В последнее время российским компаниям все больше внимания приходится уделять вопросам информационной безопасности, что связано как с инициативами регулятора, так и с увеличением количества опасностей. При этом, по прогнозам специалистов, в дальнейшем ситуация может ухудшиться, достигнув при этом катастрофических масштабов. Об основных трендах нынешней ситуации, а также о том, какие пути для преодоления проблем существуют, специалисты рассказали в рамках круглого стола "Безопасность в опасности - современный взгляд" в рамках IV CIO&CXO Конгресса "Подмосковные вечера".
И пришли кибертеррористы…
Роман Косичкин, руководитель группы предпродажной поддержки и консалтинга Kaspersky Lab EEMEA, в рамках мероприятия рассказал о том, как изменились киберпреступники за прошедшие годы. Так, до конца 90-х гг. опасность в основном исходила от отдельных киберхулиганов, для которых основной целью было отнюдь не получение финансовой прибыли - они, скорее, были заинтересованы собственно в процессе взлома. В начале 2000-х гг. появился другой класс нарушителей - сетевые воры, которых уже интересовало получение денег за счет взлома банковских систем и т.д. Однако это были отдельные личности, которые самостоятельно разрабатывали вредоносные решения. В середине 2000-х гг. появились преступные группировки, что было обусловлено значительно возросшей ценностью информации. Тогда процесс взлома оказался разбит на различные этапы, каждым из которых занимались отдельные "специалисты".
Полтора года назад прозвучал первый сигнал о том, что мы переходим на следующий уровень. В одной из латиноамериканских стран, как рассказал г-н Косичкин, киберпреступники получили доступ к сетям энергетической компании. В результате в нескольких городах пропало электричество, а их администрации было предложено заплатить выкуп. На тот момент случай был единичным, сейчас же ситуация изменилась.
На данный момент это уже не просто киберпреступники - это кибертеррористы. Точкой отсчета можно считать это лето, когда появился червь Stuxnet. Этот червь заражал компьютеры, на которых была установлена система управления производством, при этом Stuxnet эксплуатировал неизвестные ранее уязвимости "нулевого дня" (zero-day). Целью червя был контроль надо производственными процессами, соответственно под ударом оказалась промышленность, энергетика и так далее. Особенностью вредоноса стало то, что финансирование в его разработку явно было весьма серьезным: он, например, использовал действительные сертификаты безопасности Realtek и JMicron, причем, когда первый сертификат был отозван, сразу появилась версия с другим сертификатом. Высказывается даже версия, согласно которой в разработке червя приняло участие какое-либо государство. На днях стало известно, что зараженной этим червем оказалась сеть бушерской электростанции (Иран). Все это, по мнению г-на Косичкина, говорит о том, что мы стоим на пороге гонки кибервооружений.
Ситуация с информационной безопасностью осложняется и тем фактом, что изменились сети компаний. Так, основным трендом здесь стало отсутствие периметра сети. Если периметр трудно преодолеть логически, то физически сейчас это сделать очень легко - сотрудниками используются "флешки", смартфоны, ноутбуки и другие мобильные устройства, на которых можно принести различные вредоносы. Соответственно акцент теперь надо делать не на защите периметра, как это делалось раньше, а на защите конечных устройств.
Еще одним трендом настоящего времени является рост количества угроз: если в 2008 году количество вредоносных кодов составляло 15 млн, то в 2009 году - уже 17 млн. При этом антивирус, конечно, не является панацеей, так как не может справиться со всеми аспектами уязвимостей.
Среди уязвимостей можно выделить несколько основных типов. Первый - уязвимости, появившиеся еще на этапе разработки решения. Вспомнить можно, например, историю с кофе-машиной, имевшей доступ в Интернет для связи с владельцем, чем и смогли воспользоваться киберпреступники. Или самолет, сеть управления которым оказалась объединена с сетью, которая использовалась пассажирами - в результате, реальный самолет мог быть использован как авиасимулятор.
Второй тип проблем связан с отсутствием обновлений. Как рассказал спикер, в компанию часто обращаются с проблемами, которых уже давно можно избежать благодаря выпущенным обновлениям, однако пользователи по тем или иным причинам забывают это сделать. Традиционными проблемами являются слабость парольной защиты и неосведомленность пользователей. Соответственно, для обеспечения безопасности нужно походить к решению комплексно.
Тайное должно стать явным
Илья Сачков, эксперт в области расследования киберперступлений, член экспертного совета RISSPA, заметил, что гонка кибервооружений происходит потому, что в уравнении безопасности нет параметра ответственности за совершенное преступление. Сейчас киберпреступники, ворующие банковские ключи, представляют собой группу минимум из 8 человек, а также фирму, занимающуюся "обналичкой" денег. Это уже ОПГ, это бизнес, который приносит больше денег, чем можно заработать на продаже наркотиков. Для сравнения - молодой человек при помощи dial-up-подключения и бот-нета сумел за месяц заработать и обналичить более миллиона долларов. Другая группа хакеров заработала за месяц $24 млн. И это не очень высокопрофессиональные люди - их смогли поймать.
В Интернет даже можно найти объявления о таких услугах. И несмотря на то, что 80 % из них - фейк, 20 % - реальные предложения. "Мы делали контрольную закупку: за $25 купили дампы кредиток с реальными деньгами, - рассказал г-н Сачков. - Даже самые безопасные token последнего поколения уже не гарантируют безопасности. Российский же менталитет приводит к тому, что за заработанные деньги киберпреступники зачастую получают и юридическую неприкосновенность".
Бороться с киберпреступниками можно двумя путями, причем, у каждого есть как плюсы так и минусы. Первый путь - с помощью собственной службы безопасности. С одной стороны, это обеспечивает отсутствие дополнительных финансовых затрат, работу с теми, кто понимает особенности бизнеса, а также отсутствие утечек информации. С другой стороны, эти сотрудники могут быть причастны к претсуплению, собранные ими доказательства не имеют юридической силы, они на время расследования бросают свою основную деятельность, у них отсутствуют необходимые знания и оборудования.
Второй вариант - обращение к правоохранительных органам. К минусам этого пути можно отнести, прежде всего, тот факт, что в России в МВД пока нет структуры, умеющей заниматься киберпреступлениями - работать с DDos-атаками, например, могут только в Москве. "Попробуйте позвонить в милицию и сообщить о киберпреступлении - скорее всего, запись тут же окажется в Интернете, - сокрушается Илья Сачков. - Работа с МВД чаще всего чревата утечками информации в прессу". Кроме того, до сих пор используются устаревшие методики, нет мотивировки, отсутствует оперативность реагирования. Однако спикер призвал обращаться в милицию, несмотря на это. Дело в том, что сейчас статистика говорит о том, что в России нет киберпреступности - ведь нет обращений в милицию по этому поводу.
Г-н Сачков отметил, что необходимо создать базу киберпреступлений, иначе через 2-3 года киберпреступность победит. Кроме того, такая база данных может многим помочь. Так, было рассказано про то, как в одну из компаний был принят ИТ-директор, после чего компания потеряла около $0,5 млн на доменных именах. На расследование, которым занимался ИТ-директор совместно со следователем, было выделено $250 тыс, однако оно не принесло результатов. Оказалось, что ИТ-директор сам это все организовал, а ранее он был под следствием по схожему делу. Вина его до сих пор в суде не доказана. В итоге он обошелся компании в $750 тыс.
Илья Сачков высказал мнение, что если бы банки озвучивали информацию об инцидентах, если бы пойманные преступники были наказаны изаведены "громкие" дела, то такие банки стали бы не так интересны для киберпреступников. Для ведения расследований нужно в компании иметь специальные "критические" чемоданчики, в которых будут средства для записи голоса и видео, сертифицированные в МВД - только в этом случае доказательства будут иметь юридическую силу. Стоимость такого чемоданчика, если его собирать в России, примерно составит $6 тыс., если же привозить из-за рубежа - $20 тыс.
Куриная слепота ИБ
Игорь Ляпунов, Директор Центра информационной безопасности, ЗАО "Инфосистемы Джет", затронул вопросы эффективности бюджетов на ИТ-безопасность. Он рассказал, что компанией регулярно проводятся тесты защищенности систем безопасности различных компаний, и на данный момент в 9 из 10 случаев методы взлома работают. В одной из недавно тестированных телекомкомпаний бюджет на ИБ достиг $2,5 млн в год, однако от простейшего "пионерского" взлома это не уберегло.
Основная проблема кроется в том, что после установки системы ИБ, как правило, специалисты не видят, что происходит с системой, не анализируют инциденты, и она "расползается". На данный момент в 80 % случаев ИТ-директора в рамках решения вопросов безопасности занимаются модернизацией инфраструктуры, миграцией на другое ПО. При этом драйвером действий являются ФЗ-152, соображения "гигиены" сети, следование лучшим практикам по принципу "все ставят". Кроме того, специалисты не понимают, что именно руководство будет считать успешным результатом работы в области ИБ. Таким образом, на данный момент основным средством обеспечения ИБ является превращение маленького "забора" в большой.
Г-н Ляпунов пояснил, что такая политика - не выход из ситуации. Наиболее удачным решение - поставить наблюдателя, который будет следить за маленьким "забором", т.е. использовать средства контроля и монитринга. Такой специалист обязан регулярно анализировать уязвимости, следить за установкой патчей и обновлений. Кроме того, в компании необходимо честно смотреть на конфигурацию используемой системы - средства безопасности надо не только устанавливать, но и настраивать в соответствиями с потребностями. Спикер заметил, что это вопрос не внедрения новых решений, а наблюдения за процессом: специалисты компании должны знать, что делать в том или ином случае.