Скопировать ссылкуС точки зрения ИТ-уязвимостей существующие технологические решения в сфере корпоративной информационной безопасности, а также качество используемого организациями программного обеспечения не способны обеспечить необходимый уровень защиты. Мало того, чем крупнее корпорация, тем выше вероятность, что она окажется жертвой массированных, целенаправленных и... безнаказанных атак.
Если прежде, действуя по традиционной схеме, киберпреступники добивались поставленных целей, по сути, благодаря статистике (их «бизнес» окупался за счет «оборота» — общего объема заражений и нанесенного ущерба), то теперь они поступают иначе. Сегодня для того, чтобы успешно атаковать корпорации, примитивных вирусов и других зловредов уже недостаточно. Требуется прикладывать значительные усилия. В частности, для реализации атаки просто необходимо наличие коллектива, так сказать, «творчески настроенных разработчиков». Киберпреступность становится все более дорогим занятием. Не случайно резко выросла результативность адресных, целенаправленных, таргетированных (а не «веерных», как еще недавно) атак. Мир оказался в ситуации, когда достижение злоумышленниками цели становится функцией денег. А проще говоря — бюджета запланированной атаки.
Почему бизнес оказался настолько беззащитным перед лицом киберугроз? В первую очередь потому, что большинство компаний, разрабатывающих системы информационной безопасности, никогда не было нацелено на выпуск «брони», защищающей от целенаправленных атак. То есть таких кибердиверсий, которые специально планируются и разрабатываются под конкретную корпоративную цель.
Основной упор делался, как я уже отмечал в предыдущей заметке, на защиту от случайных атак. Но все оказывается иначе, когда готовится целенаправленная акция, а злоумышленники прекрасно знают, какая именно антивирусная система установлена, какие системы ИТбезопасности внедрены в компании, как устроен весь периметр защиты. Часто — в деталях.
Так что мы с полным правом можем говорить о масштабном кризисе на рынке информационной безопасности. Никто — ни корпоративные заказчики, ни поставщики средств защиты — не ожидал, что качество атак резко возрастет за столь короткое время.
Впрочем, не следует излишне драматизировать ситуацию. Я уверен, что за столь же короткий срок компаниямразработчикам удастся построить новые системы защиты информации корпоративного уровня, базирующиеся на новых технологиях и новых подходах к обеспечению безопасности. А значит, проблемы корпоративной ИТбезопасности если и не решатся окончательно, то уж по крайней мере можно будет говорить о достижении разумного баланса между угрозами и стоимостью защиты. К тому же на рынке в целом имеется понимание, как добиться решения этой задачи.
Один из вариантов — применение такой технологии борьбы с уязвимостями в программном обеспечении, как «белый список» (whitelist). В рамках этого подхода предполагается, что работа в компаниях происходит только согласно разрешенным, заранее протестированным сценариям. И лишь с теми приложениями, которые значатся в таком списке.
Отличие подобной формы использования программных средств и вариантов их применения от традиционных подходов — принципиально. Ведь, в отличие от привычной ныне логики «разрешено все, что не запрещено», «белый список» запрещает все, что не разрешено. Внедрить «мину замедленного действия» в такую систему гораздо сложнее. Да и с ходу пробить «кибербоеголовкой» — тоже.
Появятся и другие технологии. В частности, наша компания уже разработала целый ряд новых решений, обеспечивающих необходимую защиту информации. Однако не следует полагаться только на участников рынка систем информационной безопасности и их продукты. Должна произойти масштабная перестройка подходов к стратегии ИТбезопасности в организациях. И особенно — в крупных корпорациях, вызывающих повышенный интерес киберпреступников. Мало того, следует быть готовыми к тому, что сотрудникам придется поступиться многими «правами и свободами». Прежде всего — связанными с активностью в Интернете. Но другого пути нет. Иначе схватка с киберпреступностью будет проиграна. На войне как на войне.
На мой взгляд, следует не только «отсекать» наиболее критичные объекты ИТинфраструктуры от глобальной Сети, но и одновременно использовать новые методы защиты. Ведь теперь следует постоянно помнить: целью злоумышленников может быть не просто банальное воровство данных, а полноценный террористический акт с применением кибероружия.
Конечно, если содержащаяся на компьютерах информация не настолько важна, чтобы поступаться удобством работы сотрудников в Интернете (особенно в тех случаях, когда это входит в круг служебных обязанностей работников), такие рабочие станции можно подключать к Сети. Однако для обеспечения конфиденциальности и защиты от утечек уже сегодня имеет смысл начинать внедрение политик в сфере информационной безопасности, построенных с опорой на методологию «белых списков». И обеспечить обязательность их выполнения.
Согласен, это неудобно, непривычно, а вдобавок требует «переделки мозгов» сотрудников и специального обучения ИТперсонала. Но делать это необходимо. Слишком высока цена вопроса.
С чего начинать компаниям, руководители которых понимают необходимость обеспечения защиты корпоративных данных? Прежде всего следует проанализировать информацию, хранящуюся в информационных системах, и ответить на первый (и самый главный!) вопрос: сколько эта информация стоит? И что произойдет, если она будет украдена? Причем не просто украдена и опубликована, а украдена так, что ни руководство, ни служба безопасности не будут знать, что данные стали достоянием сторонних лиц.
Вопрос этот следует задавать себе именно в такой, развернутой формулировке. Поясню. Когда информация опубликована, вы хотя бы знаете, что именно украдено, и представляете себе размеры катастрофы. Если же неизвестно кто украл неизвестно что и неизвестно когда… Это не просто «неприятная загадка». Последствия такой потери могут быть чрезвычайно серьезными. А главное, непредсказуемыми. В такой ситуации под угрозой может оказаться весь бизнес компании, ее будущее.
Второй вопрос, на который необходимо ответить руководителям организаций, чтобы обеспечить адекватную оборону и защиту своих данных, касается инфраструктурных объектов. Вопрос звучит так: что произойдет, если к нам прилетит «компьютерная боеголовка»? Насколько серьезным окажется удар не только по нашей компании, но и по всей национальной экономике, национальной безопасности?
Подобным угрозам прежде всего подвержены промышленные, транспортные и энергетические предприятия. Но ведь от стабильности и надежности их работы зависят сотни тысяч, а порой миллионы людей! Однажды компьютерный вирус уже остановил все железные дороги Австралии. Другая атака привела к тому, что вся Южная Корея оказалась полностью отключена от Интернета. А уж о сбоях в работе банков, вызванных проникновением зловредов в компьютерные сети, известно каждому. Причем многим — не понаслышке. Согласитесь, неприятно оказаться в ситуации, когда банковская карта перестает вдруг выполнять функции кошелька и превращается в кусок бесполезного пластика.
Главное, что должны сделать сегодня руководители компаний, — оценить возможный ущерб от вирусной атаки как для самой компании, так и для общества в целом. Ведь все мы связаны друг с другом тысячами невидимых нитей.
Вот только «догадки» в качестве ответов не принимаются. Результативная диагностика возможна лишь по итогам комплексного аудита компьютерной сети и всей системы информационной безопасности организации. Где и как хранится информация? Каковы каналы ее распространения, правила доступа и обработки? Какие информационные процессы происходят в компании и как управляются потоки данных? На эти и множество других вопросов следует иметь четкие, профессиональные ответы. Аудит необходим для того, чтобы понять, в каких местах информация оказывается наиболее уязвимой.
Не самые крупные предприятия могут доверить проведение такого аудита специализированным компаниям, действующим в сегменте информационной безопасности. Если же речь идет о действительно масштабном бизнесе, то решением этих задач, как правило, занимаются собственные службы. Это уже реальность: во многих корпорациях и госструктурах сформированы мощные департаменты информационной безопасности. Кстати, в некоторых крупных банках работают даже собственные вирусные аналитики, проводящие детальный анализ компьютерных атак.
Компании, в которых, кроме «главного по ИТ» — CIO, есть еще и должность CISO (топменеджер, курирующий вопросы информационной безопасности), тоже уже не редкость. Скажем, банки относятся к вопросам защиты информационного периметра максимально серьезно. Для них информация, которой они владеют, — критически важный элемент, «ядро». А потеря контроля над данными способна привести к потере всего бизнеса и банкротству.
Увы, вынужден сообщить очередную плохую новость всем компаниям: придется вкладываться в информационную безопасность. Причем гораздо более серьезно, чем раньше. Потребуются и дополнительные ресурсы для существующих отделов ИТбезопасности: финансовые, кадровые, организационные, технические. Если же таких отделов нет, их нужно будет создавать. Впрочем, это хорошая новость для игроков рынка информационной безопасности.
Ну а другая хорошая новость была сформулирована выше. Баланс сил можно восстановить, нивелировав временное преимущество, которое получили киберпреступники. Эта задача вполне может быть решена совместными усилиями участников индустрии ИТбезопасности и компанийзаказчиков.
Евгений Касперский — генеральный директор «Лаборатории Касперского»
