Cyber & Digital Security 2019: никогда не говори никогда

16-17 мая в Нур-Султане состоялся очередной Астанинский экономический форум, прошедший в этом году под девизом «Вдохновляющий рост: люди, города, экономики». А рост в современном мире невозможен без учета вопросов кибербезопасности. И ей была посвящена отдельная большая сессия — Cyber & Digital Security 2019, организованная Министерством цифрового развития, оборонной и аэрокосмической промышленности РК, при поддержке «Лаборатории Касперского».

Зарубежный опыт в докладах на Cyber & Digital Security перемежался с локальным — оттого получилась очень плотная информационная повестка. О проводимой работе на страновом уровне рассказал вице-министр цифрового развития, оборонной и аэрокосмической промышленности РК (МЦРОАП) Асхат Оразбек. Он и задал тон конференции, рассказав о конкретных механизмах и мероприятиях, которые были проведены в прошлом году. Их итогом, в частности, стал резкий рост Казахстана в глобальном рейтинге кибербезопасности ООН — с 82 на 40 место. В настоящее время, по его словам, в Казахстане всесторонне изучаются вопросы обеспечения гарантий защиты персональных данных граждан. Ведется освоение методов безопасной эксплуатации технологий, в том числе удаленного доступа к базам данных, как в государственном, так и корпоративном секторе. Кроме того, ведется системный анализ вызовов безопасности информации и рисков, которые несет в себе цифровизация промышленности и построение «умных» экосистем. Как ответ на эту активность — рост спроса на профессиональные услуги аутсорсинга в сфере защиты информации. С другой стороны, в стране не хватает кадров, и реакцией на этот запрос стало значительное увеличение количества образовательных грантов, выделяемых по направлению информационной безопасности — в 11 раз (с 60 до 674). В практической плоскости в министерстве отмечают, что Казнет стал более безопасным, а благодаря автоматизации мониторинга интернет-пространства, среднее время жизни вредоносного интернет-ресурса сократилось до нескольких часов.

Мировой опыт

Здесь был представлен интересный пул экспертов и чиновников, которые, так или иначе, курируют вопросы цифровизации и ИБ в своих странах. Например, Тадеуш Кошчиньский, вице-министр в Министерстве предпринимательства и технологий Республики Польша. Он поделился опытом цифровой трансформации в стране, успехами, данными интересных исследований. Говорил он и о непростых вызовах, которые имеются на этом пути.

Доктор Амируддин Абдул Вахаб, генеральный директор Национального центра специалистов в области кибербезопасности при Министерстве науки, технологий и инноваций Малайзии, делится каким образом выстроен ландшафт кибербезопасности в стране. Вообще, экосистема кибербезопасности в Малайзии имеет довольно сложную структуру — здесь и НИОКР, и государственные структуры, активно вовлечены в эту схему и университеты. Разумеется, важная роль в этом процессе отводится и структуре, которую он возглавляет. В стране еще в 2006 году была разработана национальная политика кибербезопасности, и в зоне ее интересов 10 критически важных аспектов — от управления до криптографии (стратегия Малайзии в этом вопросе была принята в 2013 году). «Тем не менее, мы видим, что традиционные подходы в области кибербезопасности уже не работают, технологии развиваются, растут масштабы угроз. Мы стараемся двигаться проактивно, и у нас есть система, которая тестирует критические системы», — замечает он. В глобальном плане доктор Амируддин Абдул Вахаб считает, что наибольшие риски исходят из концепции Интернета вещей. Кстати, в Малайзии уже запустили лабораторию, которая будет изучать эти самые риски.

Завершает этот блок конференции Роберт Балдони, профессор, заместитель генерального директора по безопасности Разведывательной службы Италии, предложив аудитории взглянуть на Национальную архитектуру кибербезопасности республики 2.0. В ней имеется 2 уровня — политический (замыкается на премьер-министре) и операционный. В структуре последнего имеются ОЦИБы, а также разведывательные структуры. Интересен опыт Италии с точки зрения селективной работы по отбору талантов для отрасли. В прошлом году, к слову, было подано более 3000 заявок на конкурс. И 320 было отобрано. Кстати, конкурс поддерживается крупнейшими компаниями Италии.

Ближе к Центральной Азии и нашей реальности прозвучал доклад заместителя директора Центра технического содействия при государственной инспекции по контролю в сфере информатизации и телекоммуникаций Узбекистана Бахтиёра Юлдашева.

От общего к частному

Программа Cyber & Digital Security оказалась очень насыщенной. И здесь все-таки превалировали очень конкретные и прикладные вещи. И кейсы. Руслан Абдикаликов, заместитель председателя Комитета по информационной безопасности МЦРОАП, который сделал в своем выступлении акцент на ОЦИБах, констатирует: в республике единицы таких сертифицированных центров, что для страны, где зарегистрировано около 150 тысяч доменов, а порядка 80 тысяч организаций используют интернет как часть каких-то бизнес-процессов, — крайне недостаточно. Здесь все, так или иначе, упирается скорее в кадры. Для выравнивания ситуации, по словам Руслана Абдикаликова, идут переговоры с Министерством образования и науки Республики Казахстан о том, чтобы ввести уроки по ИБ в школах, обучая детей определенным навыкам уже за школьной партой.

И теперь к обещанной практике. Олег Биль, руководитель Лаборатории исследования вредоносного кода в Государственной технической службе, назвал свой доклад недвусмысленно: «Вирусы в Казахстане. Украсть все, что можно!». По его словам, около 90% исследованных лабораторией объектов — это либо бэкдоры (исполнение произвольных команд), либо объекты, имеющие явный шпионский функционал + ориентированные на выполнение произвольных команд. Тенденции, которые он видит в Казахстане: усложнение объектов, попытки обхода многих защитных технологий, быстрая миграция современных методов атак в Казахстан. А дальше несколько интересных кейсов, среди которых и те, где используются технологии противодействия обнаружению.

Продолжает конференцию Гани Надирханов, директор департамента информационной безопасности АО «Национальные информационные технологии». Собственно, его доклад — это история о том, как дочерняя организация АО «Национальный инфокоммуникационный холдинг «Зерде» и оператор информационно-коммуникационной инфраструктуры Электронного правительства выстраивает регулирование для ОЦИБов, а также строит собственный SOC, который ориентирован исключительно на работу с госорганами.

От частного к единорогам

Главный лейтмотив Сакена Жумашева, управляющего партнера KPMG в Казахстане и Центральной Азии, — «правильная» философия на пути к заветной цели — стать «единорогом» (компанией, с капитализацией от 1 млрд долларов). И большую роль в этом процессе он отводит «правильным» корпоративным инновациям, которые, по его мнению, являются ключевым слагаемым успеха. По мнению Петра Марчука, директора по связям с государственными органами в Microsoft Центральная и Восточная Европа, правила игры в отрасли меняются. И виной тому — Искусственный интеллект и Машинное обучение. Именно эти технологии меняют всю игру в кибербезопасности. Ну, и еще цифра — 8 трлн долларов — это оценка ущерба от киберпреступлений на мировую экономику к 2022 году. Много? Для справки — ВВП Казахстана в 2017 году около 163 млрд долларов.

Евгений Питолин, управляющий директор «Лаборатории Касперского» в Центральной Азии, продолжая конференцию, поднимает вопрос «цифровой безответственности», которая напрашивается на аналогию с коллективным бессознательным. Что недалеко от истины, глядя на список топов, которые все чаще и чаще становятся объектами для целевых атак. «Если вы считаете, что у вас есть иммунитет, то посмотрите на этот список: Ричард Смит (CEO Equifax), Дилек Ярдым (CEO Deutsche Bank), Дэвид Петреус (генерал армии, глава ЦРУ), Пак Кын Хе (президент Южной Кореи)», — шокирует он, добавляя, что для ряда из них карьера закончилась навсегда, а для кого-то история закончилась хуже — лишением свободы. Сегодня Казахстан, по его словам, находится в ряде исследований в печальном топе. Например, занимая 12 место в рейтинге стран, в которых было задетектировано вредоносное ПО при подключении съемных носителей, или 5 место в мире по доле промышленных ПК, на которых была предотвращена вредоносная активность. Или на 2-м месте в мире по атакам мобильных вымогателей. Рецепты? Коммуникации внутри организации (защита проектов), формирование отношения к ИБ с позиции риск-менеджмента, сбалансированная политика инвестиций в ИБ/ИТ проекты, развитие доверенной экосистемы мнений, подготовка инструментария киберразведки, коммуникации наружу (готовность в момент атаки) и т. д.

И снова реальность

Рустэм Хайретдинов, первый вице-президент InfoWаtch, в своем выступлении говорит о роли информационной безопасности в цифровой экономике. На первый взгляд, связь здесь очевидна, но дьявол, как говорится, кроется в деталях. По словам эксперта, «безопасности все меньше». И это следствие следующих факторов: усложнение систем, постоянные быстрые изменения, отсутствие документации, нехватка квалифицированных разработчиков, несоразмерность требования/оплата для безопасников. Кроме того, атаки становятся дешевле, а также их можно быстро монетизировать. Парадоксально, но отчасти негативным фактором является и рост сложности систем безопасности — ими всеми нужно управлять, что очень трудно, учитывая, что рост компетенций специалистов также должен расти адекватно. Один из рецептов — менять все на уровне высшего управления. То есть, как считает Рустэм Хайретдинов, необходимо создавать единые центры ответственности: его руководитель входит в совет директоров, он имеет влияние на бизнес-подразделения и фокусируется на защите бизнес-процессов.

Тимур Абдульменов, руководитель регионального представительства InfoWаtch, выносит на передний план тему утечек. Есть ощущение, что эта тема сошла с первых полос. Но, на самом деле, это не так — она превратилась в частную проблему, но актуальность не потеряла. По большому счету, Тимур Абдульменов скомпилировал мини-энциклопедию DLP.

Сага об идеальном ОЦИБе

Вопрос «идеального SOC» уже давно — вопрос философский. И подходов здесь много. Есть свой рецепт и у Palo Alto Networks. Кирилл Ильганаев, региональный менеджер компании по СНГ, говорил, что в его основе — собственная операционная система безопасности. Которая, с одной стороны, позволяет устанавливать приложения от сторонних производителей, с другой — устанавливать собственные приложения пользователей. Теперь пару слов о SOC. Здесь флагман Palo Alto Networks — решение Cortex XDR — это единый продукт, интегрирующий на новом уровне современные технологии защиты сети, хостов и облаков, включая продукты для обнаружения аномалий, проверки идей аналитиков, расследования инцидентов и поиска известных угроз по поведенческим паттернам.

Продолжает тему Назим Латыпаев — руководитель департамента архитектурных решений Cisco. Опыт сервисов безопасности для государства в понимании Cisco — это решение Cisco Hosted Security as a Service, которое обладает интересными особенностями. Например, его владельцем является национальный оператор связи или государство, хостинг — у оператора связи, а управление — со стороны оператора связи или государства. Учитывая, что эти вопросы традиционно являются весьма чувствительными, такой подход может завоевать своих приверженцев. Интересная особенность Cisco HSS — это Open Source платформа для визуализации семантических сетей — ботнетов, DDoS-атак, уязвимостей, связей в соцсетях и информационных потоков плюс регулярные киберучения Cisco Cyber Range.

Татьяна Новикова из ЦАРКА говорит об уязвимости органов власти РК. Заявления «об уязвимости…» не выглядят сенсацией. Недавно мы писали о том, что в Казахстане выявили серьезную проблему с ЭЦП (ее обнаружили специалисты ЦАРКА). Еще одна ошибка, выявленная ранее (в 2016 году), — некорректная работа с поисковыми роботами. Один из самых резонансных случаев, которые приводит эксперт — массовый взлом и дефейс 232 сайтов в 2017 году. «Причина — отсутствие своевременных обновлений CMS. Среди взломанных — 20 государственных сайтов, сайты больниц и предприятий», — детализирует Татьяна.

Завершают основную часть конференции Газиз Доненбай (исполнительный директор в «Транстелеком»), который предложил опыт реализации SOC и MSSP (Managed Security Service Provider), Руслан Стефанов (консультант по защите АСУ ТП в Honeywell), который, соответственно, поднимает вопрос защиты АСУ ТП через призму международных кейсов, и Сергей Золотухин (менеджер по развитию бизнеса Group-IB), который представил доклад с названием «Threat Hunting в SOC: технологии активной защиты цифрового суверенитета». Но это еще не точка.

Финалом конференции стала панельная дискуссия, которая развернулась с участием представителей общественных организаций, вузов и отечественных профильных компаний. И она подсветила ряд вопросов, например, в части качества подготовки специалистов по информационной безопасности. По мнению Махмута Томанова (АУЭС), здесь необходимо создать экосистему, в которой, с одной стороны, в процессе участвовали бы вузы и государство, с другой — вендоры, корпоративный бизнес и зарубежные эксперты. Отвечая на тот же вопрос, Виталий Ли (Ассоциация экспертов информационной безопасности в ЦА) говорит о том, что, на самом деле, важен институт преемственности и наставничества. «Сейчас большинство только что выпущенных специалистов нужно доучивать. Для этого наставники и нужны», — поясняет он, добавляя, что актуально здесь стоит и вопрос концентрации знаний в каких-то структурах (центрах компетенций). По мнению Виктора Покусова (Казахстанская ассоциация информационной безопасности) нужно создавать научно-практические центры. И готовить специалистов в «боевой» обстановке. И что важно, по мнению экспертов, — это система сертификации. Она выглядит чрезмерно усложненной. И часто причина — чрезмерные требования вендоров. Затронули в дискуссии и этическую сторону — как сделать так, чтобы специалисты не перешли на «темную» сторону — то есть, не стали по ту сторону баррикад (хотя, «та сторона» — это всего лишь вопрос системы координат). Здесь вопрос скорее рассматривается через призму личных установок и «понятийного» аппарата конкретного индивидуума.

Вместо послесловия

Как бы это банально ни звучало, но ландшафт угроз усиливается. И здесь есть два интересных подхода, которые одновременно выглядят и как вызовы. Первый, если мы говорим о глобальном масштабе (а масштаб АЭФ как бы это подразумевает) — это пытаться объединиться на уровне межстранового взаимодействия. Это трудно, есть масса аргументов за то, что такие попытки провалятся, но, судя по всему, все-таки возможно. Второй вызов — на более мелком масштабе — сделать это же на уровне бизнеса (в том же финсекторе). Это уже работает, хотя говорить, что такое взаимодействие имеет массовый характер, пока рано — в силу инертности и атмосферы недоверия, процесс этот не быстрый.