Нужно лучше разбираться в уязвимостях инфраструктуры и пробовать себя в роли злоумышленника
В 2022 году эксперты зафиксировали кратный рост угроз кибербезопасности. Сразу несколько ИТ-компаний в конце года обозначили ключевые киберугрозы, с которыми бизнес столкнется в ближайшем будущем. Например, «Лаборатория Касперского» одним из главных трендов 2023 года назвала выход вымогателей из тени: хакеры не пытаются связаться с пострадавшей организацией, а сразу выставляют сообщение о взломе, чтобы привлечь максимум внимания. Вторая тенденция — рост числа утечек персональных данных. Третья — злоумышленники в следующем году будут чаще обращаться к ресурсам даркнета за покупкой доступов к уже скомпрометированным сетям разных организаций.
Для усиления защиты ИТ-периметра и снижения рисков рекомендуется усовершенствовать подходы к обеспечению кибербезопасности. Так, Группа компаний Softline, ведущий поставщик решений и сервисов в области цифровой трансформации и информационной безопасности, провела киберучения для руководителей и специалистов в области информационной безопасности Трубной металлургической компании. По итогам учений выявлены сильные и слабые стороны команды, разработан план совершенствования системы информационной безопасности. Проект реализован при активном участии специалистов Infosecurity a Softline company. Как противостоять киберугрозам, «Эксперт-Урал» обсудил с генеральным директором Infosecurity a Softline company Николаем Агринским.
— Как менялись подходы к построению системы информационной безопасности в 2022 году?
— Изменилась целевая функция злоумышленников. До 2022 года их основным драйвером был заработок, они нападали на те компании, которые могли его обеспечить. С этого года у киберпреступников появились дополнительные цели: получить известность, одобрение или неодобрение тех или иных действий, заявить о каких-либо политических взглядах. К чему это привело? Изменились аспекты, на которые надо обращать внимание в первую очередь. Раньше приходилось, например, оценивать риски, связанные с потенциальным ущербом, теперь приходится анализировать риски, которые имеют отношение к новым целям злоумышленников. С этой точки зрения, подходы к построению системы информационной безопасности постепенно трансформируются, увеличивается объем рисков, не связанных непосредственно с денежным бонусом для нападающих.
— Способны ли компании противостоять киберугрозе?
— Компании могут самостоятельно противостоять кибератакам, но это стоит очень больших денег: придется содержать очень большой штат специалистов, приобрести все необходимые технические системы защиты, плюс разработать организационные меры, внедрить систему управления информационной безопасностью. И такие затраты для большинства бизнесов становятся либо очень высокими, либо неподъемными.
— Сколько времени нужно компании, чтобы осознать, что ее взломали?
— Это зависит во многом от того, что являлось целью взлома. Бывают ситуации, когда компания даже не догадывается, что ее взломали, если не получает ощутимого ущерба, не зафиксирует остановку каких-либо процессов, выхода из строя технологических объектов. Или узнает о взломе только после того, как в открытых источниках будут опубликованы конфиденциальные данные. Есть способы, которые позволяют сократить время выявления тех или иных атакующих действий. Если компания не обнаружила собственными силами факт взлома, увидеть это позволяют различные сервисы, задача которых — мониторить внешнее информационное пространство и анализировать информационные источники (в том числе и даркнет) с целью обнаружения негативной информации (например, продажи конфиденциальной информации компании). У нас есть сервис «ETHIC», который решает эту задачу.
— Как организованы киберучения и что такое киберполигон?
— У киберучений есть несколько важных задач. Первая — дать возможность сотрудникам компании почувствовать себя в роли как защищающихся, так и атакующих. Это максимально приближенная к реальности тренировка, возможность поработать со своей или аналогичной инфраструктурой. После завершения киберучений у специалистов должно складываться понимание, что необходимо улучшить с точки зрения защиты, на какие события стоит реагировать в первую очередь, чтобы максимально быстро выявить атаки, в каких областях недостаточно квалификации и что необходимо доработать в первую очередь.
Вторая задача — возможность посмотреть на людей в боевой обстановке. Кто-то из сотрудников максимально быстро ориентируется, собирает вокруг себя людей, становится неформальным лидером, дает необходимый результат, ищет решения. А кто-то, наоборот, не способен брать на себя ответственность, выполнять необходимые действия. И эта информация может быть очень полезна для руководства компании: когда сложится реальная ситуация, эти люди будут вести себя похожим образом.
Третья — киберучения могут показать бизнесу ключевые уязвимости. Очень часто нет адекватного понимания, что такое угроза информационной безопасности, каким конкретно образом она может привести к ущербу для бизнеса. Большинство руководителей воспринимают информационную безопасность только с точки зрения похищения конфиденциальной информации. Но угрозы могут привести к тому, что вся работа компании будет парализована на длительное время.
Платформа Киберполигон позволяет смоделировать некую цифровую копию инфраструктуры, в которой работает компания, как измененную, так и подобную действующей.
И провести учения именно на этой инфраструктуре, чтобы полученные результаты были максимально приближенными к реальности.
— Как часто необходимо проводить такие учения?
— Один-два раза в год. Если делать это чаще, специалисты по информационной безопасности будут отвлекаться от непосредственных задач. Кроме того, выводы, которые они и руководство компаний получают в рамках киберучений, не могут быть устранены за короткий срок. Это требует времени. Поэтому лучше всего делать перерыв, устранять то, что уже обнаружено, чтобы каждые последующие киберучения не только показывали новые, более серьезные проблемы, но и подтверждали, что предыдущие ошибки исправлены.
— Назовите главные киберугрозы, которые сейчас стоят перед бизнесом и государством.
— Это угрозы, связанные с остановкой деятельности предприятий, техногенными авариями, утечками ценной на уровне государства или крупного бизнеса информации.
— Похоже, разовыми мероприятиями здесь не обойтись.
— Обеспечение информационной безопасности — это непрерывный процесс, который нельзя прекращать ни на одну минуту и который требует постоянной вовлеченности на всех уровнях, начиная от специалистов и заканчивая топ-менеджментом. Ситуацией надо управлять на постоянной основе и применять те или иные меры в зависимости от окружающей обстановки.