Следите за новостями

Цифра дня

10,4 млрд — количество безналичных транзакций в РК в III квартале 2024

    PROFIT Security Day 2024: бизнес не понимает всю серьезность сегодняшних угроз

    Эксперты назвали недостаточную осведомленность касательно информационной безопасности одной из основных болей.

    12 ноября 2024 14:18, Profit.kz

    1 ноября в Алматы эксперты по информационной безопасности собрались на ежегодной конференции PROFIT Security Day. Мероприятие прошло уже в 11-й раз, снова продемонстрировав всю важность темы информационной безопасности для бизнеса. В этом году помимо традиционных проблем и трендов в сфере ИБ эксперты затронули тему ИИ и его влияния на подход к обеспечению безопасности.

    Боли ИБ сегодня — с чем сталкиваются кибербезопасники?

    На большой панельной дискуссии эксперты разобрали сразу несколько животрепещущих тем. И одна из них — ключевые боли безопасников. С чем они сталкиваются при осуществлении своих непосредственных функций? Как донести до бизнеса все риски и защитить периметр организации?

    PROFIT Security Day 2024

    Давид Мамедов, начальник управления ИБ, ТОО «KAZ Minerals», посмотрел на вопрос масштабно, обратив внимание на развитие геополитической обстановки, санкционные риски, а также возможности того, что какие-то системы могут быть отключены. При этом он подчеркнул, что даже облака не станут панацеей: «Облака — это не магия, это просто сервер у другого человека или компании. И когда вы строите безопасность на облачных сервисах, надо понимать, что в любой момент они могут быть отключены. Вот об этом стоит задуматься».

    А вот Александр Пушкин, CISO PS Cloud Services, обратил внимание на проблемы с донесением до бизнеса необходимости построения защиты.

    «Если говорить в целом по рынку, то, на мой взгляд, основная боль — это недостаточная осведомленность касательно информационной безопасности. Потому что когда ко мне приходят заказчики как к руководителю SOC, то я понимаю, что этой осведомленности прямо не хватает, иногда что-то приходится доказывать руководству, регуляторам и прочее. Но мне кажется, что сейчас в этом направлении развитие идет, ИБ-компаний стало много, мы стали громче, мы стали чаще говорить. И я думаю, в какой-то перспективе, где-то 2-3 года, эта ситуация с осведомленностью по рынку о необходимости ИБ раза в два увеличится. Я уже сейчас вижу, как компании, с которыми я общался полтора года назад, уже „дозревают“ сами и возвращаются уже совсем с другими запросами», — отметил Александр Пушкин.

    Олег Биль

    Константин Аушев, партнер и руководитель технологической практики на Кавказе и в Центральной Азии, KPMG в Казахстане и Центральной Азии согласился с коллегами, отметив изменения с осведомленностью: «Мне тоже кажется, что в плане осведомленности ситуация уже явно меняется, уже меньше жалуются, что бюджеты не согласовывают. А те боли, которые еще остаются — я поддержу мнение о геополитике. Сложно все делать у себя, нужно рассматривать какие-то облачные сервисы. Но, опять же, законодательство и регуляторика не всегда четко говорят, как это делать и можно ли это делать. Вторая боль связана с тем, что автоматизация становится проще, пользователи начинают у себя что-то „пилить“, соответственно, становится больше Shadow it, и мне кажется, это еще одна нарастающая боль для CISO. Это про риски, связанные с внутренним фродом, мошенничеством, неправомерным использованием данных, нарушением доступности».

    PROFIT Security Day 2024

    Олег Биль, руководитель направления исследования угроз, Seven Hills of Kazakhstan, тоже считает, что нынешняя геополитическая обстановка вносит свои коррективы: «Правительства могут влиять на вендоров своих стран, чтобы, например, они делали такой „экстренный рубильник“ для отключения всего. Это большой риск, потому что сейчас не очень понятно, кого вообще выбирать с точки зрения геополитики. То есть, например, завтра все могут начать воевать против всех, ну виртуально, по крайней мере, и это может привести к очень большим проблемам. А по рынку, я считаю, что самая большая проблема сейчас — это отсутствие понимания того, что такое хорошо, и что такое плохо. То есть, заказчик часто не может определить какой ОЦИБ хороший, а какой — плохой. У заказчика нет четких критериев, поэтому часто критерием выступает цена. То есть, закупщики ее лоббируют, и получается то, что получается — какие-то непонятные компании без специалистов выходят на первый план. Вот это большая проблема».

    Также Олег Биль упомянул проблему кадров. Собственно, она всплывает при любой дискуссии, вне зависимости от того, в связке с чем обсуждается тема ИТ. Хотя эксперт уверен, что кадры подтянутся, когда рынок «устаканится».

    О той же проблеме высказался и Артем Шалтаев, начальник отдела кибербезопасности, Технодом: «Основная боль — это лень и халатность людей. „Со мной этого не произойдет, меня это не коснется“. Или — „Это усложнит мою задачу“». При этом эксперт подчеркивает — сотрудник может вполне отдавать себе отчет в том, что-то или иное его действие небезопасно, но оправдывает его текущей необходимостью.

    Артем Шалтаев

    Представитель Технодома упомянул еще одну боль ИБ. Бизнесу всегда важна экономическая составляющая, а в то, что не приносит денег, бизнес вкладываться не будет. Именно от этого страдает ИБ — сиюминутная выгода от внедрения решений и сервисов не видна, а о негативных последствиях от их отсутствия и потерях в случае инцидентов бизнес в большинстве не задумывается.

    При этом рост бизнеса всегда требует увеличения уровня безопасности и адаптации к новым угрозам. О том, как безопасность может быть реализована с учетом вышесказанного, рассказал Антон Игнатченко, начальник отдела сетевого администрирования в Технодом. Он показал путь модернизации ИБ в компании — от stand-alone решений до масштабируемой безопасности на основе Check Point Maestro. Изначально безопасность в компании была реализована с Check Point NGFW 5400 в режиме Standalone, при этом ресурсов при увеличении нагрузки не хватало. Затем было решено перейти к HA-кластеру на NGFW 6200 Plus, что позволило эффективно распределять сетевой трафик и повысить отказоустойчивость. Однако с ростом бизнеса потребовалось быстро наращивать мощности сети для обеспечения безопасности, в связи с чем и осуществили переход на Maestro.

    Антон Игнатченко

    «Maestro позволяет обновлять системы без простоя, что критично для компаний, работающих 24/7. Кроме того, архитектура Maestro включает в себя технологии для повышения отказоустойчивости и минимизации рисков», — говорит Антон Игнатченко.

    А Владислав Иванов, руководитель отдела ИБ департамента ИТ в «Health & Nutrition», рассказал о своем подходе к управлению рисками и эффективностью ИБ. По его словам, управление рисками ИБ должно быть встроено в общую стратегию компании. При этом важно закрывать ключевые векторы атак и работать с недопустимыми событиями.

    Еще одну проблему поднял Алексей Федулаев, Cloud Native Security Team Lead в МТС Web Services. Он напомнил про защиту от Supply Chain атак и рассказал про OSC& R (Open Software Supply Chain Attack Reference).

    Алексей Федулаев

    Безопасность как сервис

    Все больше компаний при отсутствии бюджета на того или иного специалиста задумываются о покупке соответствующей услуги извне. Насколько реально в сегменте ИБ использовать сервисную модель? Можно ли вообще это делать, либо стоит растить кадры внутри компании?

    Константин Аушев уверен, что сервисный подход вполне реален. Более того, глобально рынок ИБ-услуг растет. Однако здесь остается актуальным вопрос SOC-аттестации поставщиков этих услуг.

    «Мы сами как компания в Казахстане рассматривали для себя такие сервисы. Проблема в том, что наши поставщики услуг SOC-аттестацию почему-то не делают. Речь идет о Service organization controls. Для нас критично, чтобы у поставщиков это было, и я знаю, что для многих других международных компаний аналогично. Но, к сожалению, пока мы не можем найти таких компаний на рынке. А вообще, безопасность как сервис — это абсолютно реально и вполне приемлемо», — считает Константин Аушев.

     Юрий Дорофеев

    О том, как услуги ИБ развиваются в казахстанских реалиях, рассказал Юрий Дорофеев, руководитель Управления проектирования и разработки сервисов в АО «Казтелепорт». Сегодня Казтелепорт является ведущим оператором дата-центров и облачным провайдером, предоставляя широкий набор облачных сервисов для бизнеса. В числе услуг по информационной безопасности у провайдера доступны техническая поддержка и обслуживание систем ИБ, администрирование Firewall, IPS, Web-proxy, почтового шлюза (защита от спама), защита ОТ DDoS, а также сервис OnlineSecurity и аренда средств защиты информации.

    Олег Биль тоже уверен, что сервисный подход вполне себя оправдывает, особенно когда речь идет о высококлассных специалистах. Однако он обратил внимание на отсутствие понятных критериев для сравнения качества услуг.

    «Если мы говорим о высококвалифицированном специалисте, в средней компании в плане атак ему будет просто неинтересно. То есть, даже если ему предложат хорошую зарплату, но эту компанию никто не атакует, и он там, грубо говоря, тупеет. Специалист на такое вряд ли пойдет. Соответственно, эта компания вынуждена будет покупать услуги у специализированных организаций. При этом критериев сравнения качества оказываемых услуг практически нет или очень мало. И, соответственно, часто на рынке сравнивают „теплое с мягким“. И, например, есть демпинг, когда, например, предлагают за 6 млн тенге в год обслуживание SOC. А нормальные SOC смотрят и говорят — это зарплата студента, и что на нее можно сделать, не очень понятно», — обрисовал проблему эксперт.

    Олег Биль

    То есть, потребность в услугах сильных ОЦИБ есть, однако потребители этих услуг не понимают их ценности и не видят разницы между услугой, подкрепленной реальными компетенциями и сертификатами, и демпинговыми предложениями с условной «бумажкой». Это мешает развивать компетенции и тормозит развитие предложений от других компаний. И именно поэтому в Казахстане не формируется рынок качественных услуг.

    «Не проблема даже купить специалиста из-за рубежа. Но чтобы купить, нужно понять, как ты его будешь продавать. А вот из-за отсутствия критериев сравнения, понимания проблем и требуемого уровня защищенности возникают вот такие коллизии — что рынок в некоторых точках не развивается. Крое того, зачастую руководители не понимают, что они атакованы, что их система под контролем, потому что атаки скрытные. Она присутствует, она чего-то ждет. Не знаю, чего, может просто собирает информацию, может компанию хотят „выключить“ в определенный момент времени — я этого не могу сказать. Но при этом атаки есть, и они находятся в организации годами. Но пока бизнес этого не понимает, и пока нет регуляторки, которая заставит бизнес понимать. Когда мы смотрим на опыт зарубежных государств, где штрафы в миллионах долларов, мы видим, что там к безопасности относятся по-другому, и бизнес реально осознает проблему, выделяет деньги на ИБ», — добавил Олег Биль.

    PROFIT Security Day 2024

    Отличное подтверждение высказыванию Олега о том, что зачастую атака на компанию проходит незаметно — недавняя история с утечкой данных сразу у нескольких казахстанских компаний. Как тогда заявили специалисты, китайская APT-группировка сидела в казахстанской инфраструктуре около двух лет, и это только верхушка айсберга. По итогам этого инцидента были проведены расследования, и у некоторых крупных отечественных компаний выявили несоответствия требованиям информационной безопасности. Чуть позже стало известно еще об одной громкой утечке, на этот раз — у МФО.

    О критериях сравнения для выбора ОЦИБ высказался и Александр Пушкин. Он подчеркнул, что ни у регулятора, ни у заказчика нет «линейки», которой можно измерить ОЦИБ. Именно поэтому все они выглядят равнозначными. Что же касается в целом сервисной модели ИБ, то эксперт говорит о ее несомненной необходимости, поскольку у многих компаний попросту нет таких ресурсов, чтобы построить у себя тот же ОЦИБ. А для таких компаний, как, например, банки, которые не могут отдать все полностью на аутсорс, Александр Пушкин предлагает рассмотреть гибридные решения, когда часть экспертизы и функционала остается на стороне заказчика, а часть берет на себя сервис-провайдер. Помимо этого, эксперт уверен, что каждый должен заниматься своим бизнесом. То есть, компании, которая производит железобетонные конструкции, нет смысла развивать внутри себя новое направление ИБ, которое будет развиваться в большой отдел.

    «На мой взгляд, это расфокусировка в бизнесе. Например, если брать разработку, это отчасти уже сместилось на аутсорс. Раньше тоже чуть ли не в каждой компании сидели отделы разработки. Мне кажется, с ИБ будет происходить то же самое. Это будет и экономически выгоднее», — уверен Александр Пушкин.

     Давид Мамедов

    А Давид Мамедов подчеркивает, что все зависит от контекста работы компании: «Если у вас все облачное/ сервисное, вам в любом случае придется строить либо гибридную, либо сервисную модель безопасности. Вы не можете on-premice защищать то, что у вас в облаках. А для критических объектов, тех же КВОИКИ, которые должны быть в изолированном контуре, защита должна обеспечиваться локально. В итоге что мы имеем? Безопасность как сервис, безопасность гибридная, безопасность on-premice — три пути, которые зависят только от владельцев вашего бизнеса, от бюджета, который выделяют, и от требований регулятора».

    В этом как раз и состоит роль CISO в компании — выстроить стратегию кибербезопасности в соответствии с задачами бизнеса и требованиями регулятора. Об этом Давид Мамедов рассказал в своей презентации.

    Кстати, недавно у нас вышло интервью с Давидом Мамедовым, в котором мы подробнее обсудили промышленную безопасность, влияние ИИ и взаимодействие ИБ и бизнеса.

    Максим Деркач

    При этом специалисты отмечают, что развитие облачных технологий и переход к гибридной работе и значительно расширили поверхность атак, сделав традиционные подходы к безопасности устаревшими. «Периметр как таковой „исчезает“, пришло время объединить сеть и безопасность, используя идентификацию и микропериметры», — говорит Максим Деркач, архитектор по безопасности Headtechnology. Он рассказал о платформах для современных сетей от компании ARISTA и рассказал об эволюции в микросегментации для сетей с нулевым доверием.

    Подробнее на критически-важных объектах ИК инфраструктуры остановился Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП. Он представил решения InfoDiode для физической изоляции и безопасной передачи данных. Среди них — АК InfoDiode, базовое аппаратное решение для построения систем обнаружения вторжений, АПК InfoDiode PRO — решение для передачи значимых файловых потоков, дистрибутивов, реплик ВМ и баз данных и т. д. из доверенного сегмента вовне или обратно, и АПК InfoDiode SMART — решение для передачи за пределы периметра КИИ промышленных и специфических протоколов, для интеграции SCADA систем, MES, Historian и ситуационных центров.

    Вячеслав Половинко

    «Однонаправленный шлюз (InfoDiode) — это устройство, которое передает информацию (сигнал) в одном направлении. То есть, не передает физический сигнал обратно. При этом однонаправленность передачи гарантируется аппаратными решениями. InfoDiode — это аналог „диода“, однонаправленность и воздушный зазор гарантируются физическим принципом, а не программным. Современные решения этого класса позволяют передавать данные практически всех видов протоколов», — говорит Вячеслав Половинко.

    Алмас Исаков, руководитель Национальной службы реагирования на компьютерные инциденты, тоже затронул тему обеспечения ИБ в КВОИКИ на примере анализа инцидента.

    Алмас Исаков

    «Кибератаки на критически важные объекты инфраструктуры могут привести к масштабным последствиям для экономики, безопасности и повседневной жизни. Удачные атаки могут нарушить поставки энергии, воды, топлива, привести к остановке промышленности и даже создать угрозу для жизни людей. Многие организации продолжают верить в мифы, что их критическая инфраструктура не будет подвержена атакам, что они защищены, или что их системы полностью изолированы. Эти заблуждения могут стоить дорого», — напоминает эксперт.

    Андрей Кузнецов, специалист по продвижению продукта в ООО «АйТи Бастион», представил кейс «Случай на фабрике № 6, или как „перевернуть“ обмен данными на производстве за 1 день». «АйТи Бастион» — российский разработчик решений в области информационной безопасности, имеющий десятилетнюю историю. Компания представляет программный продукт «Синоникс», который автоматизирует процесс передачи файловой и потоковой информации между физически изолированными сетями и сегментами сети.

    Андрей Кузнецов

    Хайп вокруг ИИ

    Еще одна любопытная тема, которую затронули в рамках панельной дискуссии на PROFIT Security Day 2024 — искусственный интеллект. Как повсеместное распространение ИИ влияет на подход к кибербезопасности?

    Давид Мамедов напомнил, что ИИ — это всего лишь инструмент. Да, фишинговые атаки с использованием ИИ, с быстрой подменой, с быстрым анализом данных и определением слабого звена увеличились по всему миру. Но, в то же время, все большее распространение получают и элементы Machine Learning, которые встраиваются в системы защиты, в антифрод, в распознавание лиц: «Они тоже работают по новым технологиям с использованием ИИ. То есть, растет вектор атак, но и растет размер щита защиты и скорости реакции. Так что, я считаю, это просто развитие — и у красных, и у синих».

    «ИИ — это не разум, это разработчики, и они могут корректировать эти модели, могут корректировать поведение. И если люди перестанут перепроверять ту информацию, которую он выдает — это я считаю большим риском. Да, он работает классно, но то, как он работает, иногда вызывает сомнения. Но он нужен, с этим надо жить, надо понимать, что этот инструмент неизбежен, но не испытывать к нему абсолютное доверие», — подчеркивает Олег Биль.

    Более того, искусственный интеллект как инструмент не угрожает и самим безопасникам — человека машины заменят еще не скоро.

    Александр Пушкин

    «По большому счету, искусственный интеллект в текущем виде, во-первых, находится на пике хайпа, и скоро с этой „горки“ мы вниз покатимся. Во-вторых: представьте себе, что вместо ChatGPT и прочих — просто очень начитанный человек, который прочитал много книг и может быстро вам отвечать. Вот, по сути, ровно то же самое получится, — говорит Александр Пушкин. — Это не какой-то сверхразум, который знает какие-то тайны, которые не знает человечество. Это просто эрудированный собеседник — ты ему задал вопрос, он тебе быстро ответил. На этом все? Он может выполнять какие-то либо рутинные задачи, либо просто ускорить их выполнение. Например — это расшифровка видеозвонков с совещаний. Все то же самое раньше делали машинистки, они это все слушали и записывали. Ничего кардинально не поменялось просто поменялся чуть-чуть инструмент. И это отличный инструмент, просто не нужно его рассматривать так, как будто теперь всех уволят».

    А вот Константин Аушев предостерегает — опасаться ИИ, все же, надо. Но и идти в него — тоже.Он рассказал о потенциале ИИ в кибербезопасности. Так, по данным опроса 64% компаний собираются внедрить GenAI для функции ИБ в течение года. А для 72% — кибербезопасность является топ-приоритетом для применения GenAI. При этом четыре наиболее перспективные области применения ИИ в ИБ выглядят следующим образом: Digital-форензика и реагирование на инциденты; операционная деятельность функции ИБ; управление доступом и идентификацией; управление третьими сторонами. Еще один важный показатель важности этой технологии для рынка — 2/3 CISO считают необходимым в течение трех лет внедрить решения на базе ИИ в SOC.

     Константин Аушев

    «Единственное, что стоит вопрос — как управлять рисками? И он, с одной стороны, вроде понятный, а с другой — системно к нему подойти не сразу получается», — говорит представитель KPMG.

    Что касается негативных моментов от использования ИИ, уже были инциденты с нарушением приватности и законов о персональных данных. Кроме того, преимущества ИИ используются и киберпреступниками, и вот уже инструмент начинает служить злоумышленникам. Возможности ИИ становятся угрозой — симуляция голоса, репликация почерка, создание видео из изображений. Более 100 тыс. моделей ИИ сегодня уже умеют создавать дипфейки, а вот обнаруживать их — всего менее 3%. При этом средний размер потерь в финансовом секторе от атаки с дипфейком оценивается в 600 тыс. долларов. И по данным опроса KPMG, 80% CISO согласны с тем, что дипфейки представляют серьезную угрозу.

    Другие решения

    Александр Ерошенко, старший менеджер по развитию бизнеса «Код безопасности», представил обзор продуктов компании, среди которых — электронный замок «Соболь», гарнитура с криптографической защитой CryptoPod, средство для защиты данных и контроля безопасности конечных точек Secret Net Studio, средство защиты жизненного цикла виртуальных машин микросегментации сетей vGate и Континент 4, универсальное устройство для всесторонней защиты сети корпоративного уровня с поддержкой алгоритмов ГОСТ. «Код безопасности», один из ключевых игроков на рынке ИБ в СНГ. Компания работает уже более 30 лет, имеет более 1200 официальных партнеров, более 60 сертификатов. В ее штате работает 800 специалистов, а продукты компании защищают более 50 тыс. организаций.

    Александр Ерошенко

    Андрей Поцелуев, директор ТОО «ЛинкМастер Казахстан», рассказал о решениях компании Spirent Communications, одного из ведущих мировых производителей оборудования для тестирования и анализа сетей и сетевых сервисов. Почему это важно в контексте ИБ? Программно-аппаратное решение CyberFlood помогает протестировать информационные сети и телеком-системы на киберустройчивость с максимальной реалистичностью генерируемого трафика.

    «CyberFlood — это самый высокопроизводительный в мире тестер скорости соединения по протоколу HTTP, более чем в два раза превышающий текущий отраслевой стандарт. Система дает возможность использовать встроенные методики и преднастроенные тесты для нагрузочного тестирования и оценки кибербезопасности по рекомендациям NetSecOPEN. При этом RESTful уже входит в состав базового комплекта поставки вместе с первоклассной документацией и примерами», — пояснил Андрей Поцелуев.

    Андрей Поцелуев

    Руслан Шаймарданов, эксперт по Cisco компании Figura IT, сделал обзор современных решений Cisco Security. Среди них — самый высокопроизводительный брандмауэр SDWAN на рынке, работающий на основе искусственного интеллекта, межсетевые экраны серий 1200 и 1200 Compact, Secure Firewall серии 1200, а также Cisco Talos, расширяющий возможности межсетевых экранов с помощью интеллектуальных технологий AI/ML.

    «ИТ-рынок Казахстана показывает уверенный рост на протяжении последних лет, на нем представлены крупные вендоры, оказывающие поддержку и предлагающие дополнительные услуги. По этой причине для успешного ведения ИТ-проектов важно иметь не только налаженные каналы продаж, но и надежную команду опытных технологических экспертов и инженеров, доступ к обновлениям ПО, возможность работы с вендорскими инструментами и базами знаний — все это отличает интегратора от бокс-мувера. У команды Figura IT — есть все необходимые ресурсы», — говорит Руслан Шаймарданов.

    Руслан Шаймарданов

    Ринат Хасанов, старший архитектор продуктов информационной безопасности Beeline Business, рассказал о новом направлении бизнеса телеком-оператора и сервисах Cybersecurity от Beeline. Компания предлагает заказчикам три ключевых продукта (SOC, All-in-One и DDoS protection), которые способны «закрыть» практически все боли бизнеса, касающиеся ИБ.

    Подробнее о сервисах Beeline вы можете прочитать в нашем специальном материале.

    Что делать то?

    «Повсюду угрозы, и спасения — нет». Такое впечатление может сложиться, когда эксперты берутся описывать кейсы с теми или иными атаками, рассказывают о багах в ПО и оборудовании, которыми пользуются злоумышленники, или даже о слежке при помощи роботов-пылесосов. Все это в своем докладе показал Евгений Гончаров, независимый эксперт. И как раз ввиду всех этих проблем он призвал коллег быть бдительными, не полагаться на те или иные решения, а самим изыскивать проблемы и пробелы в своей защите, проводить awareness в своем окружении, быть в курсе происходящих в сфере ИБ событий и развиваться.

    Евгений Гончаров

    На этой позитивной ноте официальная часть PROFIT Security Day 2024 подошла к концу, а эксперты получили возможность в неформальной обстановке обсудить интересующие их вопросы.

    Посмотреть фоторепортаж с конференции PROFIT Security Day 2024.

    Видеозапись конференции:

    Подписывайтесь на каналы Profit.kz в Facebook и Telegram.