Следите за новостями

Цифра дня

Более 300 дронов официально зарегистрировано в РК

PROFIT Security Day 2017: серебряной пули от всех угроз не существует

Бизнесу необходимо использовать комплексную защиту с учетом современных тенденций, считают специалисты по информационной безопасности.

8 ноября 2017 09:00, Наргиз Асланова, Profit.kz

3 ноября в Алматы прошла ежегодная конференция PROFIT Security Day. В мероприятии приняло участие около 300 человек. Офицеры информационной безопасности, эксперты, вендоры и специалисты собрались, чтобы обсудить способы защиты чувствительной бизнес-информации. Были затронуты вопросы госрегулирования, современные тенденции киберугроз, а также рассмотрены варианты решений по предотвращению инцидентов информационной безопасности.

Открыл PROFIT Security Day 2017 Олег Седов, эксперт по информационной безопасности, главный редактор Ассоциации по вопросам защиты информации (Business Information Security Association, BISA). Он обратил внимание присутствующих на то, что угрозы информационной безопасности глобальны, и важно использовать лучшие практики для борьбы с ними: «Никакой специфики рынка Казахстана в данном вопросе не существует. Угрозы везде одинаковые. Всех одинаково „накрывают“ шифровальщики, всех одинаково беспокоят хакеры, вредоносы. Они не знают границ и национальных различий. Мы все — в едином профессиональном сообществе».

Profit Security Day 2017, Олег Седов

В этом году участники конференции много говорили о новых тенденциях, которые появились совсем недавно, но уже оказывают серьезное влияние на принципы ИБ, а также об одной достаточно старой проблеме, которая сегодня вышла на новый виток развития. Речь идет о человеческом факторе. Неосведомленность пользователей и их халатное отношение к вопросам информационной безопасности специалисты считают одними из основных факторов распространения современных киберугроз. От 50% до 95% всех инцидентов ИБ случается именно из-за влияния человеческого фактора.

«Вы можете использовать дорогостоящие системы, системы предотвращения вторжений, защиты периметра. Но вся эта защита может оказаться бесполезной из-за действий сотрудников. Поэтому мы в первую очередь даем людям знания и говорим, что нет „серебряной пули“, убивающей всех зловредов. К защите надо подходить комплексно, и вкладывать безопасность в умы сотрудников. Бизнес строится на трех вещах: люди, процессы и технологии. Только после того, как у вас будут грамотно обученные сотрудники, у вас будут нормальные бизнес-процессы в компании. А когда и бизнес-процессы соблюдаются, то можно приступать к использованию технологий», — считает Нурбек Рахимов, региональный менеджер Trend Micro в Центральной Азии.

Пока не все пользователи понимают важность интернет-гигиены, того, как себя нужно вести в интернете, как придерживаться принципов информационной безопасности. Человеческий фактор связан с тем, что люди не любят соблюдать правила. Несоблюдение политик информационной безопасности, небрежность при работе с конфиденциальными данными, ошибки пользователей, недостаток знаний или экспертизы — вот наиболее распространенные проблемы. Между тем, киберпреступники сегодня — это не просто тот или иной человек, взломавший сайт. Это транснациональные группировки, миллиарды долларов оборота, люди с высокой квалификацией.

«По ту сторону экрана — те, кто занимается киберпреступлениями. Они очень хорошо объединены, отлично организованы, хорошо профинансированы. И они достаточно сильны. В киберпространство люди переносят свою жизнедеятельность. И миссия нашей компании — сделать это пространство более безопасным», — отметил Роман Сологуб, генеральный менеджер группы компаний Information Systems Security Partners (ISSP).

Profit Security Day 2017

Зачастую бизнес «закрывает глаза» на вопросы информационной безопасности. Это привело к тому, что по всему миру потери от WannaCry составили $1 млрд, а потери от Petya.A — $850 млн. По оценке страховой компани Lloyd's, глобальная кибератака может спровоцировать экономические потери в среднем на $53 млрд. Кибератаки входят в топ 5 рисков, а 63% профессионалов ИБ считают, что целевая атака на их компанию — лишь дело времени. К слову, мировой рынок решений в области ИБ сегодня оценивается на сумму, близкую к $150 млрд, а уже к 2022 году он может вырасти до $225 млрд.

Одним из основных объектов защиты в современном бизнесе становится информация. Хакеры пытаются красть «новую нефть» самыми изощренными способами, активно используя социальную инженерию.

«Бизнесу главное не спать. Технологии развиваются и совершенствуются. Бизнес растет, информация приобретает все большее значение. Соответственно, появляется больше периметров, которые нужно защищать. В современном мире надо быть „на волне“. Trend Micro ориентируется в первую очередь на удовлетворение потребностей бизнеса. Для нас основная задача — это выпустить на рынок такое решение, чтобы заказчик был доволен. Основными тенденциями сейчас являются таргетированные атаки. При этом используется социальная инженерия», — говорит Нурбек Рахимов.

Его поддержал Илья Борисов, менеджер ИБ по странам СНГ международной компании Thyssenkrupp Industrial Solutions: «В концепции модели рисков информационной безопасности пользователь занимает особенное место. С одной стороны, пользователи являются угрозой. Существует целый ряд решений, направленных на то, чтобы защищаться от пользователей, которые провоцируют утечки, открывают письма с вирусами и т.д. С другой стороны, пользователи являются первой линией защиты от многих угроз, в первую очередь — от угроз, связанных с социальной инженерией, с использованием фишинга и т.д. И именно на построение системы защиты, основанной на пользователях, направлены программы Security Awareness. Они складываются из системы осведомленности, информирования пользователей о том, что такое информационная безопасность. Можно говорить, что это некий внутренний маркетинг ИБ в организации. Второй аспект — это донесение информации о важности информационной безопасности до пользователей. Как правило, с пониманием важности дело обстоит сложно. Людям сложно объяснить про риски, угрозы, серьезные таргетированные атаки».

Вопрос защиты персональных данных в контексте ценности информации, пожалуй, имеет особое значение. Между тем, в Казахстане, по мнению специалистов, ощущается недостаточность его регулирования. Представители Microsoft рассказали о норме GDPR, которая скоро будет работать в Европейском союзе. GDPR заменит директиву о защите персональных данных, которая действует сейчас, и полностью изменит подход к тому, как компании должны с точки зрения закона защищать персональные данные своих пользователей, партнеров, сотрудников.

PROFIT Security Day 2017

«Это новое и самое прогрессивное юридическое творение за последние 22 года. GDPR, возможно, станет следующей моделью для локальных законодательств в тех странах, которые стремятся использовать лучшие практики защиты данных. Кибербезопасность становится все более актуальным вопросом не только с точки зрения бизнеса, но с точки зрения соблюдения законодательства в целом. Еще 25 лет назад киберугрозы были чем-то скорее гипотетическим и мало изученным. Поэтому предыдущая директива никак не регулировала этот вопрос. GDPR — это новое поколение регулирования, где уделяется особое внимание безопасности данных с точки зрения их защищенности от киберугроз, от несанкционированного доступа», — рассказала Дарья Брашкина, эксперт по цифровой безопасности в СНГ компании Microsoft.

GDPR предполагает гораздо больший набор прав для субъектов персональных данных. Предполагается, что любой гражданин Евросоюза будет иметь возможность в любой момент получить доступ к своим данным, понять что с ними происходит, как и для чего их обрабатывают. Он сможет удалить их, изменить или произвести любые другие действия, которые посчитает необходимым. То есть, контроль будет непосредственно на стороне владельца персональных данных. А оператор этих данных обязан уведомлять их владельца о любом происшествии, раскрытии или атаке, которые произошли.

«Причем, это уведомление должно происходить в течение 72 часов. С точки зрения закона — это жесткое правило. В случае его нарушения к оператору будут применяться определенные санкции», — отметила Дарья Брашкина.

Кроме этого, GDPR предполагает дополнительные требования к внутренним политикам. Они должны быть гораздо более подробными, более точными и прозрачными. И, несмотря на то, что эта норма будет принята в Евросоюзе (весной 2018 года), она окажет определенное влияние и на Казахстан. GDPR имеет экстратерриториальный эффект и «следует» непосредственно за резидентом Евросоюза. Поэтому, любая казахстанская компания, которая так или иначе работает с персональными данными граждан Евросоюза, потенциально находится в зоне действия GDPR.

«Даже если в вашей базе данных всего несколько субъектов Евросоюза, вам все равно придется построить всю систему защиты, которую предполагает GDPR. Это касается даже дистанционного бизнеса, без вашего присутствия в Евросоюзе. Если вы эту защиту не можете предоставить, или если нарушаются права европейского гражданина в вопросах обработки его данных, GDPR предполагает существенные штрафы. Это 10 млн евро или 2% от общей выручки компании за один случай нарушения. Самые крупные компании сейчас переходят на GDPR, и для них очень важно, чтобы их контрагенты тоже соответствовали требованиям новой нормы, иначе могут возникнуть проблемы при обработке данных клиентов», — рассказала спикер.

Специалисты отмечают, что компании поодиночке не смогут справиться с постройкой такой системы защиты. Она предполагает помимо законодательных еще и технические требования, операционные вопросы, назначение ответственного лица, принятие внутренних политик. Поэтому гораздо проще делать это в партнерстве с другими компаниями, которые могут снять с бизнеса какую-то часть работы. Если речь идет о технических возможностях, то логичнее использовать решения тех вендоров, которые соответствуют требованиям GDPR.

PROFIT Security Day 2017

Если говорить о новых трендах в сфере защиты бизнеса, то тут одним из наиболее значимых оказалась защита веб-приложений. Причем это стало определенным вызовом для специалистов по ИБ на местах.

«Номер один сейчас — это проблематика безопасности веб-приложений, — рассказывает Эльдар Бейбутов, консультант по безопасности приложений компании Positive Technologies. — Еще 5-10 лет назад на компьютерах было достаточно много различного программного обеспечения. Отдельно это были какие-то файловые ресурсы, отдельно — почта, системы банкинга. Сейчас же компьютер, которым можно полноценно пользоваться, может обладать одним лишь браузером. А браузер означает веб-приложения. Компании оказались не готовы к такому вызову, потому что службы информационной безопасности занимаются риск-ориентированным подходом и, по сути, могут лишь отвечать на возникшие угрозы. Ранее основной угрозой было именно проникновение в сеть, стояла задача защиты известных сервисов, которыми пользуется весь мир. А теперь безопасники, ориентированные на сетевую безопасность, не могут в полной мере оценить риски, которые несут в себе веб-приложения. Поэтому мы выводим на рынок специализированные средства, которые помогут компаниям защититься от угроз веб-приложений, а также помогут самим безопасникам стать квалифицированнее в этом вопросе. Второй актуальный тренд — это растущее количество различных устройств в инфраструктуре компании. Появилась проблематика безопасности веб-приложений, сразу появился анализатор исходного кода. В компаниях, скорее всего, до этого уже был установлен Firewall следующего поколения, классический Firewall, система предотвращения и обнаружения уязвимостей. Все эти устройства генерируют огромное количество информации, которую на самом деле никто не «слушает». Это большая проблема, потому что зачастую по этой информации можно обнаружить и даже предупредить большое количество инцидентов. Такого рода продукты называются Security Incident Event Management. Они призваны собрать всю информацию из инфраструктуры и наложить базовые корреляции для обнаружения типичных сценариев информационной безопасности. Также они дают широкий инструментарий для создания собственных корреляций для покрытия именно тех кейсов в информационной безопасности, которые важны непосредственно в данной компании«.

Так или иначе, но о проактивном подходе к защите говорили многие спикеры конференции. В современном небезопасном мире бизнес вынужден «предугадывать» действия хакеров, предусмотреть возможные проблемы.

«Прошел уже первый этап, когда все закупили необходимые решения. Атаки стали более продвинутыми, хакеры стали более профессиональными. Целые группировки со знанием дела подходят ко взломам и краже информации. Соответственно, и защита должна выходить на более продвинутый уровень, не просто реагировать постфактум, а быть превентивной. Поэтому мы сегодня показываем решение Check Point, которое позволит избежать таргетированных атак. Нужно решать вопросы безопасности до того, как бизнес потеряет слишком много. Мы хотели бы донести это не только до специалистов по информационной безопасности, но и непосредственно до бизнеса. Это очень важно», — говорит Айнура Милхолдарова, представитель компании Life2Win.

Тему превентивной защиты продолжил Павел Демидович, Cisco: «Сейчас все больше заказчиков реально задумывается об эшелонированной защите, когда это не какое-то одно универсальное решение, а комплекс решений для защиты не только периметра, но и внутренней сети. Все больше звучат вопросы о построении сети как сенсора угроз. То есть, теперь не ИТ-служба следит за какими-то угрозами и пытается что-то ограничить, а сама сеть, анализируя активность, находит отклонения. Таким образом, популярный тренд Machine Learning полноценно применен к ИТ и информационной безопасности. Сейчас продукты Cisco позволяют именно за счет машинного обучения разгрузить специалистов по безопасности и перенести их усилия от борьбы с уже распространившимися угрозами к планированию и противодействию возможных будущих угроз».

Profit Security Day 2017

Отдельная большая тема, которая также обсуждается в контексте информационной безопасности — это развитие «умных городов». Современные системы настолько развиты, что могут контролировать все аспекты жизнедеятельности города. Поэтому компании, предоставляющие услуги видеонаблюдения и сопутствующие системы, становятся партнерами в обеспечении безопасности.

«Если говорить о сфере видеонаблюдения, то буквально позавчера мы обсуждали большой проект безопасности в Алматы, Smart City. Мы, как компания-пионер, обладаем огромной экспертизой и многолетним опытом в сегменте видеонаблюдения. Казахстан в этом вопросе сейчас находится на этапе становления, поэтому начинать необходимо с каких-то базовых вещей. Такие мероприятия, как PROFIT Security Day, помогают озвучить существующие тенденции и донести их до бизнеса и госорганов. Такие конференции помогают заказчикам и людям, принимающим решения, узнать что происходит в отрасли. Это системы комплексного обеспечения жизнедеятельности, системы интеллектуального транспортного контроля, системы определения автомобильных номеров, выявления нарушителей и соблюдения правил дорожного движения», — рассказал Думан Дуйсенбаев, менеджер по работе с ключевыми клиентами, Axis.

Современные ботнеты, типа Mirai, используют устройства Интернета вещей — такие, как IP-камеры, DVR, роутеры и т.д. для запуска крупных DDoS-атак на различные интернет-сервисы. Рекордные атаки с ботнет Mirai достигали 1 Тбит/c.

«Атака атомной станции кофемолками. Насколько реален такой сюжет? Масштабы перемен этого мира потрясают, поэтому в будущем нельзя ничего исключать. Нужно думать о том, что любые устройства, подключенные к интернету — это IP-устройства. Они потенциально опасны. По некоторым оценкам, рынок IoT в РФ будет расти на 10-12% в год. Главная проблема — это нечто новое, и пока нет представления, что со всем этим делать», — говорит Олег Седов.

Поэтому представители Axis говорят о необходимости управления рисками и их минимизации. Три уровня защиты включают управление безопасностью, управление уязвимостями и обучение и сотрудничество. Представители вендора отмечают, что следование общим рекомендациям (политика учетных записей, политика паролей, обновление системы) позволяет на 95% снизить существующие риски при использовании IP-устройств.

«Кибербезопасность — это не продукт или характеристика камеры, которые можно купить и „поставить галочку“, что он есть. Это целый процесс, который выстраивается не за один день», — заключил Михаил Артеменко, директор по продажам в странах СНГ компании Axis.

Этот же принцип обычно распространяют на все понятие информационной безопасности — ее нельзя настроить один раз. Это кропотливая и постоянная работа.

Посмотреть фоторепортаж с конференции PROFIT Security Day 2017.

Посмотреть Тви-трансляцию с конференции PROFIT Security Day 2017.

Уникальные фотографии и эксклюзивные новости с различных ИТ-событий — в нашем Telegram-канале.

Подписывайтесь на каналы Profit.kz в Facebook и Telegram.