Бизнес отстал в ИБ

Такую оценку дал директор Департамента цифровых технологий Торгово-промышленной палаты (ТПП) России Владимир Маслов, выступая на Инфофорум-Центре. При этом у бизнеса, прежде всего малого и среднего, работа по выстраиванию мер защиты находится пока на начальной стадии, хотя атакуют небольшие и средние компании так же активно, как и крупные. Владимир Маслов посоветовал бизнесу активнее перенимать опыт органов власти, которые добились значительных успехов в деле защиты ИТ-инфраструктуры от атак в 2022-2023 гг.

Руководитель направления Центра компетенций по информационной безопасности ООО "Т1 Интеграция" Валерий Степанов считает, что эталоном по обнаружению, предотвращению и реагированию на киберугрозы были и остаются организации из финансового сектора, что обусловлено жестким нормативным регулированием отрасли.

По оценке руководителя Центра комплексной безопасности АО "ЛАНИТ" Дмитрия Дудко, во многом такое отставание носит объективный характер, и СМБ сложно перенимать чей-то опыт: "СМБ всегда старается сэкономить на непроизводственных расходах. И если средства защиты информации приобретаются, то исключительно локального характера - прежде всего антивирусы. СМБ-предприятие с 5-10 компьютерами просто не может себе позволить решения по защите периметра или контроля утечек. Поэтому я сомневаюсь, что компании СМБ смогут перенять какой-то опыт у крупного бизнеса". По мнению Дмитрия Дудко, главной задачей 2023 г. является переход на решения, которые не подвержены санкциям, но данный процесс очень небыстрый: на полную замену ушедших вендоров уйдет два-три года.

По мнению собственника продукта ООО "Инностейдж" (Innostage) Евгения Суркова, между бизнесом и государством существует объективная разница вследствие принципиально разного целеполагания: "Коммерческие организации ориентированы на достижение максимальной прибыли. Взять те же критерии категорирования: только один критерий обоснования трат на ИБ - соотношение затрат и экономии - совпадает с их базовыми потребностями. У государства основной KPI - благополучие граждан, что в некоторых ситуациях вступает в прямой конфликт с целями бизнеса. Поэтому, пожалуй, ключевая проблема - невозможность, ввиду неумения или недостатка данных, адекватно посчитать и спрогнозировать влияние потенциальных рисков и угроз ИБ на конкретные финансовые потери".

Заместитель генерального директора группы компаний "Гарда" Рустэм Хайретдинов считает, что опыт госструктур для бизнеса не всегда релевантен, особенно для СМБ: "Крупный бизнес особенно сильно оцифрован: финансы, электронная торговля, телеком, онлайн-развлечения - имеет большую цифровую зрелость и, соответственно, более продвинутые системы информационной безопасности. Те ФОИВ, которые повернуты лицом к гражданину и имеют цифровые системы с миллионами пользователей - ФНС, "Госуслуги" и т.п., также не отстают от лидеров цифровизации в частном секторе. Региональные цифровые системы, тем более, могут отличаться по своей цифровой зрелости и зрелости информационной безопасности от федеральных и коммерческих. У них меньше функций и меньше пользователей, да и за редким исключением меньше ресурсов. А зрелые цифровые системы оказались более готовыми к атакам, поскольку их атаковали и раньше. СМБ, который до СВО был скорее случайной жертвой атак, чем целенаправленной, оказался менее защищен. Те из них, кого серьезно сломали в прошлом году, сделали правильные выводы и теперь не относятся к инвестициям в защиту по принципу "да кто нас будет ломать". Также специфика СМБ в том, что они больше используют внешние ИТ-сервисы. Государственные же структуры часто ограничены в возможностях выбора внешних сервисов, поэтому их опыт защиты не всегда релевантен для СМБ".

"Крупный бизнес, ФОИВ и РОИВ изначально защищены лучше, так как выделяют значительные средства на ИБ. У СМБ приоритеты другие, ИБ-риски стоят не на первом месте, поэтому и расходы на обеспечение безопасности сильно меньше. Соответственно, и страдает он больше других. - Для атакующих СМБ - лакомая цель, но чаще всего такие компании используются в атаках на цепочку поставок, становясь "мостом" к другим инфраструктурам, где они имеют доступ как подрядчики, - считает директор по продуктовому развитию ГК "Солар" Валентин Крохин. - Основная цель злоумышленников - это все-таки информационные системы в госуправлении и бизнесе. У госструктур СМБ может поучиться системности в ИБ. Для государственных организаций разработаны конкретные рекомендации, их можно найти в открытом доступе и попытаться применить в отношении своего бизнеса".

Заместитель губернатора Тульской области Галина Якушкина назвала залогом успешного противостояния угрозам применение системного подхода, в том числе и к нижестоящим структурам - подведомственным предприятиям и учреждениям РОИВ и муниципальному звену. Она подчеркнула, что должна быть выстроена единая политика и единая система контроля, чтобы необходимые меры доводились до всех и неукоснительно соблюдались.

Заместитель председателя правительства Тульской области - министр по информатизации, связи и вопросам открытого управления Тульской области Ярослав Раков заявил о некотором снижении количества атак в 2023 г. после удвоения по итогам 2022 г. При этом, по его словам, количество инцидентов было считаным: имели место лишь два дефейса сайтов муниципальных учреждений, где использовалась система управления контентом Bitrix. Но атаки, как заявил Ярослав Раков, стали сложнее, и их целью все чаще становится получение доступа к информации.

Однако появляются новые типы атак. Так, ректор Тульского государственного университета Олег Кравченко рассказал об атаке класса "компрометация электронной почты" (BEC, от Busiines E-mail Comprometation), целью которой было получение персональных данных преподавателей и сотрудников вуза.

"Таких историй по всей России очень много, - заявила ведущий инженер отдела технологий анализа ООО "Газинформсервис" Лидия Виткова изданию Anti-Malware.RU. - Мне, как сотруднику научно-исследовательского центра в Санкт-Петербурге и доценту университета, с частотой раз в месяц звонят "представители силовых структур" и заводят одни и те же мошеннические песни. Многие мои коллеги ученые и преподаватели из разных регионов России рассказывают в нашем комьюнити, что получали подобные звонки". Целью данной атаки стали сотрудники российских вузов и научно-исследовательских институтов, работающих над проектами с господдержкой.

В Тульской области, как проинформировал Ярослав Раков, используется централизованная модель управления ИБ. Такой подход, по его словам, позволяет ускорить реализацию проектов и при этом добиваться контроля исполнения всех норм и требований на местах. Обратной стороной же, как отметил Ярослав Раков, является необходимость иметь подготовленные кадры в достаточном количестве.

Однако именно недостаток и низкое качество подготовки кадров назвал Владимир Маслов главным препятствием для достижения необходимого уровня информационной безопасности. Особенно резко он критиковал качество подготовки на цифровых кафедрах, которые открываются в непрофильных вузах: "Они не дают практических знаний, а только корочки".

Помощник полномочного представителя президента Российской Федерации в Центральном федеральном округе Алексей Мошков назвал не меньшей проблемой и то, что до сих пор в штатном расписании многих предприятий и учреждений или полностью отсутствуют специалисты по информационной безопасности, или их должностные оклады очень низкие.

Важной задачей, как заявил Ярослав Раков, является постоянное повышение осведомленности персонала. Он напомнил, что многие виды атак используют человеческий фактор, и технические средства против них часто просто бессильны. Как отметил Ярослав Раков, необходимо также регулярно, раз в три месяца, проводить оценку практического уровня знаний сотрудников и проводить дополнительное обучение тех, кто поддался на приемы, которые используют авторы фишинговых рассылок.

Вместе с тем есть подходы, где органы власти перенимают опыт бизнеса. Это, например, программы поиска уязвимостей Bug Bounty. О первом опыте применения таких программ рассказал заместитель директора Департамента обеспечения кибербезопасности Минцифры России Евгений Хасин.

https://www.comnews.ru/content/226229/2023-05-19/2023-w20/gosuslugi-pro…

По его словам, в ходе двух первых проектов были обнаружены весьма серьезные уязвимости, которые невозможно было выявить другими средствами, причем очень быстро и с небольшими затратами. Всего, как заявил Евгений Хасин, в качестве вознаграждений выплачено 2 млн руб. По его словам, на 2024 г. уже запланировано использовать практику Bug Bounty для 20 различных государственных информационных систем.