Сегодня зачастую уже не стоит вопрос, нужно ли обеспечивать информационную безопасность, вопрос в другом — как именно ее защищать?

«IT — ЭТО БИЗНЕС-АКТИВ НАРЯДУ С ПРОИЗВОДСТВЕННЫМ КОНВЕЙЕРОМ ИЛИ УСТАНОВКОЙ НЕФТЕПЕРЕРАБОТКИ»

Сейчас, в ХХI веке, мы наблюдаем, как бизнес все шире привлекает информационные технологии для решения своих задач, а работа предприятий все чаще предполагает активизацию информационных технологий. В настоящее время многие критичные для производства задачи решаются с привлечением (и даже зачастую на основе) IT, в некоторых высокотехнологичных отраслях роль информационных технологий в бизнесе является ключевой. Это наглядно демонстрирует то, что в ХХI веке IT — это бизнес-актив наряду, например, с производственным конвейером или установкой нефтепереработки.

Как это отражается на информационной безопасности предприятий? Самым непосредственным образом: сегодня зачастую уже не стоит вопрос, нужно ли обеспечивать информационную безопасность, вопрос в другом — как именно ее защищать? Потому что для многих очевидно, что бизнес-активы нуждаются в защите.

Подстегивает развитие информационной безопасности на предприятиях и такой фактор, как бурное развитие нормативного регулирования. И это, нужно отметить, очень положительная тенденция: на законодательном уровне закрепляется необходимость обеспечения безопасности (в том числе информационной), например персональных данных, объектов ТЭК; в скором времени это коснется и критических инфраструктур в целом.

В настоящий момент законопроект находится на рассмотрении в Госдуме. С выходом этих нормативных документов уже невозможно будет просто игнорировать вопрос обеспечения информационной безопасности, потому что будут прописаны конкретные виды ответственности должностных лиц, при этом строгость санкций будет постепенно увеличиваться. На основании нормативных документов верхнего уровня разработаны конкретные методические требования и указания регуляторов, описывающие точные критерии и подходы к построению систем защиты информации.

Регулярно происходят громкие инциденты, в том числе и на предприятиях России и Татарстана: утечки критичной информации, взломы критических систем (промышленных, банковских и прочих), масштабные вирусные атаки

«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ — НЕ БОРЬБА С ВЕТРЯНЫМИ МЕЛЬНИЦАМИ. УГРОЗА И ПРОТИВНИК АБСОЛЮТНО РЕАЛЬНЫ»

Еще один безусловный фактор развития информационной безопасности заключается в том, что регулярно происходят громкие инциденты, в том числе и на предприятиях России и Татарстана: утечки критичной информации, взломы критических систем (промышленных, банковских и прочих), масштабные вирусные атаки. Тут уместно вспомнить и атаку на один из банков Татарстана в начале прошлого года, повлекшая серьезные финансовые потери, и о недавнем серьезнейшем вирусном заражении (можно сказать даже вирусной эпидемии) WannaCry, и о громких взломах АСУ ТП промышленных объектов в Германии и Украине, а также многих других ярких примерах. Все это лишний раз подтверждает: информационная безопасность не борьба с ветряными мельницами, угроза и противник абсолютно реальны.

Нельзя сбрасывать со счетов и то, что я бы назвал текущим «информационным фоном». Когда чуть ли не ежедневно слышишь по телевизору, радио, из различных СМИ о хакерских атаках, о могучих «русских хакерах», которые не дают спокойно жить «несчастным» американцам и европейским политикам, о миллиардах долларах ущерба, нанесенного кибератаками по всему миру, невольно начинаешь задумываться о проблеме.

В тех же США, к примеру, над проблемой задумываются давно и основательно. На уровне государства создаются специальные департаменты и структуры, занимающиеся непосредственно киберзащитой и даже разработкой кибероружия.

Вопросы кибербезопасности становятся частью государственной политики, в том числе и в РФ. Все чаще находит подтверждение тезис о том, что в случае развития негативных геополитических сценариев и начала крупных международных конфликтов, противостояние во многом будет не только в плоскости боевых действий, но и в киберпространстве, то есть в плоскости кибервообружения.

«КИБЕРВООРУЖЕНИЕ США ПОЗВОЛЯЛО ВЫВЕСТИ ИЗ СТРОЯ ТЕЛЕКОММУНИКАЦИОННУЮ ИНФРАСТРУКТУРУ ИРАНСКИХ ГОРОДОВ, ВКЛЮЧАЯ ИНТЕРНЕТ, СВЯЗЬ, ЖКХ, ВОДОСНАБЖЕНИЕ, ТЭК»

Показателен пример ситуации вокруг иранской ядерной программы, когда результатом атаки нашумевшего вируса Stuxnet на завод в иранском Натанзе стал выход из строя большого количества центрифуг по обогащению урана. Как следствие, произошел срыв запуска иранской ядерной программы.

Более того, по имеющейся в сети информации американские спецслужбы, которые, по мнению подавляющего большинства экспертов, имеют отношение к вышеуказанной атаке, были готовы к более решительным действиям в случае эскалации конфликта: их кибервооружение позволяло в течение краткого периода времени вывести из строя телекоммуникационную и коммунальную инфраструктуру иранских городов, включая интернет и связь, ЖКХ, водоснабжение, топливно-энергетический комплекс и прочее.

Тогда Stuxnet показал лицо нового вида вооружения ХХI века — кибероружия: невидимого, действующего мгновенно и эффективного, от которого можно защититься лишь создавая и развивая эффективные системы обеспечения информационной безопасности.

В свете этих событий, защита наших предприятий обороны и критической инфраструктуры имеет первостепенное значение, поскольку в случае военных действий именно они станут первыми целями в кибервойне.

Сегодня уже с уверенностью можно сказать, что в случае мировой войны уровень кибервооружения будет играть решающую роль.

«WANNACRY — НЕ ПЕРВАЯ В СВОЕМ РОДЕ ВИРУСНАЯ АТАКА И УЖ ТОЧНО НЕ ПОСЛЕДНЯЯ»

Вирусная атака, получившая название WannaCry, стала одной из самых масштабных, и, наверное, самой громкой со времен Stuxnet. По разным данным, жертвами червя-шифровальщика стали более 200 тыс. рабочих станций из 150 стран. Атаке подверглись как частные пользователи, так и различные компании по всему миру, включая Россию. Известно, что атака не носила секторальный характер, попытки атак были и на телекоммуникационные компании, и на предприятия энергетического и банковского секторов, даже на университеты и торговые центры. В РФ о фактах атак сообщили «МегаФон», РЖД, силовые ведомства (МВД, СК), представители банковского сектора.

Могли ли пользователи ПК защититься и зависело ли что-либо от ОС? Чтобы ответить на этот вопрос, нужно понять принцип работы червя. Используя уязвимость EnternalBlue в сервисе ОС Windows, червь, находя уязвимый компьютер, подгружал на него вредоносную часть и осуществлял шифрование файлов на компьютере.

Заразиться можно было несколькими способами. К примеру, перейдя по ссылке в фишинговом электронном письме, которые злоумышленники рассылали веерообразно. В этом случае червь скрытно от пользователя загружался на компьютер и запускался. Но это еще не самое страшное: в принципе, чтобы стать жертвой шифровальщика, было достаточно иметь компьютер с подключением к интернету и уязвимой операционной системой. Червь при наличии активного сервиса, связанного с сетевым окружением Windows (сервис SMB, по умолчанию он активен) незаметно устанавливался на компьютер жертвы через соответствующие сервису открытие порты. Это относилось и к рабочим станциям в локальной вычислительной сети предприятий и ведомств. Стоило червю проникнуть на одну из рабочих станций корпоративной сети, он тут же начинал распространяться во всех доступных направлениях: на другие машины, на съемные носители и прочее. Таким образом, не обязательно было даже куда-то нажимать, открывать, еще что-то делать для того, что получить сообщение о том, что все ваши ценные файлы зашифрованы и,  чтобы их расшифровать, нужно заплатить от $200 до $600.

Пикантность этой истории придает и то, что уязвимость EnternalBlue на момент заражения уже была закрыта в обновлении Microsoft для ОС еще в марте этого года, в рамках обновления безопасности MS 17-010. Самыми незащищенными в этой ситуации оказались компьютеры и серверы, работающие под операционными системами Windows XP, Windows 8, Window Server 2003, так как они уже не поддерживаются производителем и обновления для них не выпускаются. Однако, когда стал ясен масштаб проблемы с WannaCry, Microsoft выпустил обновления и для этих ОС. Примечательно, что масштаб заражения показывает халатное отношение большого количества пользователей и администраторов к вопросу регулярного обновления ОС: если бы патчи были установлены вовремя, такого масштабного распространения червя не произошло.

Таким образом, если на рабочей станции не стояла одна из неподдерживаемых ОС, защититься от шифровальщика было вполне реально за счет своевременного обновления ОС и применения разумных мер по информационной безопасности.

В целом нужно отметить, что WannaCry — не первая в своем роде вирусная атака и уж точно не последняя. Причина, по которой заражение получило такое распространение, — это использование так называемой уязвимости нулевого дня (то есть уязвимости, о которой ранее было не известно, а на момент атаки защитные меры еще не разработаны или приняты).

Необходимо проводить с сотрудниками регулярный ликбез по основам информационной безопасности, правилам работы с внешними носителями и личными устройствами

«НЕОБХОДИМО ПРОВОДИТЬ С СОТРУДНИКАМИ РЕГУЛЯРНЫЙ ЛИКБЕЗ ПО ОСНОВАМ ЦИФРОВОЙ «ГИГИЕНЫ»

Уязвимости нулевого дня лежат в основе множества успешных хакерских атак и проникновений, которые уже произошли. Нет сомнений и в том, что они будут использоваться в будущих атаках. Для того чтобы успешно противостоять атакам подобного класса, необходимо придерживаться ряда простых рекомендаций.

Первое, к чему бы я призвал крупные предприятия — быть проактивными, то есть не ждать, когда проблема заявит о себе, а действовать превентивно. Для этого на первом этапе достаточно провести обследование самих себя, изучить актуальные угрозы и возможные векторы атак на свою инфраструктуру, зафиксировать, спланировать и последовательно реализовывать шаги по перекрытию угроз и каналов. Это можно сделать как самостоятельно, так и с привлечением специализированных компаний.

Второе — уделить внимание организационным мерам. Проводить с сотрудниками регулярный ликбез по основам информационной безопасности, правилам работы с внешними носителями и личными устройствами, которые потенциально могут стать каналами проникновения вируса в сеть предприятия; правилам так называемой цифровой «гигиены» относительно подозрительных ссылок и вложений в письмах, подозрительных сайтов и типичного арсенала уловок и приемов злоумышленников.

Третье — реализовать технические меры, которые в существенной мере снизят риск успешной атаки/заражения:

— применять антивирусные решения на всех рабочих станциях и серверах корпоративной сети;

— проводить регулярное обновление используемых ОС и другого общесистемного ПО. Если используются старые ОС, мигрировать на новые, поддерживаемые производителем;

— использовать меры по резервному копированию критичной информации. На случай, если информация все же будет утеряна, резервное копирование позволит оперативно восстановить важные информационные активы;

— применять технические решения по предотвращению атак (IPS) и по противодействию угрозам «нулевого» дня (песочницы), использующие различные алгоритмы проверок и анализа аномалий для выявления атак.

«ТО, ЧТО СЕГОДНЯ ВЫСТРОЕНА НАДЕЖНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ, ЕЩЕ НЕ ЗНАЧИТ, ЧТО ОНА БУДЕТ ЭФФЕКТИВНА ЧЕРЕЗ ГОД-ПОЛТОРА»

Что же в целом должна охватывать защита информации на предприятии? Если коротко, то защита информации на предприятии должна защищать информационные активы, которые важны для конкретного бизнеса, от актуальных угроз. За этой, казалось бы, простой парадигмой, кроется большая, кропотливая работа по разным направлениям.

Защита информации охватывает множество аспектов — начиная с организационных мер по выстраиванию правильных процессов по работе с информацией, работе с сотрудниками, включая защиту от утечек по техническим каналам, заканчивая техническими мерами защиты, такими как антивирусная защита, контроль доступа и прочее.

В нашей практике нередко встречается и то, что не всегда очевидно, какие именно IT-активы являются критичными для бизнеса. В действительности понять, каким образом в бизнес-процессе задействован тот или иной актив, как обрабатывается информация и с помощью каких технических средств — одна из кропотливых задач, которую необходимо решить для построения эффективной защиты. Далее необходимо рассмотреть, кто и как может вывести из строя или оказать другое негативное воздействие на наши активы, на какие конкретно точки и посредством чего. Приведем пример. Сценарии атаки, нарушения работоспособности критичной системы — можно воздействовать на саму эту систему (информация, прикладное программное обеспечение, общесистемное ПО). Это один класс угроз. А можно вывести из строя инфраструктуру, поддерживающую функционирование системы, то есть серверы, сетевое оборудование, рабочие станции пользователей. Это уже другой класс угроз, при котором уязвимыми становятся, например, каналы связи. Сценарии реализации этих классов угроз многообразны, и все они могут привести к негативному результату — нарушению работы системы, ее недоступность, компрометация информации. Чтобы систематизировать эти факторы, строится модель угроз безопасности, на основе которой планируются соответствующие меры по защите.

Важно помнить, что информационная безопасность — это не перманентное состояние, это процесс. Над эффективностью информационной безопасности нужно работать постоянно. То, что сегодня выстроена надежная система защиты информации, еще не значит, что она будет эффективна через полгода-год. Меняются бизнес-задачи, меняются технология и инфраструктура, меняются подрядчики, должна меняться и система защиты. Она всегда должна успевать за развитием бизнеса и технологий, работать на опережение.

Наблюдается закономерный процесс развития уровня зрелости предприятий Татарстана в области информационной безопасности, придет и понимание целесообразности инвестиций в информационную безопасность

«МНОГИЕ ПРЕДПРИЯТИЯ ТАТАРСТАНА НЕ ГОТОВЫ ИНВЕСТИРОВАТЬ СРЕДСТВА В СОЗДАНИЕ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ»

Почему предприятия Татарстана не уделяют должного внимания информационной безопасности своих предприятий? Как относятся к своей информационной безопасности и осознают ли ее необходимость?

По нашему опыту работы последних лет, многие компании запускают у себя проекты по обеспечению информационной безопасности. Не стали исключением и предприятия Татарстана. Мы получаем большой объем запросов от компаний республики и видим, что заинтересованность велика. Кроме тех факторов, которых мы уже коснулись, в РТ этому способствует и активная политика руководства Татарстана в вопросе обеспечения безопасности.

Тем не менее мы сталкиваемся с тем, что многие предприятия Татарстана не готовы инвестировать существенные средства в создание систем защиты информации и в консалтинг по их развитию. Я бы связал это с тем, что наряду с осознанием наличия проблемы, приходит и осознание того, что создание серьезной и эффективной системы защиты на больших предприятиях требует серьезных инвестиций, времени и денег. Люди, принимающие решения, не всегда видят прозрачную связь между средствами, которые необходимо потратить, и тем результатом, который будет получен.

Такие опасения отражают текущий уровень зрелости в вопросах информационной безопасности, который растет, но растет постепенно. Для сравнения — некоторые московские предприятия начинали развиваться в направлении информационной безопасности более 10-15 лет назад. Причин несколько: в столице и возможности больше, и тренды формируются там. Но при этом уже тогда в крупных корпорациях принимались качественные внутрикорпоративные стандарты в области информационной безопасности, что сильно подстегнуло развитие. В регионы этот тренд пришел позже, поэтому и развитие в этом направлении началось позднее.

Поэтому я бы сказал, что на данном этапе мы наблюдаем закономерный процесс развития уровня зрелости предприятий Татарстана в области информационной безопасности, с его дальнейшим ростом придет и понимание целесообразности инвестиций в информационную безопасность как в важный аспект бизнеса предприятий. Мы и коллеги по цеху стараемся содействовать этому процессу — показывать актуальность проблемы, иллюстрировать причины и результаты инвестирования в информационную безопасность. Также важно продемонстрировать, что безопасность служит целям бизнеса наряду с IT, а потому в сегодняшних реалиях является важным компонентом для стабильного развития предприятия и его бизнеса.

На сегодняшний день создана хорошая почва для развития уровня информационной безопасности на предприятиях республики. Мы уверены, что рост потребности в обеспечении информационной безопасности будет стабильным.

«ХАКЕР СЕГОДНЯ — ЭТО НЕ РОМАНТИЧЕСКИЙ ОБРАЗ БУНТАРЯ, ИГРАЮЩЕГО ПРОТИВ СИСТЕМЫ»

Последние атаки и громкие инциденты информационной безопасности создают общий информационный фон и лишний раз подтверждают необходимость построения системы защиты на предприятиях. Но далеко не все атаки и проблемы становятся достоянием общественности, так как не все предприятия, подвергшиеся атаке, афишируют данные факты. В свою очередь, это нередко создает ложное ощущение того, что атаки происходят где-то далеко и к нам они не относятся. Мы часто слышим от наших клиентов что-то вроде: «до нас не доберутся», «мы никому не интересны, нас не станут атаковать» и прочее. Публично доступная информация об инцидентах, их масштабах и последствиях (естественно, в разумных пределах, учитывая вопрос конфиденциальности) на наших предприятиях позволила бы получить аргументы в пользу такого скепсиса.

На Западе есть специальные организации (например, тот же ICS-CERT), которые осуществляют мониторинг состояния ИБ промышленных предприятий, собирают статистику, формируют публичные отчеты. Предприятия в свою очередь делятся информацией о своих инцидентах. Это помогает лучше понимать, что происходит, определять тенденции и предпринимать необходимые меры.

В России тоже есть движение в этом направлении: вышел законопроект, обязывающий промышленные компании раскрывать информацию о произошедших инцидентах. Центробанк ведет такую работу в рамках созданного на своей базе центра реагирования на компьютерные атаки FinCert. Но пока законопроект не принят, тенденция умалчивания информации остается, ведь легче скрыть, избежать шумихи, дабы «сохранить» репутацию.

Ну и в заключение хочу сказать, что сегодня хакер — это уже не романтический образ бунтаря, играющего против системы. Это дело, на котором люди зарабатывают. Причем хакеры нужны и с той, и с другой стороны: первые — чтобы атаковать, вторые — чтобы понимать, какими методами работают первые и как от атак защищаться.

Илья Петров