Анатолий Скородумов, Алексей Лукацкий, 29/03/21
Современное цифровое предприятие – это государственная или коммерческая организация с высоким процентом проникновения передовых инструментов автоматизации в основные бизнес-процессы: дистанционный доступ, облачные технологии, мобильные приложения, электронная подпись и пр. Какие технологии призваны обеспечить безопасность такого предприятия, как измерить эффективность защиты, какие методы для этого используются? Эти и другие вопросы редакция задала экспертам в сфере информационной безопасности.
Какие современные технологии и решения применяются на цифровом предприятии сегодня и какие средства кибербезопасности призваны их защитить?
Анатолий Скородумов
Действительно, на современном предприятии используются многие новые цифровые технологии: системы виртуализации, облачные технологии, системы дистанционного обслуживания, удаленный доступ к ресурсам предприятия. Все эти технологии требуют адекватной защиты. Но не стоит пытаться защитить каждую из этих технологий отдельно. Следует понимать, что мы находимся на этапе принципиального изменения подхода к обеспечению информационной безопасности. Все эти антивирусы, системы обнаружения/предотвращения атак, системы авторизации и разграничения доступа, сбора и мониторинга событий и т.д. и т.п. всё менее эффективны в современных условиях. Они рассчитаны на защиту информации внутри корпоративной сети, внутри защищенного периметра. Они предполагают, что служба информационной безопасности (ИБ) контролирует все изменения в организации и соответствующим образом подстраивает средства защиты. Но в текущих сложных ИТ-инфраструктурах с сотнями изменений в день это практически невозможно.
Текущая ситуация требует изменения подхода к обеспечению ИБ. Необходимо уходить от архитектуры наложенной безопасности, когда мы пытаемся обеспечить защиту путем закупки и внедрения дополнительных специализированных систем. Безопасность должна быть заложена в архитектуре самих ИТ-систем, в самом оборудовании, в самих ИТ-технологиях.
Алексей Лукацкий
Цифровизация – это не только внедрение новых, прорывных ИТ-технологий, к которым можно отнести AR/VR, искусственный интеллект, биометрию, квантовые вычисления, блокчейн, облака и Большие данные.
И активное внедрение ИТ в различные процессы – это тоже не она, это, скорее, автоматизация. Цифровая трансформация – это больше про изменение культуры предприятия, которое достигает больших результатов путем внедрения новых технологий. И влиять в лучшую сторону на культуру предприятия безопасность может через повышение осведомленности персонала, который все больше сталкивается с цифровыми технологиями в своей повседневной личной и офисной жизни. Если же говорить именно о средствах кибербезопасности, то надо признать, что они играют все меньшую роль в современном мире, уступая место встроенным мерам защиты: встроенным в облачные платформы, приложениям, решениям по виртуализации, методам машинного обучения, распределенным и нереляционным базам данных, биометрическим решениям и блокчейну. И это создает определенные сложности для специалистов по кибербезопасности, которым все меньше придется иметь дело с привычными межсетевыми экранами, средствами идентификации и аутентификации, антивирусами и все больше с встроенными решениями, тесно интегрированными и в ИТ-, ив бизнес-процессы.
Какие проверенные временем подходы к реализации требований закона 187-ФЗ и подзаконных актов вы можете порекомендовать для современного цифрового предприятия? Какими метриками можно измерить эффективность предложенных подходов?
Анатолий Скородумов Другое дело, что на многих предприятиях, особенно сектора реальной экономики, вопросам обеспечения ИБ практически не уделялось должного внимания. Для большинства предприятий актуальным является не вопрос "Какие проверенные временем подходы к реализации требований законодательства по обеспечению ИБ использовать?", а вопрос "С чего начинать построение системы обеспечения ИБ в организации?". И если ваша цель не формальное закрытие законодательных требований, а реальное повышение уровня ИБ в вашей организации, то начинать надо с формирования собственной команды ИБ. Пусть это будут для начала 2–3 человека, но это должны быть квалифицированные специалисты, знающие, как строится система ИБ, и умеющие это делать на практике.
Алексей Лукацкий
Сегодня не существует каких-либо проверенных методов выполнения ФЗ-187, так как самому закону всего три года и многие организации даже не завершили процесс категорирования, с которого и должен начинаться процесс защиты информации. Кроме того, стоит помнить, что под действие закона о безопасности критической инфраструктуры попадают как ломбарды, так и атомные электростанции, как банки, так и нефтяные танкеры. Совершенно разные организации, с совершенно разными подходами к своей цифровой трансформации. Кто-то внедряет цифровые двойники для своей продукции, а кто-то – искусственный интеллект для принятия решений, кто-то начинает использовать блокчейн для распределенного хранения информации, а кто-то активно уходит в облака и внедряет биометрию. Все это совершенно разные новые технологии, которые требуют разных подходов к обеспечению их кибербезопасности.
Что же касается метрик, то для бизнеса основной задачей является увеличение доходов при снижении расходов, что транслируется и на область информационной безопасности.
Внедряемые технологии должны как минимум снижать размер ущерба от осуществляемых атак и случившихся инцидентов. При снижении этого значения можно говорить об эффективности используемых подходов.
Для бизнеса основной задачей является увеличение доходов при снижении расходов, что транслируется и на область информационной безопасности. Внедряемые технологии должны как минимум снижать размер ущерба от осуществляемых атак и случившихся инцидентов. При снижении этого значения можно говорить об эффективности используемых подходов.
Опишите лучшие практики подготовки организаций, заявивших о наличии значимого объекта критической информационной инфраструктуры (ЗОКИИ) и занесенных в реестр ФСТЭК, к проверкам со стороны регулятора: опыт прохождения, типовые недостатки, рекомендации для самодиагностики
Алексей Лукацкий
Я думаю, сегодня еще никто не может говорить о практике подготовки субъектов КИИ к проверкам со стороны регуляторов, так как ни одной проверки еще проведено не было. Первые пять объектов КИИ, по данным ФСТЭК, будут проверены только во второй половине 2021 г. Представители регулятора озвучили, что они не способны проверить даже 1% от общего числа объектов КИИ, что говорит о том, что о появлении лучших практик можно будет говорить только лет через 5–7, когда значимое число субъектов КИИ пройдет проверки ФСТЭК. Должен сформироваться условный "коллективный иммунитет", которым уже и можно будет делиться. Можно было бы ориентироваться на практики проверок государственных организаций и операторов персональных данных, но даже тут все не так просто: ФСТЭК сейчас меняет всю свою нормативную базу и нас ждет еще немало сюрпризов при проведении проверок значимых объектов КИИ.
Регулярные утечки чувствительной информации из отечественных компаний – это тренд, веяние времени, угроза кибербезопасности или ожидаемый эффект незрелой цифровизации в организациях?
Анатолий Скородумов - С каждым годом объемы информации в электронном виде растут значительными темпами.
- С каждым годом появляются все новые технологии и устройства, которые создают, обрабатывают, передают и хранят информацию.
И далеко не все эти технологии и устройства проектируются и внедряются с учетом современных требований по защите данных. - С каждым годом появляется все больше цифровых сервисов доступа и обработки различного рода информации. Изменяется сама парадигма хранения и использования информации.
Если раньше ценную информацию старались сконцентрировать в защищенных хранилищах внутри организации и давать к ней доступ со специально оборудованных защищенных рабочих мест, то сейчас владелец информации зачастую не может сказать, где физически располагается его информация (где-то в облаке). При этом многие предприятия продвигают принцип, что информация должна быть доступна всегда и отовсюду, практически с любого устройства, которое есть у сотрудника. - Какие бы технически сложные системы защиты информации мы ни применяли, самым слабым звеном в этих системах защиты остается человек.
- С годами информация становится все более ценным товаром. Криминальная (и не только) индустрия хищения данных постоянно развивается, туда вкладываются все более серьезные деньги.
- Наказание за хищение, продажу и использование незаконно полученной информации несоизмеримо с получаемой злоумышленниками финансовой выгодой (а иногда отсутствует в принципе). Да и штрафы за невыполнение необходимых мер для адекватной защиты важных данных от утечек носят больше декларативный характер и не стимулируют предприятия к серьезным финансовым вливаниям в системы защиты обрабатываемых данных.
Алексей Лукацкий
Я бы не назвал это чем-то новым. В обычном мире преступники нацеливаются на нечто материальное, что можно продать или использовать напрямую. В виртуальном пространстве эту роль играют данные. Недаром говорят, что "данные – это новая нефть". Поэтому киберпреступники нацеливаются именно на данные: крадут их, скупают, привлекают недобросовестных сотрудников к краже и т.п. Утечки были 40 лет назад, они существуют сейчас, они будут проблемой № 1 и дальше. И чем более активно цифровая трансформация будет проникать в нашу жизнь, чем больше процессов будет оцифровываться, тем больше утечек данных будет происходить.
Мифы и легенды отечественной кибербезопасности: истории успеха, запоминающиеся проекты, лучшие практики 2020 года
Анатолий Скородумов Когда мы выводили сотрудников на удаленку, казалось, что это временное явление, на 2–3 месяца максимум. И только к середине 2020 г. начало приходить осознание того, что мир никогда уже не будет прежним.
И то, что мы справились с вызовами 2020 г., успешно завершили реализацию стратегии ИБ на 2018–2020 гг., и определило дальнейшие пути развития – это успех всей команды ИБ нашего банка.
Алексей Лукацкий
В уходящем году мы большую часть времени потратили не на цифровую трансформацию, а на решение авральных задач наших заказчиков, которым нужно было срочно внедрить удаленный режим работы на своих предприятиях. Хотя для тех, кто раньше был категорически против любой удаленки по причинам кибербезопасности, она стала не просто цифровой трансформацией, а цифровой революцией, которая позволила по-новому взглянуть на то, как можно выстраивать современные бизнес-процессы. Уже осенью 2020 г. часть наших заказчиков от авральной удаленки начала выстраивать полноценную стратегию мобильности для своих сотрудников, которые уже не привязаны к своим офисам, а должны подключаться из любой точки к данным и приложениям, размещенным как в корпоративных ЦОД, так и в облачных хранилищах.
Практические методы тестирования кибербезопасности на проникновение и наличие уязвимостей: какие инструменты и подходы наиболее востребованы?
Анатолий Скородумов Как я уже отметил, лучше, чтобы пентесты проводила независимая квалифицированная компания. Обычно к результатам "внешних аудиторов" у руководства предприятия значительно больше
доверия, чем к заключениям собственных, пусть и квалифицированных, специалистов по ИБ.
Стоит отметить, что самооценка ИБ в российских компаниях не выполняет ту функцию, которую на нее возлагают в западных стандартах по ИБ. Довольно часто она проводится формально и практически подгоняется под нужный результат. К самооценке стоит прибегать компаниям, имеющим серьезный уровень зрелости ИБ, в качестве подготовительного шага к проведению внешней независимой оценки.
Опубликовано в журнале "Системы безопасности" №1/2021
