Безопасность в цифровую эпоху
За последний десяток лет отрасль информационной безопасности претерпела те же изменения, что и сфера информационных технологий десятью годами раньше. В нулевых ИТ-сотрудники прошли путь от универсального айтишника, разбирающегося во всем одинаково хорошо, до узкоспециализированных и практически не пересекающихся по компетенциям системных администраторов, программистов, инженеров внедрения, специалистов поддержки. До поры до времени инфобезопасник имел навыки, отвечающие всем специфическим требованиям безопасности: он разбирался в регламентах регуляторов, в шифровании, в тестах на проникновение, в настройке межсетевых экранов и других средств безопасности. Однако за последнее десятилетие началась необратимая сегментация и информационной безопасности. Необратимая потому, что, специализируясь в чем-то одном, сотрудник начинал отставать в других областях, которые тем временем развивались семимильными шагами, и догнать их становилось все труднее с каждым днем.
Меняется объект защиты
За минувшее время сам объект защиты, информационная система и хранящиеся в ней сведения тоже переродились и продолжают меняться сегодня. Как-то незаметно информационные системы из разряда отражения бизнеса (то есть существует какой-то бизнес вне ИТ-системы, данные из него попадают в ИТ-систему и обрабатываются в ней для анализа и отчетности) перешли в собственно бизнес. Словом, нет больше никакого бизнеса вне ИТ-систем. Практически нет «первички» – бумажных документов, из которых в случае аварии в ИТ-системе можно восстановить данные. Сегодня транзакции и формальные документы об их совершении рождаются сразу в ИТ-системе, и на бумаге они не появляются вообще или при необходимости распечатываются для «бумажной» отчетности. Таким образом, ИТ уже не является отражением бизнеса, они и есть бизнес. Атаки «шифровальщиков» последних лет показали, что даже если компания имеет традиционный, абсолютно материальный «офлайновый» бизнес, без ИТ осуществлять его невозможно. Так, компания-перевозчик, имея груженые товаром суда, просто не может без информационных технологий, которые пострадали от «шифровальщика», вывести эти суда из портов, поскольку запрос на фарватер должен передаваться в электронном виде. Или сеть АЗС, располагающая хранилищами, полными топлива, лишена возможности заправлять автомобили, поскольку колонки находятся под контролем компьютера, а электронные кассы не могут пробить чек.
Меняются атаки
Не так давно срослись информационные атаки, представляющие собой поэтапную публикацию фейковых новостей в соцсетях и кибератаки. То есть, например, массовые публикации о том, что у какого-то банка вот-вот отберут лицензию, сочетаются с атакой на интернет-сервисы этого банка. Клиенты читают публикации, идут проверять состояние счета – сервисы недоступны. Клиенты нервничают и торопятся в офис банка, где встречают сотни таких же взволнованных людей, нехватку операторов и очереди. Они возмущенно пишут об этом в соцсетях, что вызывает только новый приток обеспокоенных вкладчиков. Организаторы атаки уже могут уходить, поскольку запущенный ими процесс стал самоподдерживающимся. Ну а массовое закрытие счетов и изъятие денег вкладчиками может оказаться критичным для банка, и ему грозит разорение, даже если до атаки он чувствовал себя сносно.
Не забудьте, мы еще идем в цифровизацию и процессы цифровой трансформации грозят снова изменить парадигму защиты. Государственные и муниципальные услуги, финансы, ЖКХ, медицина, распространение медиаконтента, телекоммуникации – все это становится цифровым и вместе с головокружительными возможностями порождает и новые риски. Например, биометрия – хорошее решение с точки зрения интерфейса «человек-цифра». Ведь отпечаток пальцев или рисунок сетчатки глаза нельзя забыть или потерять, поэтому использовать ее для идентификации и аутентификации очень удобно. Но если у вас украдут пароль или паспорт, вы просто придумаете новый пароль или получите новый паспорт.
А если у вас украдут и выложат в Сеть отпечатки пальцев или рисунок сетчатки глаза? Вы не сможете их заменить.
Цифровизация не только сделает удобными традиционные сервисы, как произошло, скажем,с вызовом такси, но и породит новые, невозможные без «цифры» сервисы и бизнесы. Но будут ли они безопасными? Причем безопасными как в смысле защиты наших данных, так и в смысле настоящих угроз жизни и здоровью. Недавно нашумевшее ужасное преступление – убийство девушки-водителя, занимавшейся райдшерингом – стало возможным потому, что убийца, готовясь к преступлению, подделал свою личность и фото, купив на черном рынке взломанные учетные записи этого сервиса. То есть цифровые технологии, входя в нашу жизнь, несут не только новые возможности, но и новые угрозы.
Как отреагирует безопасность?
Угроз ИТ-системам стало много, а средств противодействия им – еще больше. И информационная безопасность постоянно сегментируется, штампуя специальные средства для разного сорта атак, а сами эти средства постоянно развиваются, и отнюдь не в сторону упрощения. Сегодня невозможно одинаково хорошо разбираться в антивирусах, anti-DDoS, WAF, SIEM, DLP, SAST, DAST, IAST, PUC, anti-SPAM, IDS, anti-APT, anti-fraud, UBA, UTM, CASB, IDM, VMS, NGFW (надо остановиться, а то я знаю еще дюжину ничего не говорящих большинству читателей сочетаний букв). И это лишь защита, а есть же еще offensive security и связанные с ней тесты на проникновение, исследование защищенности систем и т. п. А еще облака, нейросетки, блокчейн, искусственный интеллект и «машин-лернинг»... Есть мониторинг соцсетей для предотвращения информационных атак. Есть внутренний контроль и работа с кадрами. И, конечно, бумажная безопасность – соответствие требованиям многочисленных международных, государственных и отраслевых регуляторов. Подобные требования существенно разнятся для разных отраслей, поэтому переходы инфобезопасников из отрасли в отрасль, которые были обычным делом еще 10 лет назад, сегодня стали редкими, резко повысился порог входа и специфика регулирования и атак. Вот почему сегодня в информационной безопасности мы видим и вертикализацию, и специализацию, разделение на «защиту» и «нападение», фокус на противодействие конкретным атакам, например DDoS, и т. п.
В сочетании с трендом на тотальную цифровизацию это означает для инфобезопасников увеличение количества и одновременное усложнение критических бизнес-приложений, экспоненциальный рост объема данных, требующих защиты и появление новых типов атак с использованием технологий искусственного интеллекта и даже атак на алгоритмы искусственного интеллекта. Востребованный в цифровой экономике инфобезопасник – это уникальное сочетание интеллекта, знаний, опыта, специфических черт характера и мотивации. Такие люди – штучный товар, и сегодня их катастрофически не хватает.
Не в обиду программистам будет сказано, но подготовка миллиона программистов для цифровой экономики – на порядок более простая задача, чем подготовка даже десяти тысяч цифровых безопасников, этих стражей цифровой экономики.
Заглянем в будущее
Вспоминая выражение Уэйна Грецки «Бежать надо не к шайбе, а туда, где эта шайба окажется», давайте пофантазируем, какой она будет, безопасность в век повальной цифровизации, когда любой бизнес – это «цифра», и любая атака на «цифру» — это атака на бизнес. Что вообще нужно от безопасности бизнесу, если этот бизнес цифровой?
Идеальная безопасность для бизнеса на понятном ему уровне абстракции – это такой «экран», который беспрепятственно дает возможность совершаться «хорошим процессам», ведущим к прибыли или экономии, и блокирует «плохие процессы», приводящие к убыткам или неэффективности. Кто же откажется от такого «бизнес-файерволла»? Чтобы обеспечить подбную работу на уровне бизнеса, безопасность должна соответствовать нескольким требованиям.
Быть встроенной. «Навесной» безопасностью такого не обеспечишь. «Навесные» меры удовлетворительно работают в защите инфраструктуры, но, чтобы защищать процесс, придется в него встраиваться. Таким образом безопасность превращается не в отдельную функцию, а в свойство качества процесса. Подобная трансформация безопасности потребует от безопасников глубокого понимания не только технологий, но и предметной области, в которой реализуется процесс – будь то финансы, производство, исследования, логистика или продажи.
Быть адаптивной. Цифровизация предполагает постоянные изменения автоматизированных процессов, быструю их адаптацию под требования бизнеса. Поэтому безопасность, как свойство процесса, должна перестраиваться не после, как сегодня, а во время изменений. Сегодняшний процесс обеспечения безопасности, в котором сначала создается объект защиты, например бизнес-приложение, потом его защищенность тестируют, возвращают разработчикам замечания, те их исправляют, объект снова тестируется и т. п., уже не удовлетворяет требованиям по скорости изменений.
Быть ориентированной на бизнес-задачи. Кибербезопасность оперирует техническими характеристиками – мощностью DDoS-атаки, количеством вирусов, уязвимостей, инцидентов. Для бизнеса это ничего не говорящая информация, поскольку ее нельзя конвертировать в цифры убытков или упущенной выгоды. Безопасности придется «вывернуть» свой подход наизнанку, смотреть в первую очередь не на источники угроз, а на защищаемый объект. Это не только смещение фокуса, но и смещение самой парадигмы защиты – при таком подходе бизнес по большому счету не интересует, кто пытается нарушить процесс: хакер, инсайдер, мошенник, неквалифицированный оператор или сбойнувший компьютер. Нельзя будет сказать: «На нашей стороне все хорошо, проблема на стороне айтишников (разработчиков, операторов, пользователей и т. п.)» – отвечать придется за плановое выполнение процесса вне зависимости от причины нарушения.
Это может поменять сам смысл определения «информационная безопасность» или придать новый смысл безопасности «цифровой», сочетающей элементы кибербезопасности, безопасности цифровых активов (репутации, бренда), бизнес-эффективности и офлайновой, материальной, безопасности. Таким образом, в цифровом мире роль безопасности может раствориться в смежных дисциплинах: ИТ, разработке, поддержке, кадровой безопасности, внутреннем контроле, даже PR и маркетинге (информационные атаки через социальные сети отражать придется вместе с ними). Возможно, квалификация в области безопасности станет обязательным требованием для некоторых специальностей, а не отдельной профессией, как, например, знание языка макросов в Excel для финансистов.
«Цифровое будущее» не просто должно ускорить, упростить, удешевить и сделать прозрачными бизнес-процессы и процессы государственного управления. Оно призвано переоценить цели и ценности и этим изменить менеджмент и, не побоюсь этого слова, культуру, а не то что роль безопасности. Мы не можем остаться неизменными в меняющемся мире. К постоянной адаптации умений и ролей будьте готовы! Всегда готовы!
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 30.01.2019