PROFIT Security Day 2018: клубок уже и не распутать

Модератор конференции — Денис Горчаков, директор проектов кибербезопасности в Ростелекоме — человек известный. И помимо основной деятельности, он вовлечен в работу по развитию защищенной операционной системы Selfish, которая будет использоваться в госорганах России. «Между карточным домиком и кибербезопасностью существует немало аллегорий. Вообще, информбезопасность сильно эволюционирует. Еще 20 лет назад это был „компьютерщик при бандитах“. Сейчас совершенно другое — это люди, которые обладают большими знаниями, навыками. И это люди, к которым бизнес приходит не только в каких-то критических ситуациях, но и просто побеседовать, поболтать, так сказать. Какие правила игры нам задает 2018 год? Мы все в одной колоде. Вопрос в стратегиях — кто-то играет в покер, а кто-то в дурака», — размышляет Денис, фактически определяя программу конференции.

Новые правила игры

Конференция началась с подписания соглашения о взаимном сотрудничестве между НАО «Алматинский университет энергетики и связи» и «Лабораторией Касперского». Документ подписали проректор по академической деятельности АУЭС Сергей Коньшин и глава офиса «Лаборатории Касперского» в Центральной Азии и Монголии Евгений Питолин. Понятно, что в фокусе меморандума — системная подготовка ИТ-кадров.

Вообще, конференция ломала стереотипы с самого начала. Панельная дискуссия, с которой, собственно, и начинается Profit Security Day, тому доказательство. И начали ее с размышлениями о пен-тестах. Понятно, что тема горячая. И для Казахстана достаточно новая. Существует мнение, что качество пен-теста зависит от зрелости заказчика: чем она выше, тем более качественный результат получается в итоге. В России, например, в некоторых отраслях пен-тесты становятся обязательными. Здесь движущей силой является Центробанк РФ, который и оказывает большое влияние на регулирование в области информационной безопасности в финсекторе. Последний релиз регуляторных документов в этой части был обнародован в 2016 году, и содержит, в том числе, требование проводить пен-тесты. Впрочем, в Казахстане они тоже обязательны. Как замечает Николай Бахмат, независимый эксперт по кибербезопасности, в отрасли есть ожидания, что МОАП (Министерство оборонной и аэрокомической промышленности РК) признает банки второго уровня объектами критической инфраструктуры. «И тогда БВУ подпадут под систему госконтроля. Какие последствия? Вырастут бюджеты. Я думаю, что они должны существенно увеличиться к 2020 году. А до тех пор все будут находиться в положении приговоренных к смерти», — интригует он, подразумевая существование огромного разрыва между потребностями в финансировании и бюджетными возможностями, который существует в информбезопасности.

Чего еще ждать? Петр Дзюба, руководитель департамента по корпоративным мобильным решениям Samsung, считает, что вскоре ситуация с регулированием дойдет и до устройств, на которых запускаются банковские системы. «Дальше — персональная информация — мы видим тектонические сдвиги в этом направлении. Еще одно: на текущий момент происходит сдвиг в сторону использования смартфонов в бизнесе — нужно обеспечивать безопасность на этих устройствах», — говорит он, фактически намекая на реинкарнацию BYOD. «То, что у вас в госорганах происходит с мобильными устройствами — вы тут не одиноки, — подхватывает дискуссию модератор. Но тут еще выдвигаются требования и с точки зрения аппаратной части. И это не так просто, ведь речь идет о новых компетенциях и сервисах». Андрей Перкунов, директор департамента сетевой инфраструктуры компании CTI, считает, что ситуация с мобильными устройствами плачевная, и без больших финансовых затрат тут никак не обойтись. Второе, по его словам, — это человеческий фактор. Не все сотрудники готовы согласиться на установку стороннего программного обеспечения на свой смартфон. «Тут есть некоторое недопонимание, ведь это взаимовыгодная стратегия», — считает он. Денис Горчаков приводит такой хрестоматийный пример: «Когда была целевая атака на одного из топ-менеджеров в России, то вышли на гаджеты его детей. И это „живой“ сценарий, который имел место 2-3 года назад. Сейчас данные „оторвались“ от устройств — они уже везде. Мы потребляем много сервисов из облаков. При этом, безопасность это не то, что было еще 10 лет назад — периметр размыт», — говорит он, добавляя, что проблема защиты мобильных устройств как никогда актуальна. По мнению Артема Гутника, директора по безопасности Яндекс.Такси, в компании две боли — мессенджеры и облачные сервисы хранения данных. «Многие пользуются внешними, и мы не можем ничего гарантировать на этом уровне. У нас, конечно, есть российское законодательство в этой части. И есть GDPR. Понимаете, тут дилемма — с одной стороны, мы должны быть максимально лояльными, с другой — соответствовать законодательству и своим политикам по ИБ», — детализирует он. GDPR, разумеется, стал новым триггером в дискуссии — такова его особенность. Например, Денис Ляпин, технический эксперт Axis Communications в Восточной Европе, поднимает вопрос о том, соотносятся ли данные с видеосистем наблюдения с парадигмой GDPR? «Вопросы не праздные», — уточняет он. Еще одна боль GDPR — это геолокация. И эта тема тоже требует отдельного разговора.

Кстати, о данных. Еще один горячий топик для всех профильных дискуссий. «Какие данные собирать? Тут два вопроса — что собирать и где хранить. Если собирать „помойку“ — на выходе ничего не будет. Нужно принципиально понять, что собирать и вычленять то, что является персональными данными, а что нет», — говорит Николай Бахмат.

Артем Гутник сокрушается: «Мы живем в страшное время — просто наберите в поисковике что-то про IP-камеры, и вы поймете как все тут плохо — тысячи и тысячи камер по всему миру взломаны и доступны для просмотра». Действительно, это, по меньшей мере, неприятно. По большей — страшно. Кстати, Лев Шумский, директор по информационной безопасности ассоциации «Финтех» (Россия), приводит пример, фактически финализируя дискуссию. «Мы изучили одного из производителей смарт-часов из Китая. И были удивлены тем, что разработчики не озадачились даже ключом доступа к API. И теперь можно перебрать всю информацию из базы данных — разговоры, геолокационные данные и изображения. Поэтому, подумайте трижды — нужны ли вам такие „умные“ часы?».

Возвращаясь к клубку, понятно, что в виду его запутанности, участники дискуссии лишь тронули один его виток…

Колода безопасности

Директор проектов кибербезопасности Ростелекома замечает, поднимая еще одну горячую тему — взаимоотношения с регуляторами, что «там вполне адекватные люди и они готовы к сотрудничеству». «Это наблюдается и в России, и, вероятно, в Казахстане», — уверен он, добавляя, что с регуляторами нужно сотрудничать. От этого зависит будущее отрасли. Кстати, о регуляторах и силовиках. Олег Биль, руководитель исследования вредоносного кода Государственной технической службы КНБ РК, рассказывает реальный кейс. Речь идет о банке, в котором было выявлено шпионское ПО. «Мы априори работаем с неопределенностями, — понятно, что мы проанализировали объект. И мы видим, что тут что-то не так, нам нужно понять, какой характер у этой угрозы. В случае с этим банком все получилось, но бывает и иначе», — рассказывает он. «Иначе» подразумевается, что в ГТС не могут добраться до систем банка, чтобы понять, что там происходит. И тогда дело может принять скверный оборот.

Валерия Кривко, руководитель пресейл-службы «Лаборатории Касперского», напоминает о том, каким образом эволюционируют USB-угрозы. И дает простые, но дельные и эффективные советы о том, как противостоять майнингу на предприятиях. То, что он (майнинг) там с пугающей частотой происходит, полагаем, никто отрицать не будет. Как это лечить? Регулярными обновлениями систем и устройств, контролем загрузки производственных и серверных мощностей, надежными антивирусами, контролем используемого программного обеспечения, контролем расходов на электроэнергию и регулярным обучением сотрудников.

Ирина Акимова, менеджер по работе с ключевыми клиентами «Лаборатории Касперского» продолжает темой «выхода из зоны комфорта»: «Из года в год мы наблюдаем рост инцидентов, связанных с человеческим фактором. А между тем, компании тратят огромные средства на то, чтобы предотвратить киберинциденты. Нужно прививать элементарные навыки кибергигиены». По ее словам, после прохождения тренингов с персоналом компаний количество инцидентов, в которых они задействованы, сокращается на 90%. «Мы работаем с мотивацией сотрудника. Это важно, так как это работает в долгосрочной перспективе», — резюмирует она.

Илларион Овчаров, менеджер по работе с ключевыми клиентами «Лаборатории Касперского», замечает, что в компании собрана огромная статистика, основанная на данных около 450 млн клиентов по всему миру. И поэтому «Лаборатория» одной из первых видит тренды. Какие они? Фишинг, вымогательство, вредоносное ПО для маршрутизаторов и систем хранения данных, фишинговые атаки с целью получения контроля над атакованными системами.

Евгений Питолин, финализируя, замечает, что расчет на супергероя, который в нужный момент появится в нужном месте — в кибербезопасности не пройдет. Нужны ли они здесь вообще, смогут ли они противостоять системной работе? Вряд ли.

Там, где не ожидаешь

Денис Ляпин, технический эксперт Axis Communications в Восточной Европе, открывает неведомый мир видеонаблюдения. Действительно, сегмент кажется довольно консервативным, несмотря на то, что этот рынок растет в среднем на 23% в год, а к 2020 году достигнет отметки 48 млрд долларов США. Разумеется, вопрос с кибербезопасностью на устройствах видеонаблюдения стоит довольно остро, пусть и не так, как в банковской среде. В Axis Communications есть три направления, куда направлен акцент с точки зрения ИБ: управления безопасностью, управление уязвимостями и обучение и сотрудничество.

Как справедливо замечает Андрей Перкунов, директор департамента сетевой инфраструктуры компании CTI, сейчас существует две парадигмы: «Безопасность из облака» и «Защита облачных приложений». И еще он поднимает довольно болезненную тему для компаний —  так называемые «Теневые ИТ» (Shadow IT). Сотрудники компаний бесконтрольно пользуются различными сервисами, например, публичными облачными хранилищами. «Есть ли гарантия, что ваши корпоративные данные туда не попали?», — вопрошает он.

Дастан Динасылов, технический специалист по корпоративным мобильным решениям Samsung, предлагает ответ на неоднократно заданный на конференции вопрос о безопасности данных в мобильных устройствах. «Сегодня до 79% атак — это атаки на устройства, работающие под управлением операционной системы Android. Knox — это программно-аппаратная платформа, которая позволяет защитить ваше устройство, определить целостность работы операционной системы», — рассказывает он. В фундаменте этой платформы технология доверенных вычислений, и она решает конфликт кибербезопасности, который непременно возникает в компаниях, которые разрешают сотрудникам использовать мобильные устройства для работы с данными корпоративного характера.

Алексей Некрасов, руководитель направления сервисов ИТ-безопасности Евразийского банка, рассуждает о том, сколько пользователь оставляет «цифровых следов»: «Мессенджеры, фотохостинги, форумы, доски объявлений, поисковые машины. Это только видимые. А есть еще те, что скрыты — IoT, WiFi, GPS, ГЛОНАСС. Умные пылесосы, наконец. Следов не просто много — их огромное количество. С одной стороны, это не очень хорошо. А вот с другой, со стороны расследований инцидентов в ИБ, — очень полезно». Артем Гутник дополняет историей о том, как задержали топа из Silk Road: «Его нашли лишь по одному вопросу на форуме — „Как создать сайт в даркнете“».

Получилось так, что Profit Security Day 2018, начав с пен-тестов, ими и заканчивает с легкой руки Льва Шумского, который рассказал об опыте проведения такой процедуры. Хотя, нет, скорее, это выглядело как мастер-класс в рамках конференции. «В среднем пен-тест длится от 4 месяцев до года. На что нужно обратить внимание? Wi-Fi, конечные точки, эффективное противодействие социальной инженерии», — советует он.

Дерни за веревочку

Будь это какой-нибудь трешевый фильм ужасов, можно было бы ожидать, что подобным действом незадачливый герой открыл какой-нибудь «ящик Пандоры» со всеми вытекающим последствиями. Если перенести этот видеоряд на кибербезопасность, то ясно, что ящичек-то уже открыт (и даже дата есть — 1969 год, когда был запущен ARPANET). Но радует лишь вот что — на дне ящика Пандоры осталась надежда. Вот с ней и будем жить…

Посмотреть фоторепортаж с конференции PROFIT Security Day 2018

Видеозапись конференции: