Журнал "Системы Безопасности" № 1‘2021

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я : A I , У М Н Ы Й Г О Р О Д , I o T 68 февраль – март 2021 www.secuteck.ru СПЕЦПРОЕКТ КИБЕРБЕЗОПаСНОСТь ЦИфРОВОгО ПРЕДПРИЯТИЯ Мифы и легенды отечественной кибербезопасности: истории успеха, запоминающиеся проекты, лучшие практики 2020 года Анатолий Скородумов, Банк Санкт-Петербург 2020 год из-за пандемии коронавируса был особенным для всех. Особенным он был и для информационной безопасности. Думаю, прак- тически в любой крупной организации можно услышать историю героического вывода персо- нала на удаленную работу в максимально корот- кие сроки. Несмотря на то что компании подо- шли к этому моменту в разной степени готовно- сти к удаленной работе, перевод значительного числа сотрудников на "дистанционку" стал вызо- вом для ИТ- и ИБ-служб в каждой из них. Когда мы выводили сотрудников на уда- ленку, казалось, что это временное явле- ние, на 2–3 месяца максимум. И только к середине 2020 г. начало приходить осознание того, что мир никогда уже не будет прежним. И то, что мы справились с вызовами 2020 г., успешно завершили реализацию стратегии ИБ на 2018–2020 гг., и определило дальнейшие пути развития – это успех всей команды ИБ нашего банка. Алексей Лукацкий, Cisco В уходящем году мы большую часть времени потратили не на цифровую трансформацию, а на решение авральных задач наших заказ- чиков, которым нужно было срочно внедрить удаленный режим работы на своих пред- приятиях. Хотя для тех, кто раньше был кате- горически против любой удаленки по причи- нам кибербезопасности, она стала не просто цифровой трансформацией, а цифровой революцией, которая позволила по-новому взглянуть на то, как можно выстраивать современные бизнес-процессы. Уже осенью 2020 г. часть наших заказчиков от авральной удаленки начала выстраивать полноценную стратегию мобильности для своих сотрудни- ков, которые уже не привязаны к своим офи- сам, а должны подключаться из любой точки к данным и приложениям, размещенным как в корпоративных ЦОД, так и в облачных хра- нилищах. Регулярные утечки чувствительной информации из отечественных компаний – это тренд, веяние времени, угроза кибербезопасности или ожидаемый эффект незрелой цифровизации в организациях? Анатолий Скородумов, Банк Санкт-Петербург Нельзя сказать, что утечки информации – это тренд или веяние времени. Утечки информации были, есть и будут как минимум в ближайшие годы. Ситуация не улучшается с годами по нескольким причинам: 1. С каждым годом объемы информации в электронном виде растут значительными темпа- ми. 2. С каждым годом появляются все новые тех- нологии и устройства, которые создают, обра- батывают, передают и хранят информацию. И далеко не все эти технологии и устройства проектируются и внедряются с учетом совре- менных требований по защите данных. 3. С каждым годом появляется все больше циф- ровых сервисов доступа и обработки различно- го рода информации. Изменяется сама пара- дигма хранения и использования информации. Если раньше ценную информацию старались сконцентрировать в защищенных хранилищах внутри организации и давать к ней доступ со специально оборудованных защищенных рабо- чих мест, то сейчас владелец информации зача- стую не может сказать, где физически распола- гается его информация (где-то в облаке). При этом многие предприятия продвигают принцип, что информация должна быть доступна всегда и отовсюду, практически с любого устройства, которое есть у сотрудника. 4. Какие бы технически сложные системы защи- ты информации мы ни применяли, самым сла- бым звеном в этих системах защиты остается человек. 5. С годами информация становится все более ценным товаром. Криминальная (и не только) индустрия хищения данных постоянно развива- ется, туда вкладываются все более серьезные деньги. 6. Наказание за хищение, продажу и использо- вание незаконно полученной информации несоизмеримо с получаемой злоумышленника- ми финансовой выгодой (а иногда отсутствует в принципе). Да и штрафы за невыполнение необходимых мер для адекватной защиты важ- ных данных от утечек носят больше декларатив- ный характер и не стимулируют предприятия к серьезным финансовым вливаниям в системы защиты обрабатываемых данных. В определенной степени растущее число утечек данных – это действительно эффект незрелой цифровизации, как в отдельных организациях, так и в мире в целом. И с учетом озвученных выше тенденций серьезных улучшений в данном направле- нии в ближайшее время ожидать, видимо, не стоит. Алексей Лукацкий, Cisco Я бы не назвал это чем-то новым. В обычном мире преступники нацеливаются на нечто материальное, что можно продать или исполь- зовать напрямую. В виртуальном пространстве эту роль играют данные. Недаром говорят, что "данные – это новая нефть". Поэтому кибер- преступники нацеливаются именно на данные: крадут их, скупают, привлекают недобросо- вестных сотрудников к краже и т.п. Утечки были 40 лет назад, они существуют сейчас, они будут проблемой № 1 и дальше. И чем более активно цифровая трансформация будет проникать в нашу жизнь, чем больше процессов будет оцифровываться, тем больше утечек данных будет происходить. Практические методы тестирования кибербезопасности на проникновение и наличие уязвимостей: какие инструменты и подходы наиболее востребованы? Анатолий Скородумов, Банк Санкт-Петербург Тестирование киберзащиты предприятия – необходимый элемент построения эффективной системы кибербезопасности. Только так можно наиболее объективно оценить уровень защиты вашего предприятия. Доверять проведение такого рода работ нужно проверенным временем ком- паниям, имеющим у себя в штате квалифициро- ванную команду. Начинать стоит с классических внешних тестов на проникновение, при необхо- димости дополняя их методами социальной инженерии. Затем можно переходить на внутрен- ние пентесты, имитируя внутреннего злоумыш- ленника либо ситуацию, когда хакерам удалось проникнуть в ИТ-инфраструктуру вашей органи- зации и они развивают атаку внутри корпоратив- ной сети. Если вы достигли серьезного уровня зре- лости ИБ, можно переходить к пентестам в режи- ме Red Team, когда команда атакущих практиче- ски не ограничена в средствах атаки и времени ее проведения, а команда защищающихся обладает минимальными сведениями о целях, времени, способах и техниках проводимых атак. Как я уже отметил, лучше, чтобы пентесты прово- дила независимая квалифицированная компа- ния. Обычно к результатам "внешних аудиторов" у руководства предприятия значительно больше доверия, чем к заключениям собственных, пусть и квалифицированных, специалистов по ИБ. Стоит отметить, что самооценка ИБ в россий- ских компаниях не выполняет ту функцию, кото- рую на нее возлагают в западных стандартах по ИБ. Довольно часто она проводится формально и практически подгоняется под нужный резуль- тат. К самооценке стоит прибегать компаниям, имеющим серьезный уровень зрелости ИБ, в качестве подготовительного шага к проведению внешней независимой оценки. n Ваше мнение и вопросы по статье направляйте на ss @groteck.ru