Наряду с повсеместной, глобальной цифровизацией стремительно растет и развивается киберпреступность. По данным аналитического центра InfoWatch, в первом квартале 2018 г. в мире было зарегистрировано на 20% больше утечек конфиденциальной информации, а во втором квартале — на 5% в сравнении с теми же периодами 2017 г. Государство относит создание среды, способствующей информационной безопасности, к стратегическим целям развития информационного общества в России. Однако вопрос о том, как эта цель должна быть достигнута, остается открытым. Как компаниям избегать кибератак и в каких индустриях их более всего стоит опасаться? Возможно ли предугадать угрозы и предотвратить их? Способно ли взаимодействие власти и бизнеса минимизировать киберугрозы? Эти и другие актуальные вопросы обсудили участники ежегодной конференции «Кибербезопасность. Защита персональных данных», организованной «Ведомостями».
Есть ли какая-то разница между безопасностью бизнеса вообще и безопасностью в цифровом мире? Кибербезопасность, информационная безопасность в цифровой экономике — каковы они? Эти вопросы обсуждали ведущие эксперты цифрового рынка.
Электронная зависимость и уязвимость бизнес-процессов
Несмотря на то что количество электронных вмешательств извне в бизнес-процессы увеличилось многократно, для бизнеса глобальным образом ничего не изменилось за последние пять лет. То, что мы сейчас называем цифровизацей и что дает сегодня толчок новым законодательным инициативам, бесконечным обсуждениям на различных площадках, — это, по большому счету, всего лишь момент, когда автоматизация, которой IT-подразделения занимались десятилетиями, просто перешла в новое качество.
Сегодня мы достигли той точки развития, когда бизнес максимально зависит от IT и без цифровых технологий существовать не может. Чисто гипотетически, конечно, можно построить бизнес-модель без участия информационных технологий, но при этом уже есть осознание того, что она будет неэффективной, экономически нецелесообразной. Иными словами, бизнес окончательно попал в определенную зависимость от IT. И это неплохо, если иметь в виду достижение каких-то экономических показателей. Но эта же зависимость приводит к тому, что современный бизнес постоянно находится на стыке разного рода киберугроз.
Традиционная практика предполагает, что компания разделяет безопасность как таковую, как мы ее привыкли понимать в широком смысле, и кибербезопасность. Однако сегодня мы можем констатировать, что подобное разграничение уже неактуально. Киберриски стали, по сути, операционными, и сейчас мы уже не найдем грань между экономической и информационной безопасностью. Экономические преступления внутри компании происходят внутри ее же информационных систем, а деньги физически воруют уже гораздо реже, чем из внутренних финансовых систем, из ERP-систем1. И современный бизнес вынужден учитывать этот факт.
Ряд экспертов, таких как, например, технический директор Qiwi Кирилл Ермаков, считают, что принципиально неправильно разделять IT-службу и информационную безопасность. Те компании, где IT «живет» отдельно от security, на самом деле выбрали путь в никуда.
Впрочем, крупные, многопрофильные компании, такие как «Норильский никель», не спешат отходить от старой парадигмы «IT сама по себе, безопасность сама по себе». И как показывает отсутствие серьезных инцидентов в такого рода компаниях, такой подход до сих пор столь же устойчив, сколь и эффективен. Об этом говорил Андрей Кульпин, руководитель управления защиты IT-инфраструктуры ГМК «Норильский никель».
Следует напомнить, что Норникель — это не только металлургическая компания. Это, если уж называть вещи своими именами, «государство в государстве», и сложно сказать, в какой отрасли оно не представлено. Помимо собственно металлургии это и энергетика, и железнодорожный, авиационный транспорт, нефть, газ. И в целом задачи безопасности, которые стоят перед группой компаний «Норильский никель», настолько широки, что их сложно сужать исключительно до рамок информационной безопасности. Но все-таки и здесь тренд на усиление роли IT-служб в выстраивании систем безопасности бизнеса становится все заметнее и заметнее.
Безопасность как фактор дополнительной капитализации
Как бы то ни было, IT в современном мире становится основным драйвером бизнеса, а следовательно, IT-безопасность становится в чистом виде бизнес-свойством, повышающим или, наоборот, понижающим капитализацию компании.
Отрасль информбезопасности (если выделить этот аспект в отдельную отрасль) привлекает талантливых людей и предлагает целый ряд возможностей для создания новых решений.
По словам Сергея Ходакова, операционного директора Фонда «Сколково», анализируя кейсы сколковских IT-компаний, можно заметить, что проекты по информационной безопасности по количеству, по темпам роста выручки являются безусловным лидером среди заказов, реализуемых IT-кластером «Сколково».
Среди трендов, которые наметились именно в кибербезопасности, заметны отказ от интегрирования систем безопасности в отдельные предприятия, стремление объединять несколько инфраструктур для доступа к большим массивам данных, при этом преследуется цель более успешного обучения на их основе информационных систем, решение задач по обмену киберугрозами между компаниями и их инфраструктурами.
Внимание: вас атакуют
Компании, производящие программное обеспечение, чей род деятельности заключается в противостоянии целевым атакам, стоят миллиарды долларов. Что такое на самом деле с точки зрения безопасности противодействие целевым атакам? Использование специальной инженерии? Разработка специального программного обеспечения?
Начнем с того, что это не типовая и не автоматизированная борьба. Это один из самых сложных, самых проблемных для расследования видов вмешательства. Но расследование — дело второе. А в первую очередь необходимо быстро отреагировать на целевую атаку. И тут тоже подстерегает масса проблем.
Так, весьма часто возникает ситуация, когда компания атаку видит, начинает расследовать, в какую часть инфраструктуры был получен доступ, через какие уязвимости, тратит время и ресурсы на «следственные действия»… А тем временем атака развивается, злоумышленники закрепляются на «завоеванных» позициях. При худшем развитии ситуации служба информационной безопасности ловит не первую, а 2-ю, 3-ю, 4-ю волну атаки. В крупных распределенных предприятиях очень сложно проконтролировать все точки входа, через которые идет атака. В результате пострадавшая компания несет риск огромных потерь на чистку инфраструктуры после такого целевого вторжения.
От целевых атак сегодня страдает не только тот, кто игнорирует информационную безопасность или относится к ней формально. От целевой атаки не защитится никто, если действует в одиночку. Порой только подготовка к атаке длится несколько месяцев, а самая хорошая атака, как любят повторять эксперты, это та, про которую даже никто не узнал. А таких вторжений происходит очень много, по некоторым данным сейчас 25 очень серьезных крупных криминальных кибергрупп промышляют этим.
Сколько бы мы ни упражнялись и ни ставили барьеров, мы можем избежать атаки только в одном случае: если мы создадим такую защиту, что стоимость инвестиций в проведение атаки для хакера станет сопоставимой с бенефитами, полученными от взлома. Понятно, что такого рода защита — это экономически провальная стратегия.
Промышленная безопасность — это не только про хакеров
Андрей Кульпин обратил внимание собравшихся на вопросы кибербезопасности на промышленных объектах. В отличие от финансовых институтов «пробой» в системе класса промышленной автоматизации имеет прямое воздействие на жизнь и здоровье людей.
Возьмем, к примеру, рудник — горнопромышленное предприятие по добыче полезных ископаемых подземным способом. На нем задействовано минимум три критические системы: обеспечение воздухом, водоотведение и подъем-спуск людей. Если допустить какое-то косвенное воздействие на эти системы, то не нужно использовать фантазию, чтобы представить, к каким катастрофическим последствиям это может привести. А эти системы могут быть атакованы с совершенно неожиданной стороны. В по-следние три-четыре года наблюдается определенный тренд, который выражается в том, что с ростом зрелости функций информационной безопасности в финансово-экономической сфере начинающие хакеры, опасаясь сразу «потрошить» банки, начинают, как говорится, тренироваться на «кроликах». В качестве подопытных выступают соседние предприятия, промышленный сектор.
Против этого тренда бороться трудно, ведь безопасность промышленных предприятий имеет свою специфику, отличную от безопасности финансовой сферы. И наработки банковских IT-специалистов не всегда актуальны для предприятий реального сектора. Однозначной позиции о том, стоит ли вырабатывать какие-то особые методы обеспечения промышленной безопасности, до сих пор нет даже в профессиональной среде.
Идут дискуссии о том, стоит ли вообще выделять направление обеспечения безопасности производства в отдельное или надо рассматривать его как составную часть общей системы безопасности предприятия, которая обладает определенными качествами, спецификой, решениями, но функционирует все же в рамках единой системы. Кстати, «Норильский никель» сделал выбор в пользу первого варианта. В холдинге промышленная безопасность обеспечивается так называемой АСУТП (автоматизированной системой управления технологическим процессом). Есть специалисты, которые ориентированы исключительно на решения по обеспечению безопасности именно промышленных процессов.
Из чего проистекает специфика? В контуре промышленной кибербезопасности нажатие на клавиатуре клавиши enter может вызвать события, связанные с гидравликой, с пневматикой, с электрикой, чего нельзя сделать практически в обычной информационной системе. По отношению к традиционным компьютерным системам и сетям в АСУТП очень много порой старых протоколов или новых, но весьма похожих на старые. Не редкость и стандарты, которые сильно отличаются от продвинутых банковских систем. Если кому-то удалось проникнуть в контур АСУТП и послать команду на контроллер, который, по сути, является промышленным компьютером, тот воспринимает любую команду без аутентификации. Вот что надо учитывать, когда мы говорим про киберзащиту на промпроизводстве. И здесь как раз более чем где-либо еще уместно использовать термин «инцидент» вместо термина «кибератака» — слишком непредсказуемы возможные по-следствия. Иногда последствия могут быть порождены ошибочными действиями субконтрактора, который с благой целью обновляет программное обеспечение. То есть системы киберзащиты в промышленности должны предотвращать инциденты любого рода, а не только кибератаки.
Если говорить про будущее в промышленной кибербезопасности, то здесь намечаются любопытные тренды, уже практически применяемые на Западе, но пока еще неизвестные у нас. Речь идет о трех цифровых элементах:
-
цифровой двойник продукта;
-
цифровой двойник производства;
-
цифровой двойник производительности.
Что это за двойники? Это цифровая модель установки или конвейера. Перед запуском реальной установки на цифровой модели можно отработать нештатные ситуации, отладить технологию, обучить специалистов. Иными словами, еще до того как оборудование будет смонтировано, можно будет спрогнозировать все уязвимости в его эксплуатации. Цифровой же двойник производительности позволяет в реальном режиме отследить факторы, снижающие эффективность оборудования.
Задачи законодателя по обеспечению кибербезопасности
На текущий момент на государственном уровне принято большое количество программ по развитию цифровой экономики, задающих направление, в котором страна должна двигаться. Но все то, что касается информационной безопасности, довольно-таки слабо в этих программах учтено и отражено. Более того, даже на экспертном уровне проблемы защиты от киберугроз обсуждаются не слишком активно. Законодателю при этом крайне важно к разработке нормативной базы, к проработке каких-то технических и технологических регламентов привлекать активных участников рынка, создавать рабочие группы. На это обратил внимание Алексей Юдин, директор направления центра кибербезопасности и защиты Ростелекома — компании, которая, с одной стороны, сталкиваясь в своей деятельности с регулятором, с другой — плотно работая с финансовыми организациями, является своего рода мостом между бизнесом и государством. Эти две стороны процесса должны в конце концов услышать друг друга, синхронизироваться. Пока же этот процесс оставляет желать лучшего, в том числе и в плане результатов попыток регулирования IT-сферы. Так, в программе «Цифровая экономика России — 2024» информационная безопасность была выделена в отдельное направление. Соответственно, и финансирование киберзащиты оказалось (если сравнивать с затратами на другие направления) довольно-таки скудным. Правильно ли это? Очевидно, нет. Не может быть телемедицины без безопасности, не может быть «умного города» без защиты, не может быть современного государства без адекватного уровня неприступности цифровых активов для злоумышленников. Здесь свое веское слово должны сказать соответствующие службы — ФСБ, Минсвязи и т.д., каждое ведомство в своей части именно с точки зрения информационной безопасности. По-другому не получится, у нас нет в массах понимания того, что значит в современном мире информация и как надо с ней работать.
Возьмем, к примеру, европейское законодательство в области защиты персональных данных (ПД), которое предусматривает обязательное информирование субъектов ПД о том, что их персональные данные «утекли». Руководитель группы правовой защиты информации «Пепеляев Групп» Дмитрий Зыков в этой связи припомнил, как компания в соответствии с этим требованием доводила до граждан Европейского союза и России подобные сведения. Если иностранные подданные проявляли неподдельный интерес («Что случилось? Как это стало возможным? Чем это грозит?»), то россияне, как правило, соответствующие сообщения попросту игнорировали. Поэтому борьба с киберугрозами, по крайней мере на сегодняшнем этапе, остается делом в первую очередь государства. Понятно, что это всегда будет своеобразной игрой в догонялки, потому что невозможно предугадать, предусмотреть развитие технологий. Тем не менее законодательство развивается, будет также расти и правая культура как отдельных граждан, так и общества и бизнеса в частности.
Не стоит снимать часть вины в том, что бизнес сегодня очень слабо подготовлен для отражения кибератак, с сотрудников IT-служб. Как происходит их взаимодействие с руководством компании? «Айтишники» говорят: необходимо вложиться в безопасность. В ответ слышатся стенания о сложном финансовом положении, о трудных временах и призывы обойтись теми инструментами, которыми IT уже обеспечены. На этом разговор, как правило, заканчивается. На самом деле, как отметили выступающие на конференции специалисты, такой сценарий свидетельствует, прежде всего, о профессиональной несостоятельности руководителя IT в компании. Если он не способен донести до руководства простую мысль о неизбежной уязвимости бизнеса перед лицом внешних угроз, то непонятно, за какие заслуги он занимает пост руководителя подразделения.
В прошлом году был принят Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — Закон о критической информационной инфраструктуре). Для компаний среднего уровня, вернее, для тех их сотрудников, которые занимаются реальной информационной безопасностью, Закон о критической информационной инфраструктуре может стать той самой гирькой, которая перевесит чашу весов в пользу дополнительного финансирования кибербезопасности в ходе распределения бюджетов внутри компании. Но никакой закон не поможет, если нет заинтересованности в его применении и в реализации его замечательных положений на практике. И тогда, по всей вероятности, если бизнес не проснется и не увидит дивидендов от вложений в собственную защиту, вступит в действие естественный отбор. И компании, решившие сэкономить на безопасности, просто падут жертвой преступников и навсегда уйдут с рынка.
Объединиться, чтобы не пропасть поодиночке
Среди поднятых на конференции одним из самых актуальных эксперты признали вопрос об обмене информацией о кибератаках (или инцидентах, как принято говорить в среде специалистов по цифровой безопасности), предпринятых в отношении того или иного предприятия. В идеале данные об инцидентах должны добровольно доноситься до всех участников оборота. Но в реальности данные об атаках часто скрываются пострадавшей стороной из-за ложного опасения нанести урон собственному имиджу. Преодолеть такую стыдливость поможет осознание того факта, что нет, по оценкам экспертов, на российском рынке компании, которую бы не взломали злоумышленники. Есть лишь те, кто об этом не знает. С современными угрозами на сегодняшний момент невозможно бороться в одиночку.
В некоторых организациях стремление «сохранить лицо» выливается в создание внутренних приказов, в которых предписывается регистрировать кибератаки как компьютерные сбои, чтобы не включать их в отчетность перед регулятором. Помимо репутационных потерь бизнес опасается потерь экономических: насколько открытость в разглашении данных о раскрытом взломе компьютерных сетей может повредить приватности собственно бизнеса? Вопрос весьма непростой. Хотя приемлемые решения, в общем-то, уже выработаны. При информировании партнеров об инциденте пострадавшая сторона передает сугубо техническую часть, то есть информацию, которая позволит остальным оперативно отреагировать на конкретную угрозу, оставляя за рамками сообщения данные о том уроне, который был нанесен инфраструктуре атакованной стороны. Таким образом, общий уровень защищенности группы, вовлеченной в информационный обмен, повышается.
Другая проблема, связанная с инфообменом, гораздо более глубокая и связана с технологической отсталостью. Даже тот обмен информацией об инцидентах или угрозах, который есть сейчас, осуществляется методами, дошедшими к нам из прошлого века: бумажные, в лучшем случае электронные, письма и отчеты. А реакция, как показывают реалии, должна быть практически мгновенной. Потому что в таких случаях счет идет не на минуты даже — на секунды. Этого времени вполне достаточно, чтобы атака захватила сразу несколько компаний, так или иначе связанных друг с другом. А единой площадки для обмена соответствующей информацией, единых стандартов или хотя бы форматов в России пока нет.
1 Enterprise Resource Planning — система управления ресурсами компании.