Эксперт NBJ по кибербезопасности, генеральный директор ГК «Интеллектуальная безопасность» (бренд Security Vision) Руслан РАХМЕТОВ анализирует главные события, которые произошли в этой отрасли в 2020 году.

О ГЛАВНЫХ КИБЕРУГРОЗАХ

Очевидно, что уходящий 2020 год был объективно непростым как с точки зрения информационной безопасности, так и в целом для бизнеса, государств и граждан
во всем мире. Меры, предпринимаемые правительствами всех стран, заставили компании и сотрудников принять участие в беспрецедентном эксперименте по всеобщему переходу на удалённую работу, что означало оперативное и масштабное изменение устоявшихся бизнес-процессов. Общемировая ситуация стала катализатором позитивных изменений в цифровом пространстве: информационные технологии стали  были едва ли не единственным способом для бизнеса продолжать деятельность, а для людей – получать услуги, общаться и работать. Вместе с тем, экономическая и эпидемиологическая повестка активно использовалась киберпреступниками и мошенниками всех мастей для атак, число которых увеличилось приблизительно вдвое по сравнению с предыдущим годом. Хакеры проявляли интерес к спешно опубликованным онлайн-сервисам, риску компрометации подвергались незащищенные способы обработки служебной информации, сотрудники организаций и простые граждане все чаще становились объектами атак методами социальной инженерии, которые были особенно эффективны в условиях стресса.

О ГЛАВНЫХ УТЕЧКАХ

В связи с переходом в онлайн большого количества бизнес-процессов, которые не проектировались под это изначально, большой объём конфиденциальной информации оказался в зоне особого внимания злоумышленников. Сейчас их прежде всего интересуют персональные данные клиентов и сотрудников, интеллектуальная собственность, чувствительная информация о бизнесе и собственниках компаний. Основные пути монетизации результатов проведенных атак – продажа в Даркнете украденной информации и доступа к скомпрометированной инфраструктуре, требование выкупа за расшифрование данных, за восстановление работоспособности систем, за неразглашение похищенных сведений или самого факта компрометации, а также майнинг криптовалют. Основные причины успешно осуществленных атак – использование скомпрометированных аккаунтов (как правило, путем фишинга или подбора), несанкционированный доступ к некорректно сконфигурированным облачным сервисам, атаки на ПО с неустраненными уязвимостями (по статистике, «возраст» проэксплуатированных уязвимостей составляет в среднем 1 год).

Главными зарубежными утечками уходящего года можно назвать атаку на Zoom, которая привела к разглашению более 500 тыс. учетных записей данного сервиса; атаку на Твиттер, которая не стала сверхразрушительной, видимо, лишь по причине неопытности её организаторов (сообщалось, что некоторым из них нет ещё и 20 лет); атаку на сеть отелей Marriott, повлекшую за собой компрометацию сведений о более чем 5 млн гостей. На отечественной сцене основное внимание было приковано к утечкам данных о больных новой коронавирусной инфекцией, которые были, предположительно, скомпрометированы из-за человеческого фактора, поскольку, видимо, для обработки использовались не предназначенные для этого онлайн-сервисы. Кроме того, введенные в связи с пандемией ограничения, включая контроль перемещений, породили множество вопросов граждан о мерах по обеспечению конфиденциальности обрабатываемых данных, включая видео­изображения и сведения о заболеваемости, а в условиях массового перехода всех услуг в онлайн-формат недоступность какого-либо сервиса, государственного или коммерческого, вызывала незамедлительную, достаточно болезненную реакцию пользователей.

Все большую актуальность приобретают атаки на цепочки поставок (т.н. supply chain attacks), когда злоумышленники взламывают поставщика или подрядчика крупной компании и внедряют программную или аппаратную закладку для атаки на уже более привлекательную цель. Уходящий год также запомнился и тем, что впервые из-за кибератаки была зарегистрирована смерть человека – речь идет об инциденте в германской больнице, которая подверглась нападению вируса-вымогателя и в результате не смогла оперативно оказать помощь пациенту в критическом состоянии.

О ЗНАКОВЫХ СОБЫТИЯХ ИБ

Руслан РАХМЕТОВ, генеральный директор ГК «Интеллектуальная безопасность» (бренд Security Vision)

Важные события в мире кибербезопасности были, разумеется, связаны с масштабным переходом бизнес-сервисов в онлайн-формат, а сотрудников – на удалённую работу. Причем события в начале года развивались настолько стремительно, что времени на тщательную проработку проектов миграции и модернизации сервисов просто не было. Во многих случаях вендоры шли навстречу организациям и предлагали временные лицензии для обеспечения безопасной удалённой работы и опции оперативного масштабирования инфраструктурных мощностей, но в целом в более выигрышной ситуации оказались зрелые с точки зрения ИТ/ИБ компании, которые уже имели опыт предоставления клиентам онлайн-сервисов, а сотрудникам – безопасного удалённого доступа. При этом в сложившихся условиях руководители и сотрудники подразделений ИБ стали играть ещё более значимую роль в компаниях, поскольку принятие выверенных управленческих решений стало очевидно невозможным без учета киберрисков. С точки зрения рынка продуктов и сервисов кибербезопасности можно отметить взрывной рост интереса к продуктам для обеспечения защищённой удалённой работы, к средствам реализации мультифакторной аутентификации, к защищенным облачным сервисам, к системам защиты от утечек данных и анти-DDoS решениям. Не снижается интерес и к построению Центров SOC, и к проектам по обеспечению соответствия законодательству, и к внедрению средств автоматизации процессов ИБ, включая реагирование на инциденты кибербезопасности.

ОБ УРОКАХ 2020 ГОДА, КОТОРЫЕ НУЖНО ВЫНЕСТИ ИБ-СПЕЦИАЛИСТАМ

Как ни банально это прозвучит, но грамотно выстроенный процесс управления киберрисками помог бы компаниям и сотрудникам подразделений ИБ не оказаться в чрезмерно сложном положении: международные стандарты и лучшие практики рекомендуют учитывать стихийные бедствия, включая эпидемии, в плане обработки рисков, результатом реализации которого должен быть разработанный и протестированный алгоритм оперативного перевода сотрудников на «удалёнку», а также перечень способов взаимодействия и обеспечения деятельности компании при невозможности посещения офиса. Уходящий год наглядно показал нам, что могут реализоваться и угрозы, о которых мы ранее размышляли только как о теоретических, а подготовленность к маловероятным сценариям дает существенное преимущество. При этом опыт, полученный в таких стрессовых условиях, наверняка запомнится надолго и поможет более критично взглянуть на устоявшиеся модели угроз.

О ТРЕНДАХ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Со спадом напряженности эпидемиологической ситуации, скорее всего, кардинальных изменений не произойдет ни для компаний, ни для атакующих. Первые будут по-прежнему использовать возможности удалённой работы как один из способов снижения издержек и поддерживать тренд на вывод большинства сервисов в онлайн для расширения клиентской базы, а вторые – продолжат активно использовать методы социальной инженерии для атак, похищать и шифровать данные, взламывать учетные записи и атаковать веб-сервисы. С учетом применения злоумышленниками средств автоматизации способов атак, в которых зачастую эксплуатируются легитимные программные компоненты, защитники также должны быть готовы оперативно противодействовать, в том числе с применением интегрированных в SOAR/IRP-платформы систем машинного обучения и искусственного интеллекта для максимально быстрого выявления признаков компрометации систем и обработки киберинцидентов. Сейчас все шире используются системы защиты облачных инфраструктур, технологии контейнеризации («песочницы»), программно-определяемые сети (SD-WAN), и, вероятно, мы увидим ещё больший рост их популярности. Актуальности не потеряют и защита от утечек данных, и защита IoT-устройств, и выполнение требований регуляторов в области ИБ.

ОБ УСТАРЕВАЮЩИХ ТЕХНОЛОГИЯХ И ТЕХ, ЧТО ВЫХОДЯТ НА ПЕРЕДНИЙ ПЛАН

На протяжении последних 10–15 лет, в течение которых индустрия ИБ активно развивалась, можно было наблюдать за тем, как отдельные продукты и даже некоторые технологии защиты появлялись и затем постепенно становились невостребованными. Вместе с тем на рынке достаточно примеров, когда вендоры и решения успешно существуют не один десяток лет, непрерывно развиваясь, обрастая новым функционалом, предлагая востребованные подходы и услуги для соответствия вызовам времени и ожиданиям покупателей, нейтрализуя актуальные угрозы, которые также постоянно видоизменяются. В целом, можно сказать, что основы популярных сейчас технологий защиты были заложены уже достаточно давно, например, концепция Zero Trust Network (т.н. «Сеть с нулевым доверием») была предложена ещё в далеком 2004 году, а говорить о массовом применении данной практики стали относительно недавно. Поэтому можно сказать, что концептуально верные технологии скорее будут видоизменяться для решения актуальных задач кибербезопасности, нежели устаревать и «выходить из моды».

О РЕГУЛЯТОРНЫХ ТРЕБОВАНИЯХ – ДРАЙВЕРАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. О НОВОВВЕДЕНИЯХ 2020 И 2021 ГОДОВ

Несмотря на всем известные обстоятельства, в этом году нормотворческая деятельность велась весьма активно. Среди значимых нововведений этого года можно отметить новые требования по защите объектов критической информационной инфраструктуры в части преимущественного использования российского программного и аппаратного обеспечения, а также регламентации подключения значимых объектов КИИ к сетям связи общего пользования. В банковской сфере также произошли изменения: публикация нового Положения ЦБ РФ №719, пришедшего на замену действовавшему с 2012 года Положению №382-П и регламентирующего обеспечение защиты информации при осуществлении переводов денежных средств, а также публикация Положения №716-П о требованиях к системе управления операционным риском. Кроме того, обсуждается внесение изменений в законодательство о защите персональных данных – вполне вероятно, в грядущем году появятся новые нормы и требования, защищающие личную информацию от утечек и регламентирующие обработку Big Data граждан.

Следует признать, что редко в каких случаях регуляторам удается действовать на опережение и регламентировать отрасль или технологию, которая только зарождается, и, разумеется, некоторая вполне объяснимая инертность присутствует. Однако, например, применимость законодательных норм по защите информации к облачным технологиям обсуждается уже без малого 10 лет, но до сих пор единообразного регуляторного подхода не выработано, хотя, вероятно, проект по созданию Государственной единой облачной платформы (т.н. «Гособлако») послужит драйвером данного процесса. При этом в определенных вопросах нормотворцы крепко «держат руку на пульсе времени»: в частности, сейчас готовится к утверждению ГОСТ по киберстрахованию, адаптирующий международный стандарт ISO/IEC 27102:2019. Вместе с тем, несмотря на кажущуюся «зарегулированность» отрасли ИБ, редко когда можно встретить целостный, гармоничный подход/фреймворк, даже при анализе нормативных документов одного регулятора, не говоря уже про прочие возможные применимые требования по информационной безопасности.

О НОВЫХ УГРОЗАХ В ИБ В 2021 ГОДУ

Скорее всего, тренд на цифровизацию мировых экономик станет ещё более устойчивым, а возможности удалённой работы и активное потребление онлайн-услуг сохранятся и после отмены карантинных ограничений. С ростом количества потребителей различных цифровых продуктов и услуг будет увеличиваться и капитализация высокотехнологичных компаний, и их вклад в экономику, а вместе с этим будет расти и внимание к ним злоумышленников, которые сейчас практически без исключения финансово мотивированы. Уже сейчас масштабная атака или утечка данных могут стать настоящим ударом как для финансового благополучия, так и для репутации современной компании, и в дальнейшем эта зависимость будет только расти. Также вполне вероятно, что в наступающем году мы будем свидетелями последствий успешных атак ещё этого года, поскольку сжатые сроки и ограниченные ресурсы могли стать причиной не до конца продуманной архитектуры онлайн-сервисов, выпущенных наспех на рынок,  а одна из особенностей утечек информации состоит в том, что такие инциденты могут длительное время оставаться незамеченным – например, до момента начала продажи похищенных сведений в Даркнете.

О РОССИЙСКИХ ИБ ТЕХНОЛОГИЯХ И ИХ ВЫХОДЕ НА МЕЖДУНАРОДНЫЙ РЫНОК

С моей точки зрения, многие компании на отечественном рынке кибербезопасности могут предложить рынку, в том числе и международному, действительно конкурентоспособный и нужный продукт, и мы знаем примеры такой успешной работы наших вендоров. Вместе с тем, зарубежные компании, разумеется, не горят желанием допускать конкурентов на свою «поляну», что может осложнить подобного рода экспансию для новых игроков. Ключ к успешному продвижению на международной арене – уникальные технологии и глубокая экспертиза в вопросах противодействия угрозам, которые зачастую зарождаются именно на постсоветском киберпространстве. Возможность не повторять чужих ошибок, брать лучшее, учиться на опыте крупных западных игроков – вот наши козыри, которые мы должны обязательно разыграть в наступающем году! 

Материал также опубликован в печатной версии декабрьского номера Национального банковского журнала.