Напередодні кібервійни

Останнім часом російським компаніям все більше уваги доводиться приділяти питанням інформаційної безпеки, що пов'язано як з ініціативами регулятора, так і зі збільшенням кількості небезпек. При цьому, за прогнозами фахівців, надалі ситуація може погіршитися, досягнувши при цьому катастрофічних масштабів. Про основні тренди нинішньої ситуації, а також про те, які шляхи для подолання проблем існують, фахівці розповіли в рамках круглого столу "Безпека в небезпеці – сучасний погляд" у рамках IV CIO & CXO Конгресу "Підмосковні вечори".

І прийшли кібертерористи …


Роман Косичкин, керівник групи передпродажної підтримки та консалтингу Kaspersky Lab EEMEA, в рамках заходу розповів про те, як змінилися кіберзлочинці за минулі роки. Так, до кінця 90-х рр.. небезпека в основному виходила від окремих кіберхуліганів, для яких основною метою було аж ніяк не отримання фінансового прибутку – вони, швидше, були зацікавлені власне в процесі злому. У початку 2000-х рр.. з'явився інший клас порушників – мережеві злодії, яких вже цікавило отримання грошей за рахунок злому банківських систем і т.д. Однак це були окремі особи, які самостійно розробляли шкідливі рішення. У середині 2000-х рр.. з'явилися злочинні угруповання, що було обумовлено значно зросла цінністю інформації. Тоді процес злому виявився розбитий на різні етапи, кожним з яких займалися окремі "фахівці".


Півтора роки тому пролунав перший сигнал про те, що ми переходимо на наступний рівень. В одній з латиноамериканських країн, як розповів пан Косичкин, кіберзлочинці одержали доступ до мереж енергетичної компанії. У результаті в кількох містах пропало електрику, а їх адміністрації було запропоновано заплатити викуп. На той момент випадок був поодиноким, зараз же ситуація змінилася.


На даний момент це вже не просто кіберзлочинці – це кібертерористи. Точкою відліку можна вважати це літо, коли з'явився хробак Stuxnet. Цей черв'як заражав комп'ютери, на яких була встановлена система управління виробництвом, при цьому Stuxnet експлуатував невідомі раніше уразливості "нульового дня" (zero-day). Метою хробака був контроль треба виробничими процесами, відповідно під ударом виявилася промисловість, енергетика і так далі. Особливістю шкідливий стало те, що фінансування в його розробку явно було дуже серйозним: він, наприклад, використовував дійсні сертифікати безпеки Realtek і JMicron, причому, коли перший сертифікат був відкликаний, відразу з'явилася версія з іншим сертифікатом. Висловлюється навіть версія, згідно з якою в розробці хробака взяло участь яка-небудь держава. Днями стало відомо, що зараженою цим хробаком виявилася мережа Бушерської електростанції (Іран). Все це, на думку пана Косічкіна, говорить про те, що ми стоїмо на порозі гонки кіберозброєння.


Ситуація з інформаційною безпекою ускладнюється і тим фактом, що змінилися мережі компаній. Так, основним трендом тут стала відсутність периметра мережі. Якщо периметр важко подолати логічно, то фізично зараз це зробити дуже легко – співробітниками використовуються "флешки", смартфони, ноутбуки та інші мобільні пристрої, на яких можна принести різні шкідливий. Відповідно акцент тепер треба робити не на захисті периметра, як це робилося раніше, а на захисті кінцевих пристроїв.


Ще одним трендом цього часу є зростання кількості загроз: якщо в 2008 році кількість шкідливих кодів становило 15 млн, то в 2009 році – вже 17 млн. При цьому антивірус, звичайно, не є панацеєю, оскільки не може впоратися з усіма аспектами вразливостей.


Серед вразливостей можна виділити декілька основних типів. Перший – вразливості, що з'явилися ще на етапі розробки рішення. Згадати можна, наприклад, історію з кава-машиною, яка мала доступ в Інтернет для зв'язку з власником, чим і змогли скористатися кіберзлочинці. Або літак, мережа управління яким виявилася об'єднана з мережею, яка використовувалася пасажирами – в результаті, реальний літак міг бути використаний як авіасимулятор.


Другий тип проблем пов'язаний з відсутністю оновлень. Як розповів спікер, у компанію часто звертаються з проблемами, яких вже давно можна уникнути завдяки випущеним оновленням, однак користувачі з тих чи інших причин забувають це зробити. Традиційними проблемами є слабкість парольного захисту і непоінформованість користувачів. Відповідно, для забезпечення безпеки потрібно походити до вирішення комплексно.


Таємне має стати явним


Ілля Сачков, експерт в галузі розслідування кіберперступленій, член експертної ради RISSPA, зауважив, що гонка кіберозброєння відбувається тому, що в рівнянні безпеки немає параметра відповідальності за скоєний злочин. Зараз кіберзлочинці, що крадуть банківські ключі, представляють собою групу мінімум з 8 осіб, а також фірму, що займається переведенням коштів у готівку грошей. Це вже ОЗУ, це бізнес, який приносить більше грошей, ніж можна заробити на продажі наркотиків. Для порівняння – молодий чоловік за допомогою dial-up-підключення і бот-нету зумів за місяць заробити і зняти більше мільйона доларів. Інша група хакерів заробила за місяць $ 24 млн. І це не дуже високопрофесійні люди – їх змогли впіймати.


В Інтернет навіть можна знайти оголошення про такі послуги. І незважаючи на те, що 80% з них – фейк, 20% – реальні пропозиції. "Ми робили контрольну закупівлю: за $ 25 купили дампи кредиток з реальними грошима, – Розповів пан Сачков. – Навіть найбезпечніші token останнього покоління вже не гарантують безпеки. Російський же менталітет призводить до того, що за зароблені гроші кіберзлочинці найчастіше отримують і юридичну недоторканність ".


Боротися з кіберзлочинцями можна двома шляхами, причому, у кожного є як плюси так і мінуси. Перший шлях – за допомогою власної служби безпеки. З одного боку, це забезпечує відсутність додаткових фінансових витрат, роботу з тими, хто розуміє особливості бізнесу, а також відсутність витоків інформації. З іншого боку, ці співробітники можуть бути причетні до претсупленію, зібрані ними докази не мають юридичної сили, вони на час розслідування кидають свою основну діяльність, у них відсутні необхідні знання та обладнання.


Другий варіант – звернення до правоохоронних органів. До мінусів цього шляху можна віднести, перш за все, той факт, що в Росії в МВС поки немає структури, яка вміє займатися кіберзлочинами – працювати з DDos-атаками, наприклад, можуть тільки в Москві. "Спробуйте зателефонувати в міліцію і повідомити про кіберзлочини – швидше за все, запис тут же опиниться в Інтернеті, – журиться Ілля Сачков. – Робота з МВС найчастіше чревата витоками інформації в пресу ". Крім того, до цих пір використовуються застарілі методики, немає мотивування, відсутня оперативність реагування. Однак спікер закликав звертатися в міліцію, незважаючи на це. Справа в тому, що зараз статистика говорить про те, що в Росії немає кіберзлочинності – адже немає звернень до міліції з цього приводу.


Г-н Сачков відзначив, що необхідно створити базу кіберзлочинів, інакше через 2-3 роки кіберзлочинність переможе. Крім того, така база даних може багатьом допомогти. Так, було розказано про те, як в одну з компаній був прийнятий ІТ-директор, після чого компанія втратила близько $ 0,5 млн на доменних іменах. На розслідування, яким займався ІТ-директор спільно зі слідчим, було виділено $ 250 тис, проте воно не принесло результатів. Виявилося, що ІТ-директор сам це все організував, а раніше він був під слідством за схожим справі. Вина його до цих пір в суді не доведена. У підсумку він обійшовся компанії в $ 750 тис.


Ілля Сачков висловив думку, що якби банки озвучували інформацію про інциденти, якщо б спіймані злочинці були покарані ізаведени "гучні" справи, то такі банки стали б не такі цікаві для кіберзлочинців. Для ведення розслідувань потрібно в компанії мати спеціальні "критичні" валізки, в яких будуть засоби для запису голосу і відео, сертифіковані в МВС – тільки в цьому разі доведення будуть мати юридичну силу. Вартість такого валізки, якщо його збирати в Росії, приблизно складе $ 6 тис., якщо ж привозити з-за кордону – $ 20 тис.


Куряча сліпота ІБ


Ігор Ляпунов, Директор Центру інформаційної безпеки, ЗАТ "Інфосистеми Джет", торкнувся питання ефективності бюджетів на ІТ-безпеку. Він розповів, що компанією регулярно проводяться тести захищеності систем безпеки різних компаній, і на даний момент в 9 з 10 випадків методи злому працюють. В одній з недавно тестованих телекомкомпаній бюджет на ІБ досяг $ 2,5 млн на рік, однак від найпростішого "Піонерського" злому це не вберегло.


Основна проблема криється в тому, що після установки системи ІБ, як правило, фахівці не бачать, що відбувається із системою, не аналізують інциденти, і вона "розповзається". На даний момент у 80% випадків ІТ-директора в рамках вирішення питань безпеки займаються модернізацією інфраструктури, міграцією на інше ПЗ. При цьому драйвером дій є ФЗ-152, міркування "гігієни" мережі, проходження кращим практикам за принципом "все ставлять". Крім того, фахівці не розуміють, що саме керівництво буде вважати успішним результатом роботи в області ІБ. Таким чином, на даний момент основним засобом забезпечення ІБ є перетворення маленького "огорожі" у великій.


Г-н Ляпунов пояснив, що така політика – не вихід із ситуації. Найбільш вдалим рішення – поставити спостерігача, який буде стежити за маленьким "парканом", тобто використовувати засоби контролю і монітрінга. Такий фахівець зобов'язаний регулярно аналізувати уразливості, стежити за установкою патчів і оновлень. Крім того, в компанії необхідно чесно дивитися на конфігурацію використовуваної системи – кошти безпеки треба не тільки встановлювати, але і налаштовувати у відповідності з потребами. Спікер зауважив, що це питання не впровадження нових рішень, а спостереження за процесом: фахівці компанії повинні знати, що робити в тому чи іншому випадку.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*