Риски «навесной» безопасности
В последние годы мы видим повышение интереса к информационной безопасности — дня не проходит, чтобы СМИ на первых полосах не известили о взломах, уязвимостях и утечках. Хакеры влияют на выборы и выставляют на всеобщее обозрение чужие секреты. Это происходит потому, что, строя информационную экономику, переводя деловые, личные и политические коммуникации в Сеть, люди и компании не предусмотрели безопасность данных и процессов на том уровне, который позволил бы обеспечить конфиденциальность чувствительных данных. Информационные технологии дают людям, бизнесу и государству новые возможности, кратно ускоряют процессы, уменьшают стоимость транзакций, позволяют реализовать такие бизнесы, о которых раньше нельзя было и подумать. Очень многие процессы с информационными технологиями стали быстрее, проще и удобнее. Но есть и обратная сторона: переводя данные и процессы в цифру, мы делаем проще атаки на них.
В стороне от бизнеса
Создатели новых технологий в первую очередь думают о возможностях, обычно надеясь потом решить проблемы информационной безопасности. Вспомните, как сначала появляются удобные технологии, понятные условным «домохозяйкам», а затем с помощью большого количества навесных решений специалисты пытаются обеспечить их безопасность, особенно в корпоративной среде. Windows, Internet, WiFi, Android — вы легко сможете назвать еще десяток.
Пришло время пересмотреть отношение к безопасности, как к некоторым правилам поведения в цифровой среде. Большинство айтишников считает ИБ неким «навесным» инструментом, не позволяющим информационным системам «испортиться». Хорошей аналогией считается, что айтишники строят дороги и автомобили, а безопасники придумывают правила дорожного движения. Такое «разделение труда» действительно существовало много лет, до тех пор пока информационные технологии не перестали отражать бизнес, став собственно бизнесом.
Довольно долго информационные технологии находились несколько «в стороне» от бизнеса, занимаясь в основном планированием и учетом. Бизнес- и государственные процессы были сами по себе, информационные технологии — рядом. Бизнес вел свои «бумажные» процессы, которые затем оцифровывались. Если в информационных системах происходил сбой, то данные восстанавливались из так называемой «первички» — бумажных документов. Этот подход как-то незаметно ушел в прошлое: сегодня многие транзакции выполняются без бумажных подтверждений, а потому сбой в информационной системе, атака на нее являются сбоем и атакой на сам бизнес, а не на его отражение.
Зона расходимости процессов
Многочисленные атаки с реальными потерями для бизнеса — это плата за те возможности, которые предоставляют нам информационные технологии. И так будет продолжаться и дальше, пока мы не изменим подход к безопасности, не перестанем рассматривать ее как набор правил поведения в информационных системах и средства их реализации.
С переходом на гибкую разработку (agile) мы вошли в зону расходимости процессов — информационные системы обновляются быстрее, чем системы безопасности успевают под них адаптироваться. Стандартный цикл разработки (так называемый спринт) — две недели, а стандартный пентест — от трех недель. Мало кто вспоминает, что один из принципов проектирования в гибкой разработке — отсутствие низкоуровневой документации, столь необходимой исследователям для поиска уязвимостей, это тоже не ускоряет изучение защищенности готовых систем. К моменту получения заключения о надежности системы и рекомендаций по настройке средств защиты и исправлению уязвимостей сама система изменилась, и цена отчету невысока.
Изменения в информационных системах происходят даже не раз в две недели, как написано в предыдущем абзаце. Изменения в информационных системах — это не только изменения функций, это и изменения настроек, и новые пользователи, среди которых могут быть и халатные, и злонамеренные. Подобных изменений в крупных системах происходит тысячи.
Кроме того, непонятен процесс исправления найденных уязвимостей: что делать, когда они найдены, ведь отдельных разработчиков для исправлений функционала без документации нет, это могут делать только те, кто развивает продукт. У руководителя разработки есть выбор — исправлять своей командой старый функционал или писать новый, на который он замотивирован. Понятно, что он выберет развитие, а значит, в современных системах некоторые уязвимости не закрываются буквально годами.
С появлением «Интернета вещей» у «навесной» безопасности остается все меньше шансов — операционные системы элементов IoT просто не имеют ресурсов для встраивания средств безопасности. Вот почему происходит так много успешных атак на эти устройства и есть немало случаев их использования для атак на другие системы — злоумышленники легко получают доступ к домашним роутерам, видеокамерам, холодильникам и тостерам, объединяя их в бот-сеть.
Поэтому будущее информационной безопасности — не отдельные «навесные» решения, а удобные, встроенные во все «цифровые» процессы механизмы поиска и блокирования нелегитимных процессов. Другого пути просто нет.
Место ИБ в цифровой экономике
Что же происходит с подходами корпоративной и ведомственной безопасности сегодня? В только что принятой программе «Цифровая экономика» информационная безопасность выделена в отдельный, пятый, раздел. В других разделах информационная безопасность не упоминается. Это отражает устаревший подход к ИБ, как к отдельной отрасли экономики, а не функции любой «цифровой отрасли». Отрасль информационной безопасности в нашей стране развивалась в «тепличной среде», поскольку ввиду государственной значимости регулировалась довольно жестко. В результате развития в такой «оранжерее» отрасль информационной безопасности в России имеет десятки успешных специализированных игроков — производителей, интеграторов, сервис-провайдеров, что является еще одним доказательством эффективности разумного протекционизма, связанного с локальными требованиями регулятора, особенностями национальных законов и даже спецификой русского языка.
Если посмотреть на каждое из направлений государственной программы цифровой экономики, можно понять, что ни телекоммуникации, ни телемедицина, ни финтех, ни электронные госуслуги, ни «умные города» не смогут эффективно существовать без информационной безопасности — слишком велики угрозы от нарушения их деятельности в результате хакерских и инсайдерских атак. Так что решая проблемы своей отрасли, направление номер пять (информационная безопасность) решает и проблемы цифровой экономики в целом.
Как можно двигаться в сторону интеграции информационных технологий и информационной безопасности? Как сделать так, чтобы неудобство, которое ассоциируется с информационной безопасностью, не стало препятствием для цифровизации? Идеально, чтобы ИБ не только была встроена во все информационные системы, но и была удобна и незаметна.
Возьмем, к примеру, биометрию. Эта область информационной безопасности сейчас переживает второе рождение. После того как электронные услуги стали массовыми и сложные способы идентификации и аутентификации пользователей, допустимые для энтузиастов Интернета, перестали устраивать обычных пользователей, биометрия превратилась в один из способов подключения обычных пользователей. Именно поэтому сегодня столько исследований в области биометрии: если в течение нескольких десятков лет биометрия (занимающаяся в основном идентификацией людей по отпечаткам пальцев или рисунку радужной оболочки глаз) была уделом редких энтузиастов, то в последние годы к базовым технологиям добавились голос, рисунок вен ладони, 3D-селфи, форма лица, а датчики и камеры уже встраиваются в смартфоны и становятся привычными не только у гаджетоманов, но и у пользователей, далеких от высоких технологий. Сегодня однозначно причислить биометрию к информационной безопасности уже нельзя — это неотъемлемый элемент большинства систем обслуживания B2C и B2B, который сочетает безопасность и удобство.
Также незаметно сегодня работает и шифрование, и некоторые другие системы защиты, встроенные в информационные системы. Но большинство средств безопасности сегодня все еще остаются наложенными на информационные системы уже после проектирования последних.
В заключение
Навесная информационная безопасность становится все более дорогим удовольствием. Противостояние даже обычным киберпреступникам для небольшой компании — тяжелая ноша. А противостояние политическим мотивированным хакерам, а тем более частным или государственным киберармиям — непосильная. Оправдание «да кому мы нужны, чтобы нас ломать» сегодня уже очевидно не работает — можно стать жертвой и не будучи целью (не исключено, что вас взломают, чтобы подобраться к конкретному пользователю или смежному сервису) или просто оказаться с целью атаки на одном IP-адресе или в одном дата-центре. Задачу защиты информационных систем без изменения парадигмы не решить даже гигантам индустрии, тем более — небольшим компаниям. Поэтому от ассоциации с правилами дорожного движения и средствами их контроля при проектировании информационных систем следует переходить к понятию «иммунитета» — встроенной возможности информационной системы самостоятельно находить опасные вторжения и ликвидировать их. Если мы не сможем проектировать и создавать самозащищающиеся информационные системы, то скоро или средства безопасности будут стоить дороже защищаемых систем, или цифровой мир окончательно перестанет быть безопасным.
Опубликовано 01.11.2017