Чем сложнее система, тем легче ее сломать — это аксиома. Цифровизация российской экономики не стала исключением: чем больше базы данных связываются между собой, чем больше каналов доступа проводится, тем больше возможностей открывается злоумышленникам. В то же время многие считают, что если «повесить» на эту гору данных побольше замков, это лишит цифровизацию самого смысла. Где в таком случае проходит середина и как сегодня обстоят дела с информационной безопасностью, разбирался «Континент Сибирь».
По мнению руководителя аналитического департамента AMarkets Артема Деева, совершенно очевидно, что цифровая экономика, цифровизация, интеграция высоких технологий не может оставаться разрозненной и продвигаться за счет нескольких «лидеров» процесса и отдельных топ-менеджеров. «Уже сегодня цифровая экономика требует межведомственного подхода, сотрудничества всех звеньев производственных процессов, в которые внедряется цифровизация или затрагивает их. На сегодня, помимо проблем понимания важности и необходимости своевременного перехода к цифровой экономике, дефицита квалифицированных кадровых ресурсов, ограниченности доступа различных представителей рынка, даже внутри отдельных сегментов, к новым технологиям, зачастую мы самостоятельно создаем трудности на пути цифровизации», — уверен Артем Деев.
«Пока видно, что верх берет сторона запретов. — констатирует руководитель отдела аналитики SearchInform Алексей Парфентьев. — Проблема в том, что большинство регулирующих документов, которые были приняты в последние четыре года, не приводят к позитивным результатам, а тормозят цифровизацию экономики и вызывают справедливую общественную критику. На уровне стратегических инициатив, в виде роадмапов или доктрин звучат здравые идеи, приводятся правильные идеи по реализации и срокам цифровизации. Но на уровне отдельных ведомств исполнение часто оставляет желать лучшего. Это видим на примере Роскомнадзора. Его действия очень сильно тормозят цифровизацию, потому что направлены на запрет, а не на развитие. При этом даже запреты реализуются неэффективно – Телеграм работает, в блокировке пиратского контента больше заслуга самих создателей и прокатчиков, чем ведомства».
В августе 2019 года «Континент Сибирь» уже поднимал тему персональных данных и их использования. Но либерализация закона совсем не означает, что теперь с данными можно делать все что вздумается, «прикрыв» несколько букв и цифр. Незаконное использование и разглашение персональных данных по-прежнему остается преступлением, и наказание за это будет только ужесточаться.
«Конфиденциальность информации в России защищает сразу несколько законов: о персональных данных (152–ФЗ), о коммерческой тайне (98–ФЗ), об инсайдерской информации (224–ФЗ) и другие. В последнее время число случаев нарушений этих законов растет, — комментирует SearchInform Алексей Парфентьев. — Это происходит из-за доступности больших массивов данных для сотрудников, а также по мере цифровизации документооборота».
Человеческий фактор и технические меры
«Защищать персональные данные сегодня реально получается плохо, — дает свою оценку генеральный директор компании «Облакотека» Максим Захаренко. — Новости о серьезных утечках на десятки-сотни тысяч записей появляются каждую неделю. Основная причина лежит в «бумажной» безопасности, которая предписывает использовать, например, только определенные средства защиты — а они, как показывает опыт, существенно отстают в качестве. Потому что любое обновление ПО может требовать процедуры пересертификации, на что могут уйти месяцы. Если сместить и ужесточить наказание за факт инцидента и нарушения прав субъектов, но при этом разрешить использовать для этого любые средства защиты, можно существенно повысить уровень защиты и ответственность операторов».
Именно этот фактор, по его мнению, и стал основной причиной либерализации персональных данных — какая-то их часть (наименее существенная) может быть выведена из-под защиты и в дальнейшем распространяться свободно, а другая будет охраняться сильнее, и наказание за ее утечку станет строже.
Некоторые эксперты отмечают, что в текущем варианте закон «О персональных данных» построен так, чтобы гарантированно отбить у всех желание иметь с этими данными хоть что-то общее. С одной стороны, формулировки и определения трудно назвать однозначными, с другой — регулятор прямо заинтересован в том, чтобы обвинить, а не урегулировать разногласие сторон. Плюс множество штрафных санкций при полном отсутствии положительных стимулов — например, снижении налогов за счет инвестиций в системы защиты данных.
«С этим я не соглашусь, — считает Алексей Парфентьев. — Закон, напротив, построен таким образом, что наказать за утечку данных очень сложно. Начнем с того, что компании могут просто выпасть из поля зрения регулятора, не заявив себя оператором обработки данных. И как видим, подавляющее большинство российских компаний так и делает. А зарубежные компании просто тотально игнорируют закон. Но даже если они выполняют требование и попадают под действие закона, штраф по нему для физлица меньше, чем за нарушение ПДД. А для юридического – вообще незаметен. Штрафы увеличивают, но они все равно не побуждают к выполнению закона. Единственная причина, по которой закон соблюдается – это желание избежать репутационных рисков. Но это применимо только к корпоративному сегменту. Государственные органы не переживают по поводу имиджа. Чтобы практику в корне поменять, можно взять за образец зарубежную практику, например, европейский регламент GDPR, который предполагает огромные штрафы».
«Такие проблемы возникают при попытке выполнить требования закона «для галочки», — высказывает свою точку зрения эксперт по развитию информационной безопасности группы компаний Softline в СФО Иван Озеров. — Специалист, который разобрался в вопросе защиты персональных данных, не испытывает трудностей в общении как с контролирующими органами, так и с людьми, которые думают, что их информацией могут злоупотреблять. Для погружения в вопрос нужно изучить имеющиеся требования, разобраться во внутренних процессах работы с персональными данными в компании, посмотреть российскую правоприменительную практику и прецеденты, подобрать и применить организационные и технические меры для защиты. Далее остается только поддерживать все в рабочем состоянии».
Человеческий фактор в утечке данных не всегда может проявиться намеренно: на этой неделе сотрудники Николаевской АЭС в Украине разместили в одном из помещений установку для майнинга криптовалюты, в результате чего в сеть случайно «утекла» служебная информация. Сейчас, по информации агентства УНИАН, сотрудникам электростанции и военным, охранявшим ее, может быть предъявлено обвинение в разглашении гостайны.
Наконец, еще один, чисто российский человеческий фактор отмечает Searchinform — отечественный бизнес и государственные органы до сих пор предпочитают замалчивать случаи утечек и краж данных. Пример тому — недавняя история с «РЖД», когда об утечке личных данных сотрудников первыми сообщили блогеры и журналисты, нашедшие базу данных на стороннем сайте. В других странах компании обычно первыми сообщают об утечках, чтобы защититься от лишних домыслов, а в России, по данным Searchinform, 70% компаний предпочитают об инцидентах молчать.
Чем выше кабинет, тем выше риск
Свою аналитику провела и компания InfoWatch — и пришла к выводу, что чем выше привилегии пользователя, тем больше риск утечки. По итогам 2018 года в мире доля утечек информации ограниченного доступа, случившихся по вине привилегированных пользователей, составила 5,1%, а в России этот показатель оказался почти вдвое выше — 9,6%.
Обратная сторона импортозамещения: как американцы борются с российской компанией на своем рынке
Причины такого разрыва аналитики связывают с несколькими факторами. В первую очередь с тем, что роль социальной инженерии в утечках в России вот уже много лет традиционно выше, чем в целом по миру. «Это связано с тем, что крупные компании научились справляться с внешними угрозами, однако противодействие внутренним нарушениям на разных уровнях зачастую оказывается более сложной задачей, — комментирует руководитель отдела аналитики и спецпроектов InfoWatch Андрей Арсентьев. — И успех зависит не только от эффективности технических средств, но и от зрелости процессов, а также от системности мероприятий, направленных на повышение уровня «цифровой гигиены» пользователей и воспитание культуры обращения с данными».
Среди «громких» событий текущего года Searchinform выделил случай из Новосибирска. Супервайзер одного из ведущих операторов связи начал (при свидетелях) обзванивать клиентов, предлагая им новые услуги, а его сообщник, ранее работавший в той же компании, вошел под чужим логином в корпоративную сеть и скопировал данные абонентов, в том числе финансового характера. Попался он на том, что DLP-система перехватила отправленный со служебной почты архив с личными данными. В итоге подельники получили условные сроки.
«В основе подобных случаев лежит не хитрый взлом системы, а мошенничество, от которого не спасают ни федеральные законы, ни классические технические средства вроде блокировки и разграничения доступа к информации на уровне локальной сети, — поясняет Алексей Парфентьев. — Простой технический подход неприменим к защите от мошенничества, потому что это человеческая, а не техническая угроза. Это понимают и заказчики, и разработчики средств защиты информации. Отсюда рост популярности систем анализа рисков в дополнении к уже существующему комплексу защиты информации, который мы сейчас наблюдаем».
Нужен ли нашей «безопасности» протекционизм?
Протекционизм часто ассоциируется с застоем, вызванным отсутствием конкуренции, ростом цен, отставанием в развитии. Тем не менее средствам информационной безопасности, по мнению экспертов, это не грозит — по двум причинам. Во-первых, данную отрасль в нашей стране никак нельзя назвать отсталой и неразвитой — «Континент Сибирь» уже писал о том, какие меры принимают США и Европа, чтобы защитить свой рынок от российских программных продуктов. То есть здесь мы имеем, как минимум, паритет. «Причины этого также понятны, эффективная цифровизация предполагает смену принципов ведения хозяйства, глубокую интеграцию одних компаний в другие, — комментирует Артем Деев. — В условиях рыночной экономики, построенной на давлении в адрес конкурентов и протекционизме, уровня доверия, необходимого для эффективного внедрения цифровых технологий, не достичь. Отсюда и появляются так называемые «препятствия», а по факту — защитные механизмы государств, компаний, отдельных лиц».
Главные угрозы информационной безопасности — внутри компании
«Высокий спрос на российские решения со стороны государственных органов и компаний с государственным участием помог разработчикам отечественного программного обеспечения совершить качественный скачок, — дает оценку текущей ситуации Иван Озеров. — Внутренняя конкуренция вынудила повернуться лицом к пользователям, учитывать желания заказчиков. Сегодня недостаточно быть просто «импортозамещающим», нужны реальные конкурентные преимущества».
Протекционизм может быть не обязательно материальным — одним из ключевых вопросов федерального проекта «Информационная безопасность» (связанного с программой «Цифровая экономика») остается кадровый. В ближайшие годы планируется в разы увеличить подготовку специалистов в отрасли. Можно ли для этого привлекать экспертов из других стран, в том числе недружественных? Участники рынка считают, что да. «В этом нет ничего плохого, — отвечает Артем Деев. — Как показывает практика, недружественны друг к другу зачастую не люди, граждане, специалисты, а политические элиты, поэтому обычных мер безопасности, исключая секретные или сверхважные разработки, может оказаться вполне достаточно».
Некоторые эксперты, скептически относящиеся к политике импортозамещения, считают, что замена одних иностранных продуктов (платных) на другие (на бесплатных платформах) проблему не решит, а только усугубит, так как подобный софт может стать аналогом «стандартного замка». Максим Захаренко эту точку зрения не разделяет: «Открытые платформы — это не стандартные замки. Это устойчивые алгоритмы, которые можно верифицировать и быть уверенным в отсутствии НДВ. В особых случаях имеет смысл быть уверенным в своих системах безопасности, но надо ли применять отечественные не самые эффективные средства вообще во всех госорганах — серьезный вопрос, связанный больше с финансовыми вопросами, чем с реальной безопасностью».
По мнению Ивана Озерова, такого рода продукты просто не выдержат конкуренцию: «Компании, решения которых базируются на открытых бесплатных платформах, не приносящие ничего нового в продукт, на длинной дистанции проигрывают в такой борьбе».
«Отечественные продукты для ИБ безопаснее, чем иностранные, просто потому, что они обязаны проходить сертификацию, которая предполагает передачу исходных кодов. То есть проверяющие могут проверить ПО на скрытые возможности. Иностранные компании на это не идут, — рассуждает Алексей Парфентьев. — Но есть и другая сторона. Программы, как сложные продукты, почти всегда состоят из составных частей, и многие из них заимствованы. Можем судить по нашему рынку, у многих коллег по цеху до 70% программы может состоять из западных технологий. И становится реальной прикладной проблемой».
Эксперт приводит пример: любые решения, которые обрабатывают большие массивы данных, используют так называемые индексаторы. Наиболее популярный – Elasticsearch. Он лежит в основе программного продукта для информационной безопасности одной отечественной госкомпании. В этом году в Elasticsearch была найдена критическая уязвимость, уже известны сотни случаев, когда она становилась причиной кражи баз данных.
Система сложнее, сбоев меньше — возможно ли?
Одним из пунктов федерального проекта «Информационная безопасность» стало снижение среднего срока простоя инфосистем в результате компьютерных атак — в 2020 году он должен составлять не более 24 часов в год, в 2021 году — не более 18 часов. Можно ли этого достичь, с учетом того, что этих самых информационных систем в будущем станет только больше?
Иван Озеров считает, что да. «При проектировании, в соответствии с ГОСТ 34-й серии, отдельным подразделом в техническом задании заказчик указывает требования к системе в целом, в том числе требования к надежности. На снижение времени простоя в результате компьютерных атак для уже введенных в эксплуатацию информационных систем направлен принятый в 2017 году закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Благодаря появлению новых требований со стороны регуляторов многие компании пересматривают свой подход к вопросам обеспечения информационной безопасности и переходят к выстраиванию более надежной комплексной системы защиты».
WPBuild.Ru