Как отразить кибератаки: риски и возможности

121
Изображение: Freepik.com
Изображение: Freepik.com

В последнее время многие российские компании подвергаются беспрецедентным хакерским атакам. Опытом выстраивания стратегий защиты и противодействия киберугрозам с учетом изменений, произошедших в отрасли в прошлом году, поделились эксперты в ходе сессии «Кибербезопасность промышленных предприятий в современных условиях» в рамках VIII ежегодной конференции «Цифровая индустрия промышленной России».

 

Андрей Комаров, директор по цифровой трансформации госкорпорации «Ростех»:

 

Андрей КОМАРОВ, директор по цифровой трансформации госкорпорации «Ростех»
Андрей КОМАРОВ, директор по цифровой трансформации госкорпорации «Ростех»

– Импортозамещение – наиболее актуальная задача в части цифровизации, решение которой необходимо, чтобы обезопасить нашу деятельность, наши бизнес-процессы. Объективно в наших организациях сложилась существенная зависимость от иностранных решений. И понятно, почему мы это делали, – мы использовали решения лидеров рынка, которые, прежде всего, помогали нам обеспечить эффективные разработки новых продуктов и удовлетворять наших заказчиков. Сейчас вопросы информационной безопасности, технологической независимости обострились. Сейчас мы исполняем Указ Президента РФ № 166 («О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»).

 

Отечественные продукты не всегда функционально достаточно развиты, для того чтобы заместить те решения, которые уже есть. Поэтому приходится размышлять о компромиссе между снижением эффективности продуктов и повышением безопасности.

 

Что мы видим сейчас. Отечественные продукты не всегда функционально достаточно развиты, для того чтобы заместить те решения, которые уже есть. Поэтому приходится размышлять о компромиссе между снижением эффективности продуктов и повышением безопасности. В частности, если взять инженерное ПО, мы активно работаем в этом направлении. Но, например, такая задача, как создание геометрического ядра (программный компонент, который используется в computer-aided design (CAD) системах для их математического обслуживания. – Прим.ред.) для высоконагруженных расчетов в двигателестроении, в полной мере не решена.

Еще одна дилемма. Допустим, по иностранным решениям у нас есть понимание высоких рисков так называемых недекларируемых возможностей. Но при этом мы также понимаем, что эти решения давно на рынке. Они поддерживаются очень профессиональными командами, которые нацелены на то, чтобы эти решения не были взломаны обычными хакерами. И при переходе на отечественные решения у нас не всегда есть команды сопоставимого уровня, которые готовы и могут обеспечить такой уровень развития продукта. То есть, с одной стороны, мы избавляемся от риска закладок, с другой – у нас могут объективно увеличиться риски информационной безопасности. И это тоже задача, которую надо решать.

Считаю, что подход должен быть ориентирован на риски. Чем больше риски, тем более глубокой должна быть технологическая независимость.

 

Лев Матвеев, председатель совета директоров ООО «СерчИнформ»:

 

Лев Матвеев, председатель совета директоров ООО «СерчИнформ»
Лев Матвеев, председатель совета директоров ООО «СерчИнформ»

– Мы находимся в уникальной ситуации, когда, по сути, нам нечего замещать. Информационная безопасность – одно из тех направлений, где российский сектор был всегда сильнее западного. По сути, западные вендоры в виде Symantec, McAfee и остальные держали 10, максимум 15 процентов рынка. Отечественные разработчики гораздо более квалифицированы в области инфобеза, чем западные специалисты. Поэтому в нашей отрасли импортозамещать нечего.

Более того, если говорить про некоторые инженерные решения, мы их уже импортозаместили. Но мы никогда ничего не импортозамещаем за счет простого копирования. Это путь в никуда. Ведь, как пел Высоцкий, «и только первые пятерки получают». Надо делать что‑то новое. И если брать DCAP-систему (система контроля и управления доступом к неструктурированным данным. – Прим.ред.), мы сейчас единственные в мире, кто может, кроме просто классификации файлов, блокировать пересылку в любом произвольном приложении. Почему это критично? Потому что когда приходится подстраиваться под меняющиеся приложения – Teams (корпоративная платформа, объединяющая в рабочем пространстве чат, встречи, заметки и вложения. – Прим.ред.), Skype (программное обеспечение с закрытым кодом, обеспечивающее текстовую, голосовую и видео-связь через интернет. – Прим.ред) и т. д. – то каждый раз, когда выходит новая версия ПО, что‑то сбоит и ломается. Когда это блокируется в произвольном приложении – это фундаментально, это раз и навсегда.

И так по многим областям. То есть в области инфобеза происходит очень положительное движение. И это большой шанс для России занять свое достойное место в ряду других стран.

Мы, как вендоры информационной безопасности, искренне очень благодарны американцам. Они очень много для нас делают, подготавливают для нас новые зарубежные рынки. Столько, сколько они для нас сделали, наше российское правительство не сделало – они нам больше помогают. Причем совершенно бесплатно.

Каким образом? Например, в тех же Эмиратах мне советуют не прятать «русские уши» и подчеркивать принадлежность к стране. Потому что там уже оценили то, что американцы сделали с Россией, отключив свой софт. Они смотрят с опаской и предпочитают российские решения. А те, кто уже купил американские системы информационной безопасности, говорят, что будут покупать и русские. Потому что боятся, что по щелчку могут отключить и их.

 

Возле любого крупного промышленного предприятия работает большое количество малых и средних компаний.

И если у них нет выстроенной информационной безопасности, то это – канал утечек.

 

В России многое в отрасли меняется в лучшую сторону. К сожалению, наше государство реагирует на эти изменения недостаточно быстро. Например, давно пора создавать Центры информационной безопасности, Центры компетенций. Потому что, в моем понимании, каждый должен заниматься своим делом. Пусть вопросами кибербезопасности в больнице занимается специалист, который в этом разбирается, а врач пусть лечит. Очень надеюсь, что какие‑то изменения в этом отношении будут.

Кроме того, такие центры инфобезопасности – хорошее решение для продвижения в дружественные страны. Есть как минимум три региона, куда Россия может продвигать свои решения в области инфобеза: регион MENA, БРИКС, и Юго-Восточная Азия. Конечно, ряд рынков для нас закрыт. Но надо делать все, что возможно.

Еще одна проблема, которую мы в «СерчИнформ» сейчас решаем, – это информационная безопасность в малом и среднем бизнесе. Большие компании (там, где больше 500 компьютеров) так или иначе к этому пришли. Организации, где 5–10 тысяч компьютеров, уже все поняли, они приобретают лицензии, создают свои службы. А вот для малого и среднего бизнеса это, к сожалению, очень тяжело. Мы пытались разными способами решить эту проблему, запустив проект аутсорсинга информационной безопасности (ИБ) еще перед пандемией в конце 2019 года.

У нас обслуживается пара сотен компаний в сервисе аутсорсинга информационной безопасности. Но это капля в море. По данным Росстата, в России более 200 тысяч компаний, имеющих до 200 компьютеров. И для них слишком дорого нанимать специалиста, покупать лицензии, серверы. Они бы, может, и хотели, но за разумную стоимость. Наш сервис для этого и предназначен. Но чтобы инфобез появился в каждой компании малого и среднего бизнеса, надо чтобы работали партнеры в регионах.

Мы разработали схему win-win-win. Мы как вендор запускаем проект франчайзи информационной безопасности, чтобы региональные интеграторы, имея наши базы, инструкции по построению систем, внедряли информационную безопасность у своих клиентов. Если это удастся, мы сможем экспортировать этот опыт в дружественные нам страны, создавая сеть франчайзи там. Это наиболее правильный путь для входа в малый и средний бизнес, потому что у региональных компаний больше доверия к местным интеграторам, в которых работает 5–7 человек, чем к крупной московской компании.

Возле любого крупного промышленного предприятия работает большое количество малых и средних компаний. И если у них нет выстроенной информационной безопасности, то это – канал утечек. И если есть «дырки» у них, то будут и у крупного предприятия, поскольку они часто работают в одной локальной сети.

Например, традиционная проблема – утечки данных с банковских карт. Не всегда в них виноваты банки, очень часто причина в интернет-магазинах. То же самое касается и малых предприятий. К лакомым кусочкам подбираются не напрямую. Иногда легче влезть в окно, чем зайти в дверь. Особенно когда окно приоткрыто.

Но мы видим, что крупные предприятия все больше начинают этим заниматься. Для них услуга аутсорсинга тоже палочка-выручалочка. Ведь очень часто они, например, готовы купить 10 тысяч лицензий, но при этом не совсем понимают, кто будет с ними работать. У нас уже есть успешный опыт, когда большие предприятия, по несколько тысяч компьютеров, пользовались услугой ИБ-аутсорсинга несколько месяцев – пока их кадровая служба не решила вопрос с наймом своих специалистов.

 

Елена Бочерова, исполнительный директор ООО «Киберпроект»:

 

Елена Бочерова, исполнительный директор ООО «Киберпроект»
Елена Бочерова, исполнительный директор ООО «Киберпроект»

– Наш продукт стоит на стыке информационной безопасности и информационных технологий: мы создаем СРК – системы резервного копирования. Это элемент инфраструктуры, который лежит в основе системы, это ее фундамент. Представьте, что у вас хороший, крепкий дом на крепком фундаменте. И в феврале 2022 года из этого фундамента пропали кирпичи. Примерно то же самое произошло с экосистемой почти всех промышленных предприятий. 80% всех продуктов на рынке СРК были представлены иностранными вендорами, которых сегодня уже нет. Они имели сертификацию в ФСТЭК (Федеральная служба по техническому и экспортному контролю), в ФСБ (Федеральная служба безопасности), часть до сих пор продолжает работать. Иногда мы даже видим закупку лицензий не существующих на российском рынке вендоров. И вот с такими «дырами» сегодня продолжают работать предприятия.

То есть случилось извержение вулкана, все изменилось, но пока ситуация еще не застыла. Мы не просто изменились, мы продолжаем меняться.

И если говорить о проблемах, то они не всегда технологические. Часто они коммуникационного характера. Крупные промышленные предприятия сегодня должны потратить огромное количество денег и еще раз «вложиться» в системы резервного копирования, хотя они не собирались этого делать.

 

Сейчас всем разработчикам, компаниям, регуляторам нужно направить свои усилия на создание открытой экосистемы отечественных программных решений, поддерживать интеграцию и совместные проекты между разработчиками.

 

Мы очень много работаем с промышленными компаниями, с АСУ ТП. Мы уже немного «транспортная» компания. Когда происходит переезд с зарубежных систем на отечественные, самое главное – данные. Если у вас есть доступ к вашим данным – у вас есть всё. Если такого доступа нет – у вас нет ничего. Мы оказались компанией с продуктом, который хорошо работает и с иностранным, и с отечественным стеком технологий (способ организации данных в памяти компьютера).

Дефицит кадров по рынку в целом сейчас – 1 миллион 200 тысяч человек. Это люди, которые могли бы сегодня работать, но их просто нет. И я говорю только о накопившемся дефиците. Не о развитии, не о прогрессе, не о том, что нам очень скоро нужно будет очень быстро бежать, потому что какие‑то технологии нам уже недоступны и придется их создавать. Для этого нужны специалисты еще более высокого уровня, которых тоже не хватает.

Что мы делаем, чтобы решить этот вопрос?

В 2022 году «Киберпроект» стал базовой организацией кафедры теоретической и прикладной информатики МФТИ.

Мы забрали кафедру у одного вендора, который покинул российский рынок. Помимо того что содержать кафедру на МФТИ – это достаточно большие деньги, это еще и большая интеллектуальная нагрузка. Нужно было сформировать задачу, приближенную к рынку, стать менторами, потому что по‑другому кадры не растут. И вот с этой интеллектуальной базой мы пошли в другие регионы страны. Выписали 150 вузов, очень разных.

И вот когда мы приходим со своей стандартизированной программой в российские вузы, особенно в глубинке, мы видим педагогов, которые работают на программах, написанных 5–9 лет назад. И им не очевидно, что нужно потратить время, для того чтобы понять, что им предлагают: какой софт, лабораторный стенд, как переписать образовательную программу. Для них это дополнительная работа, ценность которой им не очевидна. А ведь я вендор, я могла бы в это время продавать свою программу или дописывать ее. Но это моя проблема, которую кроме меня никто не решит, иначе завтра ко мне никто не придет работать.

Эти диалоги и коммуникации мне кажутся ключевыми. Если мы будем смотреть не только со своей позиции, но и с позиции того, кто ведет этот диалог, то, наверное, эффективных договоренностей у нас будет больше.

Сейчас всем разработчикам, компаниям, регуляторам нужно направить свои усилия на создание открытой экосистемы отечественных программных решений, поддерживать интеграцию и совместные проекты между разработчиками. Со стороны государства – создавать условия на рынке для роста российских независимых разработчиков. Основы этого заложены в работе ИЦК (индустриальные центры компетенций по импортозамещению программного обеспечения) и ЦКР (центры компетенций по развитию российского общесистемного и прикладного программного обеспечения). Теперь нужна реализация и успешные кейсы.

Партнерство с технологическими лидерами, разработчиками ПО и цифровых сервисов – это важная часть стратегии нашей компании, направленная на развитие экосистемы отечественных решений в отрасли ИТ.

 

Игорь Ляпунов, старший вице-президент по информационной безопасности ПАО «Ростелеком»:

 

Игорь Ляпунов, старший вице-президент по информационной безопасности ПАО «Ростелеком»
Игорь Ляпунов, старший вице-президент по информационной безопасности ПАО «Ростелеком»

– То, что происходит с начала СВО, я бы пока не называл кибервойной. Условно происходящее за это время можно разделить на три этапа.

Первый этап можно назвать киберхулиганством. Массовые DDoS-атаки (атака на компьютерную систему или сетевую службу с целью предотвращения действия путем захвата всех свободных ресурсов), подмена баннеров, взломы интернет-страниц. Возможно, имидж от этого и пострадал, зато никакого значимого ущерба нанесено не было.

Второй этап – волна грандиозных утечек. Они происходили по делу и без дела. Тогда «утекло» более 300 млн записей, включая персональные данные.

Сейчас идет третий этап, и он не последний. Это целевые атаки, проникновение внутрь систем. Их задача – уничтожение критической информационной инфраструктуры.

Последний год были большие атаки, в расследовании которых мы участвовали, и противная сторона хорошо разбирается, куда попадает. Вся инфраструктура предприятий, особенно системы управления, очень сложная, исторически наслоенная. И заблудиться в этих системах легко. Тем не менее атакующие доходят до центров управления, находят точки сопряжения между корпоративным сегментом и сегментом управления и уничтожают систему управления. И это уже настоящий бич. Кажется, что мы сейчас прикоснулись только к вершине айсберга этих целенаправленных атак на взлом.

Здесь есть и обратная сторона. Помимо хакерских атак с середины октября прошлого года полетело много смс, рассчитанных на системных администраторов промышленных предприятий. Им предлагают от 500 до 5000 долларов за то, что сотрудник вставит флешку в закрытую сеть в корпоративном сегменте управления. И закрытые сети за счет инсайдеров перестают быть закрытыми.

Меня часто спрашивают: что делать? Есть ли у нас технологии, которые позволят противостоять?

Конечно, в области инфобеза мы существенно лучше выглядим, чем многие другие отрасли. Но проблема руководителя инфобеза лежит не в плоскости технологий.

У инфобеза есть две беды. Первая – это хакеры. И вторая – вендоры со своими псевдоконцепциями «как защитить все», которые сводятся к предложению купить у них технологии. Но купленные технологии, потраченные деньги, подписанный акт – не равны инфобезу. Инфобез – это система менеджмента. Это не про технологии, не про антивирусы, а именно про систему менеджмента. Есть два вектора работы для того, чтобы обеспечить защиту.

Первый – это выстраивание правильных ИТ-процессов: управление изменениями, инвентаризация, управление уязвимостями, управление доступом – то, что даст некоторый каркас системам защиты. Утечки происходят не потому, что не куплен антивирус, а потому, что айтишники «убежали» далеко вперед, а инфобез пытается их догнать.

 

Но купленные технологии, потраченные деньги, подписанный акт – не равны инфобезу. Инфобез – это система менеджмента. Это не про технологии, не про антивирусы, а именно про систему менеджмента.

 

Второе – нужно заниматься киберустойчивостью. Что говорит вендор ИБ? Сформулируйте неприемлемые киберриски, купите у нас софт, и это вас защитит. Не защитит. Киберустойчивость – это другое. Сначала нужно построить системную кибериммунную конструкцию, Secure by design (в разработке программного обеспечения означает, что программные продукты и возможности были разработаны для обеспечения фундаментальной безопасности). Дальше наложить на нее инструменты динамической устойчивости: мониторинг, реагирование. Третья часть, про которую часто забывают, – обеспечениие устойчивости. Если произошла атака, нарушена инфраструктура, главное сокращение ущерба состоит в скорости восстановления. А это бэкапы, резервное копирование.

Например, мы недавно участвовали в расследовании, где бэкапы лежали на сервере подвергшегося атаке. Их не тронули. Но в них инвазивно внедрили вредоносные программы. И, восстанавливаясь, система возвращалась в то же самое зараженное состояние.

Это все про киберустойчивость. Надо думать, как восстанавливать бизнес, систему, как сделать устойчивыми бизнес-процессы. Надо проводить кибер-учения, кибертренировки, штабные учения.

Киберустойчивость и информационная безопасность – это порядок и выстроенная система менеджмента.

Подготовила Славяна РУМЯНЦЕВА