Кибер-прогноз на 2019: выживут не все

Кибер-прогноз на 2019: выживут не все

В 2018 году количество кибератак по данным разных источников, совершенных на российские компании, увеличилось почти вдвое по сравнению с прошлым годом. Количество успешных кибератак с нанесением ущерба атакованной компании - наоборот, уменьшилось. Нет ли здесь некого противоречия? Действительно ли повысилась киберустойчивость компаний? Хочется верить…

Однако, два фактора видно невооруженным глазом:

а) информационные инфраструктуры компаний, построенные на принципах 2000-х годов, давно уже ждут, кто их взломает и б) вал кибератак с возможным нанесением ущерба. Эти факторы являются в последнее время главенствующими рисками для компаний любых размеров и форм собственности. Подобные выводы подтверждаются ростом числа атак, в ходе которых злоумышленники пытаются получить контроль над инфраструктурой атакованных компаний.

Вышесказанное позволяет назвать самым важным событием 2018 года вступивший в силу 1 января 2018 года Федеральный закон от 26.07.2017 № 187 “О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации”. Ничего важнее, чем обнаружение, предупреждение и ликвидация последствий компьютерных атак на значимые объекты КИИ на текущий момент нет. Кроме того, в масштабах государства важно, как можно скорее наладить обмен информацией о киберугрозах в режиме реального времени.

А что у нас с киберзащитой компаний? Системы защиты информации, сегодняшние и будущие, для информационной инфраструктуры организаций прошлого только создают иллюзию защищенности. Типичной ситуацией почти для любой компании с десятилетней и более историей является наличие в компании сегмента информационной инфраструктуры, который выстраивался постепенно, год за годом, разными специалистами на разных моделях оборудования и приложений. К сожалению, у нас повсеместно, как правило, “из экономии” носятся со своими исторически унаследованными сетями, оборудованием, базами данных так, будто они неразрушимы, не подвержены износу или киберрискам. И поэтому любая ИТ-инфраструктура – это “священная корова”, которую лучше не трогать и которая, имея скрытые риски, рано или поздно или упадет или будет взломана. Повсеместно устоявшийся подход “не сломано – не трогай” толкает службу ИТ любой компании к переносу риска с себя на обеспечение непрерывности деятельности всей организации и оправдывается службой ИТ (как правило справедливо) нехваткой материальных и человеческих ресурсов.

Мы не знаем, что может произойти и защищаемся от того, что знаем

В 2018 году компании атаковались таким способом, против использования которого эти компании не были подготовлены или не защищены, а стандартные мероприятия в компаниях в виде решений защиты, основанных на обнаружении вирусного ПО, использования устаревших файерволов, IPS/IDS или только антивирусов, оказались не эффективны. Сегодняшние сети, виртуальные серверы, облачные среды и мобильные приложения остаются не охваченными этими “стандартными” средствами защиты.

Обычно люди из сферы информационной безопасности расходятся в оценках важности, надежности, применимости как технологий защиты, так и средств защиты. Терзающие их сомнения - свойства отрасли, где они работают, и того опыта, который наработан соответствующими службами в их компаниях.

Оглядываясь назад, можно сказать: ни одна из мер, принятых в 2018 году (как и ни одна из мер, принятых ранее, как и то, что только планируется предпринять), не позволила и не позволит гарантировать 100% защиту компании от орудующих по всему миру групп киберпреступников.

В подавляющем большинстве случаев взломов компаний не было ни одной объясняющей причины из области технологии. Чаще всего участники событий в качестве причины краха называли “нарушение политик”. Это убеждение безопасника, что если делать всё, как требует регулятор (или следовать лучшим практикам), то ничего не случится – наивно. Если бы все вопросы безопасности решались просто ужесточением политик ИБ или “закручиванием гаек”. Компании занимаются “бегом на месте”, навешивая новые средства защиты на старую инфраструктуру. Как сделать так, чтобы при “нарушении политик” это не сработало в ущерб компании? Надо перестраивать ИТ-инфраструктуру, менять сегментирование сети, отделять платежные технологические процессы от информационных.

Примерно каждый пятый зафиксированный инцидент в 2018 получил статус критического — ведущего к финансовым потерям. Подвергнуться атаке и выжить – уже говорит о том, что компания более-менее устойчивая. Потеря ИТ-ресурсов с высокой долей вероятности означает конец компании в результате различных причин: предприятие не может больше работать, потеря репутации, административные или даже уголовные санкции и т.д.

Атакующие научились работать без аномалий

Основная цель кибервзлома — получить как можно более полный доступ к информационным и технологическим системам. Если атака пропущена на сетевом периметре, то выявить взломщиков, которые уже в корпоративной сети, - нетривиальная задача.

Первый очевидный вывод заключается в том, что злоумышленники теперь прекрасно понимают, какие методы используются службами ИБ для атрибуции их атак, поэтому они хорошо представляют, как остаться незамеченными информационной безопасностью компании.

Аналитики подчеркивают — киберпреступники все чаще стремятся незаметно присутствовать в инфраструктуре организаций как можно дольше. Киберпреступники давно уже практикуют переход к скриптовым инструментам и инструментам с открытым исходным кодом для стадии атаки.

Использование специальных инструментов (то, что принято называть "вредоносным ПО"), если и требуется, то только на этапах компрометации и закрепления. После компрометации и закрепления в сети, как правило, достижение целей выполняется полностью с использованием легальных инструментов: используются учетные записи реальных пользователей, имеющиеся в компании системы удаленного доступа и т. п.

Чем хуже, тем лучше

Иногда в голову приходят “крамольные” мысли о том, что хакеры, как “санитары леса” рыщут по всему миру, выискивая слабых и незащищенных и, может, так и надо и это закон эволюции. То, что выжило, указывает нам на то, что в условиях непрекращающихся атак вредоносного ПО, обладает неким иммунитетом. При сегодняшнем массовом вале атак выжить случайно можно лишь только отказавшись от Интернета, а значит и от цифровизации бизнеса. Те же мысли возникают по поводу импортозамещения: чем быстрее нам будут отключать западные решения: от платежных систем до шрифтов, тем быстрее мы решимся на переход к своим.

Обстоятельства вынуждают учиться жить в условиях санкций, кризисов и разрушительных инцидентов. Кто не научится, тот не выживет.

Слово “банк” становится токсичным

Ещё одно соображение по теме: информационная безопасность создана людьми для людей от людей и может быть пришло время использовать опыт реформы органов внутренних дел, и переименовать информационную безопасность в цифровую безопасность. Вот ведь уже задумались, как отказаться от токсичного слова “банк” в пользу незапятнанного пока ничем какого-нибудь слова, например, “диджитал”. После переименований, возможно, всё у нас заработает по-другому. Более киберустойчиво. Без пресловутого человеческого фактора и “нарушения политик”. Удалось же как-то трансформировать в умах граждан понятие “очередь” (несущее негативный оттенок из-за печального опыта поколений), в “электронную очередь” (суть та же, но ареол “высокой технологичности” придает понятию некую позитивную окраску).

Другое соображение заключается в том, что даже если у компании имеется современная архитектура и средства киберзащиты, купленные за миллионы рублей, это оборудование и ПО может простаивать и недостаточно использоваться из-за отсутствия в штате службы ИБ специалистов нужной квалификации.

Было бы интересно провести исследование с помощью кадровых агентств, сколько специалистов из области ИБ сменило работу или осталось без работы в 2018 (по разным причинам: сменилось руководство или собственники, у банка отозвали лицензию и т.д.). Почему-то мне кажется 2018 год был в этом отношении “урожайным”.

Дилемма управления рисками ИБ в компании проста: либо ты перестрахуешься и заложишь все угрозы в бюджет проекта (который вырастет до небес), и при этом тебе повезёт не облажаться, либо ты опустишь часть рисков и тогда почти гарантированно получишь шанс облажаться. Если первый подход можно назвать разумным, а второй – достаточным, то, балансируя между разумным и достаточным, ты каждый раз рискуешь облажаться.

Хуже если мы поверим в некомпетентность служб ИБ в компаниях, которые были подвергнуты кибератакам, и в результате пострадали от действий злоумышленников.

Выводы

Кибератаки никуда не денутся. Каждая компания должна решить для себя, как противодействовать планам кибермошенников.

Структурные изменения оказываются половинчатыми ввиду социальной и политической инерции компаний - верхи не понимают необходимости изменений, а низы не могут предоставить веские обоснования серьёзных вложений в ИТ-инфраструктуру. Так же изменения привносят новые неизвестные, которые так нежелательны для ИТ-службы (их главная максима, подтвержденная всей прошлой жизнью: не трогай то, что работает). Поиск решений по повышению киберустойчивости компании начинается с признания со стороны совета директоров существующих проблем, стоящих перед информационной безопасностью компании. Взломы компаний случались, случаются и будут случаться повсеместно и регулярно. Как долго будет удерживаться компания на плаву если ее деятельность в Интернете остановится? О таких сценариях “апокалипсиса Интернета” надо уже сейчас задумываться и закладывать в планы обеспечения непрерывности деятельности компаний при чрезвычайных ситуациях.

В масштабах страны спасти могут только индустриальные системы обнаружения и предотвращения атак и мгновенная реакция этих систем на действия киберпреступников. В этом направлении, как сказано выше, работа ведётся.

Чтобы “поставить все точки над i” выскажусь предельно жестко: службы ИБ и ИТ могут годами дурачить своё руководство состоянием безопасности и нерушимости ИТ-инфраструктуры, построенной на принципах 2000-х годов. Но время скорее всего выявит скрытые риски.

Высоких вам технологий!

Alt text

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)