19 марта 2024
Курсы валют по ЦБ РФ USD 91.9829 EUR 100.2432


В ИТ-отрасли объявлено о слиянии за 35 млрд долларов

"Cети пятого поколения почти не привносят каких-то новых угроз"

19.12.2019 14:50

Интервью с Алексеем Лукацким, бизнес-консультантом по безопасности компании Cisco.

Какие тенденции и политические инициативы наиболее значимо повлияли на рынок информационной безопасности в текущем году? Потребовало ли внедрение сетей пятого поколения дополнительных усилий от разработчиков ИБ-продуктов? В каком направлении велась работа?

- Про сети пятого поколения говорить еще рано, потому что они не внедрены. Существуют небольшие маркетинговые проекты, демонстрирующие возможности технологий, но до сих пор не решен вопрос о частотах, и, как следствие, о массовом внедрении речь пока не идет. Таким образом, рассуждения о решениях для обеспечения безопасности данной технологии преждевременны. Но по нашему опыту в других странах, где проекты 5G находятся в высокой степени проработки, я могу сказать, что сети пятого поколения почти не привносят каких-то новых угроз. Безопасность оконечных устройств, перехват и подмена трафика, отказ в обслуживании, несанкционированный доступ, подмена устройств... Все это известно и для сетей четвертого, третьего, второго и даже первого поколения. Да, меняются платформы и производители, меняются немного протоколы и прикладное ПО, но сами угрозы остаются, как и методы борьбы с ними.

Что касается тенденций и политических инициатив, на рынок безопасности в России повлиял, в первую очередь, закон "О безопасности критической информационной инфраструктуры РФ". Он затронул процессы, связанные с категорированием объектов критической инфраструктуры, после чего организации начали активно выполнять требования по защите. Данный закон можно сравнить с законом «О персональных данных», который дал определенный толчок отрасли и заставил многие компании задуматься о том, каким образом у них выстроена информационная безопасность. Но, в отличие от закона "О персональных данных", в законе о критической информационной инфраструктуре предусмотрена еще и уголовная ответственность за его неисполнение, что является гораздо лучшим стимулятором для улучшения качества систем защиты многих компаний.

Еще одна инициатива была предпринята Банком России, который в конце 2018 года получил новые полномочия по регулированию вопросов информационной безопасности, чем не преминул воспользоваться. В 2019 году он выпустил сразу несколько важных документов - это положения Банка России о защите информации для кредитных и некредитных организаций, включая страховые компании, брокеров, негосударственные пенсионные фонды, микрофинансовые организации и т. д. Таким образом, в этом году Центральный Банк целиком переработал всю свою нормативную базу, и сейчас финансовые организации пересматривают свои архитектуры и стратегии в области безопасности для того, чтобы соответствовать новым требованиям финансового регулятора. Если раньше положения покрывали только банки, которых у нас около 500, то сегодня это все финансовые организации, коих у нас около 20 тысяч. Спектр влияния Банка России, с точки зрения информационной безопасности, существенно вырос.

Как повлияло появление Wi-Fi 6 на рынок информационной безопасности? Несет ли данный стандарт новые риски для рядовых пользователей? Как к этому подготовились в Cisco?

- Wi-Fi 6 пока был только принят в качестве стандарта. Cisco участвовала в его разработке, но говорить о его влиянии на рынок информационной безопасности еще рано, потому что многие компании сравнительно недавно вообще стали положительно относиться к Wi-Fi внутри корпоративных или ведомственных сетей. О Wi-Fi 6 многие из них даже не слышали. Цикл внедрения новой технологии наступит только через несколько лет: тогда можно будет наблюдать не то, чтобы массовое внедрение, а, по крайней мере, интерес к этой технологии. И в этот период уже можно будет проанализировать влияние стандарта на информационную безопасность, и наоборот.

Но если говорить непосредственно о Cisco, то мы, как одни из разработчиков данного стандарта, учитываем внутри него все лучшие практики по обеспечению защиты беспроводных сетей. Тем более что мы являемся и авторами многих технологий для защиты беспроводных сетей предыдущих поколений, обеспечения их конфиденциальности, аутентификации и др. Все лучшее, что было наработано к этому моменту, мы постарались учесть в самом стандарте или в оборудовании Cisco, которое реализует Wi-Fi 6.

Как рынок информационной безопасности реагирует на активное развитие персонализации и анализа пользовательского поведения? Можем ли мы говорить о том, что, формируя предложение по защите данных для конкретного заказчика с учетом специфики его бизнеса, Cisco предлагает уникальное ИБ-"блюдо" для каждого клиента? Насколько индивидуален каждый проект (по возможности приведите пример), и как это влияет на экономический эффект от внедрения?

- По общемировой статистике, большое число заказчиков просто приобретают некие продукты для решения своих задач в области безопасности. То есть они мыслят не понятиями "архитектура" или "стратегия информационной безопасности", а понятиями "продукт", который они покупают и внедряют в рамках своего видения. И далеко не всегда производители участвуют в процессе формирования этой архитектуры и стратегии.

Если же мы рассматриваем действительно серьезные проекты, в этом случае каждый проект является персонализированным, потому что он начинается с проработки бизнес-задач, которые стоят перед заказчиком. Это может быть увеличение доли рынка, увеличение стоимости клиента (ARPU для клиента), внедрение новых сервисов.

Например, классический оператор связи выходит на рынок облачных услуг, хостинг-провайдеров или контент-услуг. В зависимости от этого анализируются риски, которые могут быть получены в результате внедрения новых технологий в отношении новых бизнес-сервисов. Далее разрабатывается отдельная архитектура, направленная на нейтрализацию этих угроз и рисков. Заказчики, в том числе операторы связи, несмотря на свою похожесть, реализуют разные стратегии развития бизнеса, и проекты по информационной безопасности также различаются. Кто-то начинает с защиты каналов связи, обеспечения так называемой "чистой трубы" (Clean Pipe), когда клиенту предлагается чистая от вредоносных программ и DDoS-атак труба. Кто-то начинает переходить в сторону управляемых услуг (managed services), когда заказчику предоставляется не просто "Интернет", а оборудование, которым управляет оператор связи, в том числе, и в контексте обеспечения ИБ. Кто-то, понимая, что у крупного корпоративного заказчика уже выстроена инфраструктура безопасности, построены периметры, закуплено оборудование, предлагает услугу мониторинга этой инфраструктуры, то есть услугу Security Operation Center на аутсорсинге (SOC-as-a-Service). Кто-то внедряет технологии облачной безопасности для того, чтобы предложить малому и среднему бизнесу выгодную по цене, но при этом эффективную защиту корпоративного класса. То есть в зависимости от того, как рассматривается безопасность - как набор технологий, способствующих основному бизнесу, защищающих основной бизнес, или как дающих новую статью дохода - различаются и ИБ-проекты.

Построение архитектуры - безусловно, предпочтительно с точки зрения долгосрочного развития, но одновременно требует и большего времени на реализацию. Учитывая условия достаточно непростой и экономической, и геополитической ситуации, многие заказчики предпочитают краткосрочные проекты.

Можно ли в контексте ИБ приравнивать цифровизацию к автоматизации, учитывая способность интуитивных сетей Cisco не только нейтрализовать, но и предвидеть угрозы?

- Нет, нельзя. Коренное отличие цифровизации от автоматизации заключается в том, что автоматизация позволяет выстраивать процессы чуть более удобным способом, то есть ускорять какие-то процедуры и т. д., а цифровизация - это внедрение цифровых технологий в бизнес-процессы, которое коренным, качественным образом меняет вообще весь бизнес.

Если мы внедрили сеть 5G у заказчика, это не значит, что мы реализовали проект по цифровизации. Мы всего лишь сделали для него Интернет более быстрым, надежным, качественным и охватили большее количество площадок. А вот если на сети 5G завязаны именно бизнес-процессы, например, появились новые бизнес-модели, связанные с Интернетом вещей, тот же самый каршеринг или тонометры, которые контролируются врачами удаленно, то тогда можно говорить о полноценной цифровизации. Задача Cisco в этом плане - предложить набор технологий, который позволит, как минимум, автоматизировать многие процессы, а если заказчик думает стратегически, то и перейти на рельсы цифровизации. Cisco готова консультировать по ряду вопросов с цифровизацией, у нас есть соответствующее консалтинговое подразделение, но все-таки основная ответственность лежит на стороне заказчика. Он должен понимать, зачем ему технология с точки зрения его бизнеса, а не с точки зрения ускорения, улучшения, упрощения рутинных задач, которые он пытается переложить на средства автоматизации.

Не зря называют революционной индустрию 4.0: она, в отличие от автоматизации, меняет все бизнес-процессы в корне, а новые услуги ведут начало от внедрения технологий.

Фишинговые атаки в 2019 году - прошлое или настоящее? Насколько велик ущерб от фишинга сегодня? И как на ситуацию влияет возрастающая тенденция к переходу специалистов в удаленный режим работы?

- Фишинг, наверное, не претерпел серьезных изменений за последнее время, но при этом нельзя считать, что эта проблема не стоит внимания, потому что, по различным оценкам, до 90-95% всех атак начинается именно с фишинга. Задача злоумышленников - втереться в доверие к пользователю и заставить его, если мы говорим о самом популярном виде фишинга - через e-mail, либо открыть вредоносное вложение, либо кликнуть по вредоносной ссылке. А вот дальше начинается свобода творчества злоумышленника: он может либо красть информацию, либо перехватывать управление какими-то системами и т. д. В этом случае сложно говорить о каких-то экономических потерях именно от фишинга, потому что фишинг - это, скорее, точка отсчета или начальная стадия современных атак. В зависимости от того, для чего фишинг нужен злоумышленнику, размер ущерба будет коренным образом отличаться. Но при этом фишинг остается основной начальной точкой для реализации 95% всех атак.

Удаленный режим работы влияет на ситуацию только в том случае, если пользователи начинают решать рабочие задачи с помощью общедоступных почтовых сервисов вместо внутрикорпоративных. Они, как известно, защищены гораздо хуже. Разумеется, говоря это, я имею ввиду, что проект по удаленному доступа решается правильно, с учетом всех рисков. Если сотрудников просто "отправили по домам", оплачивая их Интернет, но не предоставляя никаких средств защиты, то такой "удаленный" доступ ситуацию с фишингом только усугубляет - сотрудники остаются один на один с злоумышленниками, которые как раз за счет фишинга смогут проникнуть сначала в домашние сети, а затем уже и в корпоративные, используя удаленных работников как плацдарм для развития своих наступательных операций в киберпространстве.

Должны ли отличаться стратегии построения ИБ в компаниях, имеющих дело с личными данными клиентов, и в компаниях, которые не соприкасаются с такой информацией? Как следует поступать тем, кто только рассматривает перспективу обработки персональных данных, но в настоящее время этим не занят?

- На самом деле я с трудом представляю себе компанию, которая не имеет дела с персональными данными. Если компания занимается продажей своей продукции или услуг, то у нее есть клиенты, а у этих клиентов есть персональные данные. И даже обычный ИП тоже имеет дело с персданными, как минимум, своими собственными, которые тоже подлежат защите. Законодательство, как российское, так и европейское, не делает большой разницы между большим объемом обрабатываемых персональных данных и малым. Недавно, в Европе на 50 тысяч евро была оштрафована организация только за то, что она отправила сообщение с личными данными не по тому адресу. С точки зрения требований по технической защите и требований по организационным мероприятиям по защите прав субъектов персональных данных, разница есть только в отношении штрафов. Если утекла большая база, и произошло это в Европе, то штраф может достигать сотен миллионов евро, и это достаточно существенный удар по бизнесу. С точки зрения первоначальных инвестиций, разницы между большим и малым объемом персональных данных почти нет. Если рассматривать компании, которые работают с персональными данными и которые с ними не работают (если вообще можно представить такую ситуацию), между ними тоже нет разницы. Не так важно, защищаем ли мы базу с паспортными данными клиентов, их деньги, которые находятся у нас на счетах, или их файлы, которые они хранят в нашем облаке. Во всех случаях мы защищаем конфиденциальную информацию, и подходы к ее защите, в общем-то, не сильно отличаются друг от друга.

Разница только в ответственности за нарушение требований по защите различных видов информации. За нарушение законодательства "О персональных данных" существуют штрафы. Если компания ведет бизнес в Европе или среди ее клиентов есть граждане Евросоюза, то она попадает под более серьезное европейское законодательство. Там к этим вопросам относятся на порядок строже. Если компания целиком сосредоточена на России, то на нее распространяется только российский закон "О персональных данных", а за его нарушение штрафы пока незначительны. К сожалению, это приводит к недооценке проблемы со стороны многих заказчиков. Но именно пока - Госдума уже рассматривает законопроект об увеличении штрафов о нарушении отдельных статей закона о персональных данных до 18 миллионов рублей. Однако если дистанцироваться от классического правила, что жесткость закона в России компенсируется необязательностью его исполнения, и говорить только о подходе, то разницы между защитой большого или небольшого объема персональных данных или любой другой конфиденциальной информации практически нет.

Как специалист по ИБ может поддерживать актуальность используемых инструментов с учетом эволюции угроз, использования киберпреступниками технологий ИИ и т. д.? Предусмотрена ли в решениях Cisco такая возможность? Или отслеживание изменений в отрасли - в большей степени обязанность самого ИБ-специалиста?

- Сегодня вообще меняется подход к обучению. Классическое трех-, пяти-, шестилетнее обучение, к сожалению, не успевает за изменениями в современном мире, особенно в отношении технологий и методов, которыми пользуются злоумышленники, и, как следствие, технологий борьбы с ними. Поэтому самообразование сейчас является самым главным для специалиста. Есть несколько вариантов, которыми могут воспользоваться и заказчики Cisco, и ИБ-специалисты, и просто интересующиеся для того, чтобы быть в курсе актуальных тенденций в области кибербезопасности.

Во-первых, это различные порталы и информационные рассылки, на которые можно бесплатно подписаться на официальном сайте Cisco. Там публикуются сведения от нашего подразделения Cisco Talos, которое является крупнейшей в мире неправительственной группой по анализу угроз. Подписаться на такую рассылку может любой желающий. Специалисты Cisco Talos обнародуют самые последние сведения о методах злоумышленников и результаты многочисленных отчетов и исследований. Аналогичный портал ведут и приобретенные нами компании OpenDNS (сейчас Cisco Umbrella) и Duo.

Второй важный момент - это полноценное обучение, которое проводят многие авторизованные центры Cisco или Сетевые академии Cisco. В рамках такого обучения можно получить знания о современных способах построения сетей и их защиты с учетом всех последних тенденций. Это платное обучение, ориентированное на пользователей технологий Cisco. Есть и облегченные онлайн-версии такого обучения, которое можно пройти на нашем сайте абсолютно бесплатно.

Также не стоит забывать про обучающие семинары, конференции, вебинары и другие онлайн-форматы, которые проходят регулярно и которые позволяют специалистам поддерживать свой уровень знаний и навыков на должном уровне. Главное, отслеживать новости о них через наши социальные сети и наш сайт.

Помимо этого, все наши продукты регулярно обновляются. Любое обновление сопровождается специальным сообщением - Release Note. Это уведомление содержит описание новых функций и их предназначения. А если мы говорим о средствах защиты, то в рамках обновления базы данных угроз также есть уведомления о том, с какими новыми угрозами начинают бороться средства защиты. Это позволяет пользователю наших решений, который читает эту документацию, узнавать о новых технологиях хакеров и новых способах борьбы с ними и, тем самым, повышать уровень своей компетенции.



Источник: DailyComm