Вперед — по рельсам кибербезопасности: ключевые тенденции и их применимость в России

Серьезные последствия возникают из-за недостаточной защиты информационной базы, человеческих ошибок или целенаправленных атак хакеров. Это может привести к компрометации личной информации пользователей, финансовым потерям и ущербу репутации компании. Необходимо повышать осведомленность бизнеса о потенциальных рисках и методах защиты от них.

«Деловой квартал» поговорил с бизнес-консультантом по информационной безопасности Алексеем Лукацким о том, какие технологические тенденции в сфере кибербезопасности сегодня наиболее перспективны, насколько технологии опасны для бизнеса и обычных граждан, готовы ли российские компании к отказу от Windows, а также зачем инвестировать в кибербез.

Какие ключевые события в мире информационной безопасности вы бы отметили в 2024 году? Что произошло важного на российском рынке или в мире в целом?

— Знаковые события обычно не попадают на страницы прессы, они остаются внутри отрасли. Я бы отметил, что ярким фактором считается взлом подрядчиков, которые предоставляют IT-услуги и информационную безопасность (ИБ) для российских организаций. Это, наверное, один из самых популярных векторов для атак со стороны злоумышленников, которые нацелены не на самих жертв, а сначала взламывают разработчиков российского программного обеспечения (ПО) и компании ИБ, затем через них, за счет проверенных отношений, ломают огромное количество организаций. Об этом редко говорят и пишут, стараются не выносить сор из избы, но, по опыту нашего центра мониторинга и по результатам расследований, которые мы проводили, видим, что таких случаев уже десятки и даже сотни, если смотреть в совокупности.

Вторая интересная тенденция — переход от разговоров об атаках и различной пиар-активности со стороны хакеров, когда они что-то ломают, в реальности не ломая, но сообщая об этом, либо, когда атака носит не продолжительный характер — различные DDoS-атаки, когда тот или иной сайт перестает работать. Сегодня мы видим реальный рост проникновений и закреплений внутри системы российских заказчиков, в результате чего компании сначала теряют свои данные, клиентов, сотрудников (идет нарушение законодательства о персональных данных), потом — всю инфраструктуру, а в ряде случаев происходит нарушение работоспособности каких-либо критических инфраструктур, например, отключение целого региона. Опять же, такого рода инциденты не выносятся или остаются на форумах, но мы видим, что серьезность последствий в рамках реализации инцидентов становится гораздо выше, и для многих организаций это недопустимое событие с катастрофическими последствиями, которые приходится исправлять достаточно долго.

Также мы видим рост количества дипфейков, но не шуточных, как это было еще в прошлом году, — когда с помощью скаченных из Apple Store или Google Play приложений можно было создать дипфейк друзей, — а реальные дипфейки, которые используют мошенники для того, чтобы втираться в доверие либо к социально незащищенным слоям населения, либо к корпоративным работникам, имеющим доступ к чувствительной информации. Например, главные бухгалтера, генеральные директора, а в первом случае — создание дипфейков мэров городов, звонки пожилым людям, пенсионерам, приглашение их на бесплатную диспансеризацию, выманивание одноразовых кодов от «Госуслуг» с последующей потерей доступа. Отмечу, что проблема не в самих «Госуслугах», а в отсутствии критического мышления у жертв и использовании современных технологий, что в совокупности привод к печальным последствиям. По нашим прогнозам, по мере развития разных коммерческих проектов по биометрии, мы увидим рост количества атак с хищениями денежных средств у российских организаций и физических лиц. Сейчас это носит единичный характер, но тенденция пугающая.

Уход с рынка западных вендоров, переход на отечественные до 1 января 2025 г. Кто в зоне риска?  

— 1 января 2025 г. не все перейдут с Windows на отечественное ПО, что подтверждает неготовность компаний. Эта проблема касается не самой неготовности индустрии, а неготовности заказчиков в части смены культуры работы с ПО. Мы действительно привыкли работать с Windows, офисными программами Microsoft, и очевидно, что переходить на другое больно, как для IT-департаментов, так и пользователей, которых этому не учили.

Если западный софт интуитивно понятный, то наша эргономика еще сильно страдает — мы находимся в самом начале пути, однако переносить срок (1 января) никто не будет. На мой взгляд, это и подстегивает российские компании заниматься импортозамещением. Если мы берем во внимание дату перехода, то в первую очередь следует отказаться от средств защиты из недружественных государств. В этом плане российская отрасль кибербезопасности находится в лучшем положении, потому что мы исторически жили в условиях, когда нам приходилось работать на базе недоверенных платформ Windows, Apple, Linux, и защищать сетевую инфраструктуру на нероссийском оборудовании. Отечественная отрасль ИБ уже до всех предпринятых шагов по импортозамещению, которые начались в 2014 г., неплохо существовала. Сейчас мы фиксируем взрывной рост интереса к российским разработкам, они активно внедряются. Но основная проблема связана с общесистемным и прикладным программным обеспечением, ее так быстро не решить. Поэтому во многих сферах появляются свои отраслевые планы перехода, которые растягиваются до 2030 г.

Так или иначе, все случится. Здесь стоит отметить, что в сентябре 2024 г. происходит серьезное переосмысление отношения к цифровому суверенитету. Связано это с атаками вливания, взрывами пейджеров. Такой фактор заставляет многих задуматься, прозрачны ли цепочки поставок. Сегодня в рамках глобализации мы не можем сказать, из какой части света, с какого завода приходят батарейка, чип или микросхема. Это вызывает дополнительные риски, которые, как мы видим, были реализованы. Именно поэтому многие государства сегодня начинают задумываться о перестройке глобальных цепочек поставок, о разворачивании локального производства электронных компонентов.

Я думаю, на горизонте 20-30 лет глобализация в области IT начнет сокращаться, и многие крупные государства перейдут на понятие цифрового суверенитета, которое очень долго воспринималось негативно. Россия в выгодном положении, потому что импортозамещение, как я уже говорил, началось с 2014 г. Сейчас мы встали на эти рельсы и активно по ним движемся — делаются инвестиции в российскую электронику. Поэтому те события, которые произошли, только подхлестнут инвестирование в отечественные заводы, в разработку программных продуктов, что лучшим образом скажется и на кибербезопасности, и на IT-сфере, и на экспортном потенциале российских разработок в дружественные страны.

То есть российский рынок одновременно и консолидируется, и выращивает новых игроков?

— Да.

Некоторые «безопасники» уже считают, что операторы киберстрахования имеют слишком большое влияние, когда дело доходит до решений о реагировании на инциденты. Как сейчас обстоит ситуация с киберстрахованием в России? Будет ли развиваться эта тенденция в будущем?

— В России это точно не так, потому что рынок киберстрахования у нас не развит. Несмотря на то, что первые попытки создания законодательной базы предпринимались еще в 1999 г., и мне довелось участвовать в разработке закона об обязательном страховании киберрисков, до сих пор он принят не был. Сейчас идет очередная волна попыток законодательного регулирования. Единственная сложность — страховые компании не могут договориться с организациями-заказчиками о том, какова стоимость объекта страхования.

Когда мы, например, говорим о страховании сервера или оборудования, у них есть стоимость, остаточная стоимость, амортизация — эксперты в любой момент могут сказать, сколько он стоит, а сколько компания теряет от простоя. Если речь идет о нематериальных объектах, то здесь нет однозначной схемы оценки стоимости этих активов — существует порядка 30 методов оценки, которые прописаны в стандарте бухучета, и каждый из них имеет право на жизнь.

Уравнение простое — если не будет единой методики оценки, то и страховые не смогут четко определить, сколько стоит тот или иной риск, какая должна быть ставка страхования, тарифы и страховая премия. Без такого знания заказчики и не идут в этот рынок. А главное — что и западные страны очень сильно спотыкаются, так как там рынок киберстрахования начал активно развиваться по мере роста количества инцидентов, а нормальная живая статистика отсутствует. Если мы посмотрим на обычное страхование жизни или автомобилей, то у нас есть огромный объем данных, на базе которых можем вычислять тарифы и выплаты. А в отрасли киберстрахования у нас нет такой статистики, данные по инцидентам скрываются, и главное — сложно рассчитать ущерб от инцидентов. Поэтому страховые не могут нормально заниматься вычислениями, составлением актуарных таблиц. В России этот рынок не развит, есть порядка 3-5 страховых компаний, которые в качестве некой PR-активности предлагают разного рода услуги, но реально заключенных договоров у них нет. Сейчас все ждут, когда ЦБ и правительство все-таки примут законопроект о страховании киберрисков. И когда это произойдет, тогда у всех появится интерес этим заниматься.  

А на Западе это действительно растущая отрасль, но при этом она достаточно рисковая — аналитики рынка говорят о том, что страховые компании могут как выиграть, входя в этот новый сегмент бизнеса, получить деньги от клиентов, так и потерять, если произойдет какой-то инцидент с серьезными убытками, как, например, в 2024 г. в американской корпорации UnitedHealth Group. Медицинскую структуру атаковали шифровальщики — ущерб оценили в 1,8 млрд долл. И как страховые компании бы выкручивались, если бы они застраховали эти риски, никто не знает.

Россия сегодня в начале пути, но на достаточно перспективном. Многие компании могут балансировать между инвестициями, затратами в кибербез, а в случае, если инцидент произойдет, получить хоть какое-то возмещение.

Часто службы безопасности работают изолированно от бизнес-целей компании. Как  «безопасникам» и топ-менеджерам достигнуть мира?

— Все очень просто — «безопасники» должны понять, что они работают не на регулятор, а им платит зарплату бизнес, какие услуги оказывает организация, что может быть реализовано плохого, если тот или иной процесс (бизнес-процесс, технологический процесс) будет остановлен или замедлен. Компьютерных угроз у нас существует бесконечное множество — это математически доказанный факт, защититься от всех просто невозможно. Поэтому «безопасники» должны отталкиваться именно от бизнес-потребностей, определить те катастрофические последствия, которые есть у бизнеса, посмотреть, как они могут быть реализованы в IT-сфере. А после либо предотвратить это путем перестройки инфраструктуры, либо поставить события на мониторинг для быстрого реагирования.

Несмотря на то, что мы занимаемся кибербезом, и вроде бы как все понимают про угрозы, вредоносные программы, у нас все равно выделено на уровне топ-менеджмента всего четыре недопустимых события. Они транслированы на инфраструктуру, вся безопасность выстроена вокруг них. Мы понимаем, что компанию могут взломать, а на фишинг попасться любой наш сотрудник — такое иногда происходит. Но это не приводит к катастрофическим для бизнеса последствиям. Поэтому наша задача — защитить бизнес от краха, а не только бездумно устанавливать средства защиты. Ровно это же мы и рекомендуем делать всем компаниям. И стоит отметить, такой подход результативной кибербезопасности в реальности начинает активно применяться и на Западе. Во многих странах (США, Великобритании, ОАЭ) появляются аналогичные требования, чтобы кибербезопасность смотрела именно на бизнес-процессы, получала поддержку от руководства, определяла критические риски. Это позволяет найти точки соприкосновения между бизнесом и ИБ, а также более грамотно тратить бюджет, так как мы защищаем не абсолютно все, а только то, что важно здесь и сейчас. Тогда у руководства появляется знание, почему нужно инвестировать в кибербез. 

Елизавета Михайлова