Максим Рахманов и Николай Чуркин, Acronis: бизнес стал задумываться о потере данных
Представители Acronis рассказали о происходящем в сфере ИБ в Казахстане.
Вопросы информационной безопасности стали еще более актуальны ввиду усложнившейся экономической и геополитической ситуации в мире. Киберпреступники используют любые возможности для атак, умело используя текущие события в своих корыстных интересах. В такой ситуации бизнесу важно использовать надежные решения, которые помогут предотвратить различные инциденты. О происходящем в сфере ИБ в Казахстане, а также о том, как бизнесу не потерять данные, рассказали представители Acronis — Максим Рахманов, менеджер по работе с партнерами на территории стран СНГ, и Николай Чуркин, инженер на территории стран СНГ.
— Расскажите, насколько сильно изменился за прошедший год рынок ИБ? Какие тенденции сегодня наиболее заметны?
— Максим Рахманов: Я, может быть, посмотрел бы на то, как этот рынок изменился за последние пару недель. Потому что, как это ни прискорбно, но мне кажется, в последние несколько недель количество различных кибератак и в принципе уровень киберпреступности значительно выросли.
— Николай Чуркин: Я бы ответил на изначальный вопрос — «что изменилось за год?», а то, что изменилось за две недели, — это, в принципе, хорошая иллюстрация того, в какую сторону вообще идут угрозы данным. Фактически, за пару лет фокус сместился от потери данных, которая связана со сбоями оборудования и так далее, к атакам сродни тем, которые происходили в последние две недели. В последние две недели, понятно, мы видели всплеск этих атак, потому что у атакующих была конкретная цель… государственные сайты. Потому что атакующие преследовали политическую цель того или иного рода. Но таким же образом DDoS-атаки происходят по другим причинам, и в первую очередь это причины экономические, а не политические. Есть атаки шифровальщиков, которые пытаются зашифровать, украсть данные, а затем потребовать выкуп от компании. Причем подвержены этому компании любых масштабов, любых объемов. Это может быть какая-то транснациональная корпорация, и тогда выкуп может составить миллионы долларов. А может быть и сто мелких компаний, и с каждой понемногу — все равно получится достаточно солидный доход.
Беря за основу рассуждений последние события, можно обобщить: данные нужно защищать, в первую очередь, не от сбоев оборудования, не от человеческой ошибки, которая по-прежнему есть, а от целенаправленных попыток их изменения и удаления. Я привел в пример шифровальщиков и программы-шифровальщики. Но также это могут быть и внутренние инсайдерские атаки. Согласно исследованиям, порядка 60% случаев потери данных связаны с тем, что кто-то внутри компании может эти данные куда-то «слить» или даже, не понимая этого, послужить своеобразной марионеткой для того, чтобы кто-то получил доступ к данным.
Поэтому, если говорить о программах и политиках защиты данных, то возникает потребность в том, чтобы иметь определенный ресурс, который отслеживает и блокирует внешние атаки, а также следит за тем, что происходит внутри компании и тоже при необходимости дает возможность оперативно отреагировать.
— У меня был вопрос о наиболее типичных для нашего региона атаках, и с чем это связано. Но сейчас, понятно, что у нас есть все-таки определенная специфика в свете происходящих в последние недели событий. Можно немного подробнее о том, что вы сейчас видите?
— Максим Рахманов: Я бы хотел обратить ваше внимание на очень правильную формулировку Николая относительно того, что речь идет не о каких-то политических аспектах в рамках кибербезопасности, а об экономических. И вот перефразируя очень коротко то, что в деталях рассказал Николай, можно в принципе сказать, что подобные атаки, в том числе атаки программ шифровальщиков — это теперь отдельная очень популярная, насколько это можно сказать, статья доходов или некий определенный специфический теневой бизнес. То есть, люди на этом зарабатывают деньги, причем деньги очень серьезные. И это незаконно.
А продолжая про специфику региона — да, пожалуй, она есть. Я под регионом подразумеваю именно Республику Казахстан. По территории я работаю уже третий год, и именно с начала 2021 года произошло следующее качественное изменение. В 2020 году мы в запросах от клиентов в основном сталкивались с тем, что кто-то «подхватил» вирус, что-то было инфицировано и заказчикам приходилось приобретать антивирусное решение. А 2021 год отличался тем, что в Казахстане все чаще у заказчиков различных направлений и размеров бизнеса стали появляться атаки именно программ шифровальщиков. Это концептуально два разных типа зловредов. То есть, программа-шифровальщик работает совсем по-другому, чем вирус. Это подтверждается и тем, что в рамках нашего продукта у нас есть отдельный модуль, который борется именно с программами-шифровальщиками, ибо антивирус не всегда в состоянии программу-шифровальщика своевременно распознать. Из этических соображений я не могу приводить название клиентов, но у нас шифровальщики ловились и крупными ритейл-сетями, и более компактными бизнесами, когда просто с утра определенное количество машин в инфраструктуре не запускалось, всплывало какое-нибудь сообщение о требовании заплатить за возврат данных.
С того момента, как в Республике Казахстан история с шифровальщиками стала более популярной, а сейчас в 2022 году популярность этого типа зловредного ПО еще больше, здесь надо понимать, что существует два риска, и они тоже финансовые. Первый: приходится платить за сам факт расшифровки данных тем киберпреступникам, которые ваши данные зашифровали. А с другой стороны, если речь идет о каком-то крупном бизнесе, например, о ритейле — пока вы решаете эту проблему, у вас имеет место быть простой бизнеса, может не работать бухгалтерия или еще какой-то департамент из-за отсутствия доступа к данным. Здесь и получается двойная потеря в деньгах — платить преступникам и оплачивать простой бизнеса.
— Николай Чуркин: Но еще есть и третья сторона проблемы. Она заключается в том, что шифровальщики не только шифруют данные, они их могут скопировать себе перед шифрованием. И атакующие хакеры впоследствии используют эти данные в своих целях, продают их и т. д. Это тоже бывает, и это тоже способ шантажа.
— Продолжим о ситуации в бизнесе. С начала пандемии много кто ушел на удаленку, это привело к тому, что границы IT-инфраструктуры оказались размыты, появилось много уязвимых мест. Сейчас бизнес возвращается на рабочие места, но аналитики говорят, что удаленка с нами, все же, останется. Значит, у служб ИБ работы точно не убавится. Как вы сейчас видите ситуацию на основе работы с заказчиками? Что для них наиболее актуально?
— Максим Рахманов: В конце 2020-го и до середины 2021 года мы делали большой упор на позиционирование нашего основного продукта, который называется Acronis Cyber Protect, в том числе как удачного решения проблем, связанных как раз с информационной безопасностью в рамках той самой удаленки. Acronis Cyber Protect является комплексным решением как для резервного копирования (это то, с чего Acronis начинал многие годы назад), так и для обеспечения информационной безопасности.
Буквально недавно мы были у одного из заказчиков из Кыргызстана. Пример этот показательный, и подобные истории были и будут также в рамках Казахстана. Так вот, у нас есть заказчик из финансового сектора в Кыргызстане, который в прошлом году покупал наше решение именно для резервного копирования данных. Сделаю небольшое отступление и поясню — наш продукт можно купить либо с набором функций по резервному копированию (это чуть дешевле), либо можно доплатить и купить полный функционал, где помимо резервного копирования есть большое количество функционала, связанного с информационной безопасностью. Так вот, заказчик приобрел у нас определенное количество лицензий на очень разные типы устройств именно в разрезе резервного копирования данных. А буквально несколько недель назад мы встречались с этим заказчиком по его запросу о переходе с базового бэкап-функционала на полновесное решение по информационной безопасности.
Это новый сценарий для заказчиков Казахстана и Кыргызстана. Раньше к нам чаще приходили именно по запросу функционала для бэкапа. А сейчас заказчики сами «дозревают» до того, чтобы брать полноценное решение, — резервного копирования уже недостаточно. Это первая тенденция.
Вторая тенденция, которая будет актуальна и в 2022 году, заключается в том, что за последние почти три месяца у нас возросли запросы на проведение демонстраций и проработку проектов по продаже нашего DLP-решения. Чтобы быстро сориентировать, я скажу, что DLP — это как раз то, что защищает от потери данных изнутри. Так вот, запросы о проведении демо нашего DLP-решения, в том числе в Казахстане, возросли именно в 2022 году. То есть, помимо резервного копирования данных, помимо мысли о том, что к резервному копированию данных пора добавлять полновесную информационную безопасность, заказчики стали задумываться об этих самых потерях данных изнутри.
— Николай Чуркин: Добавлю к вопросу об удаленке, о том, как все изменилось, и что есть у Acronis. Да, у IT-специалистов увеличивается объем работ по обслуживанию тех машин, с которых теперь люди работают. Потому что это может быть какой-то домашний ноутбук, который человек использует не только для работы. Вполне вероятно, кто-то в семье с этого ноутбука также ходит по сайтам и может подхватить вирус. Впоследствии человек приносит ноутбук на работу и заносит зловред в корпоративную сеть.
Также это угрозы, о которых мы рассказали выше. Утечки данных — работая со своего ноутбука, можно получить доступ к корпоративной сети и незаметно что-нибудь скачать, затем переслать куда-то на сторону. В вопросе удаленных систем и личных устройств проблема состоит в том, что мы, собственно, не знаем, как эти устройства обслуживать, как убедиться в том, что у программ, которые там стоят, нет дыр для безопасности. И поскольку человек работает из дома, то стандартные политики безопасности (объединение всех в домен, где централизованно можно управлять тем, что там будет стоять) не применимы на домашние системы. И поэтому, запрос, который мы видим со стороны заказчиков, заключается в том, чтобы вот этими разносторонними системами, которые не управляются централизованно и могут иметь устаревшие операционные системы и устаревшие программы, можно было с легкостью управлять. Чтобы с удаленных ноутбуков можно было так же безопасно заходить в сеть предприятия, как и с управляемых корпоративных ресурсов.
Почему заказчики идут в Acronis? У нас есть специальные компоненты для защиты — и не важно, какая это система, насколько она старая и насколько вовлечена в корпоративную среду. Например, по вечерам один из членов семьи может ходить на какие-то посторонние сайты, а с утра другой член семьи пойдет с этим же ноутбуком на работу. В Acronis есть механизм, который позволит определить категории сайтов, на которые можно ходить с этого ноутбука, даже если он не находится в корпоративной сети. Можно централизованно применить такую политику, которая запретит ходить на определенные сайты. Система определит, что человек пошел на вредоносный сайт и заблокирует доступ к нему, тем самым ограничивается поверхность атаки, ограничивается набор внешних угроз.
Другой аспект, который я упомянул — на ноутбуке могут быть установлены различные программы, их актуальность и легальность неизвестна. У нас есть специальных компонент, который просканирует все, что есть на этом условном ноутбуке, посмотрит, какие программы там присутствуют, какие у этих программ версии, и поймет, что вот эта конкретная версия Windows или WinRar или еще чего-нибудь, не просто устаревшая, а про нее известно, что в этой версии есть «дыра» в безопасности. И, опять же, можно централизованно на всех таких ноутбуках находить автоматом самую свежую версию. Для этого не надо идти на эти ноутбуки один за одним, администратор просто применяет план, и не важно, где на планете находится этот ноутбук в данный момент. И, согласно этому плану, происходит автоматическое обновление. Кроме того, то, о чем мы говорили в начале — антивирус, защита от шифровальщиков — все это тоже можно применить к удаленным устройствам, абсолютно так же, как и к устройствам в корпоративной сети.
— То есть, я так поняла, что заказчиков вам убеждать уже не приходится в необходимости решений по ИБ. По крайней мере, на нашем рынке.
— Максим Рахманов: Нет, отнюдь. Мне бы очень хотелось вам ответить, что да, мол, не приходится. К сожалению, это не так. Немного предыстории. Acronis — это технологическая компания, которая сделала очень крутой продукт. Но тут есть определенный нюанс. Нам все еще очень активно с Николаем и другими коллегами приходится не только в СНГ, но и в Республике Казахстан ломать стереотип — до сих пор Acronis прежде всего ассоциируется с решением по резервному копированию данных. Поэтому нас всегда начинают сравнивать с компаниями, которые работают на этом же поприще. Но мы уже заняли определенную нишу именно на рынке информационной безопасности, и бэкап — это лишь небольшая часть комплексного подхода к информационной безопасности. Вот об этом пока знают далеко не все. И поэтому одна из проблематик, с которой приходится работать, и мы работаем над этим третий год и подвижки есть — изменение стереотипа.
Ну и второе. К моему сожалению, пока ряд наших заказчиков, причем это достаточно крупные бизнесы, использует следующий подход. Привожу реальную историю: «Максим, у нас сейф, в нем лежит два съемных жестких диска, мы их по очереди достаем, копируем с нужных рабочих станций нужную информацию на съемный диск и кладем его обратно в сейф». То есть, реализация, что называется, на коленке. Я точно не берусь критиковать, говорить плохо это или нет. Но, наверное, это станет не очень здорово в тот момент, когда случится первый серьезный инцидент.
То есть, в сухом остатке, хотелось бы вам раскрыть, почему не все так радужно. Предпосылки две. Первое — нам приходится ломать стереотип, чтобы рынок привыкал к тому, что Acronis это не только про бэкап, а про комплексную информационную безопасность. И второе — приходится ломать стереотип, сложившийся на постсоветском пространстве и доносить до бизнеса, что, все-таки, за бэкап желательно платить, а не на коленках жонглировать несколькими серьезными дисками и сейфом.
— А влияет ли сложная экономическая ситуация на заказчиков? Я уже много раз слышала, что режут бюджеты, и когда бюджеты режут, в первую очередь страдает IT и безопасность. Что вы по этому поводу можете сказать?
— Максим Рахманов: Эта предпосылка применима или не применима к тому или иному рынку (я имею в виду географически, с точки зрения стран), в зависимости от IT-зрелости этого самого рынка. Очень легко расшифровать. Мы прекрасно понимаем, что есть страны, европейские или на других континентах, которые с точки зрения IT — впереди планеты всей, и прекрасно отдают отчет цене своих данных. Рынки и компании, работающие на них, которые понимают стоимость своих данных, а также цену простоя своего бизнеса, не задаются вопросом, нужно ли резать бюджеты на то или иное решение, которое относится к ИБ. А на тех рынках, где эта IT-зрелость ниже, мы сталкиваемся с историями, когда приходит партнер или дистрибутор именно со словами о сложном экономическом моменте и перераспределении бюджетов на что-то другое, что кажется важнее. Мы, конечно, с этими возражениями работаем, стараемся прийти к заказчику вновь, напомнить ему, что не стоит так легко относиться к угрозе потери данных. Например, у меня был кейс с заказчиком, к слову достаточно крупным, где мне прямо сказали: «Максим, нам, в принципе, на наши данные плюс-минус плевать, с той точки зрения, что если мы в какой-то момент что-то потеряем, на восстановление этого всего уйдет максимум 3-5 рабочих дней, для нас это не влечет какого-то большого простоя, — по-моему, это было связано с образовательным сегментом. — За 3-5 дней мы быстро восстановимся, и заморачиваться на отдельную покупку бэкап-решения не хотим».
Поэтому, отвечая кратко на ваш вопрос — в зависимости от готовности и зрелости рынка, где-то вопрос об инвестициях или отказе от этих инвестиций не стоит. Там просто ищут деньги, потому что нужно, а где-то — да, отказываются.
— Поговорим о защите критически важных объектов. В нынешней обстановке это приобретает достаточно большую значимость. Что в этом разрезе вы видите в нашем регионе? Уделяется ли защите достаточное внимание?
— Максим Рахманов: Хороший вопрос, и когда вы начали его задавать, я подумал — что же тут отвечать. А потом понял, что у меня есть очень конкретный пример. Правда, Acronis к этому относится весьма опосредованно или вообще не относится, но вы сейчас поймете, почему я его привожу. Эта история была озвучена сразу после тех трагических событий, которые произошли на территории РК в январе. Один из телевизионных каналов сообщил об акте вандализма и уничтожении оборудования. Канал потерял архив своих выпусков и новостей, причем потерял безвозвратно, потому что как раз никакого бэкапа организовано не было. Наверное, это хороший пример того, как те или иные форс-мажорные обстоятельства, которые, к сожалению, в нашем мире происходят, могут привести к потере данных. Резервное копирование, а также весь периметр информационной безопасности становятся как никогда важными. Вот такой пример.
— Общеизвестно, что панацеи для защиты не существует. Тем не менее, вендоры обычно своим заказчикам стараются предложить какой-то комплекс решений для максимального закрытия их нужд. Расскажите подробнее, что охватывает решение Acronis, какие модули есть, что ваши заказчики получат, обращаясь к вам, если они хотят как можно более полно защитить свою инфраструктуру?
— Николай Чуркин: Как Максим уже говорил, об Acronis знают как о средстве для резервного копирования. И действительно, как вендор резервного копирования Acronis себя хорошо зарекомендовал, уже почти 20 лет наш продукт очень широко применим. Что бы ни случилось с компьютером, какой бы он ни был, где бы ни находились сервера с базами данных, благодаря Acronis заказчики могут быть уверены, что все данные сохранены, операционная система, программы, файлы. Ничего приостанавливать не придется, просто берем другой компьютер или другой диск, все туда восстанавливаем, и через 10 минут вы продолжаете работать, производственная линия не простаивает, сервер продолжает функционировать. Это все есть.
Кроме того, уникальность Acronis сейчас как вендора заключается в том, что помимо этого функционала надежного резервного копирования есть защита от всех тех различных угроз потери данных, о которых мы выше говорили. То есть, с диском может быть все в порядке, но придет вирус, который захочет все зашифровать. У Acronis есть модуль, который при первой же попытке шифрования этот вирус (шифровальщик) заблокирует, а данные восстановит.
Или другой случай — человек хочет пойти на какой-то сайт. Сейчас, пока идет интервью, я проверил — порядка 78% организаций получали по почте ссылку на фишинговый сайт. Атаки обычно с этого и начинаются — сотрудник компании переходит по ссылке на сайт, который выглядел нормальным, а оказывается, что он помог украсть информацию. И вот из этих 78% организаций 60%, все-же, подверглись атаке, она была успешной. Значит, какие-то данные были украдены. У Acronis есть функционал не только по защите от вирусов-шифровальщиков, но и по защите от таких случаев, когда человек пытается пойти на вредоносный сайт. Доступ к сайту блокируется.
Что еще может случиться. Могут быть какие-то «дыры» в безопасности. Например, у человека есть браузер, с которого ходят по разным страничкам, и этот браузер, собственно, не сильно новый. Редко кто может позаботиться о том, чтобы каждую неделю его обновлять. Браузер устаревший, и хакеры знают, что, если из устаревшего браузера пойти куда-то в определенное место, то через этот браузер можно прокопать «дыру» в инфраструктуре компании. И без возможности автоматического обновления браузера вот эта опасность сохраняется. Acronis со своей стороны в дополнение к тому, что я уже перечислил, автоматически обновляет все критические программы на машинах заказчика, чтобы у вирусов не было возможности даже попытаться проникнуть в систему.
И последнее — это механизм защиты от утечек данных. То есть, от внешних угроз защитились, система у нас зарезервирована, на вредоносные сайты не ходим, все программы, которые нам нужны, обновляются и остаются в безопасности. Но всегда может быть какой-либо недовольный, например, своей зарплатой, сотрудник, который работает и потихонечку на флешку «сливает» документы, чтобы потом это продать. От этого у Acronis тоже есть защита. На уровне работы с условными флешками можно поставить политику, что, допустим, флешки работают только на чтение, но не на запись. Также у нас буквально на днях появился новый функционал, который мало того, что может флешки блокировать, он еще и может понимать, что вот этот человек пытается на сторону через свой e-mail послать файл, в котором есть отметка о конфиденциальности, либо другой какой-то набор критериев, по которому можно понять, что это конфиденциальные документы. Модуль Acronis позволяет такие действия пресечь, известить администратора, а отправку документа заблокировать.
Уникальная позиция Acronis в том, что мы предоставляем полноценную защиту в рамках одного продукта. Понятно, что можно от разных вендоров закупить программы с различными лицензиями. Но Acronis уникален тем, что это все существует в рамках одной лицензии, одной системы поддержки и одного образовательного курса, который заказчик может пройти и уже знать, как защищаться.
— Максим Рахманов: Поддержу Николая — действительно, мы позволяем уйти IT-менеджерам или управленцам IT-инфраструктуры вот от этого «зоопарка программного обеспечения» в их инфраструктуре. Потому что, во-первых, это разные интерфейсы, а значит — разные подходы. Во-вторых, это всегда разные ключи, которыми нужно управлять: тут у тебя ключи для одного вендора, тут — для другого. В общем, все это, на самом деле, лишняя «головная боль». А мы уходим от «зоопарка» и все «упаковываем» в единый агент, одну программу с единым интерфейсом, откуда, условно говоря, администратор может всей инфраструктурой, всем инфобезом управлять.
— На казахстанском рынке Acronis представляет дистрибьютор Axoft, который помимо поставки решения делится своей экспертизой, а также сопровождает ваших заказчиков в регионе. Почему именно Axoft?
— Максим Рахманов: Я с большим уважением отношусь к каждому из дистрибьюторов на рынках, где мы представлены. Компания Axoft, ее команда, максимально проактивно подходит к своим задачам — и с точки зрения маркетинга, и с точки зрения бизнеса и его позиционирования. Я понимаю, что та часть стереотипа, о котором я выше говорил, что Acronis — это не только про бэкап, во многом сломана в правильном направлении как раз благодаря слаженным и профессиональным усилиям со стороны команды Axoft.
— Может быть, дадите несколько советов, как действовать бизнесу перед лицом современных киберугроз? К чему надо быть готовыми сейчас, как минимизировать риски?
— Максим Рахманов: Подмывает, конечно, прокричать лозунг, что нужно всем покупать Acronis, и тогда все будет хорошо. Но у меня будет следующая позиция. Существует достаточно уже избитый термин — «IT-гигиена». И вот я хочу сказать, что, наверное, основная рекомендация у меня для бизнеса — это перестать рассматривать этот термин и все, что с ним связано, как нечто, что происходит в других странах. Мало просто об этих трендах знать и считать, что на самом деле в Казахстане все спокойно — поставил бесплатный антивирус и вроде все хорошо. Нет. Все это уже здесь и сейчас. Я вам привел несколько примеров инцидентов или иных сложностей, с которыми наши клиенты сталкивались именно с точки зрения посягательства на их данные. Поэтому моя основная рекомендация — начать относиться к термину «IT-гигиена» не как к какому-то теоретическом аспекту, о котором просто нужно читать и знать. Это то, что нужно начинать внедрять каждому заказчику в своей IT-инфраструктуре, здесь и сейчас. Это целая плеяда мер и мероприятий, которые можно и нужно проводить, начиная от регулярного обучения персонала, продолжая подбором действительно правильного железа и программного обеспечения, прописывания внутренних политик, и прочее, и прочее. Вот этим нужно заниматься. Конечно, не забывая о том, что есть очень удачные решения, такие, как Acronis Cyber Protect, которое сделает процесс защиты более комплексным и простым.