Необходимый баланс между защитой и работоспособностью компьютерной системы обрекает её на уязвимость. Тем не менее, большую часть времени она способна работать. Это плохая и хорошая новости, рассказанные «Моноклю» специалистом в связи с резонансными сбоями, с которыми в минувшем месяце столкнулись несколько крупных российских компаний.
28 июля оказалась фактически парализована работа авиакомпании «Аэрофлот». Компания отменила десятки рейсов. А хакеры из группировок Silent Crow и «Киберпартизаны Белоруссии» заявили, что атаковали авиакомпанию. Однако это не было подтверждено её специалистами компании, впрочем, в качестве причины возникших проблем была официально указана именно хакерская атака.
А буквально на следующий день перестала функционировать сеть аптек «Столички». Тут официальная причина – технический сбой, правда, внешние специалисты высказывают подозрение, что сеть также пала жертвой киберпреступников.
Но несмотря на различные апокалиптические сценарии, которые озвучивали некоторые эксперты – что на восстановление работы и «Аэрофлоту» и «Столичке» потребуется чуть ли не месяцы, компании сумели быстро вернуться к нормальной работе. В то же время, независимо от причин сбоев, сам их факт заставляет задуматься о надежности цифровых систем в современном цифровом мире, в котором мы все теперь живем и порой оказываемся заложниками надежности этих систем.
Чтобы обсудить эту проблему мы встретились с Владимиром Ульяновым, руководителем аналитического центра компании «Zecurion», одной из ведущих российских компаний в области информационной безопасности.
Нашу беседу Владимир Владимирович начал со слов:
— Не стоит думать, что если компанию взломали, то всё там плохо, что это какая-то катастрофа. На самом деле не существует таких систем, которые были бы на 100% безопасны, на 100% надежны, которые бы гарантировали, что их никогда не взломают, ни при каких обстоятельствах. И это, действительно, оборотная сторона сегодняшнего уровня развития IT-технологий. Мы их внедряем, они очень сильно облегчают жизнь и для компаний, и для потребителей. Но оборотная сторона медали – это увеличение рисков того, что информация может быть скомпрометирована, и может быть нарушена работоспособность этих систем.
Тем более, что мы понимаем, что сама по себе система не в вакууме работает, она работает на реальном оборудовании, на операционных системах, взаимодействует с другими программами и комплексами. И даже если мы теоретически сделаем допущение, что наша система суперзащищенная, то никто не гарантирует, что все компоненты, на которых она работает, та же самая операционная система, и с которыми она взаимодействует являются неуязвимыми. Нет, всегда, везде, в любом программном обеспечении есть какие-то уязвимости.
— Т.е. налицо классическое соревнование брони и снаряда: то ли злоумышленник первым обнаружит уязвимость то ли специалист по информационной безопасности?
— Совершенно верно. А уязвимости и вероятность того, что какую-то систему взломают – они всегда существует. Просто вероятность чуть выше, чуть ниже. И вопрос по большому счету, наверное, не в том, насколько она неуязвима, а в том, насколько сложно ее взломать и сколько ресурсов потребуется злоумышленникам, чтобы ее взломать? И тут, конечно же, задача специалистов по информационной безопасности – максимально это затруднить, для того чтобы злоумышленники в какой-то момент отказались от своего замысла, поняли, что им это взломать слишком сложно.
Поэтому прежде чем делать выводы [по поводу ситуации, имвшей место у «Аэрофлота»], я бы подождал пока не будут опубликованы какие-то результаты расследования этого инцидента. С другой стороны, я понимаю, что, скорее всего, в публичном доступе реальные отчеты мы никогда не увидим. Это те документы, на основании которых специалисты будут выстраивать и укреплять информационную безопасность, для того чтобы в будущем подобных инцидентов, подобного масштаба не происходило. Но отмечу, что реакцию специалистов «Аэрофлота», которую я наблюдал по публичным источникам, в целом я высоко оцениваю.
Тем более, что с точки зрения информационной безопасности системы важно не только предотвратить угрозы, но в случае, если какая-то атака оказалась успешной, обнаружить, что действительно произошло, и, конечно же, постараться минимизировать её последствия и максимально быстро восстановиться после нее. Это называется киберустойчивость. И вот в случае, который мы обсуждаем, если подходить с точки зрения киберустойчивости, то хотя система была взломана, но работоспособность системы была в короткий срок восстановлена, и каких-то безвозвратных потерь, по крайней мере, на текущий момент, я не вижу.
Поэтому, конечно же, надо расследовать инцидент, и понять, что стоит за этим инцидентом, что к нему привело и каким образом. Кто, может быть, недоработал где-то, что не идеально было. Но я вижу свидетельства неплохого уровня профессионализма коллег, которые смогли достаточно быстро восстановить работу системы.
— Тем не менее, на ваш взгляд, это принципиальная сторона цифровых систем - подверженность всякого рода таким сбоям?
— К сожалению, да. Как я уже сказал, информационная безопасность – это всегда поиск определённого баланса между защищенностью системы и удобством её использования. Если мы начинаем усиливать безопасность, ужесточать какие-то требования, мы можем дойти до такой грани, где пользоваться системой будет невозможно. Например, многоэтапные проверки будут усложнять работу системы, затруднять доступ к ней, увеличивать время, которое потребуется для осуществления операций. Поэтому важно найти какой-то баланс: так чтобы это ещё было вполне удобно и работоспособно, чтобы потребители, в конце концов, не отказывались от работы с такой системой. С другой стороны, обеспечить достаточно высокий уровень её безопасности.
И поиск вот этого баланса, это можно назвать даже в какой-то мере искусством. Но в каких-то случаях мы эту грань между удобством и безопасностью ужесточаем. Например, если мы знаем или чувствуем, что сейчас в отношении нашей компании могут предприниматься какие-то большие атаки, мы будем ужесточать требования по безопасности. А в каких-то случаях мы будем облегчать эти требования.
Так же, примерно, если переходить на обычный бытовой уровень, когда мы решаем какой пароль нужно использовать для нашего аккаунта: очень сложный, очень длинный или максимально простой? Делаем длинный – он в голове не умещается. Тогда мы или где-то записываем его, или используем опцию «сохранить пароль» в браузере, но тем самым снижаем безопасность.
Поэтому важно найти компромисс. Например, мы создаем супердлинный пароль для самого важного для нас аккаунта, для электронной почты или какой-то банковской системы, и простой, легкий пароль для всех остальных случаев: пароль на новостной сайт или программу лояльности в магазине,
— Насколько я понимаю, в любой более менее сложной программе существуют некие дефекты, вроде бы они называются баги, зная которые, злоумышленники могут влезть в нее, эти дефекты и являются одними из источников возможностей для внедрения в систему?
— Примерно так. Это, скажем так, недостатки, которые называются уязвимостями. Поиск этих уязвимостей – это, наверное, одна из базовых задач в области информационной безопасности и для специалистов по безопасности –чтобы найти и устранить их, и, с другой стороны, для злоумышленников, которые стремятся первыми находить уязвимости.
Причём в каких-то случаях одни и те же люди, условно говоря, могут работать на две стороны. Компании в некоторых случаях объявляют так называемую программу «Bug Bounty» – поиск уязвимостей в их системах за вознаграждение. И перед нашедшим эту самую уязвимость встает дилемма. Если ты плохой человек, то – использовать её для того, чтобы взломать систему, или продать каким-нибудь хакерам. Или ты заявляешь разработчикам, владельцам системы, что «смотрите, я у вас нашел уязвимость», и получаешь вознаграждение.
— В чём все-таки может заключаться предварительная работа по предупреждению таких угроз? Может, это разработка подробнейших инструкций того, как работать с системой, с тем чтобы постоянно контролировать ее состояние? Может это строжайший контроль за соблюдением всех инструкций. Если положено менять пароль, значит, доложи, что поменял или предусмотри автоматическую замену. Может, это дублирование систем: если вдруг она подверглась нападению и вышла из строя, переключиться на дублирующую систему. Ну и наконец, использование аналоговых систем на самых ответственных участках, где опаснее всего внедрение какой-то внешней угрозы. Во многих военных системах такое дублирование предусмотрено.
— Согласен. В принципе, те вещи, которые вы озвучили, я с ними по большей части соглашусь, и они, наверное, универсальны в отношении любых угроз, которые могут возникать, и не только с компьютерами. То же самое дублирование, чаще двукратное (а в некоторых системах трех- или четырехкратное) используется, действительно, на особо ответственных участках. И, кстати, мы видим, что первая реакция компании «Аэрофлот» была – не то, что нас взломали, а технический сбой. То есть с технической точки зрения что-то не работает. А почему оно не работает – это уже следующий этап расследования. В конце концов, возможны действительно технические сбои. Не вследствие злого умысла, а вследствие того, что что-то вышло из строя.
Как, например, относительно недавно, когда в Москве были катастрофические ливни, было несколько случаев, когда затапливались дата-центры, и система выключалась. Это не хакеры, а так случилось. Поэтому, если есть дублирующая, резервная система, она принимает нагрузку на себя.
Но, если мы говорим о масштабах серьезной IT-системы, то при создании дублирующей системы все это будет стоить как минимум в два раза дороже,. Поэтому, если мы будем дублировать абсолютно все функции и задачи, то те же, авиабилеты будут стоить в два раза дороже. Вряд ли кто-то порадуется.
Поэтому это тот же вопрос о балансе между защищенностью и доступностью систем. Мы живем в реальном мире, и фактор денег на самом деле никогда не стоит сбрасывать со счетов. Он часто является определяющим. Опять баланс.
Как в школе, должна быть строгая дисциплина при обучении? Да, должна быть. Но если учитель будет слишком жёстко эту дисциплину закручивать, то вряд ли это позитивно повлияет. Иногда надо немножечко отпустить дисциплину, пусть поиграют, мозги переключат. Так же и в области IT-технологий. С одной стороны, должны быть четкие и понятные инструкции, с другой стороны, жесткость их относительна. Потому что жёсткие инструкции ограничивают возможности использования тех же самых систем.
Ну, например, человек должен взять флешку, отнести её к компьютеру, подключить, только тогда он получает доступ. Но если ты это делаешь несколько раз в день, то в какой-то момент устанешь и оставишь эту флешку подключеной. Поэтому жёсткость должна быть ограниченной.
И наконец, то, что касается аналоговых систем. Я боюсь, что невозможно использовать одновременно и IT-системы, и аналоговые, хотя в каких-то интерфейсах, скажем так, мы это видим. Например, мы подходим к стойке регистрации авиакомпании, общаемся с живым человеком. Это же представитель, скажем так, аналогового интерфейса.
Более того, например, если электронная система не работает, что мы тогда делаем? Берём и оформляем те же самые билеты или регистрацию на рейс в бумажный журнал.
Но это история, которая на самом деле не может быть отмасштабирована, с ней очень тяжело работать в современных реалиях. Поэтому переход на такие системы только точечный, временный, прямо сейчас, в самых каких-то критических случаях.
— И все же, что на Ваш взгляд нужно делать?
— Я выделяю три ключевых направления.
Первое – это технические решения систем информационной безопасности, которые реально позволяют обеспечить эту самую безопасность. Т.е. искать уязвимость или трафик фильтровать, и предотвращать возможные проникновения.
Второй фактор – это процессы. Процессы как раз обеспечения безопасности, потому что сами по себе технические решения не работают. Они работают только в рамках того, что они встроены в какой-либо процесс, и люди, которые отвечают за обеспечение этого процесса, действительно знают, что делать, у них есть инструкция и понимание, как работать с этими системами. Их не просто поставили и забыли. Нет, они каждый день заходят и смотрят те же журналы, состояния систем информационной безопасности, ищут там аномалии, несоответствия, отклонения. Они настраивают так называемые «алерты», или предупреждения, сообщения, чтобы система, когда выявляет какую-то аномальную активность, сообщала об этом, чтобы обратили внимание и посмотрели повнимательней: что там, всё нормально? Опять же невозможно настроить систему, какая бы она хитрая и умная ни была, чтобы она 100% всегда гарантированно точно работала. Она ошибается и в одну, и в другую сторону. Бывают ошибки, когда происходят ложные срабатывания или ложноположительные, и в ту, и в другую сторону. Поэтому тут тоже проявляется вероятностная природа этой работы.
И наконец, третий фактор – это люди. Люди не только те, которые обеспечивают процесс информационной безопасности, специалисты, но и люди, которые работают с этими системами, обычные линейные люди, которые, так или иначе, работают в системе. Они могут оказаться уязвимым звеном. Они могут скомпрометировать пароль. Может быть, они где-то записали его, и злоумышленники увидели, получили доступ. Может, где-то на рабочем столе было сохранено, в браузере. Такие истории – на самом деле периодически происходят, с этим приходится сталкиваться.
Технические решения, процессы и люди: по этим трём направлениям и необходимо работать в плане обеспечения информационной безопасности. По каждому подкручивать. И инструктажи для людей, для обычных, и инструктажи и инструкции для специалистов по информационной безопасности, и, конечно же, использование самих средств информационной безопасности. Вот когда в комплексе это работает, отработано хорошо, тогда достигается относительно высокий уровень информационной безопасности. И опять же, он не идеальный, какой-то не стопроцентный.
И ещё если говорить о нашем случае. Один важный момент хотелось бы проговорить. Несмотря на то, что последствия атаки успешно преодолены, более того, в следующие дни мы слышали истории про взлом каких-то аптек и чего-то ещё, давайте поймём, что атаки происходят постоянно, ежедневно, ежечасно, и лишь небольшой процент этих атак оказывается успешным. То есть мы говорим: с одной стороны это плохо, сломали систему, ребята что-то не доработали. Да, недоработали. Но давайте посчитаем, сколько атак они успешно отразили с помощью тех средств и процессов, которые они выстроили. Мы же этого не видим. Это только верхушка, маленькая вершинка айсберга такие успешные атаки, а те, которые отражаются постоянно, ежедневно – вот это незаметно и проходит мимо СМИ.