Информационная безопасность – это состояние ума организации
Как взаимодействовать бизнесу в цифровой среде, какие вызовы и риски этому сопутствуют, как бороться с угрозами и одновременно не тормозить развитие бизнеса, рассказал редактору IT Manager Тома Гуржон (Thomas Gourgeon), глава департамента международной разработки Orange Cyberdefense, подразделения сервис-провайдера Orange Business Services.
Поединок брони и снаряда давно известен в мире кибербезопасности: новые угрозы – новые инструменты защиты – новые угрозы. Что изменилось за последнее время?
Все осталось таким же, за исключением некоторых моментов. Раньше хакеры пытались атаковать либо объекты интеллектуальной собственности, имеющие стратегическую ценность для компании, – чертежи, документы, либо охотились за деньгами. Так, на компьютеры запускали криптомайнеров, шифровальщиков и другие вредоносные программы. Но за последний год появились вирусы, в чью задачу входит тотальное уничтожение. Например, знаменитый вирус Petya, который якобы вымогал деньги, а на самом деле все платежи оправлялись в никуда. Это действительно новое, потому что не соответствует нашим представлениям о жадных взломщиках. То есть теперь цель – уничтожение данных. В остальном все без изменений. По-прежнему в рейтинге взломов превалирует фишинг, занимающий 95% всех атак. Причем зачастую перед таким нападением проводится небольшое исследование социального профиля жертвы. Сейчас появилась и целая плеяда зловредов, способных атаковать все, что подключено к Интернету. Это не связано с корпоративным сектором, с крупными компаниями, а заточено под конкретную уязвимость. Если она где-то есть, именно здесь и произойдет попытка вторжения. Я считаю, что основной инструмент безопасности в данном случае – обмен информацией об угрозах. Он должен вестись между группами, осуществляющими подобную защиту. Это касается и коммерческих и государственных структур. В Orange такая система обмена информацией успешно функционирует, в частности, мы постоянно взаимодействуем с французским правительством. Основная проблема защиты состоит в том, что если вы хотите безопасности, то должны обеспечить ее на 100%. Если вы этого не сделали, риски потери очень высоки. Есть определенная асимметрия между атакующей и защищающей стороной. Атакующая сторона может нанести сколько угодно ударов, ей достаточно, чтобы хотя бы один достиг цели, в то время как защищающей нужно отразить все.
Существует мнение, что против таргетированной атаки на предприятие не существует инструментов борьбы. Если кто-то поставил цель тебя взломать, он это сделает. Вы согласны?
Да, конечно. Все, что мы можем сделать в такой ситуации, – увеличить стоимость атаки. Сделать таргетированную атаку невыгодной. В определенный момент атакующий видит, что затраты превышают доходы, и может отказаться от своего замысла. Если же атакующий замотивирован на то, чтобы взломать вас любым способом, и у него нет ограничения в средствах и ресурсах, то вам действительно придется очень тяжело. Однако и в таких случаях есть варианты защиты. Например, мы можем обнаружить намерение атаковать и проинформировать об этом жертву. Чтобы та структура, в которую предполагается вторжение, могла оперативно повысить отказоустойчивость. Предупрежден – значит вооружен. Система предупреждения создана таким образом, чтобы вы могли оценить, что делать, если вас пробьют, и как вы будете восстанавливаться.
В мире много говорят о цифровом преобразовании, в том числе и в кибербезопасности. Что это такое, на ваш взгляд? Какие вызовы встают перед компаниями?
Поскольку все постепенно переходит в «цифру», самое важное – определить, что является для вас наиболее ценным. И это не всегда просто. Однажды мы спросили у известного производителя автомобилей о его основном цифровом активе. Казалось, это интеллектуальная собственность, а на самом деле основную ценность представляла цепочка поставок и контракты с контрагентами. Любой клиент мог получить нужную ему деталь в течение четырех часов. Вопрос с интеллектуальной собственностью не стоит так остро, потому что патент может скопировать любой желающий. И защита находится уже в юридической плоскости. А вот то, что вы можете получить необходимое за четыре часа, –дорого стоит. В данном случае мы ставим под наблюдение не патенты, а цепочку поставок. Повторюсь, в первую очередь определите, что для вас важно, риск потери чего наиболее критичен. Защитить абсолютно все не получится, поэтому вам надо сфокусироваться. Если говорить о трендах, связанных с цифровой трансформацией у нас, мы увеличиваем роль искусственного интеллекта в наших операциях, чтобы помогать своим командам. Рутинные операции должны быть автоматизированы. И наконец, еще одна задача – обеспечение безопасности Devops-сегмента, быстрорастущего направления корпоративного сектора. Пока мы изучаем проблемы, связанные с Devops, разрабатываем методики.
Согласно отчету Fortinet за 2018 год 85% CISO в мире говорят, что проблемы безопасности – самый большой барьер для успешной цифровой трансформации. BYOD и IoT – это высокие риски для компаний. Как ими можно управлять?
Что касается BYOD, сейчас подобная проблема решается с помощью разного специализированного ПО. Системы MDM защищают информацию на вашем смартфоне. С «Интернетом вещей» ситуация совсем другая. Поскольку у IoT-устройств небольшой запас памяти и маленькая производительность, то специализированный софт внутрь уже не установишь. И никакого Windows там нет. Здесь мы, как телеком-провайдер, можем видеть, куда устройства обращаются, с кем связываются и допустимо ли это. Можем анализировать паттерны поведения, даже если трафик зашифрован, какие-то выводы удается сделать. Ведь если твой домашний термометр стал общаться с Китаем, то, наверное, что-то пошло не так.
Насколько соблюдение GDPR может усложнить работу организации?
Вспомните 1970-е, когда ремни безопасности в автомобилях только начали распространяться. Водители и пассажиры жаловались, что это неудобно, грустно и пристегивание отнимает много времени. Производители говорили, что это повысит стоимость изготовления автомобилей. И вот спустя 48 лет мы все ездим пристегнутые, знаем, что это спасает жизнь, и не представляем, как может быть иначе. То же самое и GDPR. Просто сейчас мы находимся в начале цифровой эры и только начинаем понимать, что данный процесс необходимо регулировать на государственном уровне. Даже если сегодня вы считаете, будто это пустые траты, поверьте, это не так. Это более взрослое восприятие цифрового мира. Конечно, затраты, но необходимые, работающие на долгосрочную перспективу.
Но защита не должна быть дороже данных, которые она защищает?
Да. Безопасность не самоцель. Бизнесу не надо объяснять, что нужно дать денег, он должен сказать, какие критические компоненты следует защитить. Как я уже говорил, определитесь, что нужно защитить. И от этого будет зависеть цена защиты.
Сегодня инновации развиваются намного быстрее, чем безопасность может реагировать на новые угрозы. Как соблюсти баланс?
Мы внимательно следим за трендами на рынке, анализируем их и делаем выводы. Сейчас положение изменилось, и экономически выгодно находиться на стороне защищающего, а не атакующего. Конкурентоспособность защищающей стороны выросла, появилась возможность привлекать таланты. Интересно посмотреть, как дальше будет разворачиваться ситуация.
Многие организации заявляют, что у них проблемы с привлечением специалистов по кибербезопасности. И тенденция растет. Как решается эта задача в вашей компании?
Мы подходим к решению данной проблемы комплексно. У нас есть академия кибербезопасности, в которую поступают либо выпускники университета, либо сотрудники, проработавшие пять-десять лет системным администратором, и обучаются кибербезопасности. Мы также сотрудничаем с университетами по специальным программам, где наши специалисты читают лекции, и по окончании часть студентов приходит к нам в Orange. Новое комфортабельное здание, в котором мы с вами сейчас разговариваем, – своего рода тоже инвестиция. Мы хотим, чтобы люди оставались здесь. И еще. Специалистам по кибербезопасности нравится работать с визионерами. Тем, кто смотрит в завтрашний день. И у нас есть преимущество: в нашей команде кибербезопасностью занимается более тысячи человек. Это очень большой пул людей, у которых можно многому научиться. Обычная, даже крупная коммерческая компания не может позволить себе такой штат специалистов. Это привлекательно для кандидатов, стремящихся работать в кибербезопасности. Деньги для них не являются самым главным мотиватором. Мы можем обеспечить защиту 24×7 нашим клиентам, и они обращаются к нам, несмотря на наличие собственного штата сотрудников.
Один из ваших авторов написал на сайте, что кибербезопасность – это состояние ума. Вы согласны?
Это так. Сегодня все должны иметь представление об угрозах. Вопросы защиты касаются не только команды ИБ-подразделения. Вот почему мы постоянно тренируем своих сотрудников, проводя тестовые фишинги, тестовые атаки. Я бы сказал, информационная безопасность – состояние ума организации. Очень важно, чтобы отношение к ИБ шло от руководства, именно от совета директоров. Реальная оценка рисков помогает обнаружить угрозы, защитить и повысить устойчивость систем.
Одна из самых больших угроз для компании – инсайдеры. Компании теряют миллиарды с помощью собственных сотрудников. Как бороться с этим?
Есть инструменты DLP, но они требуют большой работы по внедрению, а главное – эволюционного подхода внутри компании. Вся корреспонденция должна быть помечена разным уровнем доступа. Это не всем подходит. Я считаю, что первый уровень – постараться не держать сотрудников, которые откровенно недовольны работой в компании. Чаще всего инсайдеры – те, кто по какой-то причине затаил злобу на организацию. Их ценности больше не совпадают с ценностями работодателя. Второй уровень – соблюдать принцип наименьшего доступа. Мы даем сотрудникам доступ только к тому, что необходимо для работы. Например, только на чтение, но не на запись. И конечно, нужно контролировать процесс, используя инструменты идентификации. Другой вопрос, что люди не только приходят и уходят, но и двигаются в самой компании, растут, получают новые задачи. И это необходимо учитывать внутри системы. Иногда, при смене должности, доступ к прежним базам данных не нужен, соответственно, его необходимо вовремя убирать. Такие вопросы мы тоже решаем с нашими клиентами.
И последний вопрос. Почему вы выбрали ИБ своей профессией?
Я считаю, что ИБ – это не просто очередной хайп. Это надолго и всерьез. Иногда безопасности ошибочно отдают второстепенную роль в то время, когда она должна играть первую. Если вы строите ядерный реактор, требования к безопасности будут основными. Если вы на 100% не уверены, что ваш самолет сможет летать, то вы не станете его продавать. «Цифра» пока не дошла до этого, зачастую бизнес-требования не учитывают угрозы. Поэтому в ближайшей перспективе у специалистов по ИБ будет много работы.
Опубликовано 24.10.2018