Экс-сотрудник ФБР пояснил, почему хакеры побеждают в кибервойне

Экс-сотрудник ФБР пояснил, почему хакеры побеждают в кибервойне

Государственные и частные организации придерживаются разных принципов в вопросах ИБ.

Правительственные и коммерческие организации пребывают в блаженном неведении по поводу того, как в действительности работает безопасность, поэтому не в состоянии должным образом противостоять киберугрозам, считает бывший ИБ-эксперт ФБР Джейсон Траппи (Jason Truppi). Общество уверено в том, что правительственный и частный секторы принимают рациональные решения в вопросах информационной безопасности, однако на деле это не так.

«Правительство быстро реагирует на ситуации. Тем не менее, со временем мы пришли к выводу, что быстрой реакции недостаточно, нужно принимать превентивные меры», - заявил Трапп на конференции B-Sides в Сан-Франциско.

По словам эксперта, общество должно отказаться от иллюзии, будто правительство и бизнес работают сообща над обеспечением кибербезопасности. На самом деле государственные и частные организации придерживаются совершенно разных принципов.

Правительство призывает компании предоставлять ему данные о кибератаках. Однако дальнейшее расследование инцидентов может привести к предъявлению сотрудникам компаний обвинений, не связанных с кибератаками. Поэтому организации не спешат обращаться к властям с сообщениями о киберугрозах.

По словам Траппи, компании плохо справляются с обеспечением информационной безопасности и особо не беспокоятся. Они стараются нанять высококвалифицированных ИБ-специалистов, однако в итоге эксперты вынуждены заниматься неэффективной работой. Зачастую руководство не понимает всех тонкостей и вынуждает специалистов тратить целые дни на бесполезные решения малозначительных проблем.

Неманья Никитович, управляющий директор Optima Infosecurity (Группа Optima)

Четко выработанной политики по обеспечению синергии государства и бизнеса в деле защиты информации сегодня в России нет.

Россия - страна, которая в вопросах защиты информации может с пользой для себя использовать опыт ведущих экономик мира. Это отставание дает ей некоторое преимущество, заключающееся в том, чтобы не повторять уже сделанные ошибки или неэффективные шаги. Совершенно очевидно, что технологическая защита от утечек и самые современные решения не спасают от совершенно, казалось бы, анекдотических ситуаций, когда информация становится доступна нежелательным лицам лишь потому, что владельцы этой информацией пользовались для ее передачи личной почтой или забыли где-то флешку. В этом смысле мы находимся примерно на том же уровне, что и Запад: несколько громких скандалов, в том числе политических, были связаны именно с такими на первый взгляд смешными ситуациями. Частный бизнес уделяет этим вопросам еще меньшее внимание. Но и у государства, и у бизнеса в числе первостепенных задач должно быть максимальное информирование об угрозах, социальный инжиниринг, направленный на снижение влияния человеческого фактора на сохранность информации. Государство должно озаботиться принятием соответствующих законов, а бизнес - внутренних распорядков и правил.

Вячеслав Медведев, ведущий аналитик отдела развития "Доктор Веб"

Как вы считаете в России такая же ситуация в сотрудничестве бизнеса и государства в области информационной безопасности?

Описываемая ситуация касается не сотрудничества бизнеса и государства. Ситуация описывает уровень знаний о современных угрозах и отношение к ним. Можно разбить ситуацию на несколько уровней.

Уровень бизнеса. Уровень отлично описывается в статье по ссылке: https://habrahabr.ru/post/321446 . Бизнес не интересуют вирусы, антивирусы, взломы и прочая заумная терминология. Бизнесу нужно, чтобы бизнес-процедуры отрабатывались, процессы были контролируемы, прибыли превышали убытки. Все остальное - обслуживающие системы. И это логично. Естественно так происходит до первого взлома. Уже много лет ведется речь о том, что специалисты по безопасности должны разговаривать с бизнесом на их языке. Но вопрос как это сделать? Призывы государства направлены на подготовку миллионов программистов - не руководителей проектов. Крайне мало внимания уделяется тому, что в первую очередь серьезная программа - это работа в команде и управление различными процессами. Психология, маркетинг и другие предметы без которых жизнь руководителей проекта немыслима изучаются скорее никак. Как минимум руководитель проекта, команды должен уметь презентовать бизнесу свой проект - есть ли в планах обучения программа обучения выступлениям? В итоге на работу в компании приходят амбициозные, но не умеющие говорить специалисты. Кто-то сможет научиться. Но сколько успеют испортить по дороге свою репутацию?

Уровень 2. Администраторы и специалисты по безопасности. Характеризуются практически полным незнанием современных угроз (19 из 20!), возможностей защитных решений, процедур анализа инцидентов и тд. Подавляющая часть специалистов уверена в том, что антивирус должен ловить вредоносные программы в момент их проникновения. Теоретически это так должно и быть, но всегда есть неизвестные вредоносные программы - и их не принимают в расчет при создании защит компании!

В итоге единственная защита это антивирус, который может отключить пользователь ("тормозит"). А пользователям можно кликать на все подряд.

Уровень возникает в следствии двух проблем образования. Первая - практически полная оторванность институтов от современных знаний. Ситуация такова, что новые методички централизованно не "спускаются", а усилий вендоров недостаточно чтобы донести до соответствующих кафедр знания о современных угрозах. В итоге кафедры пребывают в блаженном незнании и обучают исходя из своего внутреннего представления о ситуации.

Вторая проблема - направленнось системы образования на работу студента с курса третьего. тоесть с того момента, когда начинаются спецпредметы. В результате студенты "забивают" на лекции. А те из них, кто добивается успеха - считают, что они знают лучше, чем те, кто им рассказывает. Ведь их проекты ценят!

Уровень три. Пользователи. Ну тут все ясно. "Мы знаем. что нам нужно кликнуть на ссылку, так как она из налоговой". Ситуация фактически совпадает с первым уровнем.

Какие меры можно предложить для исправления ситуации?

На данный момент в России не существует не то чтобы методического руководства по определению угроз. В приказах и стандартах нет ни одного правильного определения вредоносной программы, определения что такое антивирус, что он может, а что нет. При этом пишутся высокоуровневые законы, требующие построения высокозащищенных систем. Нужно начинать с основ.

Алексей Парфентьев, ведущий аналитик «СёрчИнформ»

Выступление нашего зарубежного коллеги Джейсона очередной раз показало, что в разных странах специалисты имеют дело с одними и теми же проблемами в сфере ИБ.
Для этого есть три ключевые причины:

1. Кардинально разная мотивация в бизнесе и госсекторе. Если бизнес заинтересован так решить задачи, чтобы в итоге увеличить прибыль, то государственные структуры нацелены так использовать бюджет, чтобы соблюсти нормы, положения, регламенты и пр. Кроме того, зачастую ведомства ограничены в выборе решений. И такая ситуация типична для многих стран.
Бизнес ориентируется исключительно на эффективность решений. Если возникает конфликт эффективности продукта и рекомендаций регулятора – бизнес, в отличие от госструктур, всегда предпочтет первое. С одной стороны, это не ограничивает выбор и есть возможность использовать лучшие на рынке решения. С другой стороны – отсутствует общепринятый стандарт, регулирующий минимально допустимые стандарты безопасности.

2. Человеческий фактор. Люди – вот главный и самый критичный компонент в сфере информационной безопасности. Эффективность работы технических решений напрямую зависит от профессионализма специалистов. В коммерческих организациях разные бюджеты, требования, оборудование, специалисты. Принято считать, что в государственных структурах большее единообразие и однородность. Но это не так, каждое ведомство, министерство – самостоятельные единицы, со своими бюджетами, штатом сотрудников и подходом к безопасности. Поэтому представление общественности о том, чьи решения в вопросах информационной безопасности более рациональны и эффективны, зачастую ошибочны и просто не соответствуют действительности.

3. Разные требования. Требования в сфере информационной безопасности у госструктур стандартизированы и жестко закреплены, в бизнесе же каждая отрасль формирует свои требования к ИБ. Некоторые из них вообще не имеют четких требований и закрывают риски исключительно по своему усмотрению. Что, конечно, только усугубляет общую ситуацию в ИБ.

В России в последнее время вопросу информационной безопасности стали уделять больше внимания в верхних эшелонах власти. Была издана доктрина информационной безопасности, в самом общем виде описывающая задачи и проблемы – теперь дело за разработкой конкретных норм и законодательных актов. Другая важная новость – обязательная сертификация ИБ-специалистов для работы в госорганах. А также увеличились штрафы за нарушение закона о ПД. Надеюсь, подобные шаги позволят качественно улучшить ситуацию в сфере информационной безопасности.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.