PROFIT Security Day 2021: человеческий фактор по-прежнему самый критичный
8 декабря состоялась конференция PROFIT Security Day 2021, где обсуждаются вопросы информационной безопасности для бизнеса.
Мероприятие прошло в гибридном формате — онлайн и офлайн спикеры и гости обсудили состояние и текущие проблемы с информационной безопасностью в Казахстане. Максат Тантыбаев, главный эксперт Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности РК открыл PROFIT Security Day 2021 с докладом об основных подходах в государственном регулировании в сфере кибербезопасности.
29 июня 2021 было представлено четвертое издание отчета по Глобальному индексу кибербезопасности МСЭ ООН, где Казахстан поднялся на девять позиций и занял 31 место (ранее — 40) в Глобальном индексе кибербезопасности. РК вошла в список стран с высоким уровнем готовности противостоять угрозам в киберпространстве. Как рассказал Максат Тантыбаев, на сегодняшний день у нас уже сформирована концепция «Киберщит Казахстана», в рамках которой реализуются соответствующие мероприятия. Для мониторинга и защиты казахстанского сегмента сети интернет Комитет информационной безопасности совместно с ТОО «WebTotem» проводит работу по защите доменных имен. Разработан также механизм общественного профессионального контроля ИБ на объектах информатизации — Bugbounty площадка, которая предоставляет возможность сообщать о найденных уязвимостях сервисов и приложений за вознаграждение.
Периметр ИБ в Казахстане представлен различными структурами. Среди них — национальный координационный центр ИБ, отраслевой центр и 19 частных центров, четыре службы реагирования на компьютерные инциденты, три профильных общественных организации, семь частных испытательных лабораторий, 40 компаний, работающих в этой сфере.
Создан также антикризисный план. В целях координации действий по реагированию на критические ситуации в сфере ИБ на базе НКЦИБ создается оперативный штаб, с руководителем (заместитель председателя КНБ) и зам.руководителя (КИБ МЦРИАП). На оперативный штаба возлагается постановка задач по реагированию на инциденты, организация мероприятий по восстановлению после инцидентов, установление их причин, оповещение собственников и владельцев, а также ограничение доступа к зарубежным сегментам.
Всего стране насчитывается 428 критически важных объектов информатизации, проверке подлежат 32000 субъектов (госорганы, местные исполнительные органы, государственные юридические лица, критически важные объекты ИКИ, квазигосударственный сектор, собственники и владельцы негосударственных ИС, интегрируемых с ИС ГО). КИБ МЦРИАП проводит государственный контроль в сфере ИБ, в качестве экспертов привлекаются сотрудники НИТ, КНБ, ГТС. С начала года проведено 54 внеплановые проверки на предмет соблюдения законодательства РК в сфере информатизации в части обеспечения ИБ. В результате проверок более 30 должностных лиц в госорганах и четыре юрлица привлечено к административной ответственности. Продолжается также работа по привлечению к административной ответственности за нарушение требований обеспечения ИБ без выезда на места — к адм. ответственности привлечено 26 должностных лиц и семь юрлиц.
По словам Максата Тантыбаева, сегодня в РК развивают двухуровневую техническую защиту сферы ИБ. Первый уровень — Национальный координационный центр АО «ГТС», второй уровень — государственный ОЦИБ, частный ОЦИБ и отраслевой ОЦИБ. Министерство в рамках законопроекта по вопросам стимулирования инноваций, развития цифровизации и информационной безопасности ведет работу по нормативному закреплению определения государственного ОЦИБа. В настоящее время законопроект находится на рассмотрении в мажилисе парламента.
Олег Прокудин, менеджер отдела контроля риска PricewaterhouseCoopers Казахстан, представил на конференции результаты глобального исследования PwC по кибербезопасности 2022 «Global Digital Trust Insights». В рамках исследования было опрошено более трех тысяч руководителей бизнеса и ИТ-руководителей в 66 странах мира.
Осведомленность компаний о киберрисках растет, более того, бизнес готовится к ним. 72% лидеров из Центральной и Восточной Европы ожидают роста киберпреступности в 2022 году. Более 50% руководителей ожидают, что в следующем году количество инцидентов, о которых будет известно широкой общественности, превысит уровень 2021 года. При этом в топ-5 ожидаемых инцидентов ИБ вошли атаки на облачные сервисы, компрометация корпоративной почты, атаки на цепочки поставок ПО, дезинформация, атаки через обновление ПО.
«75% руководителей компаний сообщили, что их организации слишком сложные, что приводит к возникновению „вызывающих беспокойство“ рисков, связанных с кибербезопасностью и конфиденциальностью данных. Управление данными и инфраструктура данных поставлены на первое место в перечне областей с „излишним уровнем сложности, которого можно было бы избежать“. Однако показатели ЦВЕ показывают в целом более низкий, но все же значительный уровень беспокойства по поводу риска операционной сложности», — пояснил Олег Прокудин.
По мере роста осведомленности о кибер-рисках инвестиции продолжают расти. Во всем мире 69% организаций прогнозируют рост кибер-расходов в 2022 году по сравнению с 55% в прошлом году. Более четверти компаний (26%) прогнозируют рост кибер-расходов на 10% и более. При этом, несмотря на рост киберинвестиций, лишь немногие получили выгоды от внедрения на сегодняшний день, что ставит вопрос о том, что можно было бы сделать лучше для будущих инвестиций.
В PwC сформулировали ключевые шаги по реализации кибер-потенциала в полном объеме на примере наиболее продвинутых и совершенных организаций. Передовые практики этих компаний с большой вероятностью дали им в два раза больше шансов добиться значительного прогресса в области кибербезопасности за последние два года.
— Принципы. Генеральный директор должен сформулировать четкие, недвусмысленные основополагающие принципы, согласно которым безопасность и конфиденциальность являются императивом бизнеса.
— Люди. Нужно нанять правильного лидера и позволить CISO и команде ИБ наладить связь с бизнес-командами.
— Приоритезация. Риски постоянно меняются по мере роста цифровых амбиций. Нужно собирать информацию и обрабатывать ее для проведения анализа рисков.
— Осведомленность. Невозможно защитить то, что не видно. Нужно выявлять «слепые пятна» во взаимосвязях и цепочках поставок.
Любопытную казахстанскую статистику представила Анна Гусарова, директор Центральноазиатского института стратегических исследований. Она рассказала о результатах исследования по защите персональных данных. Оно проводились в 2019–2020 годах и стало первыми публичным исследованием по пониманию проблематики защиты персональных данных в Казахстане. Выяснилось, что большинство граждан не понимают, что такое персональные данные, и зачем вообще их нужно защищать. У граждан также утрачено доверие к госорганам из-за громких утечек. Только каждый пятый казахстанец хорошо осведомлен о защите персональных данных и своих цифровых правах. При этом 48% участников опроса боится стать жертвой мошенников, а 60% чувствует необходимость в пополнении знаний о своих правах в сфере защиты персональных данных.
«Людей волнуют финансовые моменты (если вдруг кто-то снимет деньги с их карты), и только в этом случае они подумают о необходимости защиты данных. А в целом культуры защиты персональных данных у нас нет — не принято не давать свой номер телефона, e-mail, или даже ИИН. Можно во многих базах данных все это погуглить», — говорит Анна Гусарова.
Каждый третий казахстанец (37%) выразил отрицательное отношение к планам по внедрению «Национальной системы мониторинга», 59% озабочены стремлением властей собирать все больше личных данных граждан, а две трети опрошенных (66%) считают, что у людей нет выбора, и необходимые властям решения и процессы будут внедрены.
Очевидно, что вопросы обеспечения безопасности данных у частных лиц стоят весьма остро. Причем, как мы видим, есть две стороны проблемы. Первая — низкая осведомленность самих граждан и их нежелание самообразовываться в вопросах защиты данных. Достаточно вспомнить недавние громкие случаи с выманиванием мошенниками денег с банковских карт. При том, что уже из «каждого утюга» доносятся предостережения, снова и снова казахстанцы передают мошенникам информацию о своих картах, ИИН и прочее. Вторая проблема — на фоне этой низкой осведомленности граждане выказывают недоверие к инициативам по ИБ, которые исходят от государства. Конечно, спорных моментов тут множество, например — нашумевший кейс с внедрением сертификата безопасности. Однако не все инициативы нужно бойкотировать, для начала стоит хотя бы разобраться в сути вопроса. Здесь хороший пример — свежие поправки в налоговый кодекс касательно мобильных переводов, которые, хотя и не вводят никаких новых налогов, да и вообще закон еще не подписан Президентом, уже привели к массовому отказу мелких предпринимателей от мобильных переводов. О том, что речь идет только о фискализации (налоги, вообще-то, необходимо платить), эти предприниматели не задумываются, запутавшись в понятиях или сознательно не желая выходить из тени.
Вернемся к теме информационной безопасности в бизнесе. Вопрос низкой осведомленности пользователей распространяется и сюда, причем может иметь весьма серьезные последствия — вплоть до закрытия компании. О том, что человеческий фактор в ИБ — самый существенный, говорят давно, и до сих пор ситуация не изменилась.
«ИБ осуществляет помощь бизнесу, по крайней мере — посредством мониторинга систем и процессов. Но, конечно, основные задачи — это защита, работа с пользователями. Я больше склоняюсь не к пресечению, а к профилактике. Большая часть инцидентов происходит по вине сотрудников, причем чаще не по злому умыслу», — уверен Игорь Волохов, начальник Отдела информационной безопасности, АО «НурБанк».
О том, как преодолеть человеческий фактор в кибербезопасности, рассказал Дамир Еркин, руководитель направления кибербезопасности KPMG в Центральной Азии.
«Мы должны стремиться развивать свои усилия по повышению осведомленности в области ИБ. И если для нас как экспертов это звучит достаточно банально и легко, то для бизнеса порой бывает трудно и сложно», — отметил спикер.
Дамир Еркин поделился тем, как применять интегрированный целостный подход к повышению осведомленности сотрудников внутри компании. По его словам, осведомленность из плоскости выбора важно перевести в плоскость привычки. Надо вовлекать людей на эмоциональном уровне. Почему кибербезопасность важна, что в этом есть личного и индивидуального? На эти вопросы необходимо ответить внутри компании. Поможет в этом постоянная работа с сотрудниками, тренинги, целостный и последовательный подход.
Еще одним из насущных вопросов является взаимодействие бизнеса и отдела ИБ в организации. Как не стать жертвами кибер-инцидентов, как внедрять новые услуги, продукты и решения, как соблюдать требования информационной безопасности на всех этапах, но не лишиться прибыли? Вот те вопросы, которые чаще всего всплывают у организаций.
«ИБ — это конфиденциальность, доступность и целостность, постановка процессов таким образом, чтобы они обеспечивали выполнение этих трех условий. Одна из основных задач ИБ — чтобы безопасность гармонично вписывалась в бизнес-процессы компании. Когда все это будет работать, не мешая людям, но при этом — выполнять заданные функции, это будет отлично для конечной компании», — считает Евгений Гончаров, независимый эксперт.
Проблема при взаимодействии ИБ и бизнеса состоит в том, что безопасники и менеджмент не могут найти общий язык. Например, нередко бывает так, что в компании уже есть отлаженные бизнес-процессы, либо запускаются какие-то новые, и при появлении безопасников начинают появляться помехи в работе. При этом на ИБ смотрят как на некий придаток, который не учитывается в построении бизнес-процессов. Поэтому самый первый фактор, который необходимо наладить бизнесу и ИБ — это полноценное взаимодействие, которое будет не мешать компании осуществлять свою деятельность, а оказывать поддержку в рамках тех компетенций, которые есть у ИБ. Диалог — это один из ключевых моментов.
«Бизнес часто стоит перед дилеммой — мы будем инвестировать (деньги, ресурсы, человеко-часы) в наш новый продукт, или мы будем закрывать дыры. Это всегда торг. Да, у ИБ часто есть право вето. Но скорее это право должно быть у бизнеса. Именно бизнес должен решать, ведь он зарабатывает деньги. ИБ для бизнеса — это в первую очередь — защита. Но в некоторых случаях может быть точкой роста в качестве предоставления дополнительных услуг. В какой-то мере даже хорошая служба ИБ может помочь бизнесу достигнуть своих целей», — уверен Олег Прокудин.
«Неоднократно об этом говорилось — функция ИБ — помогать бизнесу, не мешать, — добавил Игорь Волохов. — Надо работать совместно. Когда есть диалог, с пониманием всеми сторонами их задач, это идеальный вариант. Конечно, всегда надо учитывать и риски. Договаривайтесь, принимаете ли вы их. Если нет — решайте, как устранять».
Из всего этого вытекает еще одна тема, достаточно новая для Казахстана — безопасная разработка. В глобальном масштабе такое направление тоже относительно свежее, оно начало развиваться порядка пяти лет назад. Как компании разрабатывать свои продукты с оглядкой на информационную безопасность, почему ИБ должна подружиться с разработкой, как быть компании, которая никогда не работала с безопасностью приложений? Свое видение и опыт представила Татьяна Новикова, эксперт информационной безопасности Beeline Казахстан.
«Если ваша компания производит ПО, которым пользуются другие люди в стране или в мире, есть вопросы, о которых вы просто обязаны задуматься. Дружба между программистом и безопасником возможна. Нам удалось на опыте работы с несколькими командами разработчиков это доказать. Более того, это дает ощутимые плоды. На сегодняшний день вопросы Secure software development lifecycle стоят очень остро, особенно в крупных компаниях. Уметь делать все то же самое, но теперь безопасно, оказалось очень важным навыком для современного мира ввиду роста числа киберугроз. При этом устранение уязвимости во время дизайна оказывается в 30-60 раз дешевле, чем в продакшене. Но очень важно, чтобы в компании было общее понимание того, что нужно идти в сторону безопасности», — отмечает Татьяна Новикова.
Как видим, важен баланс между информационной безопасностью и профитом компании, и не важно, идет ли речь о разработке софта, либо просто о безопасном осуществлении бизнесом своих ежедневных задач. При этом не всегда профит измеряется деньгами. Иногда проекты по ИБ, внедряемые в компаниях, тянут за собой улучшение бизнес-процессов, повышение репутации и т. д. К слову, в случае с инцидентами ИБ ситуация аналогичная — потери могут быть и репутационными, и финансовыми.
Особенно потери от различных утечек сложно оценить, посчитать и кому-нибудь поставить в вину в условиях казахстанского законодательства. Вспомним, как в 2019 году в РК произошла утечка базы данных центральной избирательной комиссии. Это должны были быть катастрофические репутационные потери, проблема должна была всесторонне решаться, выявляться и наказываться виновные. Тем не менее, случай очень быстро «забылся». Для сравнения эксперты панельной дискуссии привели в пример Европу, где в случае инцидентов ИБ именно регулятор выставляет штрафы, может также быть взыскан ущерб в судебном порядке в пользу потерпевших. Напомним — несколько лет назад в ЕС вступил в силу регламент по защите данных GDPR, который полностью изменил подход к тому, как компании должны защищать персональные данные своих пользователей, партнеров и сотрудников с точки зрения законодательства.
Как отметили гости конференции, в Казахстане инциденты ИБ практически не влияют на репутацию, а также не являются стимулом для усиления информационной безопасности. Развитие ИБ в стране драйвит регулятор — это законы, правила, требования. И именно эти требования стимулируют госорганы и бизнес.
К слову, одним из решений проблем ИБ в компании могут быть услуги по подписке, которые избавляют бизнес от необходимости держать полноценный штат специалистов. Подробнее о таком сервисе рассказал Максут Молдабасов, руководитель направления по работе c провайдерами связи ТОО «Middle comm». Так, «Казахтелеком» совместно с компанией Check Point предлагает свои услуги по новой модели MSSP. Это модель ежемесячной подписки, где заказчикам доступны Firewall и AntiDDoS — kегко масштабируемое и обновляемое решение, с технической поддержкой 24/7.
Опция Firewall по подписке включает межсетевое экранирование (NGFW), обнаружение и предотвращение вторжений (IPS), контроль приложений (APCL) и передачи файлов (ContentAwareness), сетевой антивирус (AV), фильтрацию URL-адресов (URLF), обнаружение и предотвращение сетевых аномалий и вредоносного трафика (Anti-bot), а также расшифровывание HTTPS трафика (HTTPS Inspection). В опцию AntiDDoS входят мониторинг и обнаружение вредоносного трафика, гибкий механизм обнаружения, поддержка BGP и BGP flow spec или BGP BH Community (RFC 5575), визуализации информации о трафике, защита от популярных DDoS-атак на уровнях L3–L5 OSI, обеспечение непрерывного функционирования сервисов клиента в условиях атаки и возможность формирования отчетов о каждой атаке с графиками, статистикой, источниками и примерами атакующего трафика. А для максимальной эффективности решение Check Point позволяет управлять несколькими логическими шлюзами на основе единой системы — Gateway Consolidation.
При этом виртуальные сервисы находятся на стороне провайдера. Заказчики, благодаря модели MSSP, могут оптимизировать затраты на обеспечение информационной безопасности сетевого периметра и содержание высококвалифицированных инженеров и администраторов, обеспечить защиту сетевого периметра офисов или удаленных филиалов. И все это — без дополнительных затрат на внедрение оборудования, получая решение сразу, а оплачивая помесячно.
Интересный доклад о том, какой подход в последние годы использует IBM, представил Дмитрий Ячевский, руководитель направления IBM Security в странах Средней Азии. Он также поделился методологией построения SOC у одного из заказчиков. Исторически IBM знают как поставщика железа, однако сейчас большое внимание вендор уделяет информационной безопасности. И это направление бизнеса является одним из наиболее динамично развивающихся у IBM. В качестве ответа на вызовы сегодняшнего дня вендор предлагает решение Cloud Pack для безопасности. К слову, в Казахстане золотым партнером IBM является Open Systems Development. OSD работает на рынке РК более семи лет, ключевое направление деятельности компании — разработка программного обеспечения и внедрение инфраструктурных решений, включая и решения по обеспечению информационной безопасности.
«Безопасность сегодня очень разрознена, разделена и сложна в управлении, — говорит Дмитрий Ячевский. — Мы предлагаем свою открытую платформу, которая позволяет работать не только с продуктами IBM, но и с продуктами других вендоров, которые являются нашими партнерами, которых уже более 200. Cloud Pack — это различные бандлы решений, они могут устанавливаться как в облаке, так и в on premise. Есть отдельный набор именно для безопасности, который включает такие решения, как QRadar и Guardium. С его помощью можно решать различные задачи, от поиска данных до реагирования на инциденты ИБ и обогащения аналитикой. Все это — без перемещения ваших данных».
Владимир Сенько, генеральный директор ТОО «Цифровой поток — Инновации», поднял вопрос обеспечения юридической значимости электронных документов и цифровой подписи в РК. Количество электронных документов у бизнеса растет, увеличиваются необходимые ресурсы для их обработки. Есть также определенные сложности, с которыми сталкиваются компании при работе с электронными документами, обеспечением их юридической значимости, хранением, архивированием и т. д.
«Мы живем в эру цифровизации, многие компании переводят свои бизнес-процессы в цифру. А для этого нужно обеспечить юридическую значимость электронных документов. Предприятия РК внедряют ЭЦП в существующие и новые разрабатываемые информационные системы. Везде, где нужно иметь доказательную базу по тому, что тот или иной документ был оформлен определенным человеком, добавляется цифровая подпись. Это общепризнанный в Казахстане способ подтверждения юридической значимости электронных документов», — пояснил Владимир Сенько.
ТОО «Цифровой поток — Инновации» предлагает бизнесу единую платформу ЭЦП Sigex, которая может значительно упростить обеспечение юридической значимости электронных документов в информационных системах предприятия. Sigex помогает сократить затраты на интеграцию ЭЦП в существующие и новые ИС, обеспечивает непрерывное соответствие требованиям и гарантированное хранение электронных подписей, а также предоставляет централизованный узел обмена информацией о документах и ЭЦП.
Еще об одном интересном решении, антивирусе, EDR и XDR нового поколения от SentinelOne, рассказал Илья Осадчий, директор по развитию бизнеса Tiger Optics. SentinelOne — лидер волшебного квадранта Gartner и тестирований MITRE ATT& CK 2021. Более 5000 компаний по всему миру уже стали клиентами компании, в том числе — в России, Казахстане и других странах СНГ. Весной текущего года Тайгер Оптикс стал дистрибьютором SentinelOne в Казахстане, что позволило заказчикам получить доступ к решению для реализации безопасной цифровой трансформации с помощью Singularity, интегрированной платформы безопасности на основе искусственного интеллекта.
«Платформа SentinelOne Singularity помогает в защите конечных точек и дает командам SOC и ИТ более эффективный способ защиты от современных сложных угроз, — пояснил Илья Осадчий. — Она представлена в трех версиях и обеспечивает дифференцированную защиту конечных точек, обнаружение атак и реагирование на них, безопасность Интернета вещей, защиту облачных ресурсов и функционал для повседневной ИТ-деятельности».
Важно отметить, что платформа объединяет несколько существующих технологий в одно решение. SentinelOne предлагает автономные агенты для Windows, Mac, Linux и Kubernetes, поддерживаются различные форм-факторы, включая физические, виртуальные, VDI, корпоративные ЦОДы, гибридные и публичные облака.
В заключение PROFIT Security Day 2021 выступил Мухтар Галимжанов, независимый эксперт, который представил свою версию пирамиды Маслоу применительно к информационным технологиям. Важное место в ней он отвел нормативно-правовым актам, регулирующим ИТ и информбезопасность. В частности, в Казахстане у операторов, собственников персональных данных и третьих лиц есть определенные обязательства по защите персональных данных. Мухтар Галимжанов разъяснил некоторые тонкости казахстанского законодательства, вопросы сертификации, а также внедрения средств криптографической защиты.
Подытоживая все сказанное на конференции, хотелось бы отметить, что сфера ИБ в Казахстане, безусловно, развивается. И радует тот факт, что она находится под пристальным вниманием экспертов, которые стараются активно участвовать в попытках внедрения тех или иных новшеств в стране. Что касается бизнеса, то в большинстве своем он вполне понимает важность информационной безопасности, соответственно — пытается следовать лучшим практикам по мере своих сил и ресурсов.
Посмотреть фоторепортаж с конференции PROFIT Security Day 2021.
Презентации и выступления спикеров доступны на официальном сайте PROFIT Security Day 2021.