. А также подходы, рассказывающие, как наполнить реализацию данных решений в практической плоскости.

Есть три наиболее часто используемые стратегии риск-менеджмента в области безопасности:

1. Аналитические (прогнозные) модели риск-менеджмента безопасности информации. Тут можно руководствоваться соответствующими стандартами и практиками, такими как ISO/IEC 27005 и другими.
2. Работа по фактическим данным. То, что фиксируется в качестве инцидентов и подлежит соответствующему устранению последствий, а также реагированию – принятию превентивных мер.
3. Работа на основе некоего эталона (нормативного акта, стандарта и т. п.), условно отражающего модель «нулевого риска» для того или иного объекта регулирования. Здесь подразумевается следование приказам наших регуляторов в контексте обеспечения безопасности КИИ, если речь о них. Этот подход позволяет в условиях недостатка квалифицированных сотрудников начать работу, опираясь на эталон, апробированный регулятором.

Хочу обратить внимание на то, что эталон для условной модели «нулевого риска» разрабатывается с привлечением экспертов и экспертных организаций. Регулятор не вводит непродуманные эталоны. Он организует анализ зарубежной и отечественной практики, консолидирует опыт регулирования в других странах и российской практике, а также вопросы осуществления контроля.

По просьбе Минцифры начиная с февраля 2022 года ряд крупных компаний, в том числе и наша, готовили соответствующие справочно-информационные данные для федеральных реестров по вопросам импортозамещения. Работая над этими документами, специалисты ориентировались в первую очередь на структуру требований федеральных регуляторов и на то, с какой отраслью связана деятельность конкретной компании.

На рис. 4 представлены как универсальные, так и специализированные продукты (семейства продуктов) для решения различных задач обеспечения информационной безопасности и кибербезопасности, разработанные АО «ИнфоТеКС».

В числе универсальных продуктов можно выделить семейства продуктов, связанных с защитой каналов связи, рабочих станций, инфраструктурой открытых ключей, с защитой КИИ промышленных объектов, в частности систем автоматизации технологических процессов. Например, разработка продуктов для защиты КИИ промышленных объектов, входящих в решение ViPNet Industrial Security, велась почти 5 лет под пристальным контролем и в координации с уполномоченными представителями регулятора. В настоящее время идет активное внедрение данного решения во многих промышленных системах.

 

Рис. 4. Универсальные и специализированные технологии защиты информации
Рис. 4. Универсальные и специализированные технологии защиты информации

 

Что касается перспектив импортозамещения в РФ в целом, в последнее время были опубликованы различного уровня репрезентативности опросы и исследования. Один из них заслуживает особого внимания. В мае дочерняя компания Ростелекома, специализирующаяся на безопасности, проводила опрос, связанный с вопросами импортозамещения и переходом на отечественные средства защиты информации в государственном и коммерческом секторах экономики. Результаты опроса показали, что большой процент респондентов планируют переходить на отечественные решения, аналогичные зарубежным, и не видят больших проблем в этом.

Подводя итоги вышесказанному, хотелось бы отметить, что санкционная машина наших вчерашних «западных партнеров» запустила очень интересные процессы. Это не только полноценное импортозамещение, но и полноценное суверенное развитие отечественной индустрии информационной безопасности.

Потенциал отечественных компаний и экспертов ничуть не ниже, а во многих сегментах и даже превосходит зарубежный. Если это будет поддерживаться реальным, а не декларативным инвестиционным процессом, мы сможем рассчитывать на хорошие перспективы в будущем.

Владимир Голованов, заместитель начальника аналитического отдела АО «ИнфоТеКС»