ИТОГИ И ТРЕНДЫ ГОДА · iv квартал 2014 № 08 ИТОГИ И ТРЕНДЫ...

IV квартал 2014

№ 08

ИТОГИ И ТРЕНДЫ ГОДА

Как не стать сбитым летчиком, или Антикризисные мерыВсеволод Иванов

Расследование киберпреступлений в банке «Тинькофф Кредитные Системы»Станислав Павлунин

Размышления о судьбе «безопасника»Михаил Савельев

В киберпространстве нет пустоты!Вы когда‑нибудь задумывались о том, как успешные менед‑жеры продвигаются по служебной лестнице? Просто оказы‑ваются в нужном месте в нужное время? Ну, такое стечение обстоятельств помогает далеко не всегда. Чаще «везунчики» обладают компетенциями, в которых нуждаются их компании. Но проблема — в том, что успешные менеджеры напоминают генералов, готовящихся побеждать в прошедшей войне. Кор‑поративная волна обычно выносит наверх тех специалистов, чьи компетенции настоятельно требовались вчера, а сегодня уже устарели.

Тем временем современный мир стоит перед очередным вызовом. По прогнозам аналитиков IDC, к 2020 г. число под‑ключенных к Интернету устройств возрастет до 50 млрд — и это на 7 млрд населения планеты! Такой скоростью распространения не могли в свое время похвастать ни телефон, не электриче‑ство. Но и 50 млрд — еще не все, поскольку к числу объектов почему‑то забыли добавить всевозможные контроллеры. А с учетом оных на планете Земля все к тому же 2020 г. будет примерно 200 млрд девайсов, что уже похоже на настоящее нашествие киборгов.

Во‑первых, каждое устройство генерирует трафик. Во‑вторых, это — потоки даже не Больших Данных (BigData), а Суперболь‑ших. Где их хранить и обрабатывать? Но и такие вопросы — не самые сложные, ведь большинство коммерческих ЦОДов в среднем загружены на 30—40 %. Главная проблема состоит в другом: каждое устройство, связанное с другими, является источником угроз. Не исключено, что даже скромный контрол‑лер размером с ноготь, поменяв свое назначение, сможет изменить направление вращения турбины. А ведь устройств — 200 млрд, и они везде!

На мой взгляд, это станет вызовом не только профес‑сиональному сообществу, но и компетенциям всего человечества. Как управлять такими потоками данных и обеспечивать достойный уровень ИБ громадной армии киборгов? Все накопленные до сего момента практики и решения относятся к корпоративной либо домашней среде, в которой работают те или иные устройства. И все они могут оказаться недостаточно пригодными к условиям Интернета Вещей.

Так будет когда‑нибудь, не сейчас, но день сегодняшний тоже ставит немало задач, не имеющих проверенных решений. В современной экономике множество компаний фокусируются буквально на двух‑трех ключевых компетенциях, и партнерские отношения становятся одним из конкурентных преимуществ. При этом нужно доверять партнеру, не превращаясь в заложника ситуации, а информация, переданная в рамках партнерства, должна постоянно контролироваться.

Что же касается внутрикорпоративных задач, у бизнеса — все больше данных, конфиденциальность которых необходимо поддерживать на высоком уровне лишь непродолжительное время. Например, тендерную документацию следует надежно защищать с помощью дорогостоящих средств всего несколько дней или недель, а потом это теряет смысл. Уровень ИБ должен быть управляемым и гибким.

Оставшись без корпоративного ИТ‑периметра, службы ИБ перестали ограничиваться «пограничной» практикой, в рам‑ках которой было достаточно не пропустить зловредный код или хакера в доверенную среду. Этим службам понадо‑бились обновленные компетенции, свойственные, скорее, контрразведке, чем пограничникам. Кроме того, в условиях, когда персонал компаний становится все более мобильным и неизбежны присущие кризису сокращения штатов, угрозы, исходящие от собственных сотрудников и инсайдеров, перестают быть внутренней проблемой. Модель таких угроз принимает размытый внешний характер. А на рынке нет проверенных решений, отвечающих сегодняшним ожиданиям.

И все же что‑то должно произойти. Людям свойственно ставить перед собой вопросы, не имеющие мгновенных ответов. Рано или поздно решения находятся. Природа не терпит пустоты, и природа киберпространства — тоже. Наступает время ярких стартапов и талантливых людей. И мне это нравится!

С Новым Годом!

Олег СедОвглавный редактор журнала «!Безопасность деловой Информации»

6 «!Безопасность Деловой Информации»

Компетенции ИБ

СОДЕРЖАНИЕ

14 Итоги 2014 г. и прогнозы на 2015 г. в области ИБ

ИБ и бизнес................................................................................

16 Как не стать сбитым летчиком, или Антикризисные перспективыТот, кто сумел выжить после целой серии экономических стрессов, начинает понимать, что они представляют собой просто ситуации, в которых приходится принимать антикризисные решения, и что, в общем‑то, ничего нового в кризисах нет…Всеволод Иванов, исполнительный директор компании InfoWatch

20 Будни стартаповЗачастую проекты стартапов становятся не технологическими откровениями, а «пересказом» имеющихся продуктов. При этом всегда есть проблемы, решение которых пока не является приоритетным для рынка, но может стать таковым уже в ближайшее время.Дмитрий Чихачев, управляющий партнер венчурного фонда Runa Capital

22 DLP-зрелостьСлужбы автоматизации бизнеса довольно часто используют термин «зрелость», который означает готовность той или иной компании к внедрению определенных технологических и программных решений. Но как оценить уровень зрелости DLP и как его повысить?Рустэм Хайретдинов, глава Appercut Security, президент ассоциации BISA

ИБ-практика..............................................................................

24 в поисках идеала: защита от APTВ 2014 г. целенаправленным атакам уделялось повышенное внимание. Очевидно, что данное явление — не новое, но вопрос о том, как ему противостоять, пока открыт.Андрей Суханов, Альфа‑банк

27 Практика расследования киберпреступлений в банкахУходящий год запомнится возросшим количеством атак на банки. Для того чтобы эти атаки отслеживать и пресекать, банки закупают разнообразное оборудование, но больше всего им помогает практический опыт коллег по цеху.Станислав Павлунин, вице‑президент по безопасности банка «Тинькофф Кредитные Системы»

30 Чем страшен WiFiМы быстро привыкаем к удобству и мобильности. Пользователи подключаются к открытым хот‑спотам в кафе, на работе, а порой и дома... Чем это грозит? Давайте разберемся.Олеся Шелестова, генеральный директор компании RUSIEM

32 Большие особенности малыхЭто лишь в теории отличия малого бизнеса от крупного состоят исключительно в численности персонала и оборотах, а на деле особенностей гораздо больше, и в каждой «плоскости» они —


7№8 | IV квартал 2014

свои. Не стала исключением и специфика информационной безопасности.Олеся Бугаева, руководитель направления по работе с заказчиками и партнерами в SMB‑сегменте компании InfoWatch

Киберкриминалистика............................................................

36 Миф об идеальных киберпреступленияхЭксперты по расследованию киберпреступлений сетуют на то, что многие злоумышленники не оставляют следов своих преступных действий. Но на деле цифровые следы остаются всегда!Андрей Бешков, руководитель программы безопасности Microsoft в Центральной и Восточной Европе

40 Подходы еС к борьбе с киберпреступностьюСегодня для совершения киберпреступлений не обязательно быть экспертами в узкой компью‑терной области и находиться на месте преступления. Иногда для этого достаточно воспользо‑ваться услугой Crime as a Service («Криминал как услуга»), доступной в любой точке мира. Как же бороться со злоумышленниками? Только сообща.Троэльс Эртинг, глава European Cybercrime Center

Компетенции ИБ.....................................................................

42 Проклятие масштабностиВ России ИБ‑специалисты большинства промышленных предприятий подозревают, что их объ‑екты становятся жертвами целенаправленных кибератак, но чаще всего не могут подтвердить свое мнение.Олег Седов, главный редактор «!БДИ»

44 Особенности национальной безопасностиКто должен отвечать за обеспечение ИБ промышленного предприятия? Какие именно специ‑алисты должны участвовать в ИБ‑проектах АСУ ТП? И каковы особенности управления такими проектами в разных компаниях?Руслан Стефанов, руководитель направления защиты АСУ ТП компании «ЭЛВИС‑ПЛЮС»

50 О многовендорной защитеЗащита — вещь деликатная, поэтому доверять ее одному производителю, даже самому заслу‑женному, не рекомендуется. Но реализовать многовендорную защиту не так‑то просто.Валерий Коржов, BISA

53 Размышления о судьбе «безопасника»Практически любому ИБ‑специалисту свойственно преувеличивать его вклад в жизнь предпри‑ятия. Попробуем понять, как должна измениться роль «безопасника» в новых условиях.Михаил Савельев, директор Учебного центра «Информзащита»




Поздравляем с Новым 2015 годом!

Наталья КасперскаяГенеральный директор ГК InfoWatch,

соучредитель «Лаборатории Касперского»

Дорогие читатели!От имени группы компаний InfoWatch поздравляю вас с наступающим 2015 годом!

Надеюсь, что год уходящий стал для вас успешным.Для InfoWatch этот год был очень плодотворным. Компания эффективно росла и

развивалась. Ровно того же я желаю и всем нашим читателям. Поменьше вам угрози побольше доходов! Будьте счастливы!

События годаЯ бы назвала два наиболее заметных события. Во-первых, это выход на пер-

вый план темы импортозамещения в связи с осложнившейся международной обстановкой. В 2014 году шли бесконечные разговоры на данную тему, выдви-гались, в том числе Министерством связи и Государственной Думой, различные инициативы. К сожалению, пока эта шумиха не привела к появлению понятной концепции импортозамещения.

Мне представляется необходимым создание четкой стратегии импортозаме-щения, которое станет возможным лишь при условии диалога между отраслью и государственными органами.

Во-вторых, одним из наиболее заметных событий в отечественной индустрии информационной безопасности стал прошедший в конце сентября в Москве BIS Summit 2014. Мероприятие собрало много интересных спикеров из разных стран, а также руководителей высшего и среднего звена компаний, интересующихся информационной безопасностью. В саммите приняли участие более 600 человек.

Итоги и тренды годаХотелось бы отметить несколько проблем, которые необходимо решить

в ближайшем будущем.Во-первых, это проблема тотального прослушивания всех электронных

устройств и скачивания информации в пользу того или иного государства. Мне кажется, в следующем году должно появиться какое-то решение этого вопроса, пусть и неполное.

Во-вторых, рост числа целенаправленных атак на компании. В 2014 году о дан-ном виде угроз заговорили как об отдельном феномене, с которым пока, к сожале-нию, не очень понятно, что делать. Свои подходы к решению проблемы предло-жили несколько компаний, в том числе американская Fire Eye, российская Group IB и наша компания с решением InfoWatch Targeted Attack Detector.

В-третьих, всевозможные виды интернет-мошенничества со счетами компа-ний и их клиентов. Число инцидентов уже переходит всякие разумные границы, и проблема не уменьшается, а, напротив, лишь растет. На мой взгляд, компания, которая сумеет предложить эффективную (реально работающую) систему защи-ты онлайн-банкинга и электронных платежей, быстро станет очень богатой.





Поздравляю уважаемых читателей журнала«!Безопасность Деловой Информации» с Новым Годом!

Сейчас озвучивается много тревожных прогнозов, экономическая ситуация — непро-стая, и это, несомненно, влияет на предновогоднее настроение. Но не будем пессими-стами! В наступающем году тема безопасности информации будет исключительно актуальной, а потому предстоит многое сделать — и тем, кто разрабатывает пере-довые технологии информационной безопасности, и тем, кто применяет их на своих предприятиях, и тем, кто о них пишет, помогая видеть перспективу, обоснованно принимать правильные решения, разумно инвестировать в обеспечение безопасности.

Давайте увидим и прочувствуем масштаб задач и важность момента!

Андрей КонусовГенеральный директор компании «Аванпост»

Событие годаКлючевое событие 2014 года — безусловно, разразившийся финансово-эко-

номический кризис. Россия не умеет жить расслабленно и богато, нам всегда нужны экстремальные условия. Тогда мы мобилизуемся и начинаем действовать. В этой ситуации поменялся взгляд на информационную безопасность: она стала восприниматься как ключевая составляющая обороноспособности страны.

Итоги и тренды годаКризис породил стремление к эффективности и импортозамещению. И это —

не просто слова: на отечественном рынке ИБ возник невиданный прежде спрос. Бывшие клиенты зарубежных компаний, которых раньше приходилось убеждать в конкурентоспособности наших продуктов и решений, теперь сами приходят к нам и просят сформировать для них конкурентное предложение.

Рустэм ХайретдиновПрезидент Ассоциации BISA

Уходящий год ознаменовался финансово-экономическим кризисом, но, как ни странно, из столь сложной ситуации можно выйти победителем. Отрасль информационной безопас-ности это касается напрямую: в сложившихся обстоятельствах, когда ценность ИБ рас-тет и провозглашен лозунг перехода на импортозамещение, было бы крайне легкомысленно

не воспользоваться такими возможностями развития.Я бы хотел пожелать всем участникам рынка ИБ в наступающем году выводить на ры-нок качественные конкурентоспособные продукты и продавать их по доступным ценам.

И тем самым приносить своей стране реальную пользу, а себе процветание!





Дмитрий ВолковРуководитель направления предотвращения и расследований

инцидентов информационной безопасности компании Group-IB

Новый год — это не только любимый всеми теплый семейный праздник, но и отправная точка, с которой начинается все самое хорошее, что обяза-тельно ожидает нас в будущем. Пусть 2015 год подарит много открытий, но-вых интересных встреч, успешных идей и проектов, а неиссякаемый оптимизм станет вечным спутником на пути к заветным целям! Мира, счастья и добра

вашим близким и родным, удачи и процветания партнерам и друзьям!С Новым годом!

Событие годаЭто — целевые атаки на государственные и банковские системы. Возможно,

теперь, наконец, займутся обеспечением безопасности этих систем, а заодно об-ратят внимание на безопасность критически важных объектов инфраструктуры государства.

Итоги и тренды годаХактивизм. Компьютерные атаки как выражение протеста стали обыденно-

стью. Публикации переписки чиновников, конфиденциальных документов тоже никого не удивляют. Жертвами атак в марте 2014 года оказались интернет-ресур-сы ряда российских банков, веб-сайты органов власти и сайты СМИ. Учитывая политическую обстановку, можно предположить, что подобные акции будут про-водиться все чаще.

Целевые атаки на банки. Эта тенденция появилась в 2013 году и продолжает активно развиваться. Банки об угрозе осведомлены, но, как показала практика, мало кто из них предпринимает активные шаги для минимизации риска. Никто из злоумышленников, причастных к таким атакам, не задержан, и чувство безна-казанности мотивирует их на все более активные действия.

Атаки на банкоматы. В уходящем году атаки на банкоматы стали более изо-щренными. Хотя участники двух из трех групп были задержаны, активность в дан-ном сегменте еще больше повысилась.

Автозалив на мобильных троянах. Банковские мобильные троянские програм-мы возникают почти каждые два месяца. Для того чтобы повысить доходность от их использования, понадобится автоматизировать процесс хищения, т. е. реа-лизовать автозалив.



Рустэм ХайретдиновГлава Appercut Security, президент Ассоциации BISA



Событие годаВ уходящем году компании финансово-экономической сферы столкнулись

с новыми уязвимостями «нулевого дня». Многие из атак прошли достаточно успешно для злоумышленников. В качестве ответного хода банки активно вне-дряли и продолжают внедрять решения для защиты от 0day-угроз.

Итоги и тренды годаВыпуск новой версии стандарта СТО БР ИББС, целый раздел которого по-

священ необходимости внедрения DLP-системы — это свидетельство одного из трендов 2014 года, который впоследствии будет развиваться.

Другой тенденцией года стала активизация борьбы с киберпреступностью. Соответствующие вопросы все чаще обсуждались на профильных мероприятиях, и если раньше аспекты борьбы с кибермошенниками, взаимодействия с право-охранительными органами, необходимость повышения уровня экспертизы рас-сматривались, скорее, в теоретическом ракурсе, то в этом году произошел сдвиг к их практическому решению.

Станислав ПавлунинВице-президент по безопасности

банка «Тинькофф Кредитные Системы»

Событие годаНа мой взгляд, главным событием 2014 года в области ИБ стало обнаружение уяз-

вимости в криптобиблиотеке OpenSSL, которой дали название HeartBleed. Масштаб по-тенциального бедствия от данной уязвимости невозможно переоценить. Это — самое популярное криптографическое решение с открытым кодом. Уязвимость позволяет зло-умышленнику скомпрометировать, например, ваши логины и пароли на огромном коли-честве интернет-ресурсов, но главное — на ваших почтовых серверах, в интернет-бан-ках и т. п.

Итоги и тренды годаСамый яркий ИБ-тренд 2014 года, безусловно, — импортозамещение. Конечно, это

коснулось не только отрасли ИБ, тот же курс взят на самом верхнем уровне в очень мно-гих отраслях. Тем не менее в области ИБ, с учетом прошлогодних откровений г-на Сноу-дена, мы видим серьезный всплеск спроса на отечественные системы защиты. Эта тен-денция продолжится и в 2015 году, и если все будет сделано планомерно и правильно, то через несколько лет в России может появиться уникальный рынок.

Александр СанинКоммерческий директор компании «Аванпост»





Событие годаВ 2014 году наметился очевидный курс правительства на импортозамещение

в ИТ-индустрии, который, хочется верить, окажет благоприятное влияние на от-расль. С одной стороны, переход на отечественные решения позволит снизить зависимость от иностранного ПО и существенно повысить уровень безопасно-сти государственных информационных систем. С другой стороны, при наличии госзаказа на определенное ПО и элементную базу российские компании получат серьезный стимул для развития и создания востребованных решений. Но рассчи-тывать на сиюминутный рост отрасли не стоит: разработка программных и ап-паратных решений в области ИТ занимает длительное время, поэтому политика импортозамещения сможет принести плоды только в долгосрочной перспективе.

Итоги и тренды годаНа протяжении последних лет сегмент ИБ был одним из самых быстрорасту-

щих на ИТ-рынке. А сейчас невозможно не отметить влияние на этот сектор кри-зисных тенденций, которые спровоцировали снижение темпов его роста в ухо-дящем году.

С точки зрения технологий рынок ИБ продолжает идти в сторону комплексных решений, которые обеспечивают безопасность данных компании во всех аспек-тах ее деятельности, имеют централизованное управление, удобны и экономич-ны. Наиболее востребованными в России становятся решения для защиты вир-туальных сред, а также продукты для защиты мобильных устройств и управления ими.

Отдельно нужно упомянуть решения для защиты критически важных объектов и инфраструктуры. Использовать решения, обеспечивающие безопасность, та-кие предприятия будут все более активно, поскольку угрозы для них становятся все более реальными. Кроме того, мы видим растущий интерес заказчиков к сер-висам информационной безопасности, таким как услуги расследования компью-терных инцидентов, защиты от DDoS-атак и т. д.

Важными тенденциями в пользовательском сегменте остаются сокращение рын-ка персональных компьютеров и рост сектора мобильных устройств (в том числе за счет планшетов), а также связанный с этим активный переход потребителей к покупкам через Интернет. Если раньше в России основную долю покупателей составляли клиенты компьютерных магазинов, то в последние два года идет со-кращение стандартной розницы. Активно набирают обороты модели продаж через провайдеров и подписки на ПО, в том числе антивирусное. И это законо-мерно: софт, можно сказать, предназначен для данного канала, и сегмент будет максимально развиваться.

Сергей ЗемковУправляющий директор «Лаборатории Касперского» в России,

странах Закавказья и Средней Азии



Александр СанинКоммерческий директор компании «Аванпост»



http://www.museumsyndicate.com/tag.php?id=69

Событие годаОсновное влияние на отрасли информационных технологий и информацион-

ной безопасности оказала и будет оказывать политика так называемого «импор-тозамещения». Могу предположить, что сегодняшняя напряженность будет толь-ко нарастать, что приведет к значительным изменениям в законодательной базе и структуре рынков ИТ и ИБ.

Итоги и тренды годаЗащита от утечек данных и таргетированные атаки — темы, которые в 2014 году

волновали умы многих и окажутся, на мой взгляд, еще более актуальными в бу-дущем. Безусловным общемировым, в том числе российским, трендом является обеспечение защиты мобильных устройств.

К чисто российским изменениям следует добавить возросшие требования ре-гуляторов. Предполагаю, что в следующем году в России законодательно сфор-мируется рынок защиты SCADA-систем и АСУ ТП: об этом все говорили, но не зна-ли, как подступиться к проблеме, поскольку не было законодательной базы.

Василий ДягилевГлава представительства Check Point Software Technologies

в России и СНГ

Итоги 2014 г. и прогнозы н� 2015 г. в обл�сти ИБ

1/22012

406

1/22013

496(+18%)

1/22014

450 млн

654(+32%)

ИТОГИ2014

800-900млн

+30-35%

ПРОГНОЗЫ2015

•••

+30%

В первой половине 2013 г. было з�фиксиров�но 496 утечек д�нных. Дин�мик� увеличени� числ� утечек по ср�внению с �н�логичным периодом 2012 г. сост�вил� 18%.В первой половине 2014 г. вы�влено 654 утечек д�нных. Дин�ми-к� рост� этого пок�з�тел� по ср�внению с �н�логичным перио-дом 2013 г. сост�вил� 32%. Прогнозируем�� дин�мик� увеличе-ни� количеств� утечек з� весь 2014 г. по ср�внению с 2013 г. ост�-нетс� н� уровне 30–35%.

Общее количество утечек ПДн в комп�ни�х среднего р�змер� (до 500 ПК) было в 2014 г. существенно большим, чем в крупных комп�-ни�х. В некоторых отр�сл�х совокупное число скомпрометиров�н-ных з�писей в средних по р�змер�м и крупных комп�ни�х пр�ктиче-ски не р�злич�лось. Т�к, средние по р�змер�м комп�нии высокотех-нологичной отр�сли (порт�лы, сервисы) скомпрометиров�ли 1,2 млн персон�льных и пл�тежных д�нных своих клиентов, крупные —1,1 млн.

В 2015 г. целевые �т�ки ст�нут еще более многочисленными и м�сшт�бными. Преступ-ники н�чнут все �ктивнее использов�ть соци�льные сети дл� поиск� перспективных жертв, больше не будут огр�ничив�тьс� �т�к�ми тип� watering hole и фишинговыми электронными сообщени�ми узкой н�пр�в-ленности и к�рдин�льно р�сшир�т охв�т целей, р�спростр�нив �т�ки н� носимые устройств� Wi-Fi с у�звимым встроенным ПО.

В 2014 г. целевые �т�ки вышли н� новый уровень. С�м� модель �т�ки н� конкретную комп�нию с помощью вредоносного ПО, «з�точенного» под особенности ее инфр�структуры, использу-етс� д�вно. Одн�ко именно в 2014 г. целевые �т�ки пок�з�ли свою эффективность в полном объеме. Причин� – ст�нд�ртиз�-ци� используемых систем з�щиты, оборудов�ни�. К сож�лению, ни �нтивирусы, ни ф�йерволы, ни другие тир�жируемые реше-ни� от целевых �т�к не сп�с�ют.

Если исключить из р�ссмотрени� крупнейшие утечки 2013–2014 гг. (компромет�ци� реквизитов пл�тежных к�рт торговых сетей Target, Home Depot и др.), мы получим довольно однородную к�ртину числ� скомпрометиров�нных з�писей н� одну утечку. Это озн�ч�ет, что злоумышленники целен�пр�вленно охоттс з� большими объем�ми д�нных. Очевидно, что с�мые «ликвид-ные» д�нные (реквизиты пл�стиковых к�рт) хр�нтс в инфор-

м�ционных систем�х б�нков и ритейлеров. З�то д�нные, которые обр�б�тыв�ютс медицинскими комп�ними и госорг�н�ми, более доступны. Отсюд� — относительно ровное р�спределение по ключевым отр�слм числ� скомпрометиров�нных з�писей в р�счете н� одну утечку.

Еще большими темп�ми р�стет число скомпрометиров�нных з�писей. В первом полугодии 2014 г. было скомпрометиров�но свыше 450 млн з�писей (номер� соци�льного стр�хов�ни, п�спортов, сведени о б�нковских счет�х и пл�стиковых к�рт�х). По итог�м 2014 г. этот пок�з�тель, скорее всего, выр�стет почти вдвое, � количество скомпрометиров�нных д�нных приблизитс к 800–900 млн. В 2015 г. дин�мик� рост� числ� утечек сохр�нитс н� уровне 30%, � вот количество скомпрометиров�нных з�писей может выр�сти многокр�тно.

Среднее число скомпрометиров�нных з�писей (тыс.) н� одну утечку в первой половине 2014 г.

Отр�слев� к�рт� утечек персон�льных д�нных (млн) в первой половине 2014 г. – соответствие р�змеров орг�низ�ций (количе-ство ПК) числу утечек

13.09

Торговл,HoReCa

14.09

Медицин�

16.37

Промышленностьи тр�нспорт

18.67

ИТ ителекоммуник�ции

18.98

Госорг�ны исиловые структуры

23.47

Обр�з./муницип�льные

учреждени

Другое/не определено

11.00

Другое/не определено

0,57

Б�нки и фин�нсы

11.00

Количество утечек р�стет год от год�

�нтивирусы не р�бот�ют

Действующие системы з�щиты м�лоэффективны прицелен�пр�вленных �т�к�х и злон�меренных инс�йдерскихдействи�х

В средних по р�змеру комп�ни�х происходит больше утечек персон�льных д�нных, чем в крупных

Киберпреступники переориентиров�лись н� кр�жу больших м�ссивов персон�льных д�нных и фин�нсовой информ�ции из ИС

0,05

Торговл,HoReCa

0,01

Медицин�Б�нки и фин�нсы

0,01

< 5

0 П

К

1,21


0,96


учреждени

0,69

Торговл�,HoReCa

1,29


0,03

50

-50

0 П

К

0,09

Промышленностьи тр�нспорт

1,14


1,27


0,01


0,67


учреждени�

0,48

Торговл�,HoReCa

0,97


0,92

Целевые �т�кин� б�нки

Н� 86%з�р�женных устройств

было уст�новлено�нтивирусное

средство

1,5 млнкомпьютеров в России

з�р�зил ботнет Carberb

50

0 П

К >

3% Комп�ни� с�м� обн�ружил� инцедент

28% В комп�нии произошел инцедент 69% Оповестили комп�нию

20% Не обн�ружен�целев�� т�к�

80% Обн�ружен� целев�� т�к�

7%8%

11%

14%

16%

44%

Dr. Web

Другие

Нет �нтивирус�

Kaspersky

Microsoft

Symantec

Д�нные из отчет� �н�литического центр� комп�нии InfoWatch

(http://www.infowatch.ru/analytics), Group-IB и Trend Micro комменти-

ров�л Сергей Х�йрук, �н�литик InfoWatch

Впрочем, в 2015 г. к�ртин� должн� изменитьс�. Успешный опыт хищений огромных объемов фин�нсовой информ�ции с помо-щью �т�к н� POS-термин�лы приведет к большей фокусировке злоумышленников н� торговых сет�х и крупных туристических Интернет-сервис�х.


ИБ и бизнес

!БдИ: Всеволод, что Вы считаете особенностью нынешнего кризиса, чем он напоминает предыдущие и чем от них отличается?

в. И.: Особенность очередного кризиса состоит в том, что он проходит в таких условиях, когда многие компании переходят из плохого состояния в еще более плохое. Это очень тяжело, да к тому же ситуацию осложняют полити‑ческие санкции.

При этом реакция России на кризис заметно отличается от реакции других стран. Как только падает рубль, все цены начинают бурно расти вне зависимости от того, насколько они связаны с импортом. Например, если стоимость бензина увеличивается, то стоимость пере‑возок растет еще больше, хотя доля топлива в послед‑ней не превышает нескольких процентов. Население, как по команде, переводит все свои рубли в доллары, и тот, кто может, выводит их за границу, а кто не может, кладет под подушку. То и другое только подогревает кризис.

Судите сами: люди тратят деньги в рублях, а хранят их в валюте, но у банка все кредиты — в рублях, а все депозиты — в долларах. Как только доллар начинает быстро расти по отношению к рублю, проценты по депо‑зитам, которые банки должны выплачивать в валюте, уже не перекрываются средствами, получаемыми с рублевых

Как не стать сбитым летчиком, или

Антикризисные перспективыЕсли кто‑то впадает в панику при мысли о приближении кризиса, то для Всеволода Иванова, исполнительного директора компании InfoWatch, это — «всего лишь» четвертый кризис. Тот, кто сумел выжить после целой серии экономических стрессов, начинает понимать, что они представляют собой просто конкретные ситуации, в которых приходится принимать антикризисные решения, и что, в общем‑то, ничего нового в кризисах нет. Мы попросили раскрыть эту точку зрения более подробно.



кредитов. Банки вынуждены все время страховать эту разницу, и чем активнее они страхуют, тем больше уве‑личивается разница между кредитом и депозитом. Если, например, сейчас средняя ставка по депозиту достигает 5—6 % в валюте и 12 % в рублях, то ставка по кредиту уже не может составлять 15 %, поскольку банку надо заложить в нее как разницу с учетом страхования, так и свой интерес.

В результате кредиты сейчас будут выдаваться под 20—25 %, а, скажем, для малого бизнеса это — убийство, ведь у него маржа — не больше 30 %. Соответственно, высокие про‑центные ставки — еще один драйвер роста цен на рынке. Кроме того, это — демотиватор развития таких рынков, как недвижимость, ведь ни один сумасшедший не будет брать ипотеку под 25 %. Иначе за 20 лет он переплатит за квартиру 200 % ее стоимости.

А самая страшная особенность реакции на кризис в России заключается в том, что люди начинают прятать голову в песок. В Европе во время кризиса они стараются больше работать, больше зарабатывать, снижать цены и больше продавать. Так стимулируется потребительский рынок и удерживаются на плаву рабочие места. А мы всех лишних людей убираем, расходы, скажем на ИТ, замораживаем, садимся и ждем. И это приводит к пла‑чевным результатам, поскольку является драйвером безработицы, падения всех рынков, потребительской

и покупательской способности. В итоге неизбежны стагнация в бизнес‑сообществе и достаточно долгое пребывание экономики страны в депрессии.

!БдИ: Я бы назвал такую реакцию на кризис детской. А как выглядит взрослая?

в. И.: Да, это — именно детская реакция, а взрослая состоит в развитии бизнеса.

!БдИ: О каком развитии может идти речь, если все драй‑веры рынка утверждают обратное?

в. И.: Как оказалось, в период кризиса снижение потре‑бительского спроса значительно отстает от объемов сворачивания бизнеса. Например, рынок автомобилей через какое‑то время упадет на 30 %, но дилеры уже сейчас отказываются от предложений производителей и снижают объем покупок машин на 50 %. Тот из диле‑ров, кто отреагирует на кризис не под привычную

отечественную копирку, имеет шанс забрать себе оставшиеся 20 % рынка.

Или возьмем кредитование физических лиц. Понятно, что процент невозвратных кредитов будет расти, и напу‑ганные такими перспективами банки вообще закрывают направление кредитования физических лиц. Однако можно вспомнить, как в 2008 г. банки тоже сворачивали свою деятельность по кредитованию, хотя количество платежеспособных заемщиков уменьшилось лишь напо‑ловину. Сейчас примерно 60 % людей продолжают рабо‑тать, зарабатывать, и им нужны кредиты. Их‑то кто будет обслуживать?

!БдИ: Как на этом фоне воспринимаются перспективы ИТ‑ и ИБ‑департаментов?

в. И.: Я бы различал перспективы ИТ и ИБ, между которыми имеется принципиальная разница. Во время кризиса компании будут сокращать затраты на развитие, в первую очередь, за счет капитальных вложений, а к ним относятся маркетинг, недвижимость и ИТ, то есть инфраструктурное и стратегическое развитие. При этом будут увеличиваться затраты на эффективность, безопасность и — на увольне‑ние персонала. Обиженные увольняемые люди начинают воровать и перед уходом создавать своей компании неприятности. А принципиальная разница между ИТ и ИБ состоит в том, что бюджет ИБ во время кризиса может

перекочевать из статьи капитальных затрат на ИТ и раз‑витие в статью расходов на увеличение эффективности, то есть в растущую часть.

Скверно, когда бюджет на ИБ входит в ИТ‑бюджет, — тогда его слепо рубят вместе с прочими затратами. Совсем другое дело, когда ИБ числится в бюджете, выделенном на обеспечение экономической безопасности. Я ни разу не видел, чтобы кто‑то в период кризиса сокращал рас‑ходы на экономическую безопасность. К сожалению, мы не успели полностью убедить рынок в том, что ИБ — это не ИT, а что‑то ближе к экономической безопасности. Но все же рынок начал осознавать эту истину. Задачи ИБ состоят не в том, чтобы перехватывать какие‑то документы или следить за секретаршей, а в том, чтобы отслеживать и пресекать воровство, коррупцию и действия злоумыш‑ленников, которые уносят с собой клиентские базы. По моим оценкам, в условиях кризиса наша система может на 20—25 % уменьшить потери, связанные не с падением рынка, а с персоналом и внутренними угрозами.

Кредиты сейчас будут выдавать под 20—25 %, а, скажем, для малого бизнеса это — убийство, ведь у него маржа — не больше 30 %. Соответственно, высокие процент‑ные ставки — еще один драйвер роста цен на рынке.



!БдИ: За счет чего?

в. И.: К сожалению, рынок неизбежно столкнется с массо‑выми хищениями клиентских баз, шантажом, поливанием друг друга грязью и другими способами нечистоплотной конкурентной борьбы, в том числе с целенаправленными атаками. По крайней мере, будет больше желающих купить и продать критически важную информацию. Кроме того, не стоит забывать, что у нас есть стратегические пред‑приятия, которые можно попытаться выводить из строя с помощью международных целевых атак.

!БдИ: Можно ли в этих условиях ожидать прироста кли‑ентской базы поставщиков ИБ‑решений? Или уже все действующие предприятия «охвачены вниманием», а появления новых ожидать не приходится?

в. И.: Я бы не стал утверждать, что нельзя ожидать появ‑ления новых заказчиков. Во‑первых, те компании, кото‑рые прежде не озабочивались вопросами обеспечения информационной безопасности, сейчас начнут уделять им внимание. Плюс — у нас все‑таки незрелый рынок. Он

только начал формироваться, и впервые за 10 лет рынок защиты от внутренних угроз (а это — шире, чем просто DLP) в течение двух лет демонстрировал стабильный рост на 40—50 %. Обычно так бывает, когда рынок начинает созревать.

При этом только 12 % российских банков установили решения, обеспечивающие противодействие внутренним угрозам. Из них 2 / 3 решений пока работают не полно‑ценно, лишь поддерживая защиту персональных данных. По моим оценкам, не более 5 % банков используют DLP‑функционал на 60 %, и они «ловят» человек по 100 за квартал. О чем это говорит? О том, что даже в банковском сегменте, наиболее продвинутом в отношении информационной безопасности, насыщенность рынка в количественном выражении составляет не более 12—15 %.

Во‑вторых, есть потенциал для нового функционала. Дру‑гими словами, поляна для расширения огромна.

В‑третьих, прослеживается еще одна тенденция, которая не позволяет мне согласиться с утверждением о невоз‑можности прироста клиентской базы. Это — импортоза‑мещение. Сначала казалось, что обсуждать его смешно, но уже сейчас наши клиенты поговаривают о реальной замене импортных продуктов отечественными. Если

емкость рынка уменьшится на 50 %, то при его нынешней насыщенности не более 15 % и сокращении присутствия иностранных вендоров оставшиеся 35 % достанутся тем отечественным компаниям, которые собираются развиваться. И мы в эту нишу нырнем.

!БдИ: Но ведь с базой уже имеющихся клиентов тоже нужно работать. Каким образом?

в. И.: В период кризиса компании переводят расходы из CAPEX в OPEX. Что это означает? Что они сокращают капитальные расходы и предпочитают брать что‑то в лизинг или платить ежемесячно, поскольку тогда при необходимости от таких затрат легче отказаться, да и вообще, во время кризиса платить частями проще. Я думаю, что будут популярны модель SaaS и ежемесячные подписки. Сам продукт физически не изменится, просто формат покупки‑продажи лицензий перейдет в формат услуг (например, защиты информации). В таком случае не придется в начале года оплачивать годовую лицензию — можно будет платить ежемесячно до тех пор, пока компания будет в силах это делать. Если же у нее возникнут затруднения, она сможет

отказаться от получения услуги, не дожидаясь конца года. Другими словами, такой процесс является управляемым.

Это приведет к реструктуризации бюджетов на ИБ и, как следствие, к реструктуризации продуктов. Поставщики должны быть готовы к тому, чтоб предоставлять свои решения не как законченные продукты, а как услуги, доступные по времени и объемам потребляемых ресур‑сов. А для компенсации возможных потерь поставщикам ИБ‑услуг надо будет продавать их больше.

!БдИ: Азбука «взрослого» кризис‑менеджмента — утверж‑дение о том, что кризис является идеальным временем для покупок, слияний и поглощений.

в. И.: В кризис всегда лучше покупать, а особенно в тех случаях, когда твои деньги хранятся в валюте и ты избежал снижения суммы в рублях. Но все области имеют разную инерцию. Например, автомобили лучше покупать сразу, на старте кризисного падения, поскольку потом они будут переоценены и вырастут в цене. Недвижимость тоже надо покупать быстро, пока ее цена не скомпенсировалась кризисом. А вот компании надо покупать долго. Их собствен‑ники, как правило, отличаются «самовлюбленностью»: они считают, что принадлежащий им бизнес стоит, например, 50 млн долл., которые уже почти лежат у них в кармане.

Принципиальная разница между ИТ и ИБ состоит в том, что бюджет ИБ во время кризиса может перекочевать из статьи капитальных затрат на ИТ и развитие в ста‑тью расходов на увеличение эффективности, то есть в растущую часть.



Вдруг им сообщают, что теперь бизнес стоит не больше 10 млн, и для того чтобы они свыклись с этой мыслью, необходимо время. Им нужно осознать, что продажи уже не сохранятся на прежнем уровне и в былых объемах, что уже не будет такого денежного потока и такой доли рынка, что придется сокращать людей и приостанавливать развитие, а потому рассчитывать на 50 млн не стоит.

!БдИ: О каких компаниях в данном случае идет речь?

в. И.: В первую очередь, о тех, у которых есть потенциал в виде технологий и решений, но нет «выстрелившего»

механизма маркетинга и продаж. Или он стал для них обременительным. Для выживания в условиях кризиса мало иметь какой‑то маркетинг — необходимы агрессивная стратегия продаж, умение и готовность биться за каждого клиента. Спокойно занимаясь продажами, сейчас уже не выжить. Но, повторяю, нужно подождать и покупать через год‑полтора, когда компании и их персонал начнут воспринимать себя как «сбитых летчиков».

!БдИ: Что Вы имеете в виду, говоря о персонале?

в. И.: Еще одну возможность развития — задешево купить дорогущих менеджеров. Все понимают, что начинается кризис, но дорогим менеджерам пока продолжают пла‑тить зарплату. До них еще не дошла волна сокращений, а следовательно, они еще не осознали всего трагизма ситуации и того, что теперь ничего не стоят. Может быть, эта позиция — циничная, но она — правильная.

Особенно повезет, если какой‑то талантливый менеджер работает в компании, которая в период кризиса начнет

прятать голову в песок и сокращать половину бизнеса. При обычном, не кризисном развитии событий на улице оказываются, как правило, люди недалекие, неуспешные, откровенные неудачники, а хороших специалистов при‑ходится переманивать втридорога, ведь они и так сидят на тепленьких местах. Но сейчас их тоже могут уволить, поэтому больше вероятность найти высокопрофессио‑нальных менеджеров. Кризис вообще дает очень много возможностей.

!БдИ: Иными словами у компании есть шанс выйти из кризиса с обновленными компетенциями и продук‑товой линейкой? Ведь рано или поздно любой кризис заканчивается…

в. И.: Перед нами не стоит задача закрыть всю палитру решений в области информационной безопасности. На антивирусный (сегодня — самый привлекательный) рынок мы выходить не будем, ведь он уже занят. Зато у нас появятся другие обновленные компетенции, которые вполне можно рассматривать как конкурентные преиму‑щества. В частности, нам могут быть интересны такие

направления, как таргетированные атаки, — вплоть до рас‑следования событий, связанных с ними. Мы намерены развивать область компетенций, связанную с защитой АСУ ТП. Я считаю мегатрендом защиту от DDoS‑атак. Все эти темы — горячие, как пирожки, но они на нашем рынке в должном объеме не закрыты. И вполне возможно, что мы какими‑то из них займемся.

!БдИ: Мы обсудили перспективы участников рынка информационной безопасности, но будет неправильно обойти вниманием партнеров из интеграторских компа‑ний, которые доводят решения до конечных заказчиков. Какой, с точки зрения InfoWatch, может быть их позиция во время кризиса?

В. И.: Все зависит от того, в какой области работает инте‑гратор и на чем специализируется. Как себя чувствует интегратор, когда сокращаются бюджеты на ИТ и аппарат‑ные решения мало кто покупает (а ведь это — основная часть бизнеса интегратора)? Естественно, очень плохо. Но миграция в области консалтинга, информационной

безопасности и оптимизации бизнес‑процессов позволит увеличить прибыльность интеграторского бизнеса. Факти‑чески, интеграторам надо уходить к софтверным вендорам, причем работающим именно в тех областях, в которых будут расти инвестиции. Например, это автоматизация риск‑менеджмента, информационной безопасности, систем работы с персоналом и пр., но не традиционные поставки аппаратных платформ. Общая миграция будет сказываться и на интеграторах.

Для выживания в условиях кризиса мало иметь какой‑то маркетинг — необходимы агрессивная стратегия продаж, умение и готовность биться за каждого клиента.

К сожалению, рынок неизбежно столкнется с массовыми хищениями клиентских баз, шантажом, поливанием друг друга грязью и другими способами нечистоплот‑ной конкурентной борьбы, в том числе с целенаправленными атаками.



!БдИ: В отличие от зарубежных стар‑тапов, поддерживаемых венчурными и пенсионными фондами, российские стартапы зачастую выходят из корпо‑ративной среды и оказываются нежиз‑неспособными в рыночных условиях. Почему так происходит?

д. Ч.: Для того чтобы заинтересовать инвестора, стартапу в любой стране необходимы сильная команда, инно‑вационный продукт или технология, эффективная бизнес‑модель. Появление стартапов из корпоративной среды — не обязательно плохой знак. Примерами являются проекты Ecwid и NGINX, соз‑данные 10 лет назад экс‑сотрудником Rambler Игорем Сысоевым. Так, сейчас NGINX — успешная компания и самый популярный веб‑сервер на высоконагру‑женных сайтах мира (технологию NGINX используют более 156 млн веб‑сайтов). Появление сильной технологии зависит лишь от профессионализма создающей ее команды.

!БдИ: А что является основным тормозом и двигателем российских стартапов?

д. Ч.: Тормозом может быть непо‑нимание того, что главное — бежать быстрее всех. Стартапы — это конку‑рентная игра, и очень часто кто‑нибудь копирует проект либо занимается тем же самым. В 99 % случаев идеи не являются абсолютно оригиналь‑ными, а уж тем более гениальными: кто‑то, живущий на соседней улице или в другой стране, может придумать то же самое. Поэтому для стартапа так важно быть быстрее всех.

!БдИ: Что, по Вашему мнению, следует изменить в экономике или законода‑тельстве для активизации появления интересных высокотехнологичных проектов?

д. Ч.: Сфера инвестиций и стартапов не отличается от любого другого бизнеса с точки зрения условий раз‑

вития: ей необходимы прозрачность, минимум регулирования, работающие государственные институты. Развитию технологий и связанного с ними биз‑неса способствует наличие сильного фундаментального образования и научной базы. На частные деньги в данном отношении рассчитывать не приходится, ведь средний срок возврата инвестиций, например, в фундаментальную науку составляет порядка 50 лет.

!БдИ: Что мотивирует инвесторов к под‑держке стартапов?

д. Ч.: Желание, с одной стороны, заработать, а с другой, помочь моло‑дым предприятиям стать зрелыми и состоявшимися. Мы зарабатываем или не зарабатываем вместе с компа‑ниями, в которые инвестируем.

!БдИ: Как влияет нынешняя эконо‑мическая и политическая ситуация

Зачастую проекты стартапов становятся не технологи‑ческими откровениями, а «пересказом» имеющихся продуктов. При этом всегда есть проблемы, решение которых пока не является приоритетным для рынка, но может стать таковым уже в ближайшее время. Тогда браться за разработку «с нуля» будет поздно, ведь рынок уже «уйдет», а вот приступить к реализа‑ции амбициозных проектов сейчас было бы разумно. К тому моменту, когда соответствующие решения станут востребованными, можно будет предложить готовые бизнес‑проекты желающим первыми выйти на новые рынки. Но почему‑то эта логика не сра‑батывает… Мы попросили управляющего партнера венчурного фонда Runa Capital Дмитрия Чихачева рассказать об особенностях российских стартапов.

Будни стартапов



на появление новых высокотехноло‑гичных компаний?

д. Ч.: Высокотехнологичные бизнесы живут по своим экономическим циклам, и спад экономики иногда даже способствует внедрению инноваций и появлению новых стартапов. В период кризиса люди начинают задумываться о необходимости что‑то сделать. При этом технологические инвестиции менее подвержены политическим и макроэкономическим рискам, так что в каком‑то смысле мы даже ока‑зываемся в выигрыше по сравнению с другими видами активов. Кроме того, инвестиции становятся «более между‑

народными», европейские границы стираются. Фонды, которые раньше были сфокусированы на стране своего происхождения, начинают активно работать с зарубежными стартапами, а технологические стартапы — конкури‑ровать за деньги инвесторов не только в России, но и по всему миру.

!БдИ: На ком лежит ответственность за стартапы? Каковы основные зоны ответственности и как они формируются?

д. Ч.: За каждую из «портфельных» компаний отвечают, как правило, два человека: партнер‑сооснователь фонда и специалист инвестиционной команды.

За самые важные для фонда компании могут отвечать два партнера. При этом проекты не делятся на «мои» и «твои».

!БдИ: В последнее время появилось множество новых тенденций, таких как Интернет Вещей, Большие Данные и пр. Можно ли ожидать скорого появления прорывных решений в данной области?

д. Ч.: В уходящем году не только про‑водились традиционные разработки, но и появились новые стартапы и про‑екты в восходящих областях (Интер‑нет Вещей, электронная медицина и робототехника). Думаю, это — как раз начало нового тренда.

Мнение Аркадия МорейнисаБизнес‑ангела, бывшего директора по разработке и развитию проектов Rambler, с 2009 г. занимающегося стартапами в Рунете и ИТ

Я считаю, что кор‑поративные инкуба‑торы и акселераторы проектов, находя‑щихся на ранних стадиях, не могут

работать эффективно. Тезисно поясню этот вывод.

1. Акционеры компании должны быть авантюристами, чтобы тратить ее деньги на внутренние проекты с 90‑процентной гарантией неудачи. А ведь они не всегда готовы реинвести‑ровать даже в основную деятельность, которая приносит деньги. Да и зачем взращивать проекты, начиная с ран‑них стадий, внутри компании, если можно мониторить проекты внешних акселераторов и покупать самое интересное. Даже если каждый про‑ект обойдется несколько дороже, это позволит на порядки снизить риски.

2. Суть работы инкубаторов и акселе‑раторов состоит, в первую очередь, в воспитании фаундеров (людей, основывающих компании) — предо‑ставлении им права на ошибку и свободы принятия решений. Это

полностью противоречит корпора‑тивной культуре «делай раз, делай два» и бизнес‑процессам, поэтому корпоративный менеджмент просто задушит в своих объятиях «молодые» проекты. Фаундеры в лучшем случае превратятся в очень дорогих наемных сотрудников, получающих большую долю дохода от своего направления, а в худшем — не выдержат и сбегут.

3. Кто будет руководить таким корпоративным акселератором? Я с трудом представляю ситуацию, в которой классного топ‑менеджера отвлекут от основной деятельности, приносящей компании деньги, и пере‑бросят на «воспитательный процесс». В лучшем случае этот акселератор навесят на него как дополнительную нагрузку, которой он будет уделять время по остаточному принципу. В худшем руководить акселератором поручат «неуловимому Джо», очень хорошему парню, не добившемуся ни в одном департаменте успеха, но и не проштрафившемуся. Резуль‑таты при таком руководстве окажутся никакими, ибо работа над проектами подразумевает полную вовлеченность

в дело, в том числе руководителя, а его личность оказывает сильнейшее влияние на фаундеров.

4. Хороших специалистов будут переманивать из проектов во все департаменты. Причем это будет происходить с молчаливого согласия руководства, ибо зачем держать хорошего человека в проекте с 90‑про‑центной вероятностью неудачи, если его можно эффективно использовать для зарабатывания денег.

5. Хорошие специалисты из других департаментов будут добиваться перевода в акселератор: зачем им работать на своем месте за одну зарплату и с железной отчетно‑стью о результатах труда, если они могут с удовольствием креативить на соседнем этаже, а в случае успеха еще и получить долю доходов от нового направления деятельно‑сти компании. Введение железной отчетности и снижение мотивации фаундеров превратит проект просто в еще один департамент компании, да еще и организованный на основе каких‑то мутных принципов.



РуСтэМ ХАйРетдИнОвглава Appercut Security, президент ассоциации BISA

Телега впереди лошади

При плохой организации бюджетного учета внедрение на предприятии системы электронного бюджетирования приведет только к автоматизации неудачно сложившихся бизнес‑практик. Если компания не понимает, что, кому и за счет чего она продает, CRM‑система сама по себе не увеличивает объем продаж. Самая лучшая бухгалтерская система лишь помогает навести порядок в бухгалтерии, а основная часть работы над учетной политикой приходится на сотрудников и консультантов.

Иногда у специалистов возникает желание поставить телегу впереди лошади и возложить на технологическое решение роль катализатора изменений. Мол, как только у нас появится решение, вобравшее в себя лучшие практики, наши процессы за ними подтянутся, и мы автоматически станем работать в соответствии с этими практиками. Возможно, где‑нибудь так и происходит, но чаще такое решение начинают «допиливать» до дей‑ствующих процессов — вместо того, чтобы изменять процессы под решение. А в результате у компании появляется дорогое неэффективное решение.

Информационная безопасность десятилетиями была нацелена на защиту инфраструктуры, а не информа‑ции, поэтому реализовалась одинаково в любой орга‑низации — банке, нефтяной компании, министерстве или средней школе. Считалось, что для внедрения антивируса, контроля над доступом, систем обнару‑жения вторжений не нужно понимать, чем занимается компания: достаточно защитить стандартным образом компьютеры, серверы, каналы, шлюзы доступа. Однако с появлением внутренних угроз, противодействовать которым не позволяют даже самые жесткие запреты, «безопасникам» пришлось изучать бизнес‑процессы

их компаний. Для того чтобы эффективно защищать предприятие, например, от утечек, надо понимать, какая информации в нем циркулирует и как именно, какие операции и кто из сотрудников может с ней про‑водить, а какие не может.

Политика «давайте купим, а потом посмотрим, как это будет работать», характерная для «тучных» лет, породила множество нетрадиционных сценариев использова‑ния систем, предназначенных для противодействия утечкам информации, и даже появление специальных российских продуктов класса ДЛП («для любителей подглядывать»). Не желая разбираться в том, какую информацию и от чего нужно защищать, новоявленные борцы с утечками начали пользоваться для их пресе‑чения архивацией трафика.

Была придумана маркетинговая легенда, гласившая, что блокировать перемещение информации компа‑ниям не нужно, ведь, ковыряясь в архивах, служба информационной безопасности все равно найдет и покарает виновников. К слову, свою лепту в рас‑пространение лозунгов из серии «блокировать ничего не надо» вносили производители средств, не умеющих блокировать перемещение информации: их продукты не могут работать под реальной нагрузкой либо выдают огромное количество ложных срабатываний из‑за несо‑вершенства аналитического аппарата.

Следствием этих представлений стали утверждения о том, что эффективность ДЛП‑системы (не DLP!) измеряется количеством уволенных сотрудников, что Конституция РФ, гарантирующая тайну связи, не действует в рабочее время и т. п. Создать свой, не контролируемый законом и спецслужбами корпоративный СОРМ, контролировать каждый шаг сотрудников, читать их почту и личные

DLP-зрелостьСлужбы автоматизации бизнеса довольно часто используют термин «зрелость», который означает готовность той или иной компании к внедрению определенных технологических и программных решений. Прежде чем будет достигнута такая зрелость, внедрение некоторых решений зачастую не даст ожидаемого эффекта. Но как оценить уровень зрелости DLP и как его повысить?



сообщения — эти идеи настолько захватили служителей ИБ, что о первоначальной цели борьбы с утечками было забыто. Такой подход был привычен для ИБ‑сотрудников, вышедших из спецслужб, в которых за расследование нарушений и наказание виновных поощряют больше, чем за предотвращение преступлений.

Затем «случился Сноуден»

Первые звоночки, напомнившие о том, что пора воз‑вращаться к первоначальным подходам и что DLP не равно ДЛП, прозвучали прошлым летом. Сначала обнаружились утечки ответов на вопросы ЕГЭ, сде‑лавшие бессмысленным многомесячный труд тысяч людей и подорвавшие и прежде не сильную веру в эффективность перехода страны на новую систему образования. От того, что где‑то хранятся логи копиро‑вания и выкладывания документов в соцсетях, никому легче не стало — все вдруг поняли, что видеокамера на лестничной клетке не заменяет железной входной двери.

А затем «случился» Сноуден. Да, у его работодателей были все доказательства его преступной (или, по дру‑гой версии, спасительной) деятельности, но им это не помогло. Архивы логов его героической (по другой версии — враждебной) активности не спасли карьеру всей вертикали его начальников. Похищенные доку‑

менты во многом изменили отношение к Интернету и информационным технологиям в целом. Стала вновь понятна первичная парадигма «нет блокировки — нет защиты».

Естественно, архивы с накрученной вокруг них анали‑тикой — вовсе не бесполезный инструмент. Они нужны для внутренних расследований и помогают выявлять не только утечки информации, но и другую злонаме‑ренную деятельность — использование корпоративной инфраструктуры в преступных целях, мошенничество и прочее. Особенно они полезны при сборе легитимных доказательств, поскольку электронные доказательства в лучшем случае указывают на учетные записи, а обви‑нять приходится конкретных людей, что с точки зрения суда — отнюдь не одно и то же.

Однако использование архивов является лишь пер‑вым шагом, помогающим понять, что происходит с контентом в вашей информационной сети, какого

типа инциденты вам опасны, а какие — нет. Архивы можно внедрять без каких‑либо изменений в компании, но считать, что они позволяют защищаться от утечек, как‑то глуповато. Да, архив — важная составная часть DLP‑системы, но все же в аббревиатуре DLP третья буква означает Protection или Prevention.

За зрелость!

Часто компания, купив дорогое решение, которое может работать в режиме блокировки с реальным трафиком, использует это решение не с ним, а с копией трафика. Другими словами, она сознательно принимает на себя риск утечки информации. Почему? Такая компания пока не готова четко сформулировать и реализовать несколько правил, выполнение которых мы и считаем DLP‑зрелостью. Попробуйте оценить уровень своей DLP‑зрелости, ответив на следующие вопросы.

1. Сформулирована ли конкретная цель, которую вы ставите перед собой при запуске проекта противодей‑ствия утечкам? Например, такая: защитить информацию (какую, где находящуюся, от кого?), раскрыть устой‑чивый канал утечки или мошенничества. Или проект реализуется просто для того, «чтобы было»?

2. Можете ли вы априори формально определить, какое действие с информацией является нарушением,

а какое не является? Есть ли у вас какой‑то официальный документ, предписывающий сотрудникам, что с инфор‑мацией делать можно, а чего нельзя? Насколько часто меняются эти правила, кто контролирует их актуальность и исключения из них?

3. Как вы планируете реагировать на инциденты? Есть ли у вас стандартная процедура внутренних рас‑следований? Готовы ли вы будете предоставить леги‑тимные доказательства, если ваш бывший сотрудник обратится в суд с иском по поводу несправедливого увольнения?

Если вы однозначно ответили на первый вопрос и утвердительно — на большинство вопросов второй и третьей групп, то вы готовы всерьез взяться за вне‑дрение системы противодействия внутренним угрозам. Если же нет, вам нужно продолжать целенаправленно анализировать архивные накопления, но уже с целью найти ответы на эти вопросы.

Иногда у специалистов возникает желание поставить телегу впереди лошади и воз‑ложить на технологическое решение роль катализатора изменений.


ИБ-практика

АндРей СуХАнОвАльфа-банк

Дополнительный эшелон

Популярность темы целенаправленных атак объясняется рядом факторов:

• повысился уровень зрелости киберпреступности;• идея обеспечения информационной безопасности

обрела множество сторонников (среди которых — и топ‑менеджмент организаций);

• участники рынка заинтересованы в открытии и раз‑витии новых направлений.

В 2014 г. Альфа‑банк столкнулся с рядом атак, имеющих признаки целевых. Об этом свидетельствовали те факты, что они были явно адресными и на 100 % соответство‑вали контексту деятельности банка. Некоторые из атак оказались крайне дерзкими.

Наше понимание термина «целевая атака» не отличается от общепринятого, но из практических соображений мы сузили в уходящем году рассматриваемый нами спектр атак. Мы зафиксировались на классе целевых атак, при реализации которых одним из шагов является рас‑пространение специально разработанного вредоносного программного обеспечения (ВПО) через стандартные средства коммуникаций — корпоративную и веб‑почту,

ресурсы Интернета, подключаемые устройства. Эта трактовка, к слову, соответствует реальным возмож‑ностям представленных на рынке решений анти‑APT.

Главное новшество таких решений состоит в следую‑щем. Сейчас любая организация может получить в свое распоряжение «кусочек» антивирусной лаборатории. Совместив его с IPS‑системой, мы и получим решение анти‑APT. У нас появится ресурс, который сможет ана‑лизировать поведение фрагментов сетевого трафика в эмулируемой среде обработки информации («песоч‑

нице») и выявлять в нем признаки ВПО. Мы трактуем новый класс решений анти‑APT как дополнительный эшелон антивирусной защиты.

Разочарование от классики

Классические средства антивирусной защиты (САЗ) уже не отвечают реальному ландшафту угроз. Обоснуем этот тезис:

• сигнатуры традиционных САЗ значительно запазды‑вают, не успевая за потоком ВПО и выявляемыми уязвимостями;

В поисках идеала: защита от APTВ 2014 г. так называемым «целенаправленным атакам» (APT) уделялось повышенное внимание. Суть таких атак состоит в том, что нарушитель мотивирован реализовать угрозу в отношении конкретного физического или юридического лица и обладает для этого всеми необходимыми ресурсами. Очевидно, что данное явление не новое, но вопрос о том, как ему противостоять, пока открыт.

Наше понимание термина «целевая атака» не отличается от общепринятого, но из практических соображений мы сузили в уходящем году рассматриваемый нами спектр атак.



• ВПО может быть запаковано так, что оно не будет обнаруживаться конкретным антивирусом (антиви‑русами). При этом каждый сотрудник знает, какой антивирус используется у него на рабочей станции;

• окружение во многих случаях не соответствует прави‑лам безопасной работы (можно вспомнить о правах локальных администраторов, неограниченном доступе

к ресурсам Интернета, стандартном цикле установки обновлений и т. п.);

• работая в эвристическом режиме, классические САЗ генерируют огромное количество ложно‑поло‑жительных срабатываний (отношение к сигнатурным срабатываниям, по нашим наблюдениям, составляет примерно 1:20). Обработать их с помощью приемле‑мых ресурсов невозможно.

Но если у антивирусных продуктов так много ограни‑чений, то каким же должно быть решение, способное противостоять целевым атакам?

Что изволите?

Мы определили особенности, которые должны быть присущи идеальному решению для борьбы с APT:

• высокое «качество» обнаружения ВПО;

• максимальная степень покрытия средств, обеспечива‑ющих коммуникации сотрудников банка (и их рабочих станций) с внешней средой, доверие к которой по ряду причин снижено или вообще отсутствует;

• реализация в рамках «песочницы» среды, максимально приближенной к реальному окружению, в котором работают сотрудники банка;

• возможность анализа как можно большего количе‑ства различных протоколов передачи данных и типов электронных документов;

• умение выявлять реальные следы активности уже работающего в банке ВПО.

При выборе решения нужно обратить внимание и на сле‑дующие аспекты.

1. Некоторые каналы распространения ВПО являются проблемными для анализа (зашифрованный ssl‑трафик, подключаемые устройства). При этом часть решений дает возможность справляться с данными проблемами, а часть — нет (некоторые решения позво‑ляют контролировать не более 50 % потенциальных каналов распространения вредоносного ПО). Если решение — ограниченное, то в первом случае можно воспользоваться сторонними средствами раскрытия ssl‑трафика, а во втором попробовать осуществить интеграцию с DLP‑системой.

Каким должно быть решение, способное противостоять целевым атакам?



2. Для анализа сетевого трафика потребуются дополнительные ресурсы — трафик придется перенаправлять. В том случае, если у вас имеется распределенная и / или отказоустойчивая архитектура, задача может стать нетривиальной. В любом случае следует учесть этот момент при планировании работ и бюджета.

3. Как показала практика, идея полностью идентичной среды обработки для эмуляции в ее рамках ВПО не всегда реализуема. Нюансы — следующие:

• решение должно позволять помещать в себя образы реальных средств обработки (при необходимости — Linux, Mac OS, Android и т. д., в соответствии с конкретным ландшафтом организации);

• должен существовать удобный механизм мон‑тажа / демонтажа и обновления образов в «песочнице». Эта возможность зависит не только от особенностей решения, но и от внутрикорпоративной практики, связанной с управлением образами средств обра‑ботки информации;

• решение должно поддерживать одновременную эмуляцию экземпляров данных в разных средах, ведь часть сотрудников может работать с Windows 7, а часть — с Windows 8.

4. Очень значимой возможностью является опция отправки файла на анализ. Это — одна из возможностей, характеризу‑ющих решение как маленькую антивирусную лабораторию.

Критерий «качества» обнаружения ВПО очень сложен для ана‑лиза. Пока не существует методология тестирования данных решений, аналогичная методике тестирования средств антивирусной защиты. Провести в лабораторных условиях тестирование сразу двух‑трех решений достаточно пробле‑матично. При этом для решений данного класса «качество» обнаружения ВПО является критически важным показателем. Нужно обратить внимание на следующие аспекты.

1. Решение должно уметь обнаруживать и «стандартное» ВПО. Почему? Критерий «стандартности» в отношении ВПО установить сложно, ведь в конкретный момент сигнатура определенного экземпляра может определяться одним антивирусом и не определяться другим. Соответственно, решение должно либо настраиваться по сигнатурам конкретных антивирусных вендоров (мы таких решений не видели), либо честно сообщать о любом обнаруженном ВПО.

2. Решение должно выявлять фазы «сна» отдельных экземпляров ВПО, а также попытки определения этими экземплярами среды, в которой они запускаются. При этом желательно, чтобы в журналах событий были соответствующие записи. Нужно учесть, что действие продвинутых экземпляров ВПО — отложенное и зависит от информации о том, куда же они попали.

3. Решение должно как можно более полно поддерживать жизненный цикл ВПО в среде исполнения, т. е. давать конкретному экземпляру беспрепятственно выполнять все, что он хочет. Это требуется для получения как можно более полной информации о характере ВПО, необходи‑мой для последующего анализа.

4. Неприятный момент: ни одно из протестированных нами решений не может качественно обнаруживать в трафике следы активности уже работающего в сети ВПО — все эти решения ориентируются только на сиг‑натуры сетевого поведения. Определить по‑настоящему целевое ВПО такими методами не удастся.

5. Важным фактором являются «корни» решения. Логично предположить, что высокое качество обеспе‑чит производитель, давно и широко представленный на рынке именно антивирусной защиты, обладающий собственными аналитиками, технологиями и центрами глобального мониторинга.

На ближних подступах

Итак, решения анти‑APT являются новым классом систем. Они еще не стандартизированы по функциям, пока вряд ли подходят на роль идеала, а сделать адекватный выбор такого решения очень сложно. Как бы то ни было, наши рекомендации позволят вам подойти к выбору осознанно. Осталось лишь кое‑что к ним добавить:

• предварительно проработайте архитектуру решения и его место в общей архитектуре безопасности пред‑приятия;

• проведите формальный выбор решений по критериям, подходящим именно вам;

• проведите сравнительный анализ решений в вашей инфраструктуре, по возможности максимально при‑близив пилот к реальным условиям, в которых затем будет функционировать система.

Критерий «качества» обнаружения ВПО очень сложен для анализа. Пока не суще‑ствует методология тестирования данных решений, аналогичная методике тестиро‑вания средств антивирусной защиты.



В 2014 г. произошло большое количество DDoS-атак на банки. Сталкивался ли ваш банк с такой проблемой, и если да, то как вы ее решали?

Станислав Павлунин: Да, сталкивался, но, к счастью, этот год стал переломным: за проведение DDoS‑атак начали привлекать к уголовной ответственности. Могу рассказать об одном из последних случаев. Молодой человек из Самары DDoS‑терроризировал более 18 крупных организаций и сообществ, включая наш банк и различные сервисы онлайн‑бронирования билетов.

Служба безопасности «Тинькофф Банка» с помощью компании Group‑IB и Управления «К» МВД России нашла злоумышленника, привезла в Москву и передала в правоохранительные органы. Сейчас на него заве‑дено уголовное дело по нескольким статьям, включая вымогательство. (УК ст. 163, ст. 273).

Расскажите, пожалуйста, о процессе сбора доказательной базы.

С. П.: Мы собирали доказательную базу совместно с Group‑IB, потому что в таких случаях удается получить больше доказа‑тельств. В доказательную базу входят: время начала атак, характеристики, типы атак, лог‑файлы, которые, безусловно, хранятся на внутреннем оборудовании банка, и лог‑файлы переключения банковского оборудования на резервные каналы. При наличии резервного канала весь трафик может быть перенаправлен в сеть «резервной» специализирован‑ной компании, которая его «очистит» и отправит обратно. У нее надо запросить лог‑файлы для подтверждения факта атаки или резервного переключения трафика на сеть этой компании. А когда доказательная база собрана, пишется подробное заявление в полицию с указанием всех пере‑численных данных, IP‑адресов, с которых проводилась атака, и размеров ущерба.

Как вы определяете сумму ущерба?

С. П.: Ущерб подсчитывается довольно просто: если вы стали жертвой DDoS‑атаки, значит, у вас перестали работать какие‑то сервисы (например, Интернет‑банк, мобильный банк, сервисы обработки заявок). Зная сумму прибыли, получаемую с помощью этих сервисов за определенное время, ущерб от бездействия систем

Практика расследования киберпреступлений в банкахУходящий год запомнится возросшим количеством атак на банки. Порой они про‑ходили успешно для кибепреступников и приносили банкам огромные потери. Конечно, банки закупают оборудование, чтобы эти атаки отслеживать и пресекать, но больше всего в борьбе со злоумышленниками помогает практический опыт коллег по цеху. Мы попросили Станислава Павлунина, вице‑президента по безопас‑ности банка «Тинькофф Кредитные Системы», рассказать о некоторых кейсах пре‑дотвращения и расследования атак злоумышленников на банковские системы.



подсчитать несложно. К этой цифре мы добавляем сумму ущерба от вынужденного бездействия сотрудников.

Вы можете озвучить сумму ущерба от такой атаки?

С. П.: Обычно она составляет несколько миллионов рублей.

Какие выводы вы сделали из этого случая?

С. П.: ТКС Банк является пока единственным в России полностью онлайн‑банком, работающим через высоко‑технологичную платформу без розничных отделений. Приоритетом банка является развитие каналов дис‑танционного обслуживания клиентов, поэтому мы ста‑раемся максимально защитить себя от DDoS‑атак. Мы, действительно, сделали выводы, переработали наши процедуры, организовали еще ряд запасных каналов переключения, установили на своей стороне более мощ‑ное оборудование. Собственно, теперь мы выстроили комплексную защиту от подобных атак.

Мы убеждены в том, что дела, связанные с киберпре‑ступлениями, надо доводить до конца, нельзя оставлять безнаказанными злонамеренные действия отдельных лиц против банков. Когда‑то Swedbank, который под‑вергался многочисленным атакам киберпреступников, разработал доктрину кибербезопасности и объявил войну злоумышленникам. Теперь он выпускает обзор, в котором отчитывается, сколько злоумышленников уда‑лось поймать и какое наказание они понесли. Я считаю, что это —правильная профилактическая мера.

А как вы расцениваете ситуацию с киберпре-ступлениями в банковской сфере в количе-ственном и качественном выражении?

С. П.: Тут многое зависит от технической и управленческой зрелости организации. Если топ‑менеджмент понимает, что информационная безопасность — это часть бизнес‑процесса, то ситуация с киберпреступлениями в такой компании находится под контролем.

Что касается внутренних инцидентов, они в «Тинькофф Банке» происходят крайне редко. Раньше они были связаны, в основном, с неправильным распределе‑нием прав доступа к различным системам банка, что позволяло сотрудникам умышленно или случайно злоупотреблять этими правами. В конце прошлого года мы провели серьезную проверку: убрали все лишние права доступа, в CRM‑системе внедрили систему аудита

доступа к базе данных, и число киберпреступлений резко минимизировалось.

Внешние инциденты характеризуются сезонными всплесками — они происходят, как правило, в празд‑ники и к концу лета. В 2014 г. мы установили очень большое количество систем, которые позволили свести к минимуму реализацию планов злоумышленников. В «Тинькофф Банке» все отслеживается и фиксируется при помощи большого комплекса систем информационной безопасности. Для привилегированных пользователей, обладающих большими правами доступа, есть система контроля над администраторами. Кроме того, в текущем году была усилена DLP‑система.

А у вас были случаи утечки информации?

С. П.: Нет, были лишь попытки ее украсть. Если это проис‑ходит неумышленно, все отслеживается автоматически. С умышленной кражей информации дело обстоит сложнее — предпринимаются попытки обойти систему. Но на этот случай мы создали программу Security Alarm, с помощью которой отслеживаем неправомерные действия сотрудников и разбираем каждый кейс. Таких случаев у нас было два, и оба виновных сейчас под следствием, ожидают суда. Я бы охарактеризовал это даже не как утечки, а как попытки использования ресурсов банка и слабых мест систем, к которым тот или иной сотрудник имел доступ, для соб‑ственных целей, в том числе для личного обогащения.

Речь идет о базах данных?

С. П.: Нет, о попытках подмены сумм на платежных шлюзах и неудачных попытках вывода некоторых денежных сумм.

Расскажите, пожалуйста, подробнее: как вы обнаружили инциденты, как разбирались в ситу-ации, как передавали дело в суд?

С. П.: Мы обнаружили эти инциденты в рамках постоян‑ного ежедневного мониторинга. Увидели, что в системах произошли изменения: были перемещены файлы, про‑ставлены галочки, которых не было ранее и т. д. Такие изменения свидетельствуют о вероятном наличии инцидента. Выявив их, мы ищем пользователя, осуще‑ствившего несанкционированные действия. Он может быть реальным сотрудником либо, если злоумышлен‑ники решили все сделать по‑умному, «дублированием» пользователя системы. Мы проводим более глубокое расследование и обязательно выходим на конкретного человека.



Потом идет поиск мотивов преступления (допустим, выясняется, что у человека возникли финансовые сложности, есть незакрытые кредиты и т. п.), а одно‑временно с этим изучаются лог‑файлы работы пользо‑вателя в системе. SIEM‑система позволяет «поднять» нужные лог‑файлы за минимальное время и выявить злоумышленника. Мы узнаем, где он вошел в систему, что в ней делал, что изменял. Обязательно следует установить сумму ущерба, ведь любое злонамерен‑ное действие, связанное с денежными средствами, означает ущерб для банка — в правоохранительных органах он выступает в качестве потерпевшей стороны.

За этим следует стандартная процедура оформления и передачи доказательной базы в правоохранитель‑ные органы с последующим написанием заявления по инциденту. Если сотрудник еще работает в банке, все совсем просто: ограничивается его доступ и уста‑

навливаются дополнительные средства мониторинга. Если же сотрудник успел уволиться, то найти его не составит проблем для правоохранительных органов.

Вы сразу передаете доказательства, свидетель-ствующие о попытках кражи, в правоохранитель-ные органы или сначала пытаетесь решить вопрос с глазу на глаз?

С. П.: Сразу бежать в полицию — глупо. Нужно сначала поговорить с человеком, разобраться в ситуации и объяснить ему, что пока он идет на сотрудничество, мы можем все решить между собой. Но если с его стороны возникает недопонимание, мы передаем дело в правоохранительные органы, и дальше преступник остается один на один с ними, а банк — уже в стороне.

Что является самым важным при расследовании инцидентов?

С. П.: Самое важное — с помощью технических средств (использования лог‑файлов, анализа деятельности в систе‑мах) получить предварительные свидетельства противо‑правных действий сотрудника. Кроме того, нужно объяснить злоумышленнику, чем чреваты его действия. Собственно, на этом наши полномочия и заканчиваются.

Скажите, пожалуйста, вам как специалисту по бан-ковской безопасности чего не хватает в рабочем процессе? Может быть, каких-то законодательно закрепленных полномочий или средств, знаний, диалога с руководством?

С. П.: Я — счастливый человек, потому что занимаюсь любимым делом. У меня — профильное образование, и еще в институте я понял, что хочу работать в банке и заниматься безопасно‑стью. И мне всего хватает, в том числе интересных кейсов. В «Тинькофф Банке» прекрасный председатель правления, который понимает все технические особенности работы сотрудника службы безопасности.

А вот касается пробелов в законодательстве… Я считаю, что Уголовный кодекс РФ нуждается в модернизации. Необходимы дополнения в виде статей, вменяющих ответ‑ственность за DDoS‑атаки, хакерство и т. п. Необходимо вносить в УК изменения, соответствующие технической революции, которая идет уже лет 15. Необходимо обучать следователей, судей… А пока мы в этом плане продолжаем ездить на телеге по высокоскоростной трассе.

текст подготовила наталья Мутель

Мнение Дмитрия Волкова

Руководителя отдела расследований инцидентов информаци‑онной безопасности Group‑IB

Во время атаки служба безопас‑ности банка отработала быстро и четко. Ее сотрудники оперативно связались с нами для проведения работ по фиксации доказательной базы и сбору следов, необходимых для идентификации атакующего.

Работать по горячим следам всегда проще.

Если банк имеет четкую политику и убежден, что злоумышленник, атакующий сам банк или его клиентов, должен понести наказание, то не воз‑никает проблем с согласованием действий, долгих обсуждений целесообразности написания заявления и прочих формальных процедур, которыми грешат крупные компании. В данном случае все собран‑ные доказательства были переданы в МВД. Была быстро проведена оперативная работа, которая позволила зафиксировать противоправную деятель‑ность атакующего.

Благодаря такой подготовке хакер при задержании сразу дал признательные показания — не было смысла отрицать очевидное. По решению суда за многомиллионные убытки его приговорили к нескольким годам условного срока. Очень редко удается пройти всю процедуру за такой короткий промежуток времени, но постепенно ситуация меняется в лучшую сторону.



ОлеСя ШелеСтОвАгенеральный директор компании RUSIEM

Помните, как раньше можно было на обычном радиоприемнике про‑слушивать частоты милиции, такси и скорой помощи? А что стало потом? Сигнал начали шифровать, чтобы посторонние не могли использовать полученную информацию в собствен‑ных целях. По аналогичной траектории развивалась и беспроводная связь. Сначала был WEP, и в эфире вообще ничего не шифровалось, затем WPA, потом — WPS, оказавшийся сплошной уязвимостью, потом WPA2. Для того чтобы оградить пользователей от пла‑чевных ошибок, вендоры даже убрали некоторые небезопасные протоколы и методы шифрования. Но не все.

Мобильный пользователь

Мы подключаемся к открытым хот‑спотам в кафе, на работе, а порой и дома, если на точке доступа скорость выше. Чем это нам грозит? Давайте разберемся.

Во‑первых, не весь трафик шиф‑руется. Часть SSL‑трафика можно перехватить, воспользовавшись

программой SSLstrip или имеющи‑мися уязвимостями. Тогда окажутся общедоступными ваши персональные данные, информация о посещаемых вами сайтах и поисковых запро‑сах. Кому понравится появление публикации с вашего аккаунта через перехваченные cookie записей на странице или «вашей» мольбы к друзьям о пополнении некоего счета! А если злоумышленник использует DNS‑spoofing и фишинговый сайт, вы можете понести финансовые потери.

Во‑вторых, данные подключения к точке доступа сохраняются. Ваше устройство (мобильный телефон, ноутбук) сохраняет bsid (MAC‑адрес точки) и ssid (имя точки) в качестве идентификационных данных точки доступа. При активизированном WiFi ваше устройство ищет точки, к которым вы подключались ранее, и если таковая окажется в зоне дося‑гаемости, устройство автоматически к ней подсоединится.

И это не обязательно должна быть легитимная точка. Вы же можете сменить MAC‑адрес адаптера — например, с помощью команды

MAC Changer в nix‑системе? Ну а поднять точку доступа после смены MAC‑адреса с именем Tanuki WiFi Free? Вот вы и злоумышленник, так как при совпадении bsid и ssid с реально существующими к вашей фальшивой точке автоматически под‑ключатся устройства, которые ранее подключались к легальной.

При поиске устройство посылает ssid, а через несколько пакетов — и bsid. Далее злоумышленник может вставлять java‑аплеты и банеры в веб‑трафик клиента, склеивать скачиваемые исполняемые файлы с вредонос‑ным ПО, перенаправлять трафик на фишинговую страницу, снижать уровень защиты используемого шиф‑рования, «слушать» трафик на предмет выявления паролей, использовать уязвимость подключенного к сети хоста и т. п. И не важно, пользуетесь ли вы сейчас устройством или оно лежит у вас в кармане, а вы едете в метро, — приложения на телефоне активны, запрашивают страницы и соединяются с почтовыми серверами.

Угрозы не исключены и при выключен‑ном WiFi. На мобильных устройствах

Чем страшен WiFiМы быстро привыкаем к удобству и мобильности. Приятно сэкономить на мобильном трафике за счет доступа к хот‑споту или присесть на мягкий пуфик в маленьком кафе, дабы сменить обстановку и сосредоточиться на задаче! При этом абсолютно все равно, где мы находимся и какая информация передается в эфир. WiFi словно радиостанция, которую могут слушать все, находящиеся в зоне досягаемости радиосигнала.



есть функция их автоматического включения в зоне доступности для анонимного опроса WiFi в целях улучшения геолокации. Вы до сих пор считаете, что «это работает как надо и не содержит уязвимостей»?

И еще: активных пользователей можно отслеживать. В Интернете вы легко найдете базы с ssid / bsid, что позволяет привязать точки к карте и установить, где бываете вы, ваши друзья и коллеги, где находится ваш дом или офис. Достаточно определить, какие точки доступа запрашивает устройство.

Корпоративный пользователь и домашняя точка доступа

Я принципиально не стану пересе‑каться с предыдущим кейсом. Кор‑поративную точку доступа я рассма‑триваю исключительно как открытую (или приоткрытую) дверь.

К сожалению, не все подразделения ИБ могут корректно настроить точку доступа, а со временем уровень ее защиты вообще сводится на нет из‑за удовлетворения множества заявок пользователей на повышение удобства их работы. В результате из недоверенной сети открывается доступ к внутренним корпоративным ресурсам или даже корпоративные

сервисы «пробрасываются» через WiFi.

Внутренние сервисы, к которым подключается корпоративный поль‑зователь, как правило, беззащитны и уязвимы — в отличие от публично доступных из Интернета. Заметьте, )на подавляющем большинстве

точек доступа pre‑shared key «забит» в открытом виде и доступен для про‑смотра. И подключиться к корпо‑ративной сети намного проще, нежели найти способ подключиться к активной рабочей розетке RJ45 и не быть скрученным службой безопасности.

Что же касается домашней точки доступа… О, сколько нам открытий чудных!.. Здесь — и NAS с при‑ватными фотографиями, и доступ к видеонаблюдению с паролями по умолчанию, и не оснащенные «заплатками» уязвимые компьютеры с открытыми для всех сетевыми ресурсами C$ / admin$… Кроме того, это — дверь для анонимных действий злоумышленника в Интернете.

Общий pre-shared key

Слышали заявления типа «в нашем кафе используется 20‑символьный сложный пароль и шифрование WPA2»? Отлично! Тогда мне оста‑ется лишь запустить airmon‑ng и, к примеру, wireshark, введя в поле этот 20‑символьный pre‑shared key, а затем прослушивать эфир так же, как в случае шифрования WEP, словно на радиоприемнике.

Заметьте, в данном случае не нужно предпринимать каких‑либо активных сложных действий — достаточно пассивного прослушивания эфира.

И даже не очень важно, использу‑ется ли WPA или WPA2. Да, возможно, 20‑символьный пароль понадобится долго взламывать, но на помощь злоумышленнику приходят такие способы, как принудительная деаутентификация подключенных устройств и перехват хендшейка (пакетов с зашифрованным паро‑

лем, которыми обмениваются точка доступа и клиент при установке соединения). И чем больше клиентов подключено, тем проще получить pre‑shared key.

Как не стать легкой добычей

Отметим: хотя на рынке и пред‑лагаются программно‑аппаратные средства защиты, но подавляющее большинство из них, к сожалению, малоэффективны. Конечно, вен‑доры не стоят на месте, и в ОС мобильных устройств некото‑рых из них уже прису тствует связка трех идентификаторов: ssid+bsid+шифрование. Однако противостояние со злоумышленни‑ками продолжается, и появляются все новые способы обхода защиты и взлома. Как усложнить задачи злоумышленника и не стать его легкой добычей? Нужно выполнять несколько непреложных правил:

• отключать автоматическое подклю‑чение к точкам доступа;

• не использовать WPS;• в корпоративных сетях пользоваться

PEAP MS‑CHAPv2;• удалять подключения к открытым

и мало используемым точкам доступа;• не пользоваться открытыми точками

доступа (open, wep);• не использовать включение WiFi

в привязке к геолокации;

• не разрешать мобильным устройствам отправлять информацию о WiFi‑точках и подключениях;

• чаще менять pre‑shared key на точ‑ках доступа;

• задавать как можно более сложные pre‑shared на домашних хот‑спотах;

• периодически обновлять ОС на мобиль‑ных устройствах.

К сожалению, не все подразделения ИБ могут корректно настроить точку доступа, а со временем уровень ее защиты вообще сводится на нет из‑за удовлетворения множества заявок пользователей на повышение удобства их работы.



ОлеСя БугАевАРуководитель направления по работе с заказчиками и партнерами в SMB-сегменте компании InfoWatch

Конечные цели крупного и мелкого бизнеса оди‑наковы — получение максимальной прибыли. Вот только возможности, средства и методы достижения целей могут быть разными, а сам бизнес — без‑опасным либо рискованным. Но за безопасность приходится платить, а накладные расходы уменьшают прибыль. Естественно, малый бизнес не всегда может себе позволить такие статьи затрат, поэтому иначе, чем крупный, реагирует на необходимость дополнительных вложений.

В крупном бизнесе — свои правила игры. Компа‑нию может интересовать не столько аудит инфор‑мационной безопасности, сколько подтверждение соответствия определенному набору требований акционеров или регуляторов. Например, если компа‑ния собирается выходить на IPO, ей нужно показать, что с точки зрения ИБ она полностью соответствует всем требованиям аудита и готова к первичному размещению на рынке ценных бумаг.

Как‑то раз в доверительной беседе представитель одной из телекоммуникационных компаний посето‑вал, что его удивляет единообразие подхода крупных консалтинговых фирм к проведению аудита. Этот

подход не меняется в зависимости от того, с орга‑низацией какого типа они работают (например, с телеком‑оператором, пищекомбинатом или горно‑обогатительным предприятием), а их методики аудита не специфичны и не учитывают особенностей того или иного бизнеса. Более правильный подход к обеспечению информационной безопасности пред‑полагает, что вначале нужно понять бизнес‑логику работы компании‑клиента, изучить ее бизнес‑про‑цессы, выделить информацию, которая в них цир‑

кулирует, понять, какие из этих сведений являются логическими блоками или единицами, и решить, какие блоки следует защищать.

Малые радости

Достаточно зайти на сайт консалтинговой компании, чтобы ознакомиться с набором требований к прохож‑дению процедуры получения сертификата, скажем, на соответствие ISO 9000. Но малому и среднему бизнесу не нужны формальные процедуры. На этом этапе развития бизнеса есть возможность работать, не придерживаясь стандартов и требований внешнего

Большие особенности малыхЭто лишь в теории отличия малого бизнеса от крупного состоят исключительно в численности персонала и оборотах, а на деле особенностей — гораздо больше, и в каждой «плоскости» они свои. Не стала исключением и специфика информационной безопасности.

Как‑то раз в доверительной беседе представитель одной из телекоммуникационных компаний посетовал, что его удивляет единообразие подхода крупных консалтинго‑вых фирм к проведению аудита.



потребителя, инвестора, аудитора и пр. Небольшие компании могут себе позволить следовать лишь логике своего развития в текущий момент.

Структура компаний малого и среднего бизнеса отличается динамичностью. Излишняя формализа‑

ция, введение завышенных требований стандартов, не отвечающих нуждам предприятия, не только не принесут ему пользы, но и лишат такого преиму‑щества, как возможность быстро перестраиваться в соответствии с нуждами изменяющегося рынка. Компании достаточно ограничиться введением корпоративных регламентов, уровень и количество которых определяет она сама. Это позволит ей

играть по своим правилам, но не допускать анархии и бесконтрольности.

Главное, чтобы регламенты соответствовали уровню развития данного предприятия, а не были бездумно переписаны у других. В первую очередь, нужно

понимать, что именно происходит в компании и что можно сделать за разумные деньги. А вне‑дрение чужих практик может оказаться достаточно дорогостоящим мероприятием, которое не под силу малому предприятию.

Немаловажно для малого бизнеса и выстроить взаимоотношения с партнерами так, чтобы всю

Диалог равных

Когда взаимодействуют крупный интегратор и крупный заказчик, в случае конфликтов они могут вступать в разбирательства, кто и в чем виноват. Когда крупный заказчик работает с мелким интегратором, то в области обеспечения информацион‑ной безопасности он вынужден допускать

его до своих секретов. При этом заказчик‑то сумеет себя защитить, а вот как обезопаситься от давления малень‑кому партнеру?

Малый бизнес в роли заказчика рассуждает с точностью до наоборот. Если крупный интегратор предлагает стан‑дартный пакет услуг, то его отношение к малым клиентам будет формальным. Это как с МГТС: отключат телефон, якобы, за неуплату, а потом придется ходить и доказывать свою правоту.

Владельцу бизнеса, обеспокоенному его сохранностью, непростительно пренебрегать и еще одним аспектом слож‑ностей партнерских отношений. Построение информаци‑онной системы связано со значительными внутренними усилиями — по разработке и согласованию технического задания, инсталляции решения, его настройке, обучению персонала и сопровождению. А следовательно, чем круп‑

нее заказчик и меньше разработчик, тем больше шансов у малого быть целиком поглощенным крупным. При этом специфика информационной безопасности только усугубляет проблему, так как степень контроля над исполнителем должна быть еще выше и, соответственно, мотивов к «охоте за головами для Head Hunter» появляется еще больше (ведь работа собственных сотрудников гораздо прозрачнее, чем деятельность внешних специалистов).

Для того чтобы бизнес крупного интегратора был прибыль‑ным, штат его специалистов должен постоянно отрабаты‑вать поступающие заказы. При этом проекты, которые требуют серьезного творческого подхода, как правило, ему неинтересны, поскольку требуют длительного поиска решений и не приносят значительной прибыли.

Все это означает: дабы партнерский диалог состоялся, услуги должны предлагать и потреблять равные по «весу» компании. Перечисленные проблемы свидетельствуют о том, что на рынке складываются предпосылки для инте‑граторского бизнеса в новом формате. При наличии спроса со стороны малого и среднего бизнеса решения в области ИБ непременно найдутся, и было бы хорошо, если бы они всесторонне учитывали специфику этого бизнес‑сегмента.

Максим Степченков, исполнительный директор «Айти таск»

В первую очередь, нужно понимать, что именно происходит в компании и что можно сделать за разумные деньги. А внедрение чужих практик может оказаться доста‑точно дорогостоящим мероприятием, которое не под силу малому предприятию.



работу по обеспечению информационной безопас‑ности можно было разбить на логические этапы примерно таким образом: пришли, посмотрели, поговорили, за это заплатили. Дальше нужно думать и принимать решение о том, стоит ли продолжать начатую деятельность и, соответственно, платить, а также когда необходимо ее продолжить.

Этапов должно быть четыре‑пять: понимание, описание, формирование отчета, проектирование и внедрение выбранных решений. В этом случае, во‑первых, каждый законченный этап позволяет менять консультантов, если они не устраивают заказчика. Во‑вторых, на каждом этапе создается логически завершенная картина. В‑третьих, ком‑

Свободный защитник

В области связи немало операторских компаний, и они сильно различаются по размерам. Если у какого‑либо мел‑кого оператора украдут базу данных абонентов, это не окажет на него суще‑ственного влияния — не «прозвучит» на всю страну, да и мало затронет его имидж в регионе. Но если аналогичная

участь постигнет клиентскую базу крупной компании, акции которой котируются на бирже, тут же начнутся волнения. С другой стороны, если ценность малого бизнеса составляют две‑три ключевые компетенции, то не исключено, что утечка лишь одной из них поставит крест на стартапе. А вот крупный игрок может даже не заметить утечки одной из ключевых компетенций. Что и говорить: у разных по размеру предприятий — различные риски.

В малых и средних компаниях решения могут при‑ниматься достаточно быстро, поскольку есть контакт со всеми сотрудниками. А когда компания растет, приходится формализовать некоторые процедуры на том уровне, который определяют собственники и акционеры. В крупной компании процедуры строго регламентированы и формализованы, а сотрудники вынуждены их соблюдать и работать с той комплекс‑ной системой, которую решило внедрить руководство.

В малых и средних компаниях комфорту сотрудников уделяется больше внимания. Руководство не просто ближе к ним, но и отдает себе отчет в том, что сам биз‑нес зависит от комфорта сотрудников и того, насколько правильно они выполняют свои обязанности. Поэтому внедрение в малой или средней компании системы, которая далеко не для всех удобна, в определенном смысле ставит бизнес под удар. Если стоит задача обеспечения комфортных условий для сотрудников, то и система информационной безопасности должна быть комфортной.

Сейчас на отечественном рынке принято предлагать комплексные интегрированные системы безопас‑

ности «под ключ», но такое решение вовсе не озна‑чает учета специфики малого и среднего заказчика. Кроме того, типовое решение, скорее всего, знакомо и тем, от кого оно должно обезопасить информацию. Задачу можно решить иначе, сконцентрировавшись на продуктах разных поставщиков, которые обычно не предлагаются комплексно.

Для удовлетворения запросов малого и среднего бизнеса нужно проникнуться логикой заказчика, экономящего свои деньги. Система проектируется, а затем выстраивается из отдельных функциональных блоков, как из кирпичиков, которые берутся у разных поставщиков. Но для этого нужно быть не просто системным интегратором, собирающим системы из оборудования того вендора, с которым у него заключено партнерское соглашение (интегратор рассчиты‑вает на скидки и вынужден выполнять партнерский план по закупкам). Только свобода от партнерских договоров с вендорами позволяет гибко работать со всеми про‑дуктами, представленными на рынке, и предоставлять заказчикам оптимальные решения, которые подходят именно для их задач.

Блочная структура решения по информационной безопасности дает возможность компании не только эффективно управлять системой и по мере необходимо‑сти вносить в нее изменения, но и поэтапно внедрять такую систему. С учетом ее стоимости это может стать решающим фактором при выборе малым предпри‑ятием поставщика. Использование продуктов разных вендоров тоже во многом оправданно, поскольку специализированные решения часто выполняют свои функции эффективнее, чем части единой системы.

Правда, использование индивидуального (не универ‑сального) решения заметно увеличивает стоимость проекта, а малый бизнес всегда старается сэкономить. К тому же поддержка мультивендорных архитектур лишь в последнее время получила признание как обеспечи‑вающая непрерывность и надежность бизнеса — пока еще не малого и среднего.

Александр Баскаков, руководитель группы ИБ компании «Комус» (средний бизнес)



пания получает возможность поэтапно оценивать и планировать свои расходы. Другими словами, малый бизнес может и должен экономить деньги, формировать объективную картину своей инфор‑мационной безопасности и внедрять проверенные решения, а не быть пионером отрасли — со всеми вытекающими отсюда последствиями.

А судьи кто?

Как правило, инициатива проведения аудита в малых и средних компаниях исходит от управ‑ляющего или владельца бизнеса, то есть от того, кто понимает и оценивает ИБ‑риски. По оценкам экспертов, примерно половина из тех, кто оза‑

дачиваются обеспечением информационной безопасности, уже столкнулись с какими‑то непри‑ятностями. Например, такими, как утечка своей клиентской базы данных. Или, например, компания построила корпоративную локальную сеть, сэконо‑мив на защите сервера, и спустя какое‑то время машина оказалась зомбированной вредоносными программами. Через нее пошел спам, который породил огромный трафик, вследствие чего при‑шлось оплачивать кругленькие счета.

Еще одна категория представителей малого и среднего бизнес а — это те , к то осведом‑лены о неприятностях, уже случавшихся с дру‑гими компаниями. Такие представители СМБ решают себя обезопасить заранее. Например, у кого‑то из знакомых в результате проверки была изъята с компьютера финансовая документация фирмы. Следует вывод: защититься — дешевле, чем улаживать последствия отсутствия защиты.

Но т у т‑то и возникают затруднения с оценкой рисков. Существует множество методик расчета рисков компаний, и часть из них применима к рискам, связанным с ИБ‑нарушениями: это оценка информационных ресурсов, выстраивание таблицы рисков, а затем на их основе — оптими‑зация рисков, учет остаточного риска и пр. Про‑блема состоит в том, что эти западные методики действуют исключительно в условиях стабильной

экономики и выполнения законов — лишь тогда можно иметь хорошую статистическую базу и строить достаточно долговременные прогнозы. Такие методики основаны на 30—40‑летнем опыте использования ИТ в бизнесе и, соответственно, на анализе статистики за эти годы.

Как в России, так и на всем пространстве СНГ условия, по объективным причинам, совсем другие. Тут нет ни рыночной стабильности, ни стабиль‑ности политической ситуации (т. е. стабильности внешней среды). Следовательно, в таких усло‑виях не может идти речь о стабильности бизнеса на протяжении относительно долгого времени, хотя бы 10—15 лет. А без этого методики получа‑ются формальными. Можно подставить в формулы

какие‑то значения, но поскольку за ними не стоит большая репрезентативная выборка, методика не обязательно сработает. Итак, оценка рисков для малого и среднего бизнеса — тема крайне важная, непростая и, в общем‑то, не имеющая базы в виде подтвержденной практики.

Наверно, применительно к малому и среднему бизнесу было бы правильнее говорить не о рас‑чете, а о «предсказании» рисков. Компания должна индивидуально рассмотреть возможные риски, оценить их с учетом специфики своего бизнеса и ИТ‑инфраструкт уры, соотнести зна‑чимость рисков с целями бизнеса, а уж потом, исходя из результатов этого персонифицирован‑ного анализа, принимать решения о построении системы информационной безопасности, ее структуре и уровнях защиты.

Поэтому мы и придерживаемся подхода, при кото‑ром заказчик сам выбирает, что ему необходимо защищать и контролировать. Мы предлагаем сектору СМБ несколько решений — как более простые с самой необходимой функционально‑стью (InfoWatch EndPoint Security) на уровне к о н т р о л я н а д п е р и м е т р о м к о м п а н и и , т а к и более комплексные (InfoWatch Traffic Monitor Standard), позволяющие проводить контентный анализ трафика и надежно защищать данные компании от у течек.

Проблема состоит в том, что западные методики действуют исключительно в усло‑виях стабильной экономики и выполнения законов — лишь тогда можно иметь хоро‑шую статистическую базу и строить достаточно долговременные прогнозы.


Киберкриминалистика

АндРей БеШКОвРуководитель программы безопасности Microsoft в Центральной и восточной европе

Странные события

Эта история произошла в инжиниринговой компании. Вдруг на рабочем компьютере одного из сотрудников стали происходить странные события, выражавшиеся в сканировании корпоративной сети. Такие действия были скрыты от пользователя, но вызвали подозрения у службы безопасности, у которой cработали IDS / IPS‑комплексы. На первый взгляд, в сканировании сети не было ничего предосудительного, так как запросы оказались стандартными. Но их было слишком много, и они были нацелены на выяснение того, информация о каких пользователях хранится в AD, кто является локальным администратором и пр.

С компьютера пользователя сняли полный «клон» жест‑кого диска, который затем прогнали в тестовом режиме

в изолированной среде обработки информации («песоч‑нице») для выявления признаков вредоносного ПО. Любая активность в ОС непременно на какое‑то время что‑нибудь меняет, но на машине пользователя ничего подозрительного не обнаружилось: следов компрометации нет, атакующих инструментов нет… Казалось бы, тупик.

Однако этот компьютер работал под управлением ОС Windows 7, а начиная именно с этой версии

в операционной системе реализуется сервис Volume Shadow Copy, который обеспечивает создание копий файлов, когда‑либо использовавшихся в системе (своего рода внутренний бэкап). Откатив файлы назад, служба ИБ обнаружила сохранившиеся записи о запуске Java и связанных с ним процессов. По сути, рядовое событие, но удивляло то, что в результате Java‑действий создавался файл update.exe, кото‑рый запускал большое количество задач с одним и тем же именем. Кроме того, файла update.exe не было в файловой системе.

При откате к еще более ранним версиям событий удалось найти ссылку на существование такого файла. Компонент Windows Prefetch подгружает файлы в оперативную память раньше, чем их запускают. Например, если пользователь постоянно запускает

Word, то к моменту загрузки ОС исполняемые файлы уже готовы к исполнению. Это своего рода подогрев кэш‑памяти. В кэше Prefetch файловой системы обнаружились куски загружавшихся файлов. Prefetch добавляет к файлам (в том числе update.exe) хеши с параметрами вызова приложений, и один из параметров указывал на директорию в мусорной корзине, из которой запускалось что‑то еще. Обычно пользователь ничего из корзины не запускает,

Миф об идеальных киберпреступленияхЭксперты по расследованию киберпреступлений все чаще сетуют на то, что в их практике встречается много «идеальных» преступлений, при совершении которых злоумышленники не оставляют следов своих действий. На деле речь, скорее, идет о заметно выросшем профессиональном уровне преступного сообщества. А идеальных преступлений не бывает: цифровые следы остаются всегда!

Любая активность в ОС непременно на какое‑то время что‑нибудь меняет, но на машине пользователя ничего подозрительного не обнаружилось: следов компрометации нет, атакующих инструментов нет… Казалось бы, тупик.



и обнаруженные действия напоминали сценарий исполнения зловредного кода.

Предметный поиск в старых копиях показал, что в кор‑зине был bat‑файл, но сохранился он лишь частично. В данном случае на руку экспертам сыграло то,

что на компьютере пользователя применялся обычный жесткий диск, а не SSD (solid‑state drive). При удалении файла SSD сразу стирает соответствующие данные, а на жестком диске это происходит не так быстро: секторы помечаются как свободные, но данные в них остаются. Содержание bat‑файла позволило окончательно понять, что он запускал тот самый файл update.exe, перекладывал его в директорию Java и там что‑то происходило.

Сценарий работы «зловреда»

Выяснилось, что в файл update.exe передавались опре‑деленные параметры командной строки и что на деле это был вовсе не файл обновлений update. С его помощью создавались архивные файлы типа rar, т. е.

это был переименованный WinRar. После запуска Java запускался некий сценарий, который зачищался сразу после исполнения. Сценарий обеспечивал поиск по жесткому диску по определенным словам, таким как «R&D» (research and development), «маркетинг», «продажи», «клиенты» и пр. Все файлы, найденные по маскам, собирались в архивы с соответствующими названиями. При этом маски файлов «говорили», что файлы с расширениями mpg и avi не надо включать

Сканирование сети позволяет создать карту сети, определить взаимосвязи между системами, пользователей и их права и пр. Однако с точки зрения исполнения клас‑сического зловредного ПО произошло нечто странное.



в архив — иначе результирующие файлы будут очень большими. WinRar дробил архив на маленькие тома, не больше мегабайта. А затем наступала очередь папок пользователя «Мои документы».

Так было собрано все, что могло представлять какую‑то цен‑ность. Судя по командам, атакующие инструменты сканировали сеть, запаковывали информацию в.rar с паролем и складывали в определенную директорию. Сканирование сети позволяло создать карту сети, опре‑делить взаимосвязи между системами, пользователей и их права и пр. Однако с точки зрения исполнения клас‑сического зловредного ПО произошло нечто странное: это ПО не пыталось закрепиться в системе, в автозагрузку

себя не ставило, а потом все за собой подчистило, оста‑вив систему нетронутой. Можно было бы предположить, что эти действия совершил сам пользователь, — если бы не эксфильтрация собранных данных.

Запакованные архивы передавались наружу следующим способом. На локальном диске была создана копия страницы одного из сайтов поиска работы, которая открывалась в скрытом окне браузера и вызывала другую страницу. Таким образом, при отправке данных имитировался переход по ссылке при клике на баннер‑ную рекламу. Этого процесса пользователь не видел — сценарий передачи данных наружу не предполагал его участия. Вероятно, первоначальная компрометация системы произошла именно на сайте поиска работы, на котором пользователь подбирал сотрудника.

С затиранием следов тоже не все просто. Открытый bat‑файл, запускавший все команды, не мог сам себя удалить, поэтому в планировщик Windows было вписано задание: через 10 минут окончательно удалить bat‑файл, перезаписав его мусором, а затем удалить это задание из планировщика. Казалось бы, следов не должно было остаться, но благодаря VSS и Prefetch они остались!

В результате расследования сотрудники ИБ‑службы пришли к выводу, что пользователь ни в чем не виноват. А поскольку злоумышленники лишь выкачали данные, не попытавшись закрепиться в системе, то вполне

вероятно, что атака выполнялась автоматически и была подготовлена для вторжения в систему любого посетителя сайта по подбору персонала — по принципу «на кого бог пошлет». Но возможно и то, что эта атака стала лишь первой, разведывательной операцией.

Полномасштабное целевое наступление

Экспертное расследование раскрыло много загадок, но на вопрос о том, была ли атака целенаправленной, ответа не дало. Последовавший период затишья позволил расслабиться и считать инцидент случайным.

Однако через несколько недель атака возобновилась — уже как нацеленная. К сотрудникам начали поступать (с четким пониманием их должностных обязанностей, сфер деятельности и пр.) письма, якобы, от их началь‑ников, которые приходили не с корпоративных адре‑сов, а с публичных почтовых серверов. Приложенные к письмам «документы» представляли собой обсуждения каких‑либо рядовых вопросов, но были напичканы эксплойтами, атакующими распространенные версии корпоративного и офисного ПО. Другими словами, на сей раз за компанию взялись всерьез.

Однако служба ИБ успела подготовиться к новой атаке. Она провела инвентаризацию всего программного обеспечения и определила, какое ПО действительно необходимо, а какое можно удалить. Кроме того, были

установлены все обновления оставшегося ПО. С пользо‑вателями тоже провели работу: им объяснили, что нельзя самостоятельно устанавливать какое‑либо ПО, открывать письма из недоверенных источников и что письма из структурных департаментов и подразделений должны приходить только с корпоративных адресов. В результате множественные атаки цели не достигли, и «вредоносы» не смогли проникнуть в сеть компании.

Тем не менее в качестве эксперимента служба ИБ соз‑дала из виртуальных машин макет, имитирующий сеть предприятия с необновленным ПО. На макете запустили

В результате расследования сотрудники ИБ‑службы пришли к выводу, что пользова‑тель ни в чем не виноват. Вполне вероятно, что атака выполнялась автоматически и была подготовлена по принципу «на кого бог пошлет»..

В качестве эксперимента служба ИБ создала из виртуальных машин макет, имити‑рующий сеть предприятия с необновленным ПО. На макете запустили атакующий код, присланный злоумышленниками в «документах».



атакующий код, присланный злоумышленниками в «доку‑ментах». Как выяснилось, ни один из эксплойтов не был свежей версией, и большинство атакуемых уязвимостей были закрыты обновлениями продуктов еще несколько месяцев назад. Выходило, что злоумышленники делали ставку на массовое поражение, не проводили кастоми‑зацию и использовали стандартные инструменты. Миф о продвинутых преступниках, стоящих за целевыми атаками, так и остался мифом.

О целях, преследуемых злоумышленниками, можно было только догадываться. Скорее всего, во время первого случайного заражения компьютера они собрали сведения о компании и ценностях, которыми она рас‑полагает. Затем преступники их проанализировали для определения перспектив «монетизации» и приступили ко второй стадии атаки. В ее ходе вредоносный код, который удалось обезвредить службе ИБ в изолирован‑ной среде, пытался проникнуть в системы, хранящие маркетинговые данные, методы продвижения продукта, перспективные разработки и пр. Для большей достовер‑ности ИБ‑служба создала в изолированном виртуальном пространстве имитацию сети с виртуальными серверами

и случайной документацией. «Зловред» начал собирать в ней данные, паковать и пытаться отправлять тем же способом, который применялся во время первой атаки. Так было установлено, что в обоих случаях действовали, скорее всего, одни и те же злоумышленники. А в резуль‑тате всех тщательных приготовлений удалось выстоять в настоящей целевой атаке.

Работа над ошибками

Если бы атакующие более глубоко изучили работу Windows, то перед удалением файлов они остановили бы процесс резервного копирования Volume Shadow Copy, заполнили файлы цифровым мусором, удалили их, пере‑записали еще как‑нибудь, создали такие же и снова перезаписали. И только потом запустили процедуру уничтожения всех следов.

В свою очередь, служба ИБ недостаточно компетентно «вела» используемое в компании ПО. Ее сотрудники пренебрегали обновлением Java и ПО для открытия Adobe Flash и Adobe PDF, оставляя «дыры», через кото‑рые злоумышленники могли проникать в сеть. Специ‑алисты по ИБ полагали, что стороннее ПО обновляется

само по себе. К сожалению этого не происходило: старые версии Java для сохранения совместимости устанавливались «бок о бок». В результате в системах накопилось несколько версий Java, от которых впо‑следствии пришлось избавиться. Кроме того, мно‑гие базовые настройки протоколирования событий в системах не были активизированы.

С помощью механизмов AppLocker или SRP операционная система обеспечивает контроль над ПО на предмет его соответствия стандартам, установленным ИТ‑службой. Это позволяет быть уверенными в том, что пользователь запускает именно разрешенный софт, не скачанный с сомнительного ресурса. В организации не велся список разрешенного ПО, поэтому не был запрещен WinRar, хотя официальным архиватором считался WinZip. Не использовался и бесплатный продукт Microsoft EMET, защищающий приложения от атак на известные и новые уязвимости. EMET не только предотвратил бы срабатывание эксплойтов, но и сигнализировал бы о частых аварийных падениях атакуемых приложений. А это позволило бы службе ИБ отреагировать на атаку гораздо быстрее.

Другими словами, не был выполнен целый набор про‑стых процедур, которые могли если не предотвратить, то существенно затруднить целенаправленную атаку еще на ранней стадии. При таких настройках уже пер‑вая атака могла захлебнуться, и, вероятно, тогда злоу‑мышленники, не получив данных, не предприняли бы вторую атаку.

А эксперты, сетующие на рост профессионализма злоумышленников, правы лишь отчасти. Да, професси‑онализм киберпреступников и сложность используемых ими сценариев растут, но происходит это постепенно, и среди их приемов редко встречаются уникальные. Верить в идеальные преступления не стоит! Просто все инструменты, помогающие криминалистам собирать доказательства, работают по определенным алгоритмам, которые подчас хорошо известны и злоумышленникам. И ни один из этих инструментов не заменит компетен‑ций и глубокого понимания архитектуры исследуемых систем. Другими словами, за мифом об идеальных преступлениях скрывается лишь слабая экспертиза, а цифровые следы остаются всегда. Надо только уметь их вовремя найти и сохранить!

текст подготовил Олег Седов

Специалисты по ИБ полагали, что стороннее ПО обновляется само по себе. К сожа‑лению, этого не происходило: старые версии Java для сохранения совместимости устанавливались «бок о бок».



тРОэльС эРтИнгглава европейского центра по борьбе с киберпреступностью

Бороться с киберпреступностью в одиночку невозможно. Право‑охранительные органы и отдельно взятые страны уже не могут этого делать сами по себе. Мир, который мы знали как полицейский, изме‑нился и продолжает стремительно меняться — до неузнаваемости.

Сегодня в Сети прису тствуют порядка 4 млрд человек. В стра‑нах ЕС проживают более 500 млн человек, что означает свыше 8 млрд устройств, подключенных к Интернет у (78 % населения постоянно пребывают в Сети). Мы очень зависим от Интернета, и каждый день подвергаемся атакам извне. А вскоре их ста‑нет гораздо больше, причем не надо будет ничего включать, так как люди будут все время находиться в Интернете.

В ЕС идет работа по четырем основ‑ным направлениям:

• киберразведка;• киберпроникновения, изучение

атак на банковские организации;• онлайн‑мошенничество, из‑за кото‑

рого ЕС ежегодно теряет 1,7 млрд евро;

• эксплуатация детей, порнография и прочая мерзость.

Преступники обычно нацеливают свои преступные замыслы на те компании, области деятельности и регионы, в которых можно «найти» больше всего денег. Где деньги, там и преступники. Сегодня деньги сконцентрированы в Европе, США и на Ближнем Востоке, и именно эти регионы представляют инте‑рес для преступных сообществ. И если раньше для реализации своего замысла злоумышленник должен был находиться рядом с жертвой или местом преступле‑ния (например, для ограбления банка требовалось проникнуть в его помещение), то сейчас

в киберпространстве он может красть деньги, персональные иден‑тификационные данные или идеи, не сходя ни на сантиметр с того места, на котором находится. Это — уже другой злоумышленник, не тот, которого можно было поймать за руку на месте преступления.

Киберпреступники хитры, они предпринимают атаки не в странах их проживания, и государственные границы служат для них щитом от правосудия. Находясь с России, немного неловко говорить о том, что ЕС приходится постоянно сталкиваться с деятельностью русскоговорящих киберпреступников: примерно 87 % соответствующих инцидентов иници‑ированы россиянами или выходцами из России, в том числе представите‑лями организованной преступности. Они пишут вредоносные программы, совершают атаки на западные банки и простых граждан… Но вектор нападений может измениться: пре‑

Подходы ЕС к борьбе с киберпреступностьюОдним из ключевых спикеров BIS Summit 2014, который прошел в сентябре в Москве, был Троэльс Эртинг. Свою карьеру он начал в 1980 г. в полиции Дании. С 2009 г. Эртинг является заместителем руководителя Европола и главой Европейского центра по борьбе с киберпреступностью (European Cybercrime Center). Одна из задач, ради решения которых Эртинг посетил Москву, — налаживание контактов и взаимодействия с российскими правоохранительными органами при борьбе с кибепреступностью. Тезисно расскажем, о чем он говорил на BIS Summit 2014.



ступники из Евросоюза нацелятся на российские банки. А значит, необ‑ходимо сотрудничество: российские службы должны задерживать местных злоумышленников за преступления, совершаемые за рубежом, а запад‑ные — ловить европейских хакеров.

Эртинг выразил надежду на налажи‑вание связей с правоохранительными органами России. Он подчеркнул: в данной области есть ряд проблем и противоречий, в частности между правами человека и личными сво‑бодами граждан. И для решения этих проблем в рамках законов нужно совместно искать взаимоприемле‑мые подходы.

Кроме того, если приходится бороться с преступностью XXI века, нужно использовать для этого и оружие XXI века. Скорость совершения преступлений и скорость изменений должны учитываться правоохранитель‑ными органами. Сейчас для сбора доказательной базы полицейские активно используют смартфоны и мобильные компьютеры, но вскоре преступники перестанут оставлять улики «на месте» — они будут оста‑ваться в облаке.

В Сети заметна активность по подго‑товке террористических атак, и Европол постоянно ее отслеживает. Хотя сами атаки проводятся не каждый день, нельзя игнорировать возможные превентивные действия. Террористы используют Интернет для привлече‑ния сторонников, их мобилизации и кражи денег, за счет которых можно финансировать терроризм. Все это — звенья одной цепи, а потому профессиональные интересы Эртинга больше всего связаны с деятельно‑стью организованных преступных группировок в Интернете, угрожаю‑щей банкам и простым гражданам.

Сегодня для реализации киберпре‑ступления вовсе не обязательно быть экспертом в узкой компьютерной области — можно воспользоваться

услугой CaaS (Crime as a Service, «Криминал как услуга»). Вы заказы‑ваете нужную услугу, оплачиваете ее электронными деньгами, и — дело в шляпе! Порой для этого достаточно лишь иметь учетную запись с соци‑альной сети.

Для нынешних молодых людей мобиль‑ные девайсы — продолжение их рук. Но молодежь зачастую не имеет знаний о том, как вести себя в Интернете, чтобы не стать жертвой злоумыш‑ленников. В ЕС разработана специ‑

альная образовательная программа для молодых людей, в рамках которой они учатся не становиться жертвами кибергангстеров по неосторожности. Профилактика и защита — важнее всего, поскольку они позволяют минимизировать число реальных преступлений и, соответственно, расследований.

Итак, по мнению Троэльса Эртинга, вместе мы сможем сделать Интернет не только свободным и открытым, но и безопасным.

евРОПОл — расположенная в Гааге правоохранительная служба ЕС, чьей главной задачей является обеспечение безопасности в Европе. Численность личного состава Европола составляет около 800 чело‑век. Ежегодно проводится более 18 тыс. расследований на обще‑европейском уровне.

Европол оказывает содействие полицейским службам и правоохрани‑тельным органам 28 стран Евросоюза и других государств (например, Австралии, Канады, США и Норвегии) в рамках программ борьбы с пре‑ступностью и терроризмом. Традиционно главными направлениями преступной деятельности считаются терроризм, незаконная торговля наркотиками, отмывание денег, организованное мошенничество, изготовление и сбыт фальшивых денег, пособничество в нелегальной иммиграции. Однако сегодня мир сталкивается с новыми угрозами, такими как киберпреступления, торговля людьми и др. Все это — много‑миллиардный бизнес, легко адаптируемый под реалии современного мира, ему невозможно противостоять с помощью традиционных мер. А потому Европол постоянно ищет новые пути противодействия пре‑ступникам.



Олег СедОвглавный редактор журнала «!Безопасность деловой Информации»

Страх, ложь и... безопасность

На промышленных предприятиях уже долгие годы доми‑нирует тенденция явной недооценки методов управления информационной безопасностью, которые позволяют структурировать проблемы, отбирать и агрегировать показатели, оптимизировать и принимать решения. Зачастую об управлении ИБ даже не вспоминают, рассуждая об обеспечении безопасности предпри‑ятия вообще и игнорируя тот факт, что крайне сложно устранять проблемы крупных систем без решения задач управления ими (таких как построение моделей угроз и защиты, оценка и анализ рисков, профилей защиты, контроль над выполнением требований к безопасности и пр.).

Неудивительно, что руководители, отвечающие за безопас‑ность больших объектов и инфраструктур, сталкиваются с «проклятием масштабности». Уследить за огромным числом потенциально уязвимых мест и параметров, кото‑рые характеризуют их защищенность, без специальных методов и средств попросту невозможно. Естественно, такие руководители стараются делегировать подчиненным

часть своих ответственности и полномочий, но при этом утрачивают контроль над состоянием систем.

Как правило, на критически важных объектах выдвигаются достаточно жесткие требования к защите, но их выпол‑нение подразумевает серьезные расходы, значительные затраты времени и усилий, а потому такие требования далеко не всегда реализуются. Те же, кому поручено отвечать за безопасность того или иного участка, зача‑стую опасаются докладывать руководству о реальном положении дел, опасаясь обвинений в неспособности справляться со своими обязанностями. Нередко в орга‑низации царит атмосфера «святой» лжи: все знают, что важные требования ко многим уязвимым местам не выполняются, но постоянно рапортуют о полной без‑опасности. Побудительными причинами «святой» лжи являются и достаточно веские причины — понимание того, что компания может не выдержать выполнения всех требований и утратить свою конкурентоспособность. Глав‑ный порок этой ситуации состоит в том, что об истинном положении дел не осведомлены именно руководители, которые могли бы предоставить ресурсы, с чьей помо‑щью удалось бы разрешить многие проблемы защиты.

Несколько лет назад корпорация Symantec опубликовала результаты исследования, посвященного защищенности промышленных объектов критическі важной инфраструктуры в России. Полученные данные свидетельствуют: специалисты большинства российских промышленных предприятий и критически важных инфраструктур подозревают, что их объекты становятся жертвами целенаправленных кибератак, но чаще всего не могут подтвердить свое мнение. Драматизм ситуации заключается в том, что зачастую уровень ответственности специалистов, обеспечивающих безопасность какой‑либо крупной критически важной инфраструктуры, во много раз превышает их возможности контроля над защищенностью этой инфраструктуры.

Проклятие масштабности



Динамичная инерция

Решение следует искать в положительном опыте управления безопасностью информационных инфраструктур. В частно‑сти, разработанные и принятые к исполнению, в том числе в России, международные стандарты в области ИБ позволили многим предприятиям сформировать определенную культуру обеспечения кибербезопасности. Но когда речь заходит о крупных критически важных инфраструктурах (т. е. о таких сферах, как транспорт, дорожное хозяйство или энергетика), нередко приходится сталкиваться с полным комплектом пере‑численных проблем, которые к тому же порой усугубляются низким качеством нормативных требований.

С требованиями к безопасности не все просто. Практи‑чески все чрезвычайные происшествия на критически важных объектах становятся результатом невыполнения каких‑то требований, но причины их игнорирования зачастую неоднозначны. Количество нормативных актов, регламентирующих защиту, настолько велико, что о существовании многих из них исполнители зача‑стую не знают либо забывают. А главное, мы живем в динамичное время, когда нормативные акты быстро устаревают, но из‑за инертности управляющих структур

вовремя не пересматриваются. В результате выполнение зафиксированных в таких документах норм и правил становится невозможным, разорительным, а иногда и опасным. Все это подрывает доверие к самой системе требований к безопасности.

Данная проблема, как и известное выражение «жест‑кость законов компенсируется отсутствием контроля над их исполнением» актуальны далеко не только в России, но и в других (в том числе развитых) странах. Какой выход из ситуации можно предложить? Например, воспользоваться опытом Банка России:

• до каждого лица, которое отвечает за безопасность критически важных процессов, нужно доводить нормативные документы, отобранные из всего мно‑жества существующих, и выведенные из моделей угроз и защиты требования к безопасности (профили защиты), касающиеся именно его;

• следует периодически (в Банке России это происходит несколько раз в год) получать отчеты о выполнении норм и правил, дополняя данные процедуры инспек‑ционными проверками.



РуСлАн СтефАнОвРуководитель направления защиты АСу тП компании «элвИС-ПлЮС»

Действующие лица

В крупных организациях энергетической и нефте‑газовой отраслей давно действуют подразделения, обеспечивающие экономическую и информационную безопасность. Вопросами ИБ АСУ ТП в них занимаются отдельные сотрудники или целые отделы. Если пред‑приятие имеет филиальную структуру, то для решения задач ИБ выделяются сотрудники в каждом крупном филиале. В небольших компаниях поддержка ИБ является, как правило, обязанностью специалистов ИТ‑подразделений.

Обеспечение защиты КВО естественных государ‑ственных монополий — сложная задача, что связано со значительными масштабами компаний, нехваткой ресурсов и отсутствием единого понимания процесса защиты. Для выработки единого подхода к защите, концентрации ресурсов и сил реагирования необ‑ходимо организовывать корпоративные Центры кибербезопасности (такая работа, например, уже проводится в РЖД). Создание подобных центров — это

общемировая тенденция, имеющая для России перво‑степенное значение в свете подготовки нормативно‑правовых актов о защите критически важных объектов и создания государственной системы обнаружения, предупреждения и ликвидации последствий компью‑терных атак на информационные ресурсы РФ (Указ Президента № 31С от 15 января 2013 г.).

Очевидно, что для частных компаний главная цель — получение прибыли, поэтому менеджмент, принимая решение о внедрении чего‑либо, пре‑жде всего оценивает, будут ли эти инвестиции спо‑собствовать росту производства или сокращению издержек. Специалистов профильных подразделений обескураживает такое отношение бизнеса к инфор‑мационной безопасности, но, несмотря ни на что, ИБ‑решения все же внедряются, а значит, они помогают развитию бизнеса. Если частные компа‑нии своевременно решают проблемы информаци‑онной безопасности и повышают эффективность эксплуатации своих средств защиты информации (СЗИ), то возникают точки соприкосновения между

На одном из «круглых столов», состояв‑шихся в 2014 г., обсуждалось, с чего должна начинаться защита АСУ ТП критически важных объектов (КВО). Среди мнений участников дискуссии было и такое: она должна начинаться с подбора сотрудников, которые будут отвечать за решение соот‑ветствующих вопросов. Понятно, что на предприятии нужно создать структурную единицу (подразделение) или назначить ответственное лицо, разработать положе‑ние об этом подразделении и должностные инструкции. Но какие именно специалисты должны участвовать в ИБ‑проектах АСУ ТП КВО? И каковы особенности управления такими проектами в разных компаниях?

Особенности национальной безопасности



бизнесом и ИБ‑подразделениями — например, это внедрение системы централизованного управления СЗИ и снижение расходов на их администрирование.

В компаниях с государственным участием помимо основных процессов большую роль играют требова‑ния государства к информационной безопасности. На таких предприятиях отношение к вопросам ИБ — более зрелое, и оно обеспечивается как тех‑ническими, так и организационными мерами, в том числе организационно‑распорядительной документацией.

Подразделения ИБ имеют в этих компаниях больший вес и, как правило, активнее вовлекаются в про‑цессы обсуждения и согласования ИТ‑проектов. Здесь точкой соприкосновения может быть необходимость соблюдения требований к ИБ, прописанных в законо‑дательстве Российской Федерации, отраслевой нор‑мативной базе, стандартах и внутренних документах

компаний. В данном случае подразделения ИТ и АСУ ТП фокусируются на информатизации, автоматизации и безопасности технологических процессов предпри‑ятия, а лица, ответственные за обеспечение ИБ, — на защите информации.

Задача менеджмента любой (частной или с государствен‑ным участием) компании — поддерживать оптимальный баланс между целями информатизации, автоматизации технологических процессов и защиты информации, разделяя ответственность между подразделениями и обеспечивая контроль над политикой предприятия как в областях ИТ и АСУ ТП, так и в ИБ‑сфере. Специфика защиты АСУ ТП КВО привносит новые факторы в этот баланс.

Определяющую роль в формировании требований и принятии решений при реализации ИБ‑проектов АСУ ТП КВО играют подразделения АСУ ТП и их функцио‑нальные заказчики (диспетчерские службы, операторы, технологи производств), отвечающие за безопас‑



ность КВО. Они обладают большим опытом, знани‑ями и имеют высокий авторитет в данных областях, поэтому для достижения успеха важно мотивировать их к активному участию в проекте.

Сложность ИБ‑проектов АСУ ТП КВО возрастает в разы из‑за высокой стоимости ошибок и необходимости при‑нимать все возможные меры для их исключения. Это порождает дополнительные требования к менеджменту и увеличение затрат, связанных как с согласованием и утверждением проектных решений, так и с работами по их внедрению.

Практика показывает, что лишь очень немногие специалисты по информационной безопасности,

которым поручается ведение работ со стороны заказ‑чика по ИБ‑проектам АСУ ТП КВО, могут выполнять функции менеджеров или кураторов таких проектов, поскольку они не имеют достаточной квалификации в областях АСУ ТП и управления проектами. Большая часть работы приходится на системного интегратора, а значит, ему необходимы грамотные специалисты по ИТ, ИБ и АСУ ТП, разбирающиеся в специфике той отрасли промышленности, в которой используются АСУ ТП. Системным интеграторам требуются специ‑алисты, способные играть роль главных инженеров проектов, а также оценивать положительные и нега‑тивные аспекты проектных решений и внедрений как результаты учета интересов всех вовлеченных в проект подразделений заказчика.

Мнение Александра БольшеваВедущего исследователя и руководителя группы аудита АСУ ТП Digital Security

Адекватное отноше‑ние к отраслевым сложностям встреча‑ется довольно редко. Чаще аудиторам приходится сталки‑ваться примерно с таким отноше‑

нием к ИБ: «Если все изолировано, то зачем вообще заботиться об ИБ» или «Если кто‑то хочет что‑то сломать, ему проще повернуть вентиль или закоротить силовой кабель». Да‑да, это не шутки, а реальные ответы инженеров и интеграторов АСУ ТП на вполне аргументированные высказывания на конференциях и в СМИ по данному вопросу.

А на деле приступать к обеспечению ИБ необходимо еще на этапе плани‑рования системы, как и предлагает автор статьи. Да и вообще стоит отметить грамотное и последова‑тельное изложение ИБ‑проблем АСУ ТП в данном материале — он может послужить начальным руководством, отправной точкой для внедрения элементов ИБ в инфраструктуру АСУ ТП. Однако нужно обратить внимание еще на несколько моментов.

При проектировании и внедрении системы следует помнить о защите устройств на нижних уровнях инфраструктуры. Современные ПЛК (программируемые логические кон‑троллеры), трансмиттеры и шлюзы содержат мощные микропроцессоры или микроконтроллеры, могут под‑ключаться к проводным и беспро‑водным сетям, а иногда располагают встроенными Web‑серверами. Если полевое устройство работает только с низкоуровневыми промышлен‑ными протоколами, то нужно учесть, что многие из них были разработаны еще в прошлом веке и могут не под‑держивать ни аутентификацию, ни авторизацию, ни шифрование.

При проектировании инфраструктуры не стоит забывать о физической без‑опасности проводных линий связи, особенно тех, которые соединяют полевые устройства с системами среднего уровня (например, датчиками на нефте‑ и газопроводах). Но одного физического контроля недостаточно — необходимы превентивные меры на уровне фильтрации опасных данных, поступающих от полевых устройств, прежде чем они попадут на более высокие уровни. Есть немало

примеров того, как при помощи изменения или подделки нескольких переменных датчика температуры можно «провалиться» на самые верхние уровни инфраструктуры, вплоть до MES‑ и ERP‑систем.

Для компенсации рисков такого рода необходимо периодически проводить аудит безопасности инфраструктуры. Даже в прекрасно спроектированной инфраструктуре могут быть слабые места — из‑за наличия уязвимостей в оборудовании и ПО, огрехов с орга‑низацией инфраструктуры, да и про‑сто из‑за ошибок в эксплуатации. Специфика АСУ ТП заключается в том, что иногда нельзя обновить оборудование или ПО, но можно компенсировать эти проблемы при помощи фильтрующих систем, SIEM‑решений, «диодного» ПО.

При обеспечении безопасности объ‑ектов АСУ ТП необходимо помнить, что ИБ — это процесс. И именно с помо‑щью периодически повторяющейся цепочки «создание и / или модификация инфраструктуры — аудит — внедрение компенсационного контроля — повтор‑ный аудит» можно снизить уровни рисков до приемлемых.



Как избежать проблем

Один из проектов в области энергетики подразуме‑вал перенос технологических сервисов в отдельные защищенные межсетевыми экранами сегменты сети. При реализации проекта возникла проблема, поставив‑шая под угрозу срыва намеченные сроки. Оказалось, что для переноса серверов оперативно‑информа‑ционного комплекса (ОИК) и автоматизированной системы коммерческого учета электроэнергии (АСКУЭ) необходимы дополнительные работы. Их не удалось

предусмотреть заранее на основе опыта, накопленного в корпоративном сегменте при переносе файловых, почтовых, Веб‑ и других серверов.

Особенность взаимодействия серверов и клиентов ОИК с помощью мультикастового трафика обусловила необхо‑димость консультаций с внешними специалистами, обслу‑живающими данную систему, и моделирования решения в лабораторных условиях. В результате удалось определить обновленные настройки межсетевых экранов, серверов и продемонстрировать работоспособность системы.

Мнение Алексея ВолковаНачальника отдела информационной безопасности российского промышленного холдинга, эксперта BISA

О защите АСУ ТП в последнее время говорят очень много, особенно интегра‑торы. Почему — понятно: есть жела‑ние сделать из этой темы подобие «золо‑

того дождя» ПДн (персональных дан‑ных), приносившего всем участникам рынка неплохие дивиденды. Но, несмотря на все усилия, раскачать ее никак не удается из‑за инертности целевой аудитории. В чем причины безразличного отношения «безопас‑ников» к теме, гораздо более важной, чем набившие оскомину ПДн‑ы?

Во‑первых, в терминологии. О тер‑минологических различиях опре‑делений критически важного объ‑екта (КВО), критической системы информационной инфраструктуры (КСИИ), информационной системы (ИС) и автоматизированной системы (АС) написано немало, но единого понимания нет до сих пор. Прежде чем разрабатывать нормативную документацию «во исполнение пору‑чения президента» ФСТЭК (основному «локомотиву» со стороны государства темы защиты АСУ ТП) следовало бы навести порядок в действующих правовых актах и определениях законодательства. Увы, этого не про‑изошло, поэтому «безопаснику» крайне

тяжело повернуть дышло в сторону выделения бюджета на создание системы защиты.

Во‑вторых, каждая из аббревиатур привычной комбинации ИБ АСУ ТП КВО может использоваться отдельно или в сочетании с любой другой из этого набора. Данной особен‑ностью пользуются те, кто продают решения и услуги по созданию систем защиты, но в ней же они и увязают. Слабые компетенции руководства проектами у заказчика, длительные процессы согласования изменений, размытие зон ответ‑ственности — все это свойственно не только ИБ АСУ ТП, но и ИБ АСУ, и ИБ КВО, и ИБ в целом.

Следовательно, подход «назначьте ответственного, и мы все сделаем» не принесет результата, и примеры, которые приводит автор статьи, — хорошее тому подтверждение. Необходимо развивать компетенции «безопасников» в области управле‑ния проектами, а это тоже деньги.

В‑третьих, самое главное — неже‑лание «безопасника» заниматься обеспечением безопасности АСУ опасным ТП. В отличие от финан‑совых, банковских систем и систем управления предприятиями, на протяжении всего периода

существования АСУ ТП вопросы обеспечения их ИБ оставались за рамками проектирования, раз‑работки и обслуживания. Этому не учили в ВУЗах, ошибочно полагая, что к АСУ ТП применимы лекала классической ИБ. Потому‑то «без‑опасники» и стараются не сильно влезать в эту тему, ограничиваясь изоляцией систем и сетей АСУ ТП от систем общего назначения. Работает — и ладно, брать на себя дополнительную ответственность никто не хочет.

Единственный, кто может переломить ситуацию, — владелец АСУ опасным технологическим процессом, то есть тот, в чьих интересах эта система работает. Как и в случае с ПДн, владелец АСУ ТП обязан соблюдать принцип добросовестности. Он должен осознавать, что вред, нане‑сенный в результате чрезвычайного происшествия на опасном объекте, может оказаться несопоставимым с последствиями утечки любых ПДн.

К сожалению, владельцы таких АСУ ТП на конференции не ходят. А зна‑чит, проявлять добросовестность должен «безопасник», которому, в дополнение к ответственности и управлению проектами, необхо‑димо научиться продавать ИБ АСУ ТП на собственном предприятии.



Специфика АСКУЭ состояла в «своеобразной» настройке клиент‑серверного взаимодействия. При смене адресов серверов АСКУЭ понадобилось подготовить дистрибутивы клиентов с новыми IP‑адресами сер‑веров и переустановить их на всех рабочих местах. Все это позволило в очередной раз убедиться в том, насколько важна специфика реализации АСУ ТП, — вне зависимости от того, когда и кем эти системы были разработаны и внедрены.

Таких проблем можно было бы избежать, если бы еще на этапе разработки и согласования технического задания (ТЗ) со стороны заказчика были привлечены специалисты не только по ИБ и ИТ, но и по АСУ ТП. Справедлив и обратный вывод: еще при разработке и согласовании ТЗ на создание АСУ ТП необходимо привлекать к этой деятельности ИБ‑специалистов.

Сложности менеджмента ИБ‑проектов АСУ ТП КВО не заканчиваются на этапе создания ТЗ и проектиро‑вания решения. Важно не только разработать грамот‑ное ТЗ и создать проектное решение, но и успешно внедрить это решение. На данном этапе начинают играть существенную роль специфика организации

работ у заказчика, регламенты их согласования и проведения.

Как свидетельствует наш опыт, на разработку и согла‑сование плана работ для простой операции — смены IP‑адреса сервера и модификации нескольких сетевых маршрутов — может понадобиться до 2—3 недель. Например, в одной энергетической компании нам потребовалось понять организацию процессов согла‑сования (изучить маршрут согласования, перечни согласующих внутренних подразделений, ответ‑ственных лиц и внешних организаций). В некоторых случаях у заказчика имеется ответственная сторона (аутсорсинговая компания или собственный сотруд‑ник), выпускающая заявку и контролирующая ее про‑движение, а в других случаях эти функции выполняет системный интегратор.

В процессах согласования заявок на работы по нашим проектам порой участвовало до 10 ответственных лиц (представителей подразделений ИТ, ИБ, АСУ ТП, дис‑петчерской службы и высших руководителей) из трех‑четырех организаций. При этом заказчик еще и согла‑совывал заявки на прерывание сервисов со своими

Соответствие классов сертифицированных СЗИ и классов АСУТП КВО*

Классы сертифицирован‑ных СЗИ (по типам)

Взаимодей‑ствие с сетями международного информацион‑ного обмена

Классы защищенности АСУТП

1 класс 2 класс 3 класс

Классы средств вычисли‑тельной техники (СВТ) Неприменимо Не ниже 5 Не ниже 5 Не ниже 5

Классы систем обнаруже‑ния вторжений (СОВ) Неприменимо Не ниже 3 Не ниже 4 Не ниже 5

Классы средств антивирус‑ной защиты (САВ) Неприменимо Не ниже 3 Не ниже 4 Не ниже 5

Классы средств доверен‑ной загрузки (СДЗ) Неприменимо Не ниже 3 Не ниже 4 Не ниже 5

Классы средств контроля над съемными носителями информации (СКСНИ) Неприменимо Не ниже 3 Не ниже 4 Не ниже 5

Классы межсетевых экранов (МЭ) Да Не ниже 3 Не ниже 3

Не ниже 4Нет Не ниже 4 Не ниже 4

Уровни контроля над отсутствием неде‑кларированных возможностей (НДВ) Не ниже 4 Не ниже 4 Не требуется

* Таблица основана на приказе ФСТЭК № 31 от 14 марта 2014 г. «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на кри-тически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», который должен вступить в силу в ближайшее время.



контрагентами. В таких условиях срыв сроков работ, запланированных в заявке, грозит новым витком согласований и непредсказуемым переносом времени окончания работ (например, в связи с праздниками или проведением Олимпиады в Сочи).

Отметим, что все эти проблемы возникали при орга‑низации работ на верхних уровнях АСУ ТП, на которых еще нет автоматизированного управления реальными технологическими процессами. Видимо, не надо объяснять, насколько важно предвидеть подобные сложности при реализации ИБ‑проектов АСУ ТП КВО.

Очень важно, чтобы в задачи менеджмента ИБ‑проектов входило обеспечение баланса ответ‑ственности между всеми задействованными под‑разделениями (ИТ, ИБ и АСУ ТП). С учетом разных целей таких подразделений не исключены ошибки проектирования, внутренняя борьба и конфликты; при этом успешное разрешение проблем на 90 % зависит от руководства компании.

Во всем нужна система

Для проектирования и внедрения ИБ‑решений на базе уже имеющихся ИТ‑инфраструктуры и оборудования АСУ ТП необходима актуальная объективная информация, которой владеют специалисты по ИТ и АСУ ТП. Повысить эффективность взаимодействия и качество используемой информации можно при помощи отдельных систем,

которые автоматически собирают (инвентаризируют) и визуализируют сведения об ИТ‑инфраструктуре (на базе конфигураций сетевых устройств, хостов, применяемого ПО) и доступ к которым разделен между всеми специалистами. На рынке имеется ряд таких систем, поддерживающих широкий спектр устройств ИТ‑инфраструктуры (для неподдерживаемых устройств требуется ручной ввод информации). Помимо сбора актуальной информации эти системы обеспечивают моделирование результатов изменения конфигураций и помощь в принятии технических решений.

Во многих организациях уже внедрено большое число средств защиты информации, а значит, им необхо‑дим переход на следующий уровень управления ИБ. Для понимания актуальных угроз, расследования и предупреждения ИБ‑инцидентов требуются центра‑лизованный полномасштабный сбор информации и корреляционный анализ событий при помощи SIEM‑решений, количество которых на российском рынке уже достаточно велико. Если компания при‑нимает решение о создании собственного Центра кибербезопасности, в функции которого входят обна‑ружение, предупреждение и ликвидация последствий компьютерных атак, то SIEM‑система становится незаменимым инструментом анализа и консолидации сведений об инцидентах, а также генерации отчетов о событиях и регистрируемых ИБ‑инцидентах. Обмен информацией между Центрами кибербезопасности позволит всем участникам этого процесса повысить уровень своей защищенности.

Для согласования технических решений и заявок на работы необходима слаженная работа всех под‑разделений. Для этого требуются утвержденные регла‑менты, системы документооборота и согласования заявок, в которых заложены маршруты продвижения и сроки согласования документов в соответствии с регламентами.

Итак, накопленный опыт системной интеграции и управления ИБ‑проектами АСУ ТП КВО свидетель‑ствует о следующем:

• при реализации проектов необходима совместная регламентированная работа подразделений заказ‑чика, а лидирующая роль зачастую принадлежит компании‑интегратору;

• всеобщая тенденция централизации управления разветвленными филиальными структурами обу‑славливает необходимость внедрения современных средств управления ИБ, облегчающих специалистам по информационной безопасности выполнение их задач.

Как свидетельствует наш опыт, на разработку и согласование плана работ для про‑стой операции — смены IP‑адреса сервера и модификации нескольких сетевых маршрутов — может понадобиться до 2—3 недель. Например, в одной энергетиче‑ской компании нам потребовалось понять организацию процессов согласования. В некоторых случаях у заказчика имеется ответственная сторона, выпускающая заявку и контролирующая ее продвижение, а в других случаях эти функции выпол‑няет системный интегратор.



вАлеРИй КОРжОвBISA

В свою дуду

У каждого производителя средств защиты система корпоративного управления — своя собственная: она позволяет таким механизмам взаимодействовать только в рамках экосистемы этого вендора. На практике при эксплуатации системы защиты, включающей в себя продукты разных производителей, обычно приходится строить параллельные инфраструктуры управления для средств, которые не взаимодействуют друг с другом даже на уровне администраторов. В результате многовендорная защита оказывается ненамного более эффек‑тивной, чем одновендорная.

Да, предлагаются и отдельные сторонние продукты, которые обе‑спечивают централизованное управ‑ление средствами защиты разных производителей, но эти продукты еще нужно интегрировать с защит‑ными механизмами при помощи специальных коннекторов. А при инте‑грации выясняется, что функционал управления сильно ограничен и уже

не соответствует современным требованиям к защите. К тому же системы такого типа не обеспе‑чивают автоматическую реакцию на инцидент, требуют постоянного контроля операторов и бессильны при целенаправленных атаках. В лучшем случае они дают возмож‑ность все заблокировать и заняться расследованием, но вполне веро‑ятно, что пользоваться результатами последнего уже будет поздно.

Есть также системы управления событиями информационной без‑опасности (Security information and event management — SIEM), которые собирают информацию о событиях с разных средств защиты, обрабаты‑вают ее и выявляют подозрительную активность. Однако они обеспечивают только мониторинг разных продуктов, а управлять ими не могут. Да, можно внедрить и средство мониторинга, и средство управления, но взаимо‑действовать они станут лишь через оператора, который проанализи‑рует подозрения SIEM и, признав их оправданными, перестроит защиту.

При этом современные атаки, которые проводятся с помощью автоматизи‑рованных средств, настолько быстры, что задержка реакции оператора может оказаться критичной — информацию уже украдут, а деньги переведут на неподконтрольные счета.

В результате иногда оказываются необходимыми механизмы, которые работали бы как защита банка при сра‑батывании сигнализации: все двери и хранилища ценностей автоматиче‑ски блокируются до приезда охраны и выяснения подробностей. Обеспечить аналогичную реакцию на атаку для ИТ пока сложно, поскольку межсетевой экран, например, управляется одним способом, защита базы данных — дру‑гим, а защита веб‑сервера вообще отдана на аутсорсинг. А хотелось бы, чтобы срабатывание сигнализации (возможно SIEM) приводило к авто‑матической перестройке правил доступа и приостановке некоторых транзакций или операций с фай‑лами на несколько секунд. Затем уже в ситуацию сможет вмешаться оператор, который должен будет

Защита — вещь деликатная, поэтому доверять ее одному производителю, даже самому заслуженному, не рекомендуется. В некоторых руководящих документах даже есть требование создания систем защиты с использованием продуктов разных производителей. Но реализовать многовендорную защиту непросто. Конечно, немало компаний предлагают антивирусы, межсетевые экраны, DLP и многое другое, и выбрать производителей в каждом классе не составит труда. Проблемы возникнут позже, когда системы разных вендоров уже будут установлены. Дело в том, что пока нет единой технологии, обеспечивающей взаимодействие защитных механизмов разных производителей.

О многовендорной защите



оперативно определить, что именно произошло.

Есть шанс

Собственно, попытки создания инструментов для автоматизации реакции на атаку в многовендорной среде уже предпринимались. В част‑ности, компания Check Point в 2001 г. создала альянс OPSEC, участники которого могли реализовать специ‑альный протокол взаимодействия с межсетевым экраном Check Point. На последний передавались пред‑упреждения об атаке, на что экран мог каким‑то образом реагировать. В альянсе числились около сотни компаний, согласившихся на взаимо‑действие с Check Point, но крупные производители средств защиты, кото‑

рые имели собственные межсетевые экраны, не торопились поддерживать технологию конкурента.

В какой‑то момент Check Point приобрела несколько входивших в OPSEC компаний и интегрировала их продукты в свой экран, став кон‑курентом для других членов альянса. Сейчас ее технология по‑прежнему существует, но уже не развивается. Евгений Коган, архитектор Check Point по средствам управления, отме‑чает, что сейчас связанный с OPSEC протокол не может использоваться как инструмент управления, поскольку он позволяет шлюзам компании соби‑рать информацию с других средств защиты и как‑то на нее реагировать, но не дает возможности управления этими защитными инструментами. Собственно, и сама Check Point

заинтересована в появлении уни‑версальной технологии, которая обе‑спечит обмен информацией между инструментами защиты.

Попытку создания автоматизиро‑ванного средства реагирования на нападения предприняла и кор‑порация Microsoft: она несколько лет работала над проектом Stirling, который предполагал автоматическую реакцию средств защиты Microsoft на нападение. Если бы проект удался, он, скорее всего, был бы выведен на рынок для интеграции с другими средствами защиты. Однако через некоторое время было объявлено, что проект сворачивается, а все полученные результаты передаются команде разработки Microsoft Operations Center — системы управ‑ления ИТ в целом, а не только без‑

Мнение Евгения РодыгинаRussian Information Security Club (RISC)

Последние два десятилетия между‑народный рынок ИТ‑ и ИБ‑решений открывался для рос‑сийских компа‑ний и госсектора. Для обеспечения достойного техно‑

логического уровня корпоративных ИТ‑инфраструктур и в связи с отсут‑ствием отечественных решений архитекторы целевых систем были вынуждены внедрять зарубежные. Однако опытные архитекторы знают, что использование любых решений и платформ требует, в том числе, при‑нятия их специфического жизненного цикла и элементов культуры вендора. И каждое из решений имеет обяза‑тельный «довесок» — ряд ограниче‑ний, в том числе на совместимость с решениями других производителей.

Важную роль играет процесс стандар‑

тизации ИТ. Бурная борьба вендоров за доминирование при стандартизации в новых областях ИТ приводит к фор‑мированию коалиций и появлению «изгоев». Отмечу: для пользователей применение продукции «изгоев» всегда означает большой риск. А сложность построения мультивендорных архи‑тектур, с моей точки зрения, заклю‑чается в необходимости учитывать следующее:

• особенности жизненного цикла решений и платформ;

• соответствие тех или иных реше‑ний международным стандартам в области ИТ;

• особенности комплаенс и требо‑ваний национальных регуляторов в области ИТ;

• собственные возможности при‑менения данных решений.

Да, и еще нужно учесть, что управление интегрированными мультивендорными

решениями — тоже рискованное дело. Обновление компонента одного вендора может остановить работу всей ИТ‑инфраструктуры из‑за потери совместимости с другими компо‑нентами.

С учетом всего этого компании вынуждены обеспечивать дополни‑тельные компетенции специалистов, а растущая сложность систем ставит перед ними новые вопросы:

• выбирать ли лучшие на данный момент, но не вполне совместимые между собой решения;

• выбирать ли решения, жизненный цикл которых неприемлем для ком‑пании;

•выбирать ли решения одного вен‑дора или коалиции производителей, которые, вероятно, будут использовать общепринятые стандарты?



опасностью. По заверениям Андрея Бешкова, менеджера Microsoft, компоненты разработанной в рамках проекта технологии интегрированы в операционную систему и другие защитные продукты компании.

В частности, одним из таких стандар‑тов является NAP (Network Access Protection), который позволяет шлюзу проверять правила соблюдения политики безопасности на клиенте, подключающемуся к корпоративной сети. Аналогичный стандарт NAC (Network Access Control) есть и у Cisco, но он решает несколько иную про‑блему — управления безопасностью устройств, подключающихся к кор‑поративной сети извне. Это также является проблемой организации многовендорной защиты, но только небольшой ее части — взаимодей‑ствия разных внешних устройств со шлюзом безопасности. Понятно, что могут использоваться внешние устройства разных производителей, защищаемые разными продуктами, но важно, чтобы на них, как минимум, был установлен антивирус с послед‑ними обновлениями и исправлени‑ями ошибок. Если это требование не выполнено, устройство просто не будет допущено в корпоратив‑ную сеть. Андрей Бешков признает, что у Microsoft нет универсального решения для создания многовендор‑ной защиты, и что компания реали‑зовала лишь отдельные фрагменты взаимодействия, которые позволяют интеграторам строить защиту из ком‑понентов разных производителей.

Свою технологию построения много‑вендорной защиты предложила и Intel Security (McAfee), которая разрабо‑тала спецификацию универсальной шины взаимодействия. Технология, получившая название Data eXchange Layer (DXL), базируется на принципах

брокера сообщений, в котором име‑ются роли отправителей и получателей сообщений. Продукты, которые под‑держивают данную технологию, могут отправлять сообщения на шину DXL и получать данные с нее. Если произ‑

водители средств защиты реализуют поддержку данной технологии в своих продуктах, это позволит не только создавать многовендорные системы защиты, но и активнее развиваться всей отрасли информационной без‑опасности. Дело в том, что упростится разработка новых типов продуктов: уже не потребуется создавать все необхо‑димые механизмы, достаточно будет взаимодействовать со сторонними инструментами, решая только свою задачу. Сейчас же разработчикам приходится строить интегрированные системы из создаваемых для этих целей собственных продуктов, что несколько ограничивает развитие технологий.

Intel Security планирует до конца года внедрить данную технологию во все свои продукты, что позволит интегрировать их друг с другом через шину DXL. В следующем году компания намерена предложить эту разработку партнерам из специально организованного альянса, состоя‑щего из 160 компаний. Поддержка с их стороны даст возможность создавать многовендорную защиту, но пока не позволит клиентам выходить за пределы экосистемы одного производителя. Однако уже летом следующего года Intel Security попробует добиться поддержки своей технологии от пяти крупней‑ших компаний, разрабатывающих средства защиты. Если все получится, создание многовендорных систем защиты сильно упростится.

Пример подавления Intel рынка своим авторитетом уже есть — это

стандарт Wi‑MAX, который, впрочем, просуществовал недолго, ибо был вытеснен LTE. Именно поэтому воз‑никают сомнения в том, что новый стандарт проживет длительное время: сейчас шаги Intel Security

напоминают действия Check Point, связанные с OPSEC, и закончиться все может тем же — построением еще одной экосистемы. Тем не менее именно у Intel, а не у McAfee есть шанс создать универсальную тех‑нологию взаимодействия средств защиты.

Что важнее

Следует отметить: для того чтобы стандарт стал популярным и начал использоваться несколькими про‑изводителями, важна его поддержка какой‑нибудь организацией по раз‑работке стандартов. В частности, применительно к стандартам сетевого взаимодействия на эту роль больше всего подходит сообщество IETF, но есть и другие.

Пока Intel не раскрывает специфи‑кацию протокола обмена сообще‑ниями безопасности, но планирует сделать это позже, когда предложит партнерам по альянсу реализовать поддержку DXL в их продуктах. Если компания попытается использовать для продвижения своей технологии, в том числе, какую‑либо организа‑цию по подготовке международных стандартов, это даст больше шансов на реализацию ее задумки. Однако тогда Intel может потерять единоличный контроль над технологией. А значит, вскоре мы выясним, что для Intel Security важнее безраздельный кон‑троль над технологией или реальное решение проблемы создания много‑вендорных решений.

Для того чтобы стандарт стал популярным и начал использоваться несколькими про‑изводителями, важна его поддержка какой‑нибудь организацией по разработке стандартов. В частности, на эту роль больше всего подходит сообщество IETF.



МИХАИл САвельевдиректор учебного центра «Информзащита»

Эффект шестка

Когда рынок поступательно растет из года в год, когда те, кого называют «бизнес», относительно спокойны, и никто не спорит с необходимостью найма новых сотрудников для раз‑вития компании, большинство ее специалистов преисполнены чувства собственной значимости. Но когда возникает неблагоприятная экономи‑ческая ситуация, и тот самый бизнес начинает разбираться, кто и чем занят, считать деньги и определять эконо‑мическую эффективность работы подразделений, многим сотрудникам становится несладко.

Преувеличение собственной зна‑чимости зачастую обусловлено ограниченностью взглядов на бизнес с высоты колокольни, на которой сидит тот или иной специалист по инфор‑мационной безопасности. Сотрудни‑кам, деятельность которых связана с обеспечением ИБ, свойственно давать завышенную оценку тому, что обрабатывается в информаци‑

онных сетях или имеет отношение к информационным технологиям.

Да, мы давно «подсели» на постоянную доступность всех и всем по телефону, электронной почте или конференц‑связи, но в большинстве случаев эти сервисы вовсе не обязательны для бизнес‑процессов. Например, в крупных компаниях существуют нормативы ответов на сообщения электронной почты в течение не более чем трех дней. Но насколько необхо‑димы в таких случаях круглосуточная доступность почты и куча разнородных сложных технологий защиты, повыше‑ния мобильности, доступности и т. п.?

ИБ‑специалисты могут бесконечно ломать копья по поводу необходимости приведения сетей и информационных систем в соответствие с требовани‑ями регуляторов, в том числе закона о персональных данных. Однако размеры соответствующих штрафов несопоставимы с потенциальными последствиями приостановки бизнеса из‑за невыполнения каких‑либо лицен‑

зионных требований по основному виду деятельности.

Я вполне принимаю гневные выпады типа «каждый занимается своим делом, и то, что мы управляем малыми рисками, не означает бесполезности». Но хочу подчеркнуть, что стоимость решаемых нами проблем несопоста‑вима, например, с уроном от воровства вагона металлопроката. Кроме того, порой ИБ‑специалисты, непомерно сужая зону своей ответственности, упускают из вида даже смежные вопросы безопасности. Так, борцы с утечками корпоративных секретов готовы внедрять множество инстру‑ментов контроля лишь над одним каналом — передачи информации по сети. Борцы со зловредным ПО, которое проникает в информаци‑онную систему по сети, предлагают средства контроля исключительно над этой областью, начисто игнорируя не только остальные каналы появления «зловредов» внутри контролируемого периметра, но и все прочие способы воздействия на организацию (такие

Размышления о судьбе «безопасника»К сожалению, практически любому ИБ‑специалисту свойственно преувеличивать его вклад в жизнь предприятия. Да и как может быть иначе, если на многочисленных отраслевых конференциях без конца говорится о неоспоримой значимости ИБ‑деятельности для работы и самого существования компаний. Попробуем разобраться в том, как должна измениться роль «безопасника» в новых условиях.



как использование незаконных мето‑дов получения голосовой информации, разведопросы сотрудников, засылка или вербовка агентов и т. п.).

Можно упомянуть и о задаче обе‑спечения непрерывности бизнеса. Грустно осознавать, что «инфобезо‑пасники» зачастую подразумевают под нею лишь мониторинг и план восстановления ключевых узлов все той же информационной сети компании. А гораздо более важные моменты (скажем, отказ от своих обязательств одного из поставщиков комплектующих, используемых пред‑приятием) не рассматриваются, ибо это — «не наши задачи».

Опять‑таки, да, я согласен с тем, что хоть какой‑то контроль лучше, чем вообще ничего, но… С таким подходом не спасут никакие лекции о том, как правильно «продавать» ИБ руководству. И не стоит получать степень MBA, чтобы рассказывать бизнесу про межсетевые экраны на CEO‑суржике. Далеко не с языком взаимодействия или с аргументами о необходимости внедрения связана пропасть непонимания между ИБ и бизнесом.

Оптимизация «по живому» или комплексный подход?

Дай бог, чтобы пессимистичные про‑гнозы развития рыночной ситуации, связанные с санкциями и иными внешнеполитическими реалиями, не воплотились в жизнь. Но так или иначе дыхание этой ситуации почувствуют многие. Руководство компаний будет пристально наблюдать за деятельностью каждого сотруд‑ника и нещадно оптимизировать «по живому». Скорее всего, для ИБ это означает сокращение числа соответствующих подразделений, серьезное урезание бюджетов с переходом в режим только насущно

необходимых затрат и приостановку развития служб безопасности.

И тут самое время вспомнить о том, что обеспечение безопасности — ком‑плексная дисциплина, роль которой в условиях кризиса будет только расти. А значит, у «безопасников» есть шанс доказать, что они не зря просиживают штаны и еще могут принести пользу своим работодателям.

С чем бороться при комплексном подходе к обеспечению безопасно‑сти? На результаты работы компании влияют как внутренние, так и внешние факторы. Проблем, приходящих извне, хватает: на любое предприятие воз‑действуют, и зачастую неблагоприятно, конкуренты, поставщики и подрядчики, охотники за тем или иным бизнесом — рейдеры, коррумпированные чинов‑ники, даже клиенты. И чем тяжелее

период, тем агрессивнее и жестче могут быть методы нечистоплотной конкурентной борьбы.

Один из распространенных видов внутренних противоправных дей‑ствий — это воровство. Воруют товары, секреты, деньги, причем в тяжелые времена воруют больше. Не надо забывать и про искажение сотрудни‑ками отчетности, сокрытие каких‑либо фактов, откаты, ложь, некомпетентность и многие другие действия и факторы, оказывающие негативное воздействие на предприятие изнутри.

Для объяснения того, почему чело‑век решается причинить вред своей компании, придумана хорошая модель — «треугольник мошенниче‑ства». Вершины этого треугольника таковы: возможность совершить и некоторое время скрывать свой

!РИСК МОШЕННИЧЕСТВА

Мотивация/давление внешних обстоятельств

86%

Возможность 7%

Самооправдание 5%

Треугольник мошенничества



поступок, давление обстоятельств, способность оправдать свои действия перед самим собой.

Во время кризиса обстоятельства давят все сильнее. К «стандартным» причинам противоправных действий, таким как тяжелые болезни род‑ственников, безответственно взятые кредиты и т. п., добавляются новые: родственники и друзья теряют работу, работодатели сокращают премии и бонусы, а порой и снижают зар‑платы, банки индексируют выплаты по кредитам в соответствии с ростом курса валют.

Ну а оправдывать противоправные действия перед самим собой тем легче, чем сложнее проблемы, вызвавшие эти действия. Оправдание может иметь эмоциональный характер: например, это желание насолить несправедливому начальнику или даже «наказать всю систему». Иногда характер оправдания становится классовым: «руководство с жиру бесится, а мы страдаем». А порой, особенно в случаях хищения денеж‑ных средств, оправданием служит

возможность выбраться из своих финансовых затруднений и, бывает и такое, со временем возместить неправедно полученные деньги.

Специалист по информационной без‑опасности может влиять на сотрудников компании с целью предотвращения инцидентов, внушать им, что все неправомерные действия с исполь‑зованием средств вычислительной техники обязательно будут выявлены и не останутся безнаказанными. К слову, информирование сотрудни‑ков на протяжении всей их трудовой деятельности о таких возможностях службы информационной безопас‑ности, формирование у них стойкой

демотивации к противоправным действиям — это одна из задач, подраз‑умевающих взаимодействие кадровых подразделений и служб безопасности.

Время новых возможностей

На нынешнем неблагополучном экономическом этапе я вижу един‑ственный способ сохранения статусов и рабочих мест специалистов по ИБ: нужно предлагать себя работодателям как мощный инструмент защиты того самого бизнеса, которому эти специ‑алисты прежде хотели «продавать» информационную безопасность.

Нет, я вовсе не предлагаю «без‑опасникам» переквалифицироваться в лихих оперативников со знанием информационных технологий — это удел немногих людей с определенным складом характера. Да и нет смысла выбрасывать на свалку накопленные ранее опыт и знания. Но научиться воспринимать задачи обеспечения безопасности компании «со стороны» (так, как ее видят другие подраз‑

деления) — дело обязательное. Это умение позволит переосмыслить и точнее расставить текущие при‑оритеты, понять задачи смежных подразделений и добиться от них взаимодействия.

В обеспечение комплексной без‑опасности должны быть вовлечены подразделения корпоративной защиты и оценки рисков, кадровые отделы, специалисты по ИБ и непрерывности бизнеса, юристы. А главное, это вовле‑чение должно быть не формальным, а вполне реальным и плодотворным.

Основными партнерами «безопасни‑ков» становятся кадровики. В условиях

возможного сокращения штатов всех ИТ‑подразделений специалистам по ИБ необходимо добиваться от сотрудников знания и неукоснительного соблюдения инструкций и регламентов, повышать уровень их осведомленности в вопро‑сах безопасного использования информационных систем. Эти задачи хорошо интегрируются с программами повышения лояльности, обучения сотрудников и т. п., которые очень любят сотрудники кадровых служб. Обыгры‑вание в таких программах способов противодействия, например, методам социальной инженерии помогает донести до сотрудников отношение компании к обеспечению собственной безопасности без скучных непонятных объяснений, больше похожих на плохую агитацию.

К сожалению, проблемы взаимодействия всегда были и будут. Так, кадровые службы не контролируют уровень лояль‑ности сотрудников, а их стремление быстро закрывать вакансии без взаи‑модействия со службами безопасности и экономить фонд заработной платы приводит к тому, что достаточно важ‑ные должности (такие как системный

администратор) занимают, в лучшем случае, люди с низкой квалификацией (которые сами могут становиться источниками угроз для компании), а в худшем случае — корпоративные шпионы. В свою очередь, «безопасники» не делятся информацией и не обу‑чают остальных. Основная причина этого — недооценка важности задач, связанных с обеспечением безопас‑ности компании.

Пора меняться! Кризис — тяжелое время, но это и время новых воз‑можностей. А раз так, надо смело смотреть вперед и строить планы выхода из кризиса с новыми опытом и знаниями.

Преувеличение собственной значимости зачастую обусловлено ограниченностью взглядов на бизнес с высоты колокольни, на которой сидит тот или иной специалист по информационной безопасности.


Авторывсеволод Иванов, исполнительный директор компании InfoWatch

дмитрий Чихачев, управляющий партнер венчурного фонда Runa CapitalАркадий Морейнис, бизнес‑ангел

Рустэм Хайретдинов, глава Appercut Security, президент ассоциации BISAАндрей Суханов, начальник отдела мониторинга инцидентов ИБ и реагирования Альфа‑банкаСтанислав Павлунин, вице‑президент по безопасности банка «Тинькофф Кредитные Системы»

дмитрий волков, руководитель отдела расследований инцидентов ИБ Group‑IBОлеся Шелестова, генеральный директор компании RUSIE

Олеся Бугаева, руководитель направления по работе с заказчиками и партнерами в SMB‑сегменте компании InfoWatch

Максим Степченков, исполнительный директор компании «АйТи Таск»Александр Баскаков, руководитель группы ИБ компании «Комус»

Андрей Бешков, руководитель программы безопасности Microsoft в Центральной и Восточной Европетроэльс эртинг, глава European Cybercrime Center

Руслан Стефанов, руководитель направления защиты АСУ ТП компании «ЭЛВИС‑ПЛЮС»Алексей волков, эксперт сообщества BISA

Александр Большев, ведущий исследователь и руководитель группы аудита АСУ ТП компании Digital Securityвалерий Коржов, BISA

евгений Родыгин, Russian Information Security Club Михаил Савельев, директор Учебного центра «Информзащита»

Информация номер журнала: № 8, IV квартал 2014 г.

тираж: 1000 экз.Распространяется бесплатно

номер свидетельства: ПИ № ФС 77‑54908Свидетельство о регистрации СМИ: ПИ № ФС 77‑54908

Зарегистрировавший орган: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций

главный редактор: Олег СедовОтветственный редактор: Наталья Мутель

литературный редактор: Наталья СоболеваОбложка: Игорь Лапшинверстка: Илья Залыгин

дизайнер: Дарья КиршеАдрес редакции: 123022, Москва, 2‑я Звенигородская ул., д. 13, стр. 41

Дизайн и печать — типография «ЮСМА»: 109316, Москва, Волгоградский пр‑т, д. 42, корп. 5Интернет‑версия издания: http://bis‑expert.ru / bdi

Контакты по вопросам рекламы и размещения материалов е-mail: pr@bis‑expert.ru, тел.: 8 903 724‑33‑10

Рукописи не возвращаются и не рецензируются.Редакция не несет ответственности за достоверность рекламных материалов. Любое воспроизведение материа‑

лов и их фрагментов возможно только с письменного согласия редакции.

Журнал«!Безопасность Деловой Информации»

Наши выпускиЖурнал о трендах, знаниях и личномопыта

в области защиты информационных активов

Приглашаем к сотрудничеству!По вопросам размещения статей и рекламных материалов

просим обращаться к ответственному редактору издания Наталье Мутель тел: 8 909 724-33-10 email: [email protected]

ИТОГИ И ТРЕНДЫ ГОДА · iv квартал 2014 № 08 ИТОГИ И ТРЕНДЫ...

Documents

Transcript of ИТОГИ И ТРЕНДЫ ГОДА · iv квартал 2014 № 08 ИТОГИ И ТРЕНДЫ...