Как бизнесу обеспечить свою информационную безопасность в 2022 году?

После начала военной спецоперации на территории Украины о своем намерении покинуть Россию заявили очень многие поставщики аппаратных и программных решений в сфере информационной безопасности. В этот список вошли IBM, Microsoft, Hewlett-Packard, Imperva, Cisco, Fortinet, Dell, Norton, Avast и другие. Смогут ли российские производители закрыть потребности отечественного бизнеса и критически важных объектов, и какие в целом перспективы открываются в этой отрасли, разбирался «Континент Сибирь».

Сбежать от запада, чего бы то ни стоило

Директор центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелеком-Солар» Владимир Дрюков в ходе форума Positive Hack Days 11 сравнил текущую ситуацию на российском рынке информационной безопасности с игрой в шахматы, когда ферзь, ладья и другие сильные фигуры вдруг исчезли с доски защищающейся стороны. И эти фигуры надо спешно заменить, одновременно пытаясь какими-то способами увидеть атаки и отбить их пешками.

Между тем, генеральный директор Axoft Global Вячеслав Бархатов напомнил о том, что в такой деликатной сфере, как инфобезопасность, процесс импортозамещения начался задолго до 24 февраля 2022 года. «Многие решения, продукты существовали, но работали у единиц заказчиков. Сейчас эти продукты, которые словно ждали своего часа, выходят на поверхность и неизбежно будут завоевывать рынок», – подчеркнул он.

инфобезопасностьДиректор по развитию бизнеса Positive Technologies Максим Филиппов, участвовавший в форуме Positive Hack Days 11, отметил, что заказчики его компании формируют целые программы по замещению продуктов. Правда, по его словам, у текущей ситуации с ускоренным импортозамещением есть два риска: возможные сокращение бюджетов у заказчика и отсутствие аппаратных платформ.

На сегодня у половины российских компаний доля отечественного ИБ-софта (антивирусы, системы защиты веб-приложений, баз данных и так далее) составляет лишь 15%, тогда как в госсекторе у каждой третьей организации большую часть средств защиты поставляют российские производители. Однако на конец мая 2022 года семь компаний из восьми, использующих иностранные средства ИБ, заявили о том, что планируют сменить их в течение года на российские аналоги – даже если это повлечет за собой увеличение расходов.

Обратная сторона импортозамещения
Обратная сторона импортозамещения: как американцы борются с российской компанией на своем рынке

По мнению генерального директора Innostage Айдара Гузаирова, история с недоверием к западным производителям может вылиться в своеобразный двусторонний железный занавес, ситуацию, при которой не только иностранные вендоры сворачивают бизнес, но и заказчики не будут стремиться вернуть отношения с зарубежными партнерами.

Между тем, Владимир Дрюков нашел в этом гипотетическом «железном занавесе» и положительные стороны: российские разработчики, изолированные от мира друг с другом, уже начинают коллаборироваться: «Компании, которые я всегда считал ключевыми конкурентами, как и другие игроки на рынке инфобезопасности, после 24 февраля объединились и вместе стали бороться с новыми угрозами, обмениваясь информацией по утечкам, по поставкам программного обеспечения – подчеркнул он. – Крайне важно, чтобы информация по атакам не окуклись внутри заказчика, а была донесена до сообщества, через все доступные возможности».

А можно ли заместить все?

Первый день форума PHDays 2022 отметился панельной дискуссией «Обеспечение технологической независимости», на котором был поставлен вопрос: чего еще не хватает российским разработчикам для полного импортозамещения? Легко говорить о кризисе, как о времени возможностей, но что делать, когда замещаться банально нечем?

форум PHDays 2022Генеральный директор компании R-Vision Александр Бондаренко отметил, что несмотря на рост интереса к продукции российских программистов, зависимость от иностранного «железа» никуда не делась. А без «железа» нет и софта – и многие разработки сегодня тормозятся по той причине, что на них не хватает мощности.

«Уход зарубежных производителей как систем АСУ ТП, так и решений по информационной безопасности сильно ухудшил положение промышленных компаний в области защиты от киберугроз. Например, такие производители, как Cisco и Fortinet, занимали большую долю рынка в межсетевом экранировании. И в краткосрочной перспективе у нас пока нет полной альтернативы их решениям, – пояснил менеджер по развитию бизнеса направления «Solar Интеграция» компании «Ростелеком-Солар» Виталий Сиянов. – С другой стороны, компании обратили внимание на отечественные средства защиты. Что касается межсетевых экранов, спрос на них увеличился в два-три раза, и отечественные производители файрволов пока не могут удовлетворить его».

«Вопрос с железом довольно острый. Мы тоже столкнулись с задержками по поставкам серверов и другого оборудования, – прокомментировал данный тезис директор по продажам и развитию бизнеса компании «КриптоПро» Павел Луцик. – Критической ситуации нет, но увеличились сроки, хотя свои обязательства по срокам и количеству оборудования мы стараемся выполнять, и партнеры-поставщики идут нам навстречу».

«Зачастую мы самостоятельно создаем трудности на пути цифровизации»
«Зачастую мы самостоятельно создаем трудности на пути цифровизации»

Некоторые из спикеров увидели время возможностей и для «железной» отрасли. «Я считаю, что нынешняя ситуация дала значительный толчок в развитии российским разрабонтчикам. При этом отечественные продукты активно развиваются, в них появляются технологии, которых еще полгода назад не было», – заявил руководитель отдела инфокоммуникационных решений ГК Innostage Сергей Кикило.

Представители «Ростелекома» были менее оптимистичны в этом отношении директор центра комплексных проектов направления «Solar Интеграция» «Ростелеком-Солар» Николай Белобров напомнил о том, что, несмотря на высокую – более 80% – долю отечественных разработок в портфеле компании, они не всегда могут сравниться с западными аналогами. «По экосистемам, по незаметности для пользователей наше программное обеспечение (ПО) пока отстает. Возможно, следует искать свой путь, чтобы в дальнейшем мы были конкурентоспособны как в области ПО, так и в элементной базе – создании совместных предприятий полного цикла, специальных инвестиционных зон и прочего».

Он также добавил, что государство, которое сейчас активно взаимодействует с ИТ-отраслью, часто ищет решения по принципу «как можно быстрее», а меры, принимаемым им, назвал «востокозамещением» западных решений. В первую очередь, в области оборудования.

Кого атакуют, как атакуют

В начале мая 2022 года самой мощной DDoS-атаке в своей истории подвергся Сбербанк. 6 мая ботнет, включавший в себя свыше 27 тысяч устройств из разных стран мира, ударил по сайту банка с мощностью не менее 450 гигабайт в секунду.

форум PHDays 2022«Если до 24 февраля фиксировалась одна DDoS-атака в неделю, то уже в марте мы фиксировали до 46 одновременных DDoS-атак, нацеленных на разные сервисы Сбербанка, – рассказал директор департамента кибербезопасности Сбербанка, вице-президент Сергей Лебедь. – Для атак использовался широчайший инструментарий, включая вредоносные коды, внедренные в браузерах пользователей, посещавших сайты онлайн-кинотеатров».

ВЛАДИМИР ДРЮКОВ

Кто стоял за кибератакой на сибирские СМИ, и с какой целью она проходила?

Сегодня преступники применяют новые тактики и инструменты к проведению кибератак, которые включают в себя внедрение кода в рекламные скрипты, применение вредоносного расширения для Google Chrome, использование готовых docker-контейнеров с настроенными инструментами проведения атак. Преступные группировки хорошо координируются, общая численность киберпреступников, действующих против Сбербанка, по словам Сергея Лебедя, превышает 100 тысяч человек.

Он предположил, что в ближайшее время количество DDoS-атак будет снижаться, однако их мощность продолжит расти, то есть они станут более сфокусированными и скоординированными. Также возможно появление новых видов мошенничества из-за доступности большого количества баз данных. Логичным станет и дальнейшее развитие фишинговых кампаний с целью кражи учетных данных сотрудников организаций и последующего проникновения в инфраструктуру этих организаций.

Промышленность – еще одна отрасль, где количество атак на ИТ-инфраструктуру будет расти, отметил руководитель направления промышленной кибербезопасности Positive Technologies Роман Краснов. «Атак станет намного больше и компаниям, занимающимся ИБ, еще только предстоит подсчитать, насколько именно, – заявил он. – За три недели марта общее число обращений за сервисами защиты составило как минимум треть от всех запросов в 2021 году. Эти промежуточные данные характеризуют то, что происходит в данный момент. Число атак на промышленность действительно стало в десятки, а может и в сотни раз больше, чем было раньше».

Роман Краснов признался, что с точки зрения безопасности промышленность – это все еще «черный ящик»: «Большинство кибератак не предается огласке из-за репутационных рисков. Поэтому точно определить, как обстоят дела в конкретной отрасли промышленности, фактически не представляется возможным пока даже на уровне государства».

С этой позицией согласился и Виталий Сиянов. «Промышленность не следует отделять от других отраслей. Сейчас мы находимся в состоянии кибервойны, и промышленный сектор подвержен ровно таким же атакам кибервойск, как и другие компании», – отметил он.

Руководитель лаборатории цифровой криминалистики и исследования вредоносного кода Group-IB Олег Скулкин проанализировал на основе реальных сценариев атак десять самых популярных техник, которые в последние месяцы используют почти все злоумышленники разного уровня квалификации. Он рассказал, как детектировать вредоносную активность при атаках на корпоративные сети на этапе между получением первоначального доступа и наступлением негативных последствий, когда средства защиты не справились.

Итак, вот эти техники, встречающиеся на разных этапах атак. Это PowerShell, Scheduled Task, Service Execution, Registry Run Keys, Disable or Modify Tools, Rundll32, OS Credential Dumping, Remote System Discovery, Remote Desktop Protocol, SMB/Windows Admin Shares.

«Этот список был составлен практически полностью на основе реконструированных инцидентов, которые расследовали мы. Эти техники часто пересекаются. Половина или даже две трети из топ-10 техник постоянно, из атаки в атаку, вне зависимости от ее сложности, будут повторяться, – резюмировал Олег Скулкин. – В жизненном цикле атаки может быть много всего, но есть компоненты, которые сравнительно постоянны, по крайней мере, некоторые из них точно».

Сергей Буймов
Главный инженер НЗХК: «Безопасность — это наш приоритет»

Пока число одних форм преступлений в информационной сфере растет, другие, напротив, приходят в упадок. «Этот день – 24 февраля – можно увидеть в статистике системы Who Calls, – вспоминает главный эксперт «Лаборатории Касперского» Сергей Голованов. – Ни одного звонка телефонного мошенника 24 февраля не было. В дальнейшем мошеннические звонки вернулись, но до сих пор их количество еще не достигло значений начала февраля. С чем это связано? Например, 15 апреля в новостях показали логово мошенников в Бердянске, которые обманывали россиян. Можно догадаться, кто за этим стоит. По данным нашего поисковика по дарквебу, количество объявлений в даркнете с упоминанием российских банков в этот же день значительно уменьшается, затем их число вдруг резко растет, а на данный момент опять упало в ноль».

Как защититься?

Директор департамента обеспечения кибербезопасности министерства цифрового развития Владимир Бенгин отметил, что в нашей стране впервые получилось скоординировать усилия участников отрасли ИБ на таком уровне. Касательно указа президента РФ от 1 мая № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» он отметил, что российский софт сейчас под микроскопом у хакеров и крайне важно, чтобы разработчики ответственно подходили к исправлению уязвимостей. И если обнаружена уязвимость, которая требует срочного исправления, нельзя молчать и бояться наказаний – нужно бежать и исправлять.

«Согласно этому указу, информационная безопасность сегодня в фокусе внимания руководства страны, и руководители компаний, в ведении которой находится объект критической инфраструктуры, лично отвечают за те последствия, которые могут произойти», – подчеркнул Владимир Бенгин. И добавил, что в руководстве компаний также должен быть человек, ответственный за ИБ – не просто за выполнение требований, а за отсутствие инцидентов. В этой связи и полномочия у таких людей должны быть расширены.

пленарное заседание десятой конференции Positive Hack Days
«Запрещать нужно – но аккуратно»: куда идет рынок российской инфо­безопасности?

Прокомментировал он и кейс Сбера: «У нас появилась услуга, которой может воспользоваться любая компания, если видит, что ее ресурсы не выдерживают нагрузки: в первый месяц по запросу владельца ресурса мы очень активно отключали входящий зарубежный трафик. Мы также связываемся с компаниями, узнаем, актуальна ли для нее сейчас угроза, и по возможности снимаем запрет на зарубежный трафик. И это взаимодействие происходит постоянно».

Директор направления по развитию бизнес-консалтинга Рositive Тechnologies Роман Чаплыгин рассказал о том, что в компаниях и особенно в банках уже создаются целые антикризисные группы реагирования на киберинциденты, в состав которых могут входить не только руководители, но и обычные сотрудники, обладающие рядом ценных компетенций. «Если раньше тема кибербезопасности у топ-менеджмента финсектора была в самом низу списка важных дел, то сейчас высшее руководство собирается и вникает в суть проблемы в моменте: создаются антикризисные комитеты, срочно выясняется, что атакуют в компаниях и как это сказывается на положении дел», – заявил он.

Рositive Тechnologies Роман Чаплыгин
Директор направления по развитию бизнес-консалтинга Рositive Тechnologies Роман Чаплыгин рассказал о том, что в компаниях и особенно в банках уже создаются целые антикризисные группы реагирования на киберинциденты

Сергей Лебедь обратил внимание, что топ-менеджмент банков стал фокусироваться на реальных угрозах и запустил процесс переоценки реальных рисков – с «бумажной» защиты на то, что действительно важно. «Я бы сказал, что сейчас время героев, – резюмировал он. – Но все равно хотелось бы, чтобы этот вопрос был поднят до того, как начались настоящие трудности».

Редакция «КС» открыта для ваших новостей. Присылайте свои сообщения в любое время на почту news@ksonline.ru или через нашу группу в социальной сети «ВКонтакте».
Подписывайтесь на канал «Континент Сибирь» в Telegram, чтобы первыми узнавать о ключевых событиях в деловых и властных кругах региона.
Нашли ошибку в тексте? Выделите ее и нажмите Ctrl + Enter

ОСТАВЬТЕ ОТВЕТ