Кибербезопасность сегодня: чего нужно бояться
В отчете “Under Cyber Attack” компании EY указано, что за последний год в подходах к корпоративной кибербезопасности наметились некоторые изменения. Так, вопросы ИБ вышли на уровень руководства компаний. В 2013 году в 10% организаций из 1900, опрошенных в ходе исследования, глава предприятия лично выслушивал доклады о положении дел с ИБ. В 2012-м такого не было вовсе, а ИБ занимались специально обученные люди, которые чаще всего не выносили сор из избы. В настоящее время 35% IT-директоров докладывают руководству о положении дел с ИБ на предприятии раз в квартал, а 10% делают это ежемесячно.
Есть и другие интересные тенденции. В то время как аутсорсинг становится все более популярным, вопросы ИБ, наоборот, все больше остаются прерогативой самой компании (налицо тенденция отдавать на сторону все меньше функций в этой области). Более того, компании стремятся не только контролировать положение дел с ИБ в своих пенатах, но и заказывают независимую оценку процедур безопасности у контрагентов, имеющих доступ к их данным.
Кроме того, по данным исследования, 43% опрошенных компаний наращивали в текущем году расходы на ИБ. При этом у государственных организаций расходы на кибербезопасность чаще всего оставались на прошлогоднем уровне, а вот СМБ-сектор демонстрировал самый быстрый рост ИБ-расходов. Одновременно на недостаток денег, выделяемых на ИБ, жаловались представители 65% опрошенных компаний (среди тех, оборот которых составил менее $10 млн, таких был 71%).
Именно недостаток финансирования, по мнению составителей отчета, стал основным тормозом на пути внедрения средств и процедур ИБ в корпоративном секторе. Вторая острая проблема, на которую указали 50% респондентов, – кадры. Интересно, что 31% пожаловались на недостаточно глубокое понимание руководством компаний ИБ-технологий (в прошлом году – 20%, что косвенно указывает, что сложность арсенала киберпреступников и средств защиты от них растет).
Что касается общего положения дел, то 17% опрошенных полагают, что с ИБ у них в компании полный порядок, а 68% оценивают эту деятельность как удовлетворительную. В то же время примерно у 25% компаний вообще нет четко выработанной стратегии ИБ, работа в этой области ведется как Бог на душу положит, без следования четкому плану. Еще примерно у трети план есть, но он неформальный, и не оформлен в качестве официальной стратегии. Интересно, что у 62% компаний, которые таки подготовили план развития своей системы ИБ, стратегия безопасности никак не увязана с развитием бизнеса. То есть бизнес сам по себе, безопасность сама по себе. В несколько меньшей степени это свойственно финансовому сектору.
Что касается источников угроз, то 45% опрошенных корреспондентов полагают, что в наибольшей степени рост рисков для ИБ в их компании связан с использованием мобильных устройств. Намного меньше опасаются социальных сетей: рост угроз с этого фронта отметили 32% респондентов. Еще меньше опасений вызывают облака — 25% указали, что они несут в себе рост угроз для безопасности. Беспечные сотрудники вызывают опасения всего у 24% респондентов, а устаревшие программные или аппаратные средства беспокоят только 18%.
На вопросы IT News отвечают эксперты в области ИБ.
Вы согласны, что кибератака – это не вопрос «если», а вопрос «когда»? Иными словами, не страшилка типа птичьего гриппа и «проблемы 2000 года», а реальное положение дел?
Максим Захаренко,
генеральный директор компании «Облакотека»:
Это реальное положение дел. Кибератаки сейчас не являются избирательными, и существует очень много причин для получения доступа злоумышленников в компьютерные сети, в том числе формирование бот-сетей, фишинг и т. д. Причем это целый рынок, на котором продаются и покупаются взломанные ресурсы.
Михаил Башлыков,
руководитель направления ИБ компании КРОК:
От атак, естественно, никто не застрахован, но бояться их не стоит. Для компаний, чей бизнес зависит от ИТ (телеком, банки, крупные онлайн-магазины) и чьи данные являются критичным активом, проблема острая. Между тем есть достаточное количество технических средств, которые вместе с организационными мерами помогают если уж не предотвратить кибератаки, то по крайней мере снизить негативный эффект от них. Компании SMB-сегмента и тем более частные предприниматели интереса для профессиональных злоумышленников не представляют. В небольших компаниях достаточно следовать всем известным канонам ИБ, чтобы защититься от мошенников. Например, использовать антивирусы, не заходить по подозрительным ссылкам, внимательнее относиться к оплате услуг в Интернете, отслеживая фишинг-сайты.
Антон Разумов,
руководитель группы консультантов по ИБ компании Check Point Software Technologies:
Даже домашний пользователь, подключающийся к Интернету с беззащитного компьютера (без антивирусов, с отключенным межсетевым экраном), продержится лишь несколько десятков минут. Другое дело, он и не узнает, что его компьютер стал членом ботнет-сети, а его личные данные утекают в неизвестном направлении. Это реальность, подтвержденная множеством исследований. Соответственно, для компании с сотней компьютеров, игнорирующей безопасность, вероятность заразиться будет в 100 раз выше. Конечно, даже минимальные меры предосторожности значительно снижают риск, тем не менее рано или поздно компания будет взломана. Как метко сказал год назад директор ФБР Роберт Мюллер, сегодня «существует только два вида компаний: те, которые были взломаны, и те, которые будут».
Катажина Хоффманн-Селицка (Katarzyna Hoffmann-Sielicka),
менеджер по продажам HID Global в Восточной Европе:
Абсолютно согласна. По данным исследования Aite Group, проведенного для Panda Security, сегодня каждый день появляется 73 тыс. новых угроз. 50% модификаций нового вредоносного ПО разрабатывается для компрометации сессий онлайн-банкинга и 50% – для компрометации компаний электронной коммерции, кредитных и других организаций с целью взлома и использования номеров банковских счетов в мошеннических целях. Обычно хакеры и мошенники используют вредоносное ПО и веб-приложения для кражи денег с банковских счетов клиентов или получения доступа к конфиденциальным данным. Утечки данных продолжают удваиваться год от года.
Проактивная защита от киберпреступлений обходится недешево. Так есть ли смысл выстраивать цифровые крепости, ведь всех дыр все равно не залатаешь. Не лучше ли действовать реактивно, чтобы не тратить деньги на борьбу с опасностями, которые могут и не приобрести реальных очертаний?
Максим Захаренко («Облакотека»):
Защита от кибератак не требует колоссальных затрат. Даже стандартные методики позволяют чувствовать себя в относительной безопасности. Сложных целенаправленных атак проводится не так много, а как раз это и обходится весьма дорого.
Михаил Башлыков (КРОК):
Достаточно лишь грамотно подойти к построению системы ИБ. Требуется вовлечение руководства в процесс формирования данной системы, правильное ранжирование рисков, создание четкого плана мероприятий по устранению угроз. Когда сотрудники отдела ИБ каждый на своем уровне понимают, что им следует делать в случае форс-мажора, выстраивать повсеместно цифровые крепости не нужно. Достаточно ограничиться только наиболее уязвимыми местами. Действовать реактивно в случае кибератаки нецелесообразно. Ущерб от нее может быть фатален для бизнеса. И если на Западе подобные риски хотя бы страхуются, то в нашей стране соответствующий рынок еще не получил развития. Потому проактивная защита — это единственный выход из ситуации.
Антон Разумов (Check Point Software Technologies):
Разумеется, во всем нужен принцип разумной достаточности. Если даже в случае полной остановки IT-инфраструктуры на целый день потери бизнеса составят пару десятков тысяч долларов, если данные не представляют ценности, и в случае их утери (например, «благодаря» вредоносной программе Cryptolocker), можно просто и без потерь переустановить систему –— возможно, такие риски можно просто принять. Но такие компании встречаются нечасто. Допустим, вы занимаетесь выпечкой супервкусных кексов. Казалось бы, ничего страшного, если компьютер взломают, данные испортят. Но что, если вы набрали заказов на 30-31 декабря и потеряли все данные о них и о клиентах? Готовы вы принять такой риск? Сомневаюсь.
Катажина Хоффманн-Селицка (HID Global):
Это вопрос оценки рисков. В большинстве случаев размер убытков может быть значительно выше, чем стоимость систем защиты. В условиях возрастающего числа угроз поставщики услуг должны предлагать более комплексные решения, поскольку даже применение двухфакторной аутентификации может быть недостаточным. Поскольку кибератаки и интернет-преступления сегодня на подъеме, лучшей практикой защиты от рисков становится внедрение многоуровневой защиты и многофакторной аутентификации. Мы настоятельно рекомендуем использовать пять уровней безопасности: аутентификацию пользователя и устройства, аутентификацию в канале связи или защиту браузера, верификацию или подпись транзакции, повышение защиты и аутентификацию приложения.
Мы рекомендуем инвестировать в гибкие платформы аутентификации, которая позволяет добавлять уровни защиты при необходимости и/или применять дополнительные методы аутентификации в зависимости от степени риска.
Главных проблем в обеспечении кибербезопасности в компаниях две: недостаток денег и кадровый вопрос. Что из них важнее?
Максим Захаренко («Облакотека»):
На мой взгляд, именно кадровый вопрос ключевой. Система безопасности работает только тогда, когда за ней осуществляется постоянный контроль, своевременно обновляются сигнатуры и т. д. Крупные компании озабочены этой проблемой и находятся в поиске сотрудников, однако квалифицированных кадров не хватает. В небольших же фирмах от сотрудников требуются не столько знания, сколько аккуратность и обязательность контроля и проведения профилактических работ.
Михаил Башлыков (КРОК):
Кадры важнее, чем финансирование. Даже если штат полностью укомплектован специалистами по ИБ, уровень их подготовки может вызывать вопросы. Недостаточно установить супердорогую защиту со сложной системой управления, нужны люди, которые могут правильно с ней работать и полностью использовать ее функционал. 70% рисков можно снять с помощью бесплатных решений (например, антивирусного ПО, в большом ассортименте представленного на рынке) и простых методик: парольной защиты, ограничения доступа в Интернет и т. д.
Антон Разумов (Check Point Software Technologies):
Недостаток денег, точнее, недостаток финансирования в том числе провоцирует проблему с кадровым вопросом. Квалифицированного сотрудника действительно трудно найти, а уж уговорить его работать за маленькую зарплату с неудобной устаревшей инфраструктурой и подавно.
Катажина Хоффманн-Селицка (HID Global):
Безусловно, эксперты в этой области являются важнейшим звеном для построения эффективной политики IT-безопасности. Высококвалифицированные специалисты могут защитить ресурсы компаний, даже не имея больших бюджетов. Тем не менее инвестиции в систему, чтобы всегда быть на шаг впереди постоянно меняющихся кибератак, также довольно выгодны.
В каком порядке вы бы расположили источники основных угроз для корпоративной ИБ: мобильные устройства, социальные сети, «облака», беспечные сотрудники, устаревшие программные и аппаратные средства?
Максим Захаренко («Облакотека»):
Человек – всегда самый сложный и непредсказуемый элемент ИТ. Следом идут всевозможные мобильные устройства, которые не всегда оснащены средствами обеспечения безопасности. Если же компания пользуется облачными сервисами корпоративного уровня, они обычно уже имеют достойный уровень защиты.
Антон Разумов (Check Point Software Technologies):
Трудно сказать, поскольку именно «устаревшие программные и аппаратные средства» и ведут к не возможности защититься от резко возрастающих угроз от неконтролируемого использования социальных сетей, мобильных устройств. Проблем из-за беспечности сотрудников также легко можно избежать с помощью современных технических решений.
Катажина Хоффманн-Селицка (HID Global):
В первую очередь, это пользователи, которые могут быть слабым звеном в системе корпоративной безопасности, поскольку они, как правило, часто совершают ошибки, приводящие к мошенническим атакам. Во-вторых, устаревшее программное и аппаратное обеспечение, представляет собой потенциальную угрозу. Например, вредоносная программа может использовать пробелы в безопасности систем, а мошенники, как правило, атакуют уязвимые системы, прежде чем они будут обновлены.
Опубликовано 26.02.2014