2022/12/16 15:58:31

Новые вызовы для ИБ или когда страхи стали реальностью

Российская отрасль информационной безопасности, как и вся наша страна, с текущего года работает в новых условиях, приближенных к боевым. Практически все зарубежные разработчики продуктов в области информационной безопасности и сетевого оборудования прекратили работу в России, закрыли свои офисы, перестали предоставлять поддержку и обновления для текущих клиентов, не говоря уже о продаже лицензий новым заказчикам. Заказчики столкнулись и необходимостью экстренного замещения зарубежных ИБ-продуктов на отечественные, поскольку защита без обновлений и поддержки не только не полезна, но и опасна. Ситуация усугубилась и тем, что немалая часть ИТ- и ИБ-специалистов покинула Россию и перебралась в другие страны. Из этих государств периодически слышны призывы развязать против России настоящую кибервойну, вывести из строя ее крупнейшие и системообразующие предприятия, разрушить ИТ-инфраструктуру, словом - устроить настоящий экономический хаос, за которым должны последовать и политические потрясения. Как в этой ситуации работать `безопасникам`? Мы задали этот вопрос экспертам, принимавшим участие в конференции XV BIS SUMMIT 2022 «Адаптация к новой реальности – новые стратегические горизонты ИБ».

Содержание

Кибервойны не будет?

В среде ИБ-специалистов бытует мнение, что если в течение трех месяцев после начала Специальной военной операции компания не подверглась воздействию злоумышленников, то этого и не произойдет в дальнейшем, потому что событие исчерпаемо для долгосрочной перспективы. Однако не все разделяют такое мнение, некоторые эксперты готовы утверждать, что кибервойна не началась, и не пришло время для массированных атак.

«
Не сомневаюсь, что последние события спровоцируют рост недружественной киберактивности, - отмечает Александр Егоркин, Первый Вице-Президент "Газпромбанка", - Конкретно на нас давление растет постоянно, хотя мы и так отбиваем десятки тысяч атак и злонамеренных действий в день. Хорошо, что руководство Банка очень предусмотрительно поддерживало и финансировало ИБ на протяжении длительного времени, сейчас мы более-менее уверенно себя чувствуем. Но в условиях надвигающейся глобальной кибервойны должна измениться роль государства. С моей точки зрения государство должно взять на себя основную часть вопросов по защите киберпространства Страны, не надеясь, что критически важные структуры сами себя защитят от всех кибервойск недружественных стран, киберкриминала и политизированных хакерских группировок одновременно.
»

«
Когда на уровне менеджмента компании мы обсуждаем вопросы безопасности, я часто привожу бытовые примеры – говоря про регламенты и политики, спрашиваю вы живете в квартире, у вас есть регламент по запиранию двери? Нет. Почему? Потому, что это естественные вещи. Так и это естественные вещи. Зачастую у людей есть какая-то сумма денег, которая лежит где-то, и до тех пор, пока ты не придешь и не проверишь, ты не узнаешь, что она пропала – или какая-то сумма или вся. Это тебе нужно каждые десять минут проверять на месте ли она, либо настроить систему мониторинга.

Эта уверенность, что с нами ничего не случилось, на что опирается: на аудит независимый, исследование или что? Основная проблема сейчас – проблема с поставщиками – Open Source, библиотеки уязвимые или специально вносимые изменения при распространении на определенных территориях. И если ты владелец маленького магазина, и про тебя не написали в телеграмме, что тебя унесли, это не говорит о том, что тебя не унесли. Поэтому вопрос того, что если компания не была атакована после февраля, и мы не пострадали, то можно расслабиться, нами не интересуются – чем подкреплена информация что нами не интересовались? Русский авось не работает и пропал как феномен, говорящий о том, что на него не стоит полагаться, - считает Павел Куликов, директор по информационной безопасности компании CDEK Global.

»

Андрей Арефьев, директор по инновационным проектам ГК InfoWatch, уверен, что события, с которыми столкнулись российские компании в последние месяцы, не похожи на кибервойну, ведущуюся профессионалами.

«
Я думаю, что мы столкнулись с эмоцией любителей. Профессионалы обычно действуют без эмоций, хладнокровно и гораздо менее заметно, но зато с тяжелыми последствиями. Реальные проблемы могут всплыть потом. Был ли достигнут результат этих ddos-атак? Возможно, сиюминутный - да, заставили понервничать - да, нанесли ли урон – в основном нет. Есть существенный риск, что мы столкнемся с реальной кибервойной когда от действий хакеров могут пострадать компании и не только. Наша ИТ-инфраструктура продолжает зависеть от зарубежного ПО, но у нас нет гарантий, что получаемые обновления ПО не содержат закладок, а значит риск стать жертвой взлома увеличивается в будущем, - комментирует эксперт.
»

Не только цифровая защита

Итак, мы наблюдаем только затишье, а в ближайшем будущем Россию может накрыть новая волна киберугроз?

«
Наверное, больший приоритет в случае кибератак будет отдаваться каким-то значимый объектам, большому бизнесу, объектам КИИ. Но теоретически все находятся под угрозой, - соглашается Владимир Супрунов, руководитель киберполигона компании "Газпромнефть".
»

Сергей Гук, независимый ИБ-эксперт, отмечает, что пик атак спал, но мы начинаем наблюдать проблемы с кадрами.

«
Мы потеряли много трудовых ресурсов по разным причинам. Это повлияло на стабильность в организациях, - говорит он.
»

По мнению Андрея Арефьева, киберугрозы для КИИ, безусловно, есть, и требуется планомерная работа по обеспечению импортонезависимости КИИ. Есть факты атак, но в целом кибервойска не смогли себя проявить с заметной стороны. Как и ожидалось, гораздо более значимую угрозу представляют физические атаки на КИИ, - утверждает эксперт.

Практика применения новых продуктов

В новых условиях, на фоне ускоренного импортозамещения, новые шансы для развития получают ИБ-специалисты, а в первую очередь - руководители по информационной безопасности (CISO).

«
По своему опыту могу сказать, что как раз где-то с 2018 года к ИБ в коммерческих организациях начали прислушиваться. Не просто как к еще одной точке зрения, а именно как к некой самостоятельной сущности, которая способна донести свою точку зрения до людей, принимающих решения. Поэтому с 2018 года роль CISO заметна, видна, достаточно понятна. После событий начала 2022 года в коммерческих организациях она обострилась, особенно в компаниях с государственным участием. Указ № 250 о запрете использования СЗИ из недружественных государств вносит свои корректировки и, наверное, это правильно, в любом случае лучше, чем ничего и лучше, чем среднее по больнице, - делится мнением Павел Куликов.
»

Сергей Гук полагает, что если к текущему моменту CISO не вышел на новый уровень, то и не выйдет.

«
Весь политический потенциал изменений роли CISO в компании уже к лету исчерпался, - считает он, - Если кто-то на этой волне продвинулся в карьере, хорошо, а кто не успел, тем это уже трудно будет сделать. Если кто-то "перетерпел" атаки или "пересидел", то ему и не надо ничего.
»

«
В зрелых компаниях ИТ и ИБ всегда подчинялись одному человеку. Роль ИБ в современной российской действительности возрастает, с этим я соглашусь. И вот почему. В процессе импортозамещения одна экосистема заменяется на другую. Но практики эксплуатации отсутствуют. Вас пересаживают на новую машину, на новую систему. Но вы ничего об этой новой машине не знаете. Компания Microsoft десятилетиями обучала пользователей. Но при этом продукты Microsoft остаются взламываемыми. Нам предлагают их заменить на что-то новое. Но практики применения при этом отсутствуют. Поэтому риски эксплуатации возрастают, да и сам процесс перехода будет очень рискованным. Приведу пример. Active Directory надо менять, но как это сделать? Ведь любая неиспользуемая учетная запись - точка для потенциального взлома. Процесс перехода на новую экосистему крайне важен. В этой истории роль ИБ-шников очень велика в выработке правил эксплуатации и перехода на новые экосистемы. Он должен участвовать в их создании. ИТ-шник просто отчитается о замене одной системы другой, но заместить все на 100% он не сможет, поэтому успехи будут фрагментарными, а ИБ-шнику придется обеспечивать безопасность двух ИТ-экосистем одновременно. Иными словами, перед ИТ-шником стоит задача быстро все заместить, а перед ИБ-шником сделать так, чтобы процесс замещения не привел к серьезным проблемам, - комментирует Андрей Арефьев.
»

«
ИБ перейдет на новый качественный уровень. Она стала не чем-то снаружи, каким-то сервисом, а составной частью практически всех бизнес-процессов, по крайней мере в банке. Без ИБ ни один бизнес-процесс уже не работает. Рисков так много, что их нужно не просто учитывать, а противостоять. Значение и руководителей ИБ и вообще этого участка растет, в условиях трехмерного пространства и кибепростанства, вопрос упирается в кадры. Дефицит кошмарный. Потому, что возросла потребность. Учатся, как мне видится, по каким-то шаблонам, которые с практикой имеют мало общего. Кто там преподаватель – я не знаю, мне кажется, сейчас нужно готовить не только студентов, но и преподавателей. Они не знают ни линейки продуктов, ни последних инцидентов (в силу высокой латентности киберпреступлений), ни банковских технологий (как объектов защиты), учат азам абстрактным (несомненно важным, но не достаточным). По тем ребятам, которых мы пытаемся взять к себе видно, что обучение неэффективно, на вопрос сколько байт в килобайте половина не знает ответа, - добавляет Александр Егоркин.
»

Пользователям - потерпеть, ИБ-специалистам - осознать

Вместо точечных кибератак, как это было в прошлые годы, компаниям приходится противостоять наступлению "по всем фронтам". Ситуация усугубляется тем, что зарубежные вендоры ушли с российского рынка и идет их замена отечественными продуктами, которые не то, что лучше или хуже, но другие. К ним нужно привыкнуть, как самим ИБ-специалистам, так и пользователям.

«
Если говорить о специфическом ПО для информационной безопасности, то оно и в прошлые годы было в основном отечественным: криптография, антивирусы, DLP-системы, - говорит Алексей Смирнов, председатель Совета директоров компании "Базальт СПО", - Но системное и прикладное (функциональное) ПО действительно меняются, и их правильной настройке и обслуживанию, в том числе по ИБ, надо учиться. Но и тут стартуем не с нуля. Например в последние годы продавалось порядка полумиллиона лицензий на отечественные ОС, вся система ЗАГС работает на отечественном ПО.
»

Сейчас, по мнению Алексея Смирнова, очень интересную работу проводит ФСТЭК России, переходя к сертификации процесса безопасной разработки, и жестко требуя оперативного устранения уязвимостей.

«
Видимо по этой причине были отозваны сертификаты безопасности у многих продуктов зарубежных фирм, которые прекратили поддержку и обновление своих продуктов в России, - предполагает эксперт.
»

Андрей Арефьев советует подходить к вопросу замещения продуктов осознанно, как к процессу.

«
Импортозамещение - это процесс, который займет время и должен быть автоматизирован. Важно соблюсти баланс между эффективностью импортозамещения и безопасностью. Мы много лет зависели и сейчас пока зависим от одного вендора, от Microsoft. Но не хотелось бы впасть точно в такую же зависимость от другого, но тоже единственного вендора. Нужно строить экосистемы, основанные на сочетании разных операционных систем от разных вендоров, и важно обеспечить между ними совместимость. Я понимаю, это сложно осуществить, но здесь могло бы проявить свою волю и свою роль государство. В условиях конкуренции всегда рождаются самые лучшие продукты, - резюмирует он.
»

«
Обычным пользователям придется потерпеть, а ИБ-специалистам надо осознать, что как раньше, уже не будет, уже не вернется ничего, по крайней мере, в ближайшие лет пять. Не надо пытаться заменить сразу все. Надо действовать разумно. Лучше подольше протянуть на текущих решениях и дать нашим вендорам время на написание новых продуктов и их адаптацию, - советует Сергей Гук.
»

Новые темы для обсуждения в сообществе

Новые условия работы не могут не повлиять на тематику мероприятий по информационной безопасности, каковых в России проводится немало.

«
Мне кажется, что сейчас слишком много маркетинговых мероприятий, и мало конференций, где вопросы безопасности обсуждаются на профессиональном уровне. Надо уменьшать количество массовых мероприятий и увеличивать число профессиональных, - полагает Алексей Смирнов.
»

Полезные рекомендации организатором ИБ-мероприятий дает Андрей Арефьев.

«
Я не вижу в повестке дня новых практик перехода на отечественные продукты, - отвечает он, - Каждая компания вырабатывает свои собственные пути решения. Пришло время для обсуждения реальных практических кейсов. Это очень важно для образования сообщества.
»

Наконец Сергей Гук предлагает в программы тренингов вносить темы про психологическую устойчивость, ибо кризис стал перманентным, а также продвигать идею против сегрегации ИТ от ИБ. Поскольку, по его словам без ИТ ИБ никому не нужна.

Вместо заключения

Когда-то специалистов по информационной безопасности называли "продавцами страха". Сегодня те самые "страхи" воплощаются в реальности. Сегодня становится понятно, что "продавали" они не страх, а уверенность, защиту от рисков. Те заказчики, которые не пренебрегли такой защитой, чувствуют себя спокойно перед новым шквалом атак и киберугроз. В одиночку ИБ-специалисты не могут противостоять возросшему количеству инцидентов. Им необходимо помочь. Со стороны топ-менеджмента важно наладить тесную связь между ИТ и ИБ-подразделениями. Фактически они должны работать плечом к плечу, решая общие задачи по обеспечению безопасной и бесперебойной работы бизнеса в новых условиях. Пользователям желательно оказывать помощь ИБ-специалистам, особенно если речь идет об освоении новых продуктов, их применении на практике. Советы, рекомендации, отзывы и пожелания всегда будут полезными. Наконец, от государства требуется всесторонняя поддержка отрасли ИБ, принятие соответствующих НПА, дающих "зеленый свет" российским разработчикам и их заказчикам.