Код Воронежа. Вопросы кибербезопасности и ответы на них с главной отраслевой конференции
В апреле самая масштабная русскоговорящая конференция по информационной безопасности “Код ИБ” наконец добралась до Воронежа. Криптомайнинг, пентесты, новый закон о защите критической инфраструктуры и другие горячие темы в интервью с одним из ключевых экспертов события, первым заместителем компании SaveIT Дмитрием Потаповым.
- Согласны ли вы с тем, что новый закон о безопасности КИИ будет способствовать реальной (а не бумажной) безопасности и почему?
- Да, конечно же, согласен. Он направлен на создание важного и, главное, непрерывного бизнес-процесса по обеспечению безопасности информации на объектах КИИ, что позволит специалистам ИБ реализовать лучшие мировые практики, а это очень хороший стимул для российских компаний. Также способствует созданию «реальной» системы защиты информации, постепенное осознание руководителями организаций важности её реализации, правда подстегиваемое государством, которое установило даже уголовную ответственность за бездействие в этой сфере.
- Как идет реализация закона?
- Здесь хочется вспомнить слова Отто фон Бисмарка “Русский долго запрягает, но быстро едет” - так происходит и в настоящем случае, потому что на сегодняшний день не весь перечень необходимых документов подготовлен и прошел регистрацию в министерстве юстиции. Но закон принят и его необходимо исполнять.
Мы надеемся, что к окончанию поставленного правительством РФ срока организации защиты объектов КИИ и категорирования подавляющее большинство организаций успеет выполнить требования закона. По оценкам наших экспертов, есть около года на эти мероприятия. Список этих объектов отнесен к гостайне.
Хотя объекты КИИ по новому закону не требуют аттестации, например, государственные информационные системы, все организации, имеющие права собственности на объекты КИИ, должны подать о них сведения во ФСТЭК России, и здесь основной сложностью по выполнению закона о КИИ является как раз недостаток квалифицированных специалистов в области информационной безопасности в стране в целом. Ведь имеющиеся сообщества сконцентрированы в основном в крупных компаниях-интеграторах ИБ, а процесс отдачи на аутсорсинг сопровождения систем защиты информации не отлажен. Это тоже вызывает сложности.
- Правда ли, что несвоевременное обновление ПО - одна из главных причин ИБ-инцидентов?
- Использование старых версий ПО, содержащих в себе неустраненные уязвимости,отсутствие четкого регламента,который определяет порядок обновлений, равно как и лиц, ответственных за выполнение требований по защите информации, конечно же создает потенциальную угрозу безопасности.
При этом следует отметить, что большинство наиболее известных ИБ-инцидентов связано все-таки с эксплуатацией так называемых “уязвимостей нулевого дня” - тех уязвимостей, для которых еще не были выпущены соответствующие обновления или о существовании которых разработчик еще даже не знает. В этом случае процедура обновления ПО, увы, оказывается бесполезной.
- В прошлом году главной напастью компаний по всему миру стали шифровальщики - WannaCry, Petya и другие, а какие угрозы набирают обороты сейчас и как компаниям максимально себя обезопасить?
- Последние полгода были богаты на ИБ-инциденты. Вообще же, с каждым годом набирает обороты бесплатный инструмент атаки - фишинг. За последние месяцы было зарегистрировано сразу несколько крупных взломов с использованием методов социальной инженерии. Например, в конце марта 2018 г. Были скомпрометированы личные данные сразу 150 млн пользователей в приложении MyFitnessPal , это больше, чем население всей России.
Подготовка многоходовой атаки обойдется в несколько сотен долларов, а для ее проведения достаточно навыков учащегося старших классов. Уже очевидно, что времена простого взлома заканчиваются. Эксперты нашей компании отмечают, что будущее кибератак - за методами социальной инженерии и комбинациями цифровых атак, которые нацелены на самую главную уязвимость любой системы - на нас, людей.
На данный момент единственный способ существенно снизить эти риски - это эшелонированная комплексная система безопасности, которая анализирует трафик, содержимое, каналы, коммуникации, действия пользователей и превентивно следит за состоянием защищенности всей сети в целом.
- Как защитить свою организацию от вредоносного криптомайнинга?
- В целом так же как и от обычного вируса - поставив антивирусные средства. В помощь также браузеры с встроенной защитой от криптомайтинга (Opera, Яндекс.Браузер).
- Как оценить текущий уровень информационной безопасности в компании?
- Как я упомянул ранее, оценка уровня ИБ -это целый комплекс организационных и технических мероприятий с привлечением множества различных специалистов. Но руководство большинства компаний ошибочно считает, что достаточно формального выполнения требования законодательства в области защиты информации.
На наш взгляд, это одна из основных ошибок. Защита информации - это все-таки комплексный и непрерывный процесс. И в подавляющем большинстве случаев после того, как мы проводим проверки нашими специалистами (тестирование средств защиты, проверка внутреннего регламента ИБ, оценка базовых знаний пользователей квалификации сотрудников, ответственных за защиту информации и т.п.), оказывается что информационная безопасность в компании существует только на бумаге и ни у кого из ответственных лиц нет четкого понимания, как защищать свои активы.
- Может ли компания самостоятельно оценить свой уровень ИБ?
- Может, при наличии профессионалов высокого уровня, которые в принципе сейчас в большинстве компаний как класс отсутствуют.
- Правда ли, что не все пентесты одинаково полезны и почему?
- Действительно, в тестировании на проникновение как услуге есть нюансы, которые важно учитывать. Например, проведенный пентест может оказаться поверхностным. То есть используются стандартные методы, проверка не адаптируется под инфраструктуру, соответственно, полученные результаты являются типовыми. У заказчика складывается ложное впечатление, что все хорошо.
Еще один нюанс - необходимость вовремя остановиться, пока пентест не перерос в крупный инцидент, на устранение последствий которого придется тратить время и деньги. Если хороший специалист обнаруживает уязвимость, он старается понять, к чему может привести ее эксплуатация. Плохой специалист сразу же ею воспользуется, что может повлечь за собой сбой в работе системы, отказ баз данных, недоступность сайта и прочее. Таким образом, хороший пентестер умеет найти грань допустимого, а по результатам предоставить максимально полный отчет о тестировании, не причинив ущерба компании.
Также проблемой пентеста на аутсорсе являются недобросовестные специалисты (часто - обычные хакеры), которые передают всю найденную информацию третьим лицам (например, вашим конкурентам), поэтому наиболее правильным будет заказ аудита у проверенной крупной компании с заключением договора о неразглашении информации.
Пресс-релиз
Читайте также:
ПодписатьсяПравительство спишет пени за 2015 и 2016 годы в сфере госзакупок
Все пени и неустойки в области госзакупок, которые были начислены в 2015-2016 годах, будут списаны по утверждению Правительства. Соответствующий закон 18 апреля одобрил Совет Федерации.
Российский правообладатель сможет удаленно управлять патентом
Правообладатель в будущем сможет удаленно управлять своим патентом, предоставлять возможность его использования или блокировать "пиратов", работа над созданием такой системы уже идет, рассказал руководитель Федеральной службы по интеллектуальной собственности (Роспатента) Григорий Ивлиев в кулуарах международной конференции "Цифровая трансформация: интеллектуальная собственность и блокчейн-технологии".