На недавнем круглом столе в рамках Уральского форума «Кибербезопасность в финансах» мы собрались, чтобы обсудить парадокс, знакомый каждому практикующему специалисту: почему миллиардные бюджеты на защиту не спасают клиентские данные? И чем больше мы говорим о снижении статистики утечек, тем острее ощущение, что мы просто перестали замечать масштаб бедствия.
Цифры, которые привела Наталья Касперская, открывая дискуссию, действительно демонстрируют позитивную динамику: общемировое количество утекших записей сократилось. Но позвольте взглянуть на это глазами человека, который ежедневно видит, как работают механизмы атак. Снижение числа зафиксированных инцидентов не равно снижению угрозы. Фишинг никуда не делся, активность мошенников не падает. Просто мы достигли точки насыщения.
Объем накопленных злоумышленниками данных уже таков, что позволяет развивать атаки годами, не нуждаясь в новых «сливах». Базы, которые сегодня гуляют в даркнете, — это по большей части старая агрегация, «компот» из прошлых утечек. Новые инциденты добавляют в него лишь незначительные ингредиенты. Получается, что мы, защитники, все еще спешно возводим стены, хотя город уже разграблен. Противник обеспечен «сырьем» на годы вперед. Мы готовимся к битве, которая уже завершилась.
«Теневое наследие» и человеческий фактор
Коллеги из Positive Technologies и «Бастиона» справедливо заметили, что атаки сместились в сторону экосистемы: подрядчиков, облачных провайдеров и логистических компаний. Это важный тренд. Но я хочу обратить внимание на то, что происходит внутри самих организаций.
Мы слишком часто натыкаемся на «теневые данные» (shadow data). Тестовые полигоны, legacy-системы, свалки скан-копий документов — все это живет своей жизнью, часто вне периметра мониторинга. Компании экономят на изоляции тестовых сред, забывая, что для хакера это не просто брешь, а распахнутые ворота.
Мы увлеклись строительством «неприступных стен» и упустили момент, когда враг уже научился просачиваться сквозь щели. Проблема не в отсутствии современных средств защиты, а в нашей неготовности признать: ошибки — следствие человеческой природы и сложности систем — будут всегда.
Смена парадигмы: учитесь жить после утечки
Главный вызов, который стоит перед индустрией сегодня, — психологический. Бизнес категорически не готов работать с фактом утечки. Мы не знаем, что сказать прессе, как взаимодействовать с юристами, как реагировать на иски клиентов и, главное, как быстро и качественно проводить расследование.
Я технопессимист в том смысле, что верю в неизбежность инцидентов. Но я оптимист в отношении процедур. Мы можем и должны отладить механизмы «разгребания последствий» до автоматизма. Именно сюда сейчас стоит направить основные усилия: не только на превентивную защиту, но и на постинцидентную работу. Как минимизировать ущерб, когда данные уже утекли? Как найти то, что мы раньше не замечали в собственной инфраструктуре?
Интеграционный хаос и платформенное будущее
Не могу обойти и технологическую сторону вопроса. Сегодня рынок перегрет «зоопарком» решений. В крупной организации редко встретишь линейку одного вендора. DLP от одного производителя, DAM — от другого. Они по-разному категорируют события, по-разному видят угрозы. Собрать это в работающую систему — титанический труд.
Вендоры часто обещают совместимость, но в бою системы отказываются работать в связке. Мы перекладываем на плечи заказчика задачу «склеивания» несовместимого. Назрела необходимость в платформенных подходах, но с умной архитектурой. Реакция Натальи Касперской на слово «платформа» была ожидаемо острой: «единая точка атаки». И это справедливое замечание. Но я говорю не о монолите, а о распределенных архитектурах, где компрометация одного элемента не обрушит всю защиту и не откроет доступ ко всем данным.
Дискуссия на форуме лишний раз подтвердила: индустрия стоит на пороге смены эпох. Мы должны перестать мыслить категориями абсолютной защиты. Ее не существует.
Вместо вывода скажу, что человеческая природа не изменится. Ошибки будут совершаться всегда. А значит, наша профессиональная задача — научиться работать с последствиями. Юристам, пиарщикам и службам безопасности пора объединить усилия и выстраивать стратегии не на отрицании угрозы, а на реалистичной оценке ущерба и умении из него выходить. Это и есть, на мой взгляд, новая точка отсчета для кибербезопасности в финансовом секторе.
Автор: Сергей Полунин
Источник фото: Уральский Форум «Кибербезопасность в финансах»
