Нужны ли банкам танки?
Некоторое время назад в Сети разгорелся конфликт поколений: гуру ИБ vs. молодые безопасники
Некоторое время назад в Сети разгорелся конфликт поколений: гуру ИБ vs. молодые безопасники. Отстаивая свою точку зрения, стороны не стеснялись в выражениях. Расхожее правило «в споре рождается истина» в данном случае не сработало. Чем же вызвано это противостояние? Ведь, согласно здравому смыслу, речь идет о представителях одной команды. За какую безопасность мы платим? Чем мотивирован безопасник? Как отличить профессионала от непрофессионала? Кто заплатит подорвавшимся, если ИБ-служба сказала «мин нет»? Мы задали эти вопросы обеим сторонам конфликта, предложив каждой обосновать свою позицию.
Рустэм Хайретдинов, СЕО Appercut Security: «Вероятность обнаружения мин в пределах заданной нормы»
Безопасность бизнеса, в том числе информационная, – это сервис. И каждый бизнес, покупая его, исходит в первую очередь из своего понимания, что именно он получает за свои деньги. То есть каждый раз, прежде чем платить, бизнес решает, насколько выгоден ему этот сервис и что конкретно он получит хорошего (или не получит плохого) на каждый вложенный рубль.
Но абсолютная безопасность, как известно, существует только в теории, поэтому в безопасности бизнеса, в отличие, например, от безопасности государства, вес имеет так называемая «эффективная безопасность», то есть та безопасность, в которой решение возможных проблем стоит дешевле убытков от этих проблем. Если, например, вместо «тревожной кнопки» в каждом отделении банка поставить отделение спецназа на броне, то убытки от ограблений, несомненно, резко снизятся. Интересно, почему тогда мы не видим танков возле банков?..
Шутки шутками, но первостепенная задача безопасника, и информационного в том числе, максимизировать защищенность бизнеса в рамках выделенного бюджета либо минимизировать бюджет в рамках поддержания заданного уровня защищенности. Защищенность меряется обычно как функция от количества инцидентов безопасности и прямых убытков от них (простоев, хищений, штрафов и т. д.).
Ущерба можно избегать, хорошенько защитив объект. Защита может быть активной (бронежилет), а может быть и пассивной (неотвратимость жесткого наказания), причем второе используется гораздо чаще. Например, технически просто покалечить любого человека на улице – он не бронирован и не ждет нападения, однако подобные случаи происходят относительно редко. Если защита обходится бизнесу дорого, то риски предпочитают страховать или принимать, понимая, что под рисками в реальной жизни могут скрываться не только финансовые потери, но и человеческие жизни.
Настоящий безопасник никогда не скажет «мин нет», он может сказать «вероятность нахождения мин в пределах заданной нормы», при этом вероятность «ноль» исключена – есть неведомые нам угрозы, что наглядно доказали челябинский метеорит и теракты последнего времени. Вероятности 0,05 достичь можно относительно просто, а вот потом каждая десятая и даже сотая процента будут увеличивать расходы кратно, приближая их к бесконечности по мере приближения вероятности к нулю.
Именно рисками и расходами на их снижение занимается сегодня служба безопасности, на них она мотивирована, за них она получает деньги. Риски несет не только вероятность нападений (а именно эта часть айсберга самая обсуждаемая в СМИ), но и опасность стихийных бедствий, усиление законодательных требований и повышение штрафов со стороны регуляторов, возможный саботаж сотрудников, наконец, промышленный шпионаж.
Если говорить о специфике именно информационной безопасности, то современный специалист занимается прежде всего зашитой информации, а не инфраструктуры (компьютеров, серверов, приложений, каналов передачи данных и т. п.). Если на сайте, например, лежит только маркетинговая информация, но там нет клиентских данных, потеряв которые, можно потерять контракты или получить штраф от регулятора, то вряд ли такой сайт будет защищаться так же сильно, как внутренняя CRM-система, это просто неэффективно. Поэтому умение ломать сайты расценивается среди профессионалов не более серьезно, нежели среди полицейских умение гопников бить витрины. Опасны как раз те, кто умеет похищать информацию без шума, а эти в твиттере не пишут. То, что у талантливой молодежи нет социальных лифтов, – всеобщая проблема. Учить же их тому, что на самом деле эффективно в нападении или обороне, стоит только тогда, когда станет ясно, что эти навыки не будут использованы во вред обучающему.
Олег Купреев, независимый эксперт: «Про безопасность на бумаге»
В последнее время в мире информационной безопасности наметилась очень плохая тенденция: во главу угла все чаще ставится так называемая «бумажная» безопасность. Я имею в виду такое положение дел, при котором как заказчик, так и аудитор заинтересованы лишь в том, чтобы соответствовать нормативным требованиям. Получается, что клиент платит деньги аудитору за содействие в успешном прохождении проверок регуляторов. Помимо этого заказчик платит за сертифицированное программное обеспечение для защиты информации. Данное ПО пишется также с расчетом на успешное получение сертификата и стоит зачастую весьма дорого. Таким образом, весь процесс аудита направлен на прохождение проверок и получение бумажек, то бишь сертификатов, а не на обеспечение реальной безопасности. Почему так происходит?
Все очень просто. Если банк не соответствует нормативам, регулятор может приостановить его деятельность и отозвать лицензию. Если же банк будет взломан, то его ждут не только финансовые, но и репутационные потери, а вот аудитор в данной ситуации никаким штрафам не подвергнется, что, мягко говоря, неправильно. То есть в случае инцидента банк остается со своей проблемой сам на сам, да еще вынужден нанимать специалистов для расследования инцидента за свой счет.
Иными словами, в мире информационной безопасности сегодня правит бал печально известная галочка. Возьмем, к примеру, автопром. Автомобиль, произведенный по ГОСТам, из сертифицированных деталей, подвергается на финише крэш-тестам, дабы проверить, что будет с манекеном в реальных условиях. У нас же получается, что все сертифицировано, но при первом же крэш-тесте манекен разрывается в клочья. Но ведь любая теория должна проверяться на практике и никак иначе. То есть тестирование на проникновения должно быть обязательным во всех случаях, когда проводится сертификация. К тому же, я считаю, было бы неплохо, если бы банки последовали примеру компании «Яндекс» и массово ввели программу «приема ошибок» за деньги (bug bounty). Так как при нынешней ситуации человек, нашедший критическую ошибку в банковской системе, как правило, ничего, кроме спасибо, не получает.
Налицо парадоксальная ситуация: программы для поиска уязвимостей стоят денег, на поиск уязвимостей тратится время – а найденные ошибки стоят 0 рублей?! В результате человек, обнаруживший ошибки, вынужден выбирать: подарить эту информацию банку за спасибо или же продать ее заинтересованным лицам за деньги. Большинство пока не определилось. Вот и получается, что, пока наверху озабочены сертификацией, внизу копятся данные о найденных ошибках, и кто их получит, большой вопрос.
Надо еще отметить, что ситуацию во многом спасает то, что отечественный киберкриминал придерживается негласного правила «не работать по РФ», и нарушается оно не слишком часто. Но ситуация может измениться в корне, когда к услугам киберпреступников начнут прибегать государства, озабоченные информационной безопасностью не только в плане защиты, но и в плане нападения. Уже сейчас мы наблюдаем, как активно действуют США, Китай и Израиль. Россия же пока не то что о нападении, а и о защите толком не думает.
В завершение добавлю, что я вовсе не призываю отказаться от нормативов и не считаю их пустым звуком. Нам есть чему поучиться у старшего поколения, например той же систематизации и классификации методов и мероприятий. Настоящий профессионал должен быть подкован как в теории, так и в практике. И главное – чтобы эти знания приносили реальные результаты, а не шуршали бумажкой.
Опубликовано 21.03.2013