Аналитика и комментарии

27 ноября 2017

Невозможно сделать так, чтобы информационную систему нельзя было взломать

Главный технический директор (СТО) Группы QIWI Кирилл Ермаков – опытный практик, хорошо известный на рынке информационной безопасности. В интервью NBJ он высказал свою точку зрения на некоторые проблемы в сфере ИБ.

NBJ: Скажите, пожалуйста, какие основные тренды вы наблюдаете в настоящее время на рынке информационной безопасности?

К. ЕРМАКОВ: Я считаю, что принципиально новых трендов на рынке инфор­ма­ционной безопасности сейчас нет. 

Те угрозы (например, вирусы WannaCry и Petya), о которых так много говорилось в последнее время, новыми не являются. Их можно расценивать как метаморфозы уже существующих угроз и типовых явлений. Ничего радикально нового среди методов атак или методов защиты не появилось. 

В плане информационной безопасности финансовый, в том числе банковский, сектор сейчас уникальности не демонстрирует. Поэтому и общие тренды ИБ здесь те же, что и в других отраслях. 
Пусть не уникальное, но достойное внимания явление – применение искусственного интеллекта (Artificial Intelligence, AI) в средствах защиты. И хотя все процессы находятся пока что в зачаточном состоянии, возможно, в будущем мы увидим прорыв в AI. 

За этим увлекательно наблюдать, и гипотетически это способно повлиять на уровень обеспечения безопасности. С одной стороны, использование AI помогает сделать оптимальным количество персонала, занятого обеспечением безопасности, так как при растущем количестве угроз вам не нужно раздувать штат.  С другой – AI освобождает людей от многих рутинных операций, а значит, они могут заниматься более «творческими» задачами и работать на развитие.  

Группа QIWI уже на протяжении нескольких лет сотрудничает с российской компанией Wallarm, которая разрабатывает продукты для защиты веб-приложений от хакерских атак. В отличие от традиционных решений со статическими сигнатурами, Wallarm генерирует адаптивные правила безопасности приложения на основе машинного обучения и искусственного интеллекта. Я уверен, что в будущем с помощью искусственного интеллекта мы будем решать более сложные задачи, чем сейчас, и, как уже отмечал, без необходимости нанимать еще сотни людей в службы безопасности. 

NBJ: Что для этого надо? Искусственный интеллект должен достичь определенной стадии развития?

К. ЕРМАКОВ: Самое главное – должны появиться специалисты, которые пересмотрят подходы к процессу обеспечения защищенности. Почему компания Wallarm совершила своего рода прорыв? Потому что она изменила всю концепцию. Компания не стала применять искусственный интеллект на старых методологиях защиты, а выработала новую парадигму обнаружения атак, которая оптимизирована под искусственный интеллект. 

NBJ: Каковы ключевые проблемы кибербезопасности финансовой отрасли на сегодняшний день? 

К. ЕРМАКОВ: Главная трудность заключается в том, что бизнес пока не до конца понимает необходимость инвестиций в информационную безопасность. В России размыта классическая роль CISO (Chief Information Security Officer). В нашей стране CISO – это менеджер отдела информационной безопасности. Проблема в том, что он пока не действует как человек от бизнеса, способный рассматривать его развитие с точки зрения безопасности.

В типичной финансовой организации роль CISO очень условна. Он редко имеет допуск к принятию бизнес-решений и, соответственно, не может дотянуться до бизнеса в силу разных причин: отсутствие собственной инициативы, невозможность прямого диалога с нужными руководителями и т.д. Но есть и исключения. В QIWI, например, ситуация совсем другая, и в этом серьезное отличие компании от других организаций. 

NBJ: У вас дела обстоят по-другому?

К. ЕРМАКОВ: Даже в тот момент, когда я был CISO, я взаимодействовал с топ-менеджментом компании и действовал как полноценный C-level. Сейчас я стал CTO, но это не значит, что я стал «барьером» между информационной безопасностью и бизнесом. Мои специалисты в области безопасности продолжают коммуницировать с бизнесом на уровне топ-менеджмента напрямую. Причем ребята из отдела безопасности никогда не пытаются ставить во главу угла именно процесс защиты компании. Развитие бизнеса первично. Информационная безопасность думает над тем, как может в этом помочь и хеджировать риски, а тормозить рост бизнеса ограни­чениями и какими-то дополнитель­ными требованиями. 

Главная проблема финсектора заключается в том, что в большинстве классических банков не допускают безопасность на высокий уровень взаимодействия с бизнесом. И функция ИБ не имеет возможности донести, какие проблемы существуют. О каких инвестициях в ИБ может идти речь в такой ситуации? 

NBJ: Что мешает эффективной работе киберсистем безопасности? Каков приемлемый для вас уровень защиты киберсистем?

К. ЕРМАКОВ: Основной вопрос заключается в метриках. В чем мы будем измерять уровень безопасности? От чего отталкиваться? Безопасность является специфической вещью, если вкратце, работа ИБ состоит в том, чтобы повысить стоимость возможного взлома и сделать его нерентабельным. 

NBJ: Например, количество уязвимостей, слабых мест в банке?

К. ЕРМАКОВ: Это нельзя посчитать, потому что для каждой финансово-кредитной организации оно будет индивидуальным. Главным является здравая оценка рисков. Во многих случаях низкий уровень защищенности вполне приемлем, потому что последствия инцидента в системе не способны серьезно навредить бизнесу. Но бывают и обратные ситуации, когда инцидент может привести к потере бизнеса, и тогда безопасность становится доминирующим аспектом.

NBJ: Чем обусловлена необходимость комплексного подхода к киберустойчивости в цифровую эпоху? 

К. ЕРМАКОВ: Безопасность компании заключается в защищенности всех компонентов, из которых она состоит. Отдел безопасности расставляет приоритеты – чем заниматься сейчас, а что можно отложить на завтра. Прошли те времена, когда можно было заранее построить модель нарушителя, матрицу рисков. Сейчас они меняются каждый день. Задача ставится так: безопасность должна быть подвижной, гибкой. Нужно знать, что происходит внутри компании, во внешнем мире и, основываясь на всех параметрах и знаниях, выбирать оптимальный путь развития в моменте.

NBJ: Как вы думаете, каковы будут последствия вступления в силу нового национального стандарта безопасности банковских и финансовых операций с 1 января 2018 года?

К. ЕРМАКОВ: Здесь я целиком и полностью поддерживаю регулятора. С точки зрения комплаенса QIWI, помимо Положения Банка России № 382-П и стандарта безопасности PСI DSS, опирается также на стандарты ISO 27000-й серии, SOX, рекомендации CIS. Подчеркну, что многие стандарты и положения, которым мы стараемся соответствовать, перекрывают требования национальных стандартов.
Разработка обязательных стандартов и законодательных актов абсолютно оправдана, и, по сути, ЦБ РФ часто не имеет других инструментов воздействия. Если бизнесу важно зарабатывать деньги в моменте, ему не важна безопасность, а CISO не донес топ-менеджменту, что на это нельзя закрывать глаза, то тут и срабатывает действенный метод Банка России. В любом случае с обязательными требованиями к бизнесу придется считаться. 

Система выстроена так. Есть стандарт, который необходимо выполнять, и есть аудиторы, которые проверяют его выполнение. 

Исходя из этого, прежде чем рассуждать о новом национальном стандарте безопасности, нужно посмотреть, как будет работать система контроля выполнения этого стандарта. Если аудиторов не будут контролировать, система не будет работать по-настоящему эффективно. 

NBJ: WannaCry, Petya и другие трояны-шифраторы – существует ли от них надежная защита и какая? 

К. ЕРМАКОВ: Защитить от подобного рода вирусов способны базовые процессы информационной безопасности – контроль уязвимостей (vulnerability management). Компании, где эти процессы работали, имели гораздо меньшие риски заражения и нанесения ущерба бизнесу. Но это совершенно не означает, что в организациях, которые не пострадали, выстроен процесс по управлению уязвимостями. Это своего рода лотерея. В силу специ­фичности распространения этих вирусов кто-то пострадал, а кто-то нет. 

Что касается WannaCry, то в этом случае многие поплатились за свою халатность. Патч, защищающий от WannaCry, стал доступен еще весной 2017 года, за два месяца до начала атак. А первые предупреждения об уязвимостях в протоколе SMB появились еще раньше. Поэтому, по сути, все пострадавшие от атак WannaCry ответили за свою беспечность, так как за два месяца они не смогли найти времени на установку критических обновлений, о выходе которых было широко известно.

С вирусом Petya ситуация обстояла несколько иначе. Вирусу стоило только один раз попасть в систему, и дальше он распространялся, используя обычные средства администрирования. Это намного хуже, чем в случае с WannaCry, поскольку достаточно одной точки входа для распространения заражения. 

NBJ: Как вы считаете, насколько создаваемые сейчас Security Operations Center (SOC) способны обеспечить кибербезопасность, какова степень их эффективности? Есть в Группе QIWI SOC?

К. ЕРМАКОВ: Самое интересное, что на данный момент само понятие SOC весьма размылось из-за множествен­­ных активностей, затрагивающих эту тематику. 

Я считаю, что Security Operations Center, как его сейчас продают в сфере ИБ, – это на самом деле не более чем надуманное понятие, обычный маркетинговый термин, который применяется, чтобы предоставлять один и тот же комплект бизнес-процессов, софта, решений и технологий под новым брендом. Любой из его компонентов является обычной работой отдела информационной безопасности. И весь вопрос только в том, есть ли эти компоненты безопасности в организации или нет. 

В классическом виде SOC в нашей компании нет. Почему я считаю так? Потому что за этим термином на самом деле скрывается очень большой список процессов и технологий. И сказать, что они все у нас внедрены, будет несомненной ложью. Безусловно, у нас имеются дежурные смены, которые круглосуточно наблюдают за событиями ИБ, есть процесс сбора событий ИБ. Но это просто необходимые компоненты безопасности, выполненные на том уровне, на котором они нужны именно в нашей компании. Я не стал бы называть это SOC. 

Чаще всего за термином SOC люди скрывают купленное программное обеспечение класса SIEM. Подчеркну – только купленное, даже не внедренное. И при этом они рассказывают, что у них SOC. 
Ко мне приходили представители одной большой компании консультироваться после того, как пострадали от вируса Petya. После атаки они приняли решение создавать у себя SOC. Я им долго объяснял нецелесообразность такой идеи, поскольку у них отсутствуют базовые процессы безопасности, а они стремятся создавать огромные комплексы, которые, кстати, нужны единицам из числа компаний на рынке. Ведь круглосуточный мониторинг безопасности нужен не всем, а только тем, у кого риски оправдывают существование этой гигантской дорогой игрушки. В небольших компаниях без этого можно обойтись, так как стоимость владения таким решением будет дороже, чем все деньги, которые могут украсть у этой компании. Конечно, есть и обратная ситуация. Например, Сбербанк делает себе SOC. Хотя это и стоит очень дорого. Для них это целесообразно, так как возможный масштаб убытков превышает инвестиции и стоимость владения на порядок.

NBJ: Каким образом выстроен процесс взаимодействия ИБ-службы с поставщиками решений ИБ в Группе компаний QIWI? Как вы оцениваете и выбираете поставщиков? 

К. ЕРМАКОВ: Если мы говорим о выборе вендоров софта, решений безопасности, то все опирается на знания моей команды. В ней очень много ребят, которые до прихода в Группу QIWI занимались разработкой решений по информационной безопасности, поэтому они могут квалифицированно сравнить имеющиеся решения. Подчеркну, что нет какого-то уникального софта, всегда есть пул вендоров, предлагающих одно и то же. Поэтому мы смотрим, что предоставляют лидеры, и делаем свой выбор.

NBJ: Бывает так, что вообще нет решения, которое вам надо?

К. ЕРМАКОВ: Да. Бывает, что нам нужен класс решений, а его просто не существует на рынке. В таком случае мы обращаемся к нашей внутренней команде разработчиков (их восемь человек). Благодаря внутренней разработке мы можем создавать собственные решения.

NBJ: Как решается в Группе проблема разграничения ответственности между службами ИТ, ИБ и бизнесом? 

К. ЕРМАКОВ: Мы одна команда, и формулировка «это вне зоны моей ответственности» у нас не используется. Если возникает проблема, мы не спорим, кто прав, а кто виноват, мы сообща решаем ее. Инцидент информационной безопасности – это проблема в том числе бизнеса. То же самое касается и информационных технологий. Если недоступен процессинг, то это будет трудностью не только в ИТ. Наш подход возможен прежде всего благодаря позиции топ-менеджмента компании, который способен адекватно взаимодействовать со всеми отделами. Если человек, который руководит разработкой, скажет, что нужно выпустить продукт к конкретному числу, мы все вместе будем думать, как его создать защищенным, отказоустойчивым и в срок. 

NBJ: Сейчас много говорят о кадровом голоде в сфере ИБ. Ощущаете ли вы его в рамках Группы? Какие базовые требования к соискателям вы предъявляете?

К. ЕРМАКОВ: Если честно, мы практически никого не можем нанять со стороны. Крайне редко к нам в безопасность приходит человек из другой компании. Как правило, команда формируется из специалистов смежных отделов. 

Хороший специалист по информационной безопасности представляет собой микс компетенций: системного администратора, разработчика и юридического консультанта в одном лице. Например, если человек хороший администратор или разработчик, мы его дополнительно обучаем еще и ИБ, в результате в компании появляется квалифицированный безопасник. Наиболее эффективный способ привлечения специалистов в ИБ – это поддержка внутренней кузницы кадров. 

NBJ: Относительно проблемы «черных» хакеров: действительно ли их компетенции столь значительны, как об этом пишут? Есть ли что-то, что хакеры пока не могут взломать? 

К. ЕРМАКОВ: Да, они и правда опасны. Взломать можно все, вопрос только в том, сколько это будет стоить и сколько на это потребуется времени. Между прочим, это ключевой момент всей индустрии. Невозможно сделать так, чтобы информационную систему нельзя было взломать. Наша задача заключается в том, чтобы стоимость процедуры возможного взлома или несанкционированного вмешательства в систему превышала возможную выгоду от этих действий. То есть мы всего лишь стараемся сделать процесс взлома нерентабельным. 

NBJ: Почему хакерские технологии развиваются быстрее, чем защита от них?

К. ЕРМАКОВ: Потому что хакерские технологии являются двигателем прогресса. Защитные средства чаще всего разрабатываются только в ответ на какую-то угрозу, которую реализуют хакеры. Очень редко защита против угрозы создается до ее появления. 

Чем занимается хакер? Он ищет оптимальный путь для решения своей задачи. Поскольку он оперирует системой в комплексе, он этот путь находит. Поскольку его вектор атаки не ограничен каким-то одним направлением, он имеет возможность маневра и использования любых доступных средств. 

Проблема в том, что самый эффективный способ прохода периметра безопасности – это по-прежнему социальная инженерия. Понятно, что существует несколько технических способов минимизировать реализацию угрозы, но решить проблему в корне невозможно. Это происходит потому, что не меняется психология людей, то есть пользователей и сотрудников. 
Именно поэтому главными игроками на поле информационной безопасности являются Yandex, Mail, Google. Почему? Потому что они учат информационной безопасности с азов. Если сейчас попробовать зарегистрироваться на Gmail, то, кроме создания пароля, потребуется и второй фактор аутентификации для более надежной защиты аккаунта. Так «почтовики» обучают новое поколение нормам безопасности. И когда молодые ребята приходят на работу в нашу компанию, у них уже не возникает вопросов по поводу необходимости второго фактора. 

Коренной перелом в сфере ИБ случится лет через десять, когда молодые ребята, обученные современным методам защиты и парадигмам безопасности, станут основными пользователями всех систем.

NBJ: «Серые» хакеры – кто они, каковы их цели?

К. ЕРМАКОВ: Я бы не стал делить хакеров «по цветам». Есть квалифицированные инженеры, которые решают те или иные задачи. С точки зрения технических навыков между «черными», «белыми», «серыми» хакерами нет никакой разницы. Отличие только в том, кто является конечным выгодополучателем их действий. Это уже другой, этический срез проблемы.

NBJ: Как вы в целом оцениваете уровень защиты финансового сектора и что необходимо сделать, чтобы более эффективно противостоять киберугрозам?

К. ЕРМАКОВ: Любые изменения должны быть продиктованы ка­кими-то целями. Предположим, мы хотим повысить средний уровень защищенности организаций. А кто его измерил? Есть масса субъективных мнений. Например, моя точка зрения такова, что в финансовом секторе драматически низкий уровень защищенности. 

И она основывается на моем знании о том, как обстоят дела в сфере ИБ у коллег по цеху. Если банки из топ-100 имеют в своем арсенале какие-то средства защиты, то у остальных практи­чески нет ничего из того, что мы называем информационной безопасностью.    

беседовала Оксана Дяченко
Поделиться:
 

Возврат к списку