Современное цифровое предприятие – это государственная или коммерческая организация с высоким процентом проникновения передовых инструментов автоматизации в основные бизнес-процессы: дистанционный доступ, облачные технологии, мобильные приложения, электронная подпись и пр. Какие технологии призваны обеспечить безопасность такого предприятия, как измерить эффективность защиты, какие методы для этого используются? Эти и другие вопросы редакция задала экспертам в сфере информационной безопасности.
Действительно, на современном предприятии используются многие новые цифровые технологии: системы виртуализации, облачные технологии, системы дистанционного обслуживания, удаленный доступ к ресурсам предприятия. Все эти технологии требуют адекватной защиты. Но не стоит пытаться защитить каждую из этих технологий отдельно. Следует понимать, что мы находимся на этапе принципиального изменения подхода к обеспечению информационной безопасности. Все эти антивирусы, системы обнаружения/предотвращения атак, системы авторизации и разграничения доступа, сбора и мониторинга событий и т.д. и т.п. всё менее эффективны в современных условиях. Они рассчитаны на защиту информации внутри корпоративной сети, внутри защищенного периметра. Они предполагают, что служба информационной безопасности (ИБ) контролирует все изменения в организации и соответствующим образом подстраивает средства защиты. Но в текущих сложных ИТ-инфраструктурах с сотнями изменений в день это практически невозможно.
Текущая ситуация требует изменения подхода к обеспечению ИБ. Необходимо уходить от архитектуры наложенной безопасности, когда мы пытаемся обеспечить защиту путем закупки и внедрения дополнительных специализированных систем. Безопасность должна быть заложена в архитектуре самих ИТ-систем, в самом оборудовании, в самих ИТ-технологиях.
Цифровизация – это не только внедрение новых, прорывных ИТ-технологий, к которым можно отнести AR/VR, искусственный интеллект, биометрию, квантовые вычисления, блокчейн, облака и Большие данные.
И активное внедрение ИТ в различные процессы – это тоже не она, это, скорее, автоматизация. Цифровая трансформация – это больше про изменение культуры предприятия, которое достигает больших результатов путем внедрения новых технологий. И влиять в лучшую сторону на культуру предприятия безопасность может через повышение осведомленности персонала, который все больше сталкивается с цифровыми технологиями в своей повседневной личной и офисной жизни. Если же говорить именно о средствах кибербезопасности, то надо признать, что они играют все меньшую роль в современном мире, уступая место встроенным мерам защиты: встроенным в облачные платформы, приложениям, решениям по виртуализации, методам машинного обучения, распределенным и нереляционным базам данных, биометрическим решениям и блокчейну. И это создает определенные сложности для специалистов по кибербезопасности, которым все меньше придется иметь дело с привычными межсетевыми экранами, средствами идентификации и аутентификации, антивирусами и все больше с встроенными решениями, тесно интегрированными и в ИТ-, ив бизнес-процессы.
Сегодня не существует каких-либо проверенных методов выполнения ФЗ-187, так как самому закону всего три года и многие организации даже не завершили процесс категорирования, с которого и должен начинаться процесс защиты информации. Кроме того, стоит помнить, что под действие закона о безопасности критической инфраструктуры попадают как ломбарды, так и атомные электростанции, как банки, так и нефтяные танкеры. Совершенно разные организации, с совершенно разными подходами к своей цифровой трансформации. Кто-то внедряет цифровые двойники для своей продукции, а кто-то – искусственный интеллект для принятия решений, кто-то начинает использовать блокчейн для распределенного хранения информации, а кто-то активно уходит в облака и внедряет биометрию. Все это совершенно разные новые технологии, которые требуют разных подходов к обеспечению их кибербезопасности.
Что же касается метрик, то для бизнеса основной задачей является увеличение доходов при снижении расходов, что транслируется и на область информационной безопасности.
Внедряемые технологии должны как минимум снижать размер ущерба от осуществляемых атак и случившихся инцидентов. При снижении этого значения можно говорить об эффективности используемых подходов.
Для бизнеса основной задачей является увеличение доходов при снижении расходов, что транслируется и на область информационной безопасности. Внедряемые технологии должны как минимум снижать размер ущерба от осуществляемых атак и случившихся инцидентов. При снижении этого значения можно говорить об эффективности используемых подходов.
Я думаю, сегодня еще никто не может говорить о практике подготовки субъектов КИИ к проверкам со стороны регуляторов, так как ни одной проверки еще проведено не было. Первые пять объектов КИИ, по данным ФСТЭК, будут проверены только во второй половине 2021 г. Представители регулятора озвучили, что они не способны проверить даже 1% от общего числа объектов КИИ, что говорит о том, что о появлении лучших практик можно будет говорить только лет через 5–7, когда значимое число субъектов КИИ пройдет проверки ФСТЭК. Должен сформироваться условный "коллективный иммунитет", которым уже и можно будет делиться. Можно было бы ориентироваться на практики проверок государственных организаций и операторов персональных данных, но даже тут все не так просто: ФСТЭК сейчас меняет всю свою нормативную базу и нас ждет еще немало сюрпризов при проведении проверок значимых объектов КИИ.
Я бы не назвал это чем-то новым. В обычном мире преступники нацеливаются на нечто материальное, что можно продать или использовать напрямую. В виртуальном пространстве эту роль играют данные. Недаром говорят, что "данные – это новая нефть". Поэтому киберпреступники нацеливаются именно на данные: крадут их, скупают, привлекают недобросовестных сотрудников к краже и т.п. Утечки были 40 лет назад, они существуют сейчас, они будут проблемой № 1 и дальше. И чем более активно цифровая трансформация будет проникать в нашу жизнь, чем больше процессов будет оцифровываться, тем больше утечек данных будет происходить.
В уходящем году мы большую часть времени потратили не на цифровую трансформацию, а на решение авральных задач наших заказчиков, которым нужно было срочно внедрить удаленный режим работы на своих предприятиях. Хотя для тех, кто раньше был категорически против любой удаленки по причинам кибербезопасности, она стала не просто цифровой трансформацией, а цифровой революцией, которая позволила по-новому взглянуть на то, как можно выстраивать современные бизнес-процессы. Уже осенью 2020 г. часть наших заказчиков от авральной удаленки начала выстраивать полноценную стратегию мобильности для своих сотрудников, которые уже не привязаны к своим офисам, а должны подключаться из любой точки к данным и приложениям, размещенным как в корпоративных ЦОД, так и в облачных хранилищах.
Как я уже отметил, лучше, чтобы пентесты проводила независимая квалифицированная компания. Обычно к результатам "внешних аудиторов" у руководства предприятия значительно больше
доверия, чем к заключениям собственных, пусть и квалифицированных, специалистов по ИБ.
Стоит отметить, что самооценка ИБ в российских компаниях не выполняет ту функцию, которую на нее возлагают в западных стандартах по ИБ. Довольно часто она проводится формально и практически подгоняется под нужный результат. К самооценке стоит прибегать компаниям, имеющим серьезный уровень зрелости ИБ, в качестве подготовительного шага к проведению внешней независимой оценки.
Опубликовано в журнале "Системы безопасности" №1/2021