Евгений Питолин, «Лаборатория Касперского»: мошенники очень хотят зарабатывать, и они будут использовать любые возможности для этого
Интервью с Евгением Питолиным, управляющим директором «Лаборатории Касперского» в Казахстане, странах Средней Азии и Монголии, о проблемах информационной безопасности в регионе.
— Евгений, расскажите, пожалуйста, как чувствует себя бизнес «Лаборатории Касперского» в Казахстане и каковы итоги 2015 года.
— К сожалению, чем хуже дела в области информационной безопасности, тем лучше дела идут у нас. Злоумышленников меньше не становится и их аппетиты с каждым днем растут. Поэтому, конечно же, проектов становится много, многие из них уникальные.
2015 год закончился хорошо и, на мой взгляд, 2016-й показывает, что есть еще над чем работать, особенно в специфичных и важных отраслях для Казахстана. Например, в энергетике, в добывающем секторе и сегменте государственной власти.
Мы особенно выделяем два направления. Одно — это банковский сектор, где количество угроз, к сожалению, растет. И здесь очень интересно разговаривать с представителями финансового сектора о том, что происходит на практике, как они борются с угрозами в ИБ. Второй сегмент — это промышленность, и здесь я констатирую увеличение целевых атак; они становятся все изощреннее. Да и в целом мы сейчас видим рост градуса интереса к тому, что связано с информационной безопасностью.
— Какую долю сейчас занимает Казахстан с точки зрения продаж в бизнесе «Лаборатории Касперского»?
— Цифры какого-то конкретного региона с точки зрения продаж мы не раскрываем, но если говорить про весь регион, которым управляю я (Казахстан, Центральная Азия и Монголия), то Казахстан занимает лидирующую роль. Это самый крупный рынок, это самые большие проекты и это очень высокий уровень компетенции с точки зрения ИБ. Рынок Казахстана в нашем бизнесе больше, чем все остальные страны региона вместе взятые.
— А как бы вы оценили рынок в Казахстане с точки зрения продаж корпоративных и персональных продуктов?
— Точных цифр мы стараемся не раскрывать, но в целом, в странах, где мы добились успеха, соотношение делится 50 на 50. Другой момент, что насыщение корпоративного рынка происходит несколько раньше. Дело в том, что корпоративный сегмент старается быть в авангарде. В случае с персональными продуктами это происходит несколько иначе. Есть некоторая инертность, финансовая ситуация опять-таки влияет существенно на этот сегмент. Иными словами, здесь нет стабильности.
— Как вы оцениваете рынок ИБ в Казахстане в цифрах и как он растет?
— Мы в этом году хотим сделать подобное исследование, прежде всего, для того, чтобы видеть динамику, опираться на эти цифры для планирования своей работы в следующем году. Сейчас те материалы, которые имеются в нашем распоряжении, не показывают общую картину.
Есть сегменты, в которых рост замедлился, например, защита конечных пользователей. Почему? Потому что происходит насыщение, о котором я говорил ранее. Но в то же время есть колоссальный интерес со стороны финансового сектора, и есть рост с точки зрения так называемой «воронки интересов» в области промышленной защиты. И здесь все просто — руководители компаний видят, что происходит в этом сегменте, какие угрозы существуют, они стали с еще большим вниманием относиться к подобным рискам.
— Какую долю ваша компания занимает на казахстанском рынке сейчас?
— Отвечу так — пока меньше, чем мне бы хотелось. У меня есть цель — повторить успех компании в регионе, за который я отвечал ранее, но еще есть, над чем работать. Встречаются и вызовы, которые мы принимаем: например, есть предприятия, где руководители сконцентрированы на других аспектах, они еще не понимают, что их предприятие может стать целью для сложных таргетированных атак. Это тот случай, когда злоумышленники могут потратить годы на «охоту» за конкретным предприятием или человеком. И в итоге — на кону репутация компании, сломанная карьера, колоссальные финансовые потери, а в некоторых случаях и весь бизнес.
— А какова в таком случае доля, которую вы бы хотели занять?
— Наша задача стать брендом номер 1 (с хорошим отрывом от конкурентов) во всех аспектах информационной безопасности: начиная защитой простых пользователей, до корпоративного сегмента и промышленной безопасности (равно как в среднем и малом бизнесе, так и в энтерпрайзе). Помимо бизнес-целей, я вижу необходимость для нашей компании быть в некотором роде послом информационной безопасности — повышать осведомленность о существующих современных киберугрозах как среди пользователей и сотрудников, так и среди топ-менеджмента казахстанских компаний.
— В какой перспективе вы видите этот прогресс?
— Думаю, в ближайшие 3-5 лет мы просто обязаны достичь этого.
— Вы уже некоторое время руководите офисом компании в Казахстане. Сложилось ли у вас какое-то мнение о том, как относится казахстанский бизнес к информационной безопасности?
— Несомненно, мнение сложилось, думаю, что можно выделить несколько моментов. Первый — это продвинутые ИТ-директора в ИБ. Это чаще всего те, у кого есть бэкграунд в промышленности, в финансовом сегменте. Эта категория партнеров обладает высоким уровнем знаний, они много чего повидали, им есть, с чем сравнивать. Соответственно, они более искушенные и довольно требовательные.
Второй сегмент — это люди, которые осознали проблематику информационной безопасности, какие-то решения уже протестировали, но пока их видение ограничено базовой антивирусной защитой как некой «волшебной кнопкой». И мы с этим сегментом активно работаем.
Третий сегмент — это СМБ. Тут на ИБ влияет много факторов, например, экономическая ситуация. На первый план чаще выходят текущие проблемы — от оборотных средств до классических проблем, характерных для этого уровня бизнеса. С этим сегментом много сложностей, но и много интересных задач. Для нас это своего рода вызов — доказать, что мы достойны доверия, мы защищаем, а не просто вытягиваем деньги из клиента. И да, мы понимаем реальные проблемы СМБ.
Вы знаете, я часто слышу истории из СМБ — мы маленькие, мы никому не нужны, мы мало зарабатываем, никто не придет нас взламывать. И это ключевая проблема, один из величайших стереотипов в области ИБ. То есть, люди думают, что никто к ним не придет, никогда. На самом деле, злоумышленники — это самые толерантные люди на свете. Им все равно, сколько вы зарабатываете, сколько денег генерирует ваш бизнес — они возьмут все, что у вас есть. То есть, эта ложная мантра — до первого случая, когда пропадают деньги, когда блокируются бухгалтерские базы и шифруются отчетные документы и приходится платить вымогателям. До прецедента, когда сотрудник уходит и сливает данные конкурентам. Обычно после такого и приходит осознание грустной реальности. С этой реальностью мы боремся, стараемся объяснить, как не попасть в зону риска.
— В продолжение темы СМБ — у многих небольших компаний до сих пор установлены устаревшие версии Windows и бесплатные антивирусы, в лучшем случае.
— Открою страшный секрет: я знаю несколько куда более серьезных организаций, где на устройствах, имеющих отношение к деньгам, установлены очень старые операционные системы, которые не поддерживаются и на которые не выпускаются сервис-паки. Поэтому такое отношение среднего и малого бизнеса хотя бы можно понять в силу отсутствия концентрации внимания на теме ИБ.
Что касается бесплатных антивирусов. Я часто привожу такой пример: большой газон, тропинка и на тропинке стоит калитка. А забора нет... Это пример того, как работают бесплатные антивирусы. Всем хочется что-то получить бесплатно. Но ключевая тема здесь такова: антивирус — это не только продукт, не только софт. Смысл антивируса — услуга постоянной защиты. Это как телохранитель, который с вами всегда. И именно за это вы платите. И только у компаний, у которых огромная экспертиза, штат вирусных аналитиков, большая команда поддержки, могут быть возможности для защиты. А небольшая компания, которая непонятно за счет чего работает, конечно, может выпустить антивирус, и он даже будет что-то делать. Но в конечном итоге от киберпреступников пострадаете вы. В лучшем случае, функции защиты будут сильно урезаны.
И потом есть некоторое понимание зоны ответственности. Ведь что такое бесплатное? Это может быть и взломанное. В этом случае вы должны знать, что тут есть шанс столкнуться с вредоносным кодом внутри программы, потому что никто просто так взламывать для вас ничего не будет. Значит, путем распространения такого взломанного продукта кому-то необходимо получить доступ к вашему компьютеру. Так что, тема бесплатных антивирусов — это целая цепочка: ответственность компании перед социумом, вопрос безопасности пользователей с точки зрения вредоносного кода и вопрос здравого смысла с точки зрения защиты в целом.
Следующая интересная тема в этом же вопросе: в какой-то момент бизнес понимает, что бесплатное уже не подходит, а украденное — это плохо, и начинает о чем-то задумываться. И вот тут начинается самое интересное — все хотят «волшебную» кнопку, подушку безопасности. Надо понимать, что такой «подушки» нет. Никакой антивирус не защитит от человеческого разгильдяйства, от сотрудников, которые выкидывают важные документы в корзину, от потери данных, от того, когда сотрудник находит флешку на парковке и вставляет ее в свой рабочий компьютер. Здесь речь идет не просто об антивирусе, а о комплексном подходе. Это подход знаний. Нам, как компании, важно распространять эти знания. На это уходит очень много нашего времени, и это наши инвестиции в безопасность рынка.
— Продолжая борьбу со стереотипами, хотелось бы обсудить один очень распространенный — о том, что антивирусные компании сами пишут вирусы, а потом сами же и продают решения для борьбы с ними...
— Это, действительно, очень распространенный стереотип. И не единственный, кстати. Есть много вариантов ответа, я предпочитаю отвечать так. Первое — писать вирусы — это уголовно наказуемое занятие. И это абсолютно не наша задача. Мы работаем для того, чтобы защищать мир, а не для того, чтобы разрушать. Второе пусть скажут цифры: за одни единственные сутки мы обнаруживаем около 310 000 (только задумайтесь!) образцов нового вредоносного кода. Так что, очевидно, нам есть чем заняться, у нас огромное количество работы. Мы считаем, что надо делать что-то одно и делать это хорошо. Мы — защищаем.
— Вернемся к этой цифре в 300 000, чтобы дать нашим читателям представление о ситуации в сфере ИБ. Сколько и каких угроз сейчас детектируется «Лабораторией Касперского»?
— По оценкам «Лаборатории Касперского», в 2015 году произошло насыщение рынка вредоносного ПО. С прошлого года количество новых вредоносных файлов, детектируемых компанией ежедневно, сократилось на 15000 — c 325000 до 310000. Как считают эксперты, главной причиной этого спада оказалась экономическая неэффективность кодирования новых зловредов. Злоумышленникам гораздо дешевле обходится кража или создание легитимных цифровых подписей, которые они присваивают вредоносным программам, выдавая их таким образом за безопасные. Кроме того, экономить на разработке и зарабатывать деньги одновременно им позволяет назойливое рекламное ПО, доля которого в арсенале киберпреступников неуклонно растет.
Кодирование сложного вредоносного ПО, к примеру, руткитов, буткитов или реплицирующихся вирусов, — довольно дорогостоящий процесс. А киберпреступников в первую очередь интересуют быстро окупаемые инвестиции, и, стремясь заработать легкие деньги, они не готовы вкладывать тысячи и десятки тысяч долларов в разработку сложных зловредов, тем более что сегодня даже они, как правило, не помогают избежать детектирования антивирусным ПО. Следуя этой логике, злоумышленники начали инвестировать в более бюджетные проекты.
И немного сухой статистики: 2015 год стал годом стремительного развития программ-вымогателей. По данным «Лаборатории Касперского», за прошлый год число пользователей, атакованных подобными зловредами, выросло в 1,7 раза. Столь высокую популярность у злоумышленников вымогатели снискали, прежде всего, благодаря своей прямой финансовой выгоде: программы блокируют нормальную работу устройства или шифруют данные пользователя с требованием заплатить выкуп за восстановление доступа к ним. Причем все более активно киберпреступники осваивают новые платформы. Так, первый вымогатель для Android-устройств появился лишь в 2014 году, а уже в 2015-ом 17% всех атак с участием вымогателей пришлось именно на эту мобильную платформу. Кроме того, в том году был обнаружен первый вымогатель для Linux.
Также в том году наши продукты «Лаборатории Касперского» отразили попытки атак вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам на почти 2 миллионах компьютеров пользователей. Мы обнаружили около 120 миллионов уникальных веб-угроз. 34,2% компьютеров пользователей интернета в течение года хотя бы раз подвергались веб-атаке. И, наконец, нашим файловым антивирусом на компьютерах пользователей задетектировано 4 миллиона вредоносных и потенциально нежелательных программ.
Если говорить о локальных данных, то, например, в первом квартале 2016 года свыше 20 тысяч пользователей Казахстана столкнулись с финансовым вредоносным программным обеспечением, задача которого заключается в краже платежной информации от систем онлайн-банкинга и платежных сервисов. При этом, по числу атакованных финансовым ПО пользователей, Казахстан находится на 18 месте в мировом рейтинге стран. Этот факт говорит о том, что клиенты банков и финансовых организаций Казахстана являются довольно привлекательными целями для киберпреступников. Кроме того, в первом квартале 2016 года мы зафиксировали 49 распределенных атак, направленных на отказ в обслуживании на веб-ресурсы и серверы Казахстана, что также говорит о внимании злоумышленников к казахстанским компаниям.
— В последнее время все чаще говорят о защите критически важных объектов. Что происходит в этом разрезе в Казахстане? Например, в области защиты социальной и городской инфраструктуры.
— За последние полгода-год у представителей промышленного сектора возникло много вопросов из области ИБ. Прежде всего, потому, что часть кейсов, произошедших на Западе и на Ближнем Востоке, стала публичной. Идет разбор этих кейсов. Информации много, это стало катализатором. Люди понимают, что в эпоху развития интернета все, что произошло где-то далеко, может произойти и в Казахстане, на конкретном предприятии. Тут немаловажный фактор — Китай, который традиционно является страной с высокой интернет-культурой, обратной стороной которой является наличие большого количества киберпреступников.
С другой стороны, мы часто видим, что есть некие сегменты промышленности, где много, мягко говоря, устаревшего оборудования. И, как ни странно, это благо, так как критической необходимости в ИБ на таких предприятиях пока нет. Но что будет, когда начнется апгрейд, модернизация в АСУТП. И уже появляется современное оборудование, которое становится частью сетей. А значит, серьезная атака «положит» такое оборудование полностью, остановится весь производственный процесс. И это нельзя сбрасывать со счетов. Пример? Пожалуйста. В конце 2015 года волна кибератак ударила по нескольким критическим секторам Украины. В атаках использовались известные троянцы BlackEnergy, а также несколько новых вредоносных модулей.
23 декабря 2015 года впервые в истории Украины в результате предшествующей компьютерной атаки были выведены из строя автоматизированные системы управления технологическими процессами — электрическими подстанциями, что привело к обесточиванию на 3-8 часов десятков тысяч украинских граждан. Потом мы видели несколько крупных атак на Ближнем Востоке и в Средней Азии.
— Расскажите, пожалуйста, как сейчас строится ваша работа с госсектором Казахстана. На что делается упор?
— В первую очередь — на повышение качества знаний. Мы стараемся, чтобы наши образовательные программы приходили в органы власти. Тут следует отметить, что сейчас у нас есть 4 уровня знаний. Первый уровень — для линейного персонала — какие угрозы бывают, как с ними бороться.
Второй уровень для руководителей среднего звена. Это не только информация про угрозы, но еще и умение коммуницировать с сотрудниками в той части, что угрозы в области ИБ — это не дело каких-то обособленных людей, это дело каждого. Умение руководителя понять, кто, например, может «слить» базу, кто способен вставить случайно найденную флешку в компьютер — это очень важно.
Третий уровень — уровень топ-менеджеров. Тут есть несколько сценариев поведения руководителей верхнего уровня. Первый — мы ничего не делаем — пусть будет что будет. Это грустно. Есть и второй сценарий. И он не менее грустный: есть понимание, что нужно защищаться, и люди покупают кучу железа и софта, но для внедрения нет ни компетенций, ни опыта. И это все лежит где-то на складе. Решение проблемы заключается в комплексном подходе, когда инвестиции в ИБ происходят шаг за шагом — от аудита ИБ до обучения сотрудников.
Четвертый уровень, то есть, «вишенка на торте», когда мы берем самых талантливых и продвинутых сотрудников, а их в Казахстане достаточно, и учим их тонким вещам — анализу вредоносного кода, навыкам криминалистических расследований в области инцидентов в сфере информационной безопасности.
Также мы рассказываем истории о целевых атаках. И эти примеры я приводил — их фигуранты чиновники высокого уровня с активной жизненной позицией, которые стали жертвами специализированных атак (Dark Hotel). Эти истории закончились печально для карьеры фигурантов.
— Расскажите о тенденциях, которые будут актуальны для компаний и пользователей в Казахстане. К чему нужно быть готовым?
— Наверное, можно выделить несколько моментов. Один из них освещен — это целевые атаки. Второй лежит в области персональных данных. За последние несколько месяцев мы видим, что в республику стали приходить новые сервисы. Uber, например. Процесс «уберизации» приводит к тому, что уровень ответственности становится распределенным, и приходит на ваш личный смартфон. Когда вы можете с помощью смартфона заказать не только такси, но и совершать финансовые транзакции. Это приводит к тому, что все ваши данные, в том числе, и личные, концентрируются в смартфоне. Но любой смартфон не является защищенным — это уязвимая среда, не только на уровне ОС, но и на уровне приложений, я уже не говорю уже о шлюзе — интернете. Поэтому когда вы заказываете еду, товар в интернет-магазине, вы становитесь уязвимыми. Вы можете быть взломаны, а ваши деньги могут быть похищены.
Мы не против, что новые сервисы приходят в Казахстан — это хорошо, но в погоне за прогрессом пользователи, да и компании тоже, часто становятся расслабленными, снижают тонус. Как пример — вау-эффект — этот сервис крутой, давай им пользоваться! Здесь нас ждет очень большое разочарование — мы прогнозируем, что активность злоумышленников существенно возрастет. Иными словами, мы наблюдаем дисбаланс — скорость развития подобных сервисов существенно превосходит уровень развития средств безопасности. Наши рекомендации в этом вопросе — ни в коем случае не отказ от сервисов! Но важно переориентироваться от доверия первым попавшимся приложениям до минимизации транзакций в сторону проверенных ресурсов. Мошенники очень хотят кушать, хотят зарабатывать, и они будут использовать любые возможности для этого.