Суть дела: Подготовка к кибервойне

Новые технологии не только несут в себе новые возможности, но и повышают риски. По роду своей работы я изучаю различные модели угроз и могу сказать, что для очень многих российских предприятий самыми страшными угрозами являются регуляторы, а вовсе не хакеры или какие-нибудь кибербойцы.

За последние годы принято очень много регламентирующих документов, связанных с персональными данными, или - в рамках государственных информационных систем - по критически важным объектам. ЦБ постоянно радует нас рекомендациями, которые в любой момент могут стать обязательными. Поэтому, развивая интернет-технологии, не надо забывать: на самом деле мы развиваем базу для того, чтобы увеличивались риски.

Мир изменился, и появились новые поводы для атак. Раньше вам казалось, что какие-то студенты, изучая, как работают компьютеры, могут залезть на ваш сайт и что-то поломать. Два года назад все стали всерьез говорить, что это никакие не студенты, а организованная преступность. В последние годы активизировались идейные кибербойцы, которые валят различные ресурсы просто в знак протеста.

Кроме того, все страны готовятся всерьез воевать в киберпространстве. А это значит, что любой ваш ресурс, чем бы вы ни занимались - телекоммуникациями или транспортом, добычей ресурсов или финансами, в любой момент может стать серьезным форпостом для защиты информационной системы государства в этой кибервойне. Вы не только самостоятельное предприятие, а как бы часть системообразующего периметра защиты информационной системы.

Появились новые объекты для атак. Раньше атаковали сайты и компьютеры пользователей, сейчас атакуют приложения, которые защитить гораздо сложнее.

Появились и новые способы атак. Прежде достаточно было вовремя ставить антивирус, покупать современное ПО и средства защиты, а сейчас целевые атаки делают совершенно бесполезными даже серьезные, эшелонированные системы защиты. Потому что люди, которые понимают, как эта система работает, достаточно легко ее ломают.

Люди тоже стали умными. Ваши сотрудники ходят на работу с такими штучками, которые позволяют красть информацию. И чем дальше, тем больше людей становится умнее.

Что же делать в этой ситуации? Ведь нельзя остановить прогресс или отказать бизнесу в новых возможностях.

Прежде всего надо отказываться от принципа «да/нет, можно/нельзя». Сейчас одномоментно производится очень много транзакций, и вы не сможете проанализировать каждую. Поэтому все системы, начиная с систем контроля сетевого трафика и заканчивая системами борьбы с мошенничеством, используют другой принцип: они рисуют допустимые профили, и изучается лишь отклонение от этого профиля.

То есть происходит переход от прямого к компенсирующему контролю - контролируется не каждое действие, а последствие и реализуется принцип неотвратимости наказания, когда тебе дают сделать что-нибудь, но перед этим предупреждают: если ты это сделаешь, тебе будет плохо. Чаще всего это работает.

Можно не инвестировать в «тяжелые» средства защиты - надо убедить людей, что они есть и они работают. От технических расследований, от сбора логов надо переходить к юридической поддержке. Потому что самая большая проблема, особенно при внутренних расследованиях, - что у вас собраны доказательства про учетную запись, а обвиняете вы человека. А для суда это не одно и то же. И если вы уволите человека, он подаст в суд заявление, что вы его несправедливо уволили, то все логи, которые вы про него собрали, в суде смысла иметь не будут. Поэтому очень важно помнить о том, что сейчас все действия должны иметь юридическую значимость.

Надо понять, что безопасность - это не просто проект, а кропотливая работа по созданию, а затем постоянному улучшению процессов, которые будут помогать вашему бизнесу быть не только выгодным, но и безопасным.