Разрушение мифов об Информационной безопасности. Эксклюзивное интервью с Виталием Якушевым

Информационная безопасность абстрактная категория, на этот счет в мире нет единого представления что же это такое. Все что человеку на ум приходит, то, что нужно сохранить какую-то информацию. Если человек видит связку с безопасностью, то это для него равно охрана. Охрана в свою очередь равно полиция. Полиция равно государство. А государство равно непонятно чему. Если говорить о проблематике информационной безопасности, то вся проблема возникла тогда, когда возникла изолированная система. Обратите внимание, чем концентрирование система, меньше государство, тем больше проблема в информационной безопасности. К примеру, один Х человек сказал на другом конце города, про другого Y человека, что он не очень-то и хороший. Реакция будет следующей, возможно, это сплетни, слухи. Но когда жена X человека сказала мужу подобное, реакция на информацию будет совершенно иной. Этот простой бытовой пример показывает, насколько сильно информация зависит от объема изолированного пространства. Чем меньше объем изолированного пространства, тем больше возникает проблем с информацией. Так вот, Интернет как называют его профессионалы – идеально изолированное пространство. Почему? Потому что, когда речь касается о человеке, который живет на другом конце города, у вас с ним нет контакта, нет никакой связи, вы не можете отправить ему сообщение.  Если лично, конечно, не знакомы, то поговорить не получится. А в Интернете все устроено совершенно иначе, каждый человек или компания находится под прицелом. У них есть аккаунты в различных социальных сетях, сайты, в крайнем случае есть электронная почта, которая используется. И тенденции современного мира таковы, что люди в основной своей массе стремятся популяризировать свою личность, бренд, услугу или компанию. Они желают, что бы максимально большое количество узнало об их существующих ресурсах. И выставляют на всеобщее обозрение доступные каналы связи, для того чтобы все могли с ними связаться. Люди сами создали все условия для того, чтобы киберпреступники или недобросовестные конкуренты развлекались с ними по полной программе. Откуда они берут всю информацию о вас? Всю информацию вы самостоятельно им предоставляете. Поэтому специалисты, профессионалы и говорят, что Интернет — это идеально-изолированное пространство. В нем созданы все условия, для того чтобы информация превратилась в оружие.

Именно поэтому я продолжаю исследовать рынок информационной безопасности с помощью цикла-интервью и разговором с приглашенными экспертами этой области. Меня безусловно интересует как безопасники сегодня смотрят на мир информационных угроз и какими способами предлагают защиту. Почему я как журналист занялась исследованием этого вопроса именно сегодня? Кое-что изменилось, и мы еще больше стали зависимы от мира нулей и единиц. Данное интервью третье из цикла, c предыдущими можно ознакомиться по ссылке интервью 1, интервью 2.

 

Сегодня у меня разговор состоялся с Виталием Якушевым операционным директором 10Guards.

 

– Виталий, большое спасибо, что Вы согласились уделить время для нашего разговора. Помогите пожалуйста разобраться в этом мире абстракций, по-Вашему мнению, что такое «информационная безопасность»?

– Информационная безопасность вы спрашиваете просто, как термин, но тут поставим вопрос что такое информационная безопасность чуть шире. Если посадить разных людей, которые занимаются информационной безопасностью, и задать им вопрос: что входит в охват информационной безопасности? Не просто определение того, чем является информационная безопасность, – а это как уже знаем: обеспечение конфиденциальности, целостности, доступности, наблюдаемости и так далее. Нет. Вот конкретно, какие сферы вы захватываете? Считаете ли вы информационной безопасностью, например, распечатку документов на принтере? Вы захватываете ручную переписку и документы без цифрового следа? Ведь у некоторых это уже физическая безопасность и не относится к информационной безопасности.

 

– Скажите пожалуйста, а что Вы вкладываете в это понятие?
– Для меня «информационная безопасность» – безопасность передачи информации в любом её виде, хоть на бересте написали углём и передают. Шифром Цезаря пользовались с древности, то есть уже тогда была информационная безопасность. Не было компьютеров, не было ничего современного из телекоммуникационных средств передачи, но шифр для защиты информации уже существовал. Сам Цезарь его придумал или нет, неважно, но по легенде он его использовал для шифрования своих секретных переписок. И «информационная безопасность» для меня это все что так или иначе касается информации. Тут уже, конечно, философские вопросы пойдут: что считается «информацией»? Потому что, когда я учился в институте, не было единого мнения, что такое «информация». Возможно, конечно, спустя 16 лет определение и появилось, не знаю, скорее всего, так и осталось дискуссионной темой. Есть понятие «сигнала», понятно, это когда что-то передалось, любой какой-то даже голосовой сигнал. А вот что является информацией? Видеосигнал является информацией или нет? Любой ли видеосигнал является информацией? Хранение каких-то там служебных данных, является информацией или нет? Уверен, что для кого-то да, а для кого-то нет. Для меня информация то, что можно использовать для последующего анализа и обработки, любые данные. Вот, например мы сейчас разговариваем, и Вы, эти данные будете использовать для аналитики, то есть это информация. У меня это такой подход.

Когда я начал разбираться в вопросах информационной и кибербезопасности, нашел лекцию одного эксперта по “киберинформационной” безопасности, и он говорит: а вы знаете, что в мире уже есть взаимоотношения кибербезопасности и информационной безопасности. Логично, что кибербезопасность это часть информационной безопасности. Когда информация преобразуется в цифровой вид, тут включается кибербезопасность – это защита информации, но не всей, а только той части, которая в цифровом виде. И если взять шарик информационной безопасности и внутри его разместить шарик кибербезопасности, то шарик кибербезопасности практически по объему догнал информационную безопасность. Очень сложно себе сегодня представить какую-либо информацию, которая бы не была на каком-то этапе в цифровом виде.

Вот классический пример. Иногда мы приходим к руководству компании и задаем вопрос: вы лично работает в компании с цифровой информацией? Мне отвечают: нет. Мне кибербезопасность ни к чему. Есть бумажная информация, которая хранится в сейфе. Вот и вся моя безопасность. Я говорю: а покажите пожалуйста издалека один листочек. Он показывает. А листочек-то напечатан. Я спрашиваю: так, а на чем он печатался? Отвечают: мне документы печатает секретарь. И вот здесь мы начинаем спрашивать: секретарь печатает, наверное, ведь на ноутбуке? А как в этот документ попадает информация? Кто-то ведь его наполняет? Так появляются несколько источников, которые наполняют этот важный и секретный документ для компании, а потом запирают его в сейфе. Но до того, как он попал в сейф остается его цифровой след на десятках устройств: телефонах, ноутбуках и принтере. Принтеры сегодня почти все “умные”, они являются интернетом вещей, которые тоже можно взломать. Интернет вещей (Internet of things) – это бытовые устройства, которые раньше были просто устройствами, но сегодня они подключены к Интернету и стали шпионами. Это дополнительный элемент ландшафта угроз, вектор атаки, источник угроз. Поэтому мы и говорим: видите сколько появилось устройств в цепочке появления бумажного документа? Любое из них можно взломать или украсть и таким образом можно этот документ получить. Так вам нужна кибербезопасность или нет? И вот теперь оказывается она уже стала нужна руководителю.

 

– «Информационная безопасность» 10 лет назад и сегодня – это одно и тоже? В чем, по-Вашему мнению, отличия?

– Кибербезопасность начала все больше и больше занимать место в информационной безопасности. За последние 10 лет бизнес практически на 100 % стал оцифрованным. Если еще каких-то 10 лет назад некоторые компании и могли себе ещё позволить не зависеть от цифровых технологий, правда мне сложно представить какие, но могли. А в сегодняшних реалиях я не могу себе представить ни одного бизнеса, чем бы он не занимался, чтобы он был не зависим от цифровых технологий. Даже тот же аграрный сектор использует сельхозтехнику, подключенную к Интернету, которая является интернетом вещей, там как минимум собирается статистика. И аграрий очень надеется на собранную информацию для анализа. И если они эту информацию не будут получать какой-то большой промежуток времени, вернутся на десятилетия назад, для них это будет если не смертельно, то болезненно. Да, бизнес не закроется, но они не смогут вести учет, например топлива: сколько было израсходовано полезно, а какое количество слито в канистры. Сколько времени проработал работник и так далее. То есть уже у них не будет контроля выполнения задач абсолютно не связанных с кибербезопасностью.

Опять же современный маркетинг очень завязан на статистике и на данных клиентов, с которыми они работают, и все это оцифровано. Персональные данные сегодня называют новым цифровым золотом. И это не деньги, не биткойны, а персональные данные с привязкой к каким-то действиям людей. Почему тот же Facebook стоит триллионы долларов? И дело не в том, что он рекламу продает, а потому что у него есть данные людей с действиями, которые они совершают. И Google, и Apple также владеют этой информацией. У многих технологических компаний есть эта информация, эти компании стоят сегодня огромную сумму денег и в то же время не берут с нас плату за их услуги. Например, такие как Facebook, WhatsApp, Instagram и прочие. Мы же бесплатно их продуктами пользуемся. Так почему они тогда стоят триллионы долларов? Да, у них есть заработок в несколько миллиардов долларов с рекламы, но это абсолютно не коррелирует с их триллионными стоимостями. Скажем, что при сегодняшней ситуации в мире это самые «золотые» компании. Сегодня все хотят иметь данные пользователей, даже тот же малый бизнес. Например, когда мы заказываем пиццу, у нас берут помимо адреса как минимум номер телефона и имя, чтобы потом нам прислать какую-то рекламу и снова нас получать как клиентов. Сегодня персональные данные являются очень важной информацией для компаний. И если каких-то 10 лет назад эти персональные данные могли храниться в Excel табличке на неподключенном к Интернету компьютере, и бизнес от них не сильно зависел, то сегодня — это основная ценность. Они позволяют быстро выйти на рынок, или украсть клиентов у конкурентов. И поэтому информационная безопасность стала больше зависеть от кибербезопасности.

Опять же возвращаясь к первому вопросу. Кто-то считает (и это логично), что информационная безопасность в себе содержит кибербезопасность. Gartner (прим. автора –исследовательская и консалтинговая компания, специализирующаяся на рынках информационных технологий) считает, наоборот. Они уже поместили информационную безопасность внутрь кибербезопасности, говоря, что нет уже другой безопасности. У них Интернет-безопасность, сетевая безопасность, безопасность интернета вещей все входит в кибербезопасность включая и информационную безопасность.

И когда мы в 10Guards говорим «кибербезопасность», подразумеваем, что информационная безопасность внутри, это с одной стороны. Но также понимаем, что с точки зрения определения, кибербезопасность – это основная часть информационной безопасности. И чтобы не говорить все время информационная безопасность или кибербезопасность, или информационная безопасность и кибербезопасность. Мы подразумеваем под кибербезопасностью все что связано с информацией. То есть в устных формулировках мы используем подход Гартнера. А в понимании, конечно, подход ISO (прим. автора – международный стандарт по информационной безопасности), которые считают, что кибербезопасность является частью информационной безопасности.

ISO/IEC 27001

Ну и как говорили другие интервьюируемые, о том, что да стало намного хуже за последние 10 лет, я бы так категорично не сказал. Просто наконец-то и журналисты непрофильных СМИ начали обращать внимание на информационную безопасность и стало больше информации об этом освещаться. Скажем так, пострадавших от хакеров стало не в 10, 100, или в 1000 раз больше. Их стало раз в 5 больше, не более того. Но может показаться что существенно больше, возможно в силу того, что новости об инцидентах кибербезопасности уже начали широко освещаться не только в профильных изданиях, но и в обычных СМИ. Сразу скажу, что это моё субъективное суждение, так как профильные новости я отслеживаю уже на протяжении 20 лет и у меня сложилась такая картина (новостей о кибератаках всегда хватало).

Приведу в пример несколько крупных атак, которые изучают мировые эксперты, но о них или забыли, или не знали. Вот Вы, например о скольких крупных кибератаках в Украине вы слышали, у нас в Украине их просто практически не обсуждали в непрофильных СМИ. Давайте по порядку только о самых крупных: в 2014-м году была крупная атака на ЦВК. Когда взломали ЦВК и подменили данные о выборах правда не в реестре, а просто подложили картинку для новостей, которую использовали в Российской Федерации, но скандал был приличный. В 2015-м году в декабре у нас взломали «Прикарпаттяобленерго» и больше 200 000 человек сидели без электричества из-за хакерской атаки – BlackEnergy атака, которую до сих пор изучает весь мир (кроме самой Украины). Это была такая себе игра мускулами российских кибервойск. В 2016-м году взломали «Киевоблэнерго», те же кибервойска России и оставили без электричества на несколько часов уже чуть меньше жителей Киевской области.

В 2017-м году NotPetya, когда взломали кучу госкомпаний и бизнесов в Украине и мире.

В 2018-м году СБУ с коллегами из западных стран предотвратили атаку VPNfilter, когда были взломаны сотни тысяч устройств в Украине и в соседних странах, которые хотели использовать для обрушения Интернета в Украине, для распределённой DDoS-атаки. Вот это только крупные атаки по Украине.

Опять же мои субъективные наблюдения, что изменилось только то, что не только технический андеграунд начал говорить о кибератаках. За эти 10 лет бизнес ощутил, что боль становится все больше и больше, и её нельзя забыть и забить на неё. К примеру, в 2013-м году взломали компанию. Они прибегают к нам и говорят: помогите, нас взломали! Помогите защититься. Сколько нужно денег? Пока мы с ними подписывали договора, а это недолго, у них «боль» постепенно проходит. Они уже проглотили эту потерю, которая была. И для них уже кибербезопасность начинает дорого стоить. В итоге, они отказываются от услуги. Всё боль прошла, мы называем это – «укус комара». Комар укусил, у вас чешется, и хочется убить комара, чтобы снова не укусил. Думаешь, завтра нужно пойти и купить какие-то средства от комаров, чтобы от него избавиться и снова комар не укусил. Но когда этот зуд проходит, забываешь об этих спецсредствах, о самом комаре. Вот тоже самое обычно с кибератаками и происходит. И вот как раз NotPetya стал таким толчком, который показал, что боль может быть и очень большая. Потому что атака была государственного масштаба. И это уже стало показателем, потому что сидели уже не технические топ-менеджеры, и обсуждали: а тебя взломали NotPetya? Нет. И меня тоже. Вот видишь какие мы крутые. Надо своим больше платить. И вот только тогда они уже начали ценить действия кибербезопасников.

Вот в чем происходит трансформация, не технические люди начинают понимать важность кибербезопасности через боль и страдания, свои или чужие. Когда о кибербезопасности начинают говорить на уровне политиков, когда о ней говорят непрофильные политики, не министр внутренних дел или отвественные за кибербезопасность и борьбу с киберпреступностью. Вот это и показывает то, что поменялось отношение к кибербезопасности. И это не только вопрос того, что киберпреступлений стало существенно больше. Они были раньше и их было очень много в Украине. Не зря киберполицию (тогда ещё подразделение в милиции) как таковую создали ещё в 2012-м году.

 

– Какие Вы видите угрозы, связанные с информационной безопасностью сегодня?

– Человеческий фактор — причина 88 % успешных кибератак, говорят, что это происходит из-за того, что люди глупые. Но не все люди глупые, человеческому фактору есть и другое объяснение. Во-первых, – технологии развиваются в миллион раз быстрее, чем человеческий мозг. Мы эволюционировали миллионы лет, а технологии за десятки или единицы лет. И человек просто не успевает к ним приспособиться. У нас эволюционный путь не такой быстрый, как у технологий. Мы сильно зависимы от них, но в тоже время человеческому мозгу проблематично, например, помнить сложный пароль, а их нужно помнить множество. Те же технологии пришли на помощь ведь у нас есть у каждого уникальные отпечатки пальцев, уникальная сетчатка глаза, голос. Почему возникла биометрическая аутентификация? По этой причине. Зачем человеку запоминать сложный пароль, если можно использовать биометрические данные? И вот тут вопрос в том, от кого вы защищаетесь? Если грабитель заберёт у вас телефон и убежит, а разблокировка телефона у вас отпечатком пальца, то вы защищены. Правда, если у вас дополнительно стоит хороший надёжный пароль, то есть высокая вероятность, что телефон не взломают. Но если, предположим, человек — международный террорист и за его телефоном гоняются спецслужбы мира, то понятное дело, что даже самый сложный пароль не спасет. Здесь важно понимать, что кибербезопасность это риски. И вот риск зависит от того, для кого вы представляете интерес, и что вы хотите получить — анонимность или приватность. Ведь это тоже два разных определения. Если допустим, человек хочет быть анонимным. Спрашивается, а зачем? Он преступник или его жизнь будет в опасности после раскрытия личности (например, whistleblower)? Какая причина оставаться анонимным? Вот желание приватности логичное и все хотят оставаться приватным. Предположим, я не хочу, чтобы кто-то знал, чем я занимаюсь на своей частной территории и неважно она виртуальная или реальная. Ну не хочу я чтобы смотрело за мной государство и/или посторонние чем я занимаюсь в моей квартире. Точно также я не хочу, чтобы государство и/или посторонние смотрели, что я пишу в своих приватных переписках, это и есть приватность. А анонимность — это когда кто-то делает что-то, но с маской на лице. А кто это? Не знаем, это аноним. Он пишет что-то под фэйковым аккаунтом в Facebook или на других ресурсах, мы знаем его вымышленное имя, не знаем реальную личность, он аноним. И вот анонимность, она больше присущая хакерам либо тем, кто не может раскрыть свою личность по другим причинам и им нужна анонимность. А в основном людям нужна приватность. Например, у меня есть Facebook страничка, там написано Виталий Якушев, и моя реальная фотография, я не анонимен. Но я не хочу, чтоб мою личную переписку с кем-то в Facebook Messenger, кто-то прочитал, тот кому я не хочу этот доступ давать, неавторизованным пользователям. И вот здесь возникает вопрос: от кого мы защищаемся? Если мы защищаемся от Facebook, то бесполезно – он может и реально читает нашу переписку. Вот вы знаете, мне такой вопрос часто задают: какой Messenger самый безопасный? Я спрашиваю: от кого вы защищаетесь? От жены, которая может прочитать ваши чаты? От начальства либо от спецслужб страны, в которой этот Messenger разработан? В зависимости от ответа на эти вопросы и выбирается средство защиты своей приватности. Угрозы информационной безопасности – приватность и анонимность. Есть ещё одна главная проблема с приватностью. И заключается она в том, что часто люди сами дарят свою приватность кому-то, размещая необдуманно полную информацию о себе на Интернет-ресурсах.

Если же смотреть глобально, есть три вида ущерба от реализованных киберугроз: финансовый ущерб, репутационный ущерб, и ущерб жизни и здоровью. Эти угрозы были, есть и будут.

Периодически возникают новые угрозы, связанные, например, с появлением новых технологий, за последние 10 лет появились новые цифровые деньги – крипто деньги, вот и появилась новая угроза кражи этих цифровых активов.

Так же у нас за последние 10 лет появилось очень много устройств интернета вещей: например, голосовые помощники, которые стоят дома и подключены в домашнюю сеть, им по логике их работы нужно постоянно слушать всё вокруг, чтобы отреагировать на фразу, обращённую к ним. Как вы думаете, если их взломать – какая информация станет доступна злому хакеру? Также владеют важной нашей информацией видеоняни, их взламывают и они голос и видео передают злоумышленникам. Куда уже больше нарушать приватность?

Репутационные потери — здесь понятно, например, вашу приватность нарушили и вывалили всё личное на всеобщее обозрение. Приведу в пример то, что было в 2014-м году, когда взломали iCloud многих голливудских звёзд и выложили их интимные фотографии на всеобщее обозрение. Кому бы этого хотелось? Возможно, ради пиара сами звезды это сделали? Вряд ли. Ради пиара выкладывают другие интимные фотографии, как минимум отретушированные, а там выложили всё как есть. И денег вроде не украли, только репутация пострадала. Но некоторые после этого как минимум к психологам ходили.

Финансовые потери – здесь и клиент банки, которые взламывают и крадут так называемые фиатные деньги, а также кражи крипто денег и отдельно другие цифровые валюты (WebMoney, например).

Жизнь и здоровье. Например, взлом машины на ходу и отключение тормозной системы, дальше последствия и ущерб можно не детализировать. Автомобили уже давно тоже стали интернетом вещей, и новых моделей становится все больше и больше с каждым днём. Подключённые медицинские электроприборы, например, электрокардиостимуляторы с Bluetooth подключением уже наверно лет 15 существуют. Несколько лет назад такие взломали, нашли в них уязвимости. И людям, которые ими пользовались прислали уведомление: если не заплатите такую-то сумму выкупа, то мы вам или ускорим или отключим ваш электрокардиостимулятор. Причём обновлять прошивку, которая закрывает эту дыру-уязвимость можно исключительно под надзором врача. Самостоятельно дома пациент этого сделать не сможет, соответственно ему нужно прийти в клинику. А представьте пропускную способность в клинике где-то, ну пусть 100-300 человек в день, а всего около 500 000 пациентов с этими устройствами. И вот пока он ждет своей очереди, живёт в постоянном страхе, что электрокардиостимулятор в любой момент могут вывести из строя. Кстати, Bluetooth работает в радиусе 15 м, теоретически любой подготовленный человек мог подойти на такое расстояние и взломать электрокардиостимулятор.

В Австрии не взломали медоборудование, а зашифровали ИТ-систему клиники. Оказалось некоторые компьютеры, которые нужны для проведения операций работают на Windows. Одной пациентке не смогли провести срочную операцию, и при транспортировке в другую клинику она умерла. В этом примере, конечно, не совсем кибератака её убила. Но вопрос тут в том, что похоже только технари занимались кибербезопасностью в больнице. И у них не было полного понимания бизнес-процессов этой больницы. Устройство, с помощью которого делают операцию, вообще не должно быть подключено к Интернету. Потому что от него зависит жизнь человека. А технарям все равно, для них все компьютеры одинаковые и они одинаково их защищают, или как в этом случае одинаково не защищают.

Почему я и говорю, что кибербезопасность строится на трёх китах – технологии, процессы и люди, это помимо конфиденциальности, целостности и доступности (плюс наблюдаемости).

Процессы ­– это как раз для понимания: ЧТО нужно защищать. У нас сегодня практически никто не задаёт этот вопрос ни в Украине, ни в мире. Вот говорят: мы хотим купить технологию (оборудование или программное обеспечение). А вы понимаете, ЧТО вы будете защищать? Говорят, а мы ВСЁ будем защищать. А зачем всё? Это же дорого и неэффективно. Защищайте только то, что нужно. Вот построение процессов и отвечает на вопрос ЧТО нужно защищать в первую очередь.

Люди. Технари любят говорить, что люди тупые, что кликают ссылки, открывают вирусы. Но вот в категорию «люди» входят в том числе и технари. Огромное количество взломов происходит через не обновлённое программное обеспечение, некорректно сконфигурированные технологии и т.п. И это делают не обычные пользователи, а технари. Они тоже причина большого количества успешных кибератак. Поэтому нужно и об этом помнить.

  

– Ваше мнение, произошли ли какие-то изменения в структуре угроз? Какие, и как Вы думаете, почему это произошло?

– Конечно произошли. То, что я говорил киберпреступность стала организованной, а кибербезопасность нет. Поэтому угрозы стали более продвинутыми, в том числе за счёт того, что в киберпреступном мире появилось очень много автоматизированных инструментов, которыми могут пользоваться и неквалифицированные пользователи. Если раньше кибератаками занимались чёрные хакеры с какого-то уровня квалификации (уже продвинутые) –, то сегодня всё намного проще: можно купить на чёрном рынке готовый продукт для взлома, например, для шифрования компьютеров. Это как подписку купить себе на приложение только за 3500 $ в месяц. Этот продукт обходит антивирусы, шифрует компьютеры, генерит биткойн кошельки, на которые нужно платить выкупы, контролирует оплату и одной кнопкой позволяет отправить ключи расшифровки жертве. Готовый продукт с крутым дизайном UI/UX, где всё продумано. Это уже не такие продукты, как раньше были из командной строки. Нет. В новом всё удобно, кнопочками все загружаете. Загрузили адреса почт, на которые нужно отправить вредоносный документ. Написали текст письма и документа. Сформировался документ. В него загрузился вирус. И письмо с вложенным документом улетело.

И такие вредоносные продукты по подписке появились уже давно. Одно из первых ПО, которые использовали чёрные хакеры для взломов, содержало в себе наборы программ, эксплуатирующих дыры в безопасности (эксплоиты), называлось Zeus. Разработчик был пойман в России, и арестован много лет назад. Но дело его живёт до сих пор. Это были первые начинания организованной киберпреступности, их результатом стал продукт, которым пользовались уже хакеры более низкой квалификации. И из-за этого количество успешных атак выросло, и это послужило причиной масштабирования кибератак. Но и плюс бизнес все больше и больше зависит от Digital технологий, соответственно он готов оплачивать выкуп, если эти технологии не работают. Например, устроили DDoS-атаку на сайт интернет-магазина, и вымогают выкуп. Магазину деваться некуда. Он либо идёт за защитой, которая стоит «Х» денег либо платит «Y» денег за прекращение DDoS-атаки. Если «Х» и «Y» по цене где-то начинает выравниваться, пострадавший покупает защиту. Пока не выравнивается и выкуп дешевле защиты, делает выбор в пользу выплаты выкупа хакерам. Но потом он попадает в список плательщиков, и к нему приходят со следующими взломами. И бизнес снова платит выкуп пока защита не станет соразмерной этому выкупу. Вот такие вот угрозы и работа с ними.

Ну и плюс люди. Как я говорил, данные стали тем цифровым золотом или цифровой нефтью. С людей собрали очень много данных большое количество разных сервисов и теперь под угрозой стали ещё и персональные данные. Мы уже даже не помним, кто и какие наши данные собрал. Это могут быть десятки и даже сотни компаний в Украине. Например, интернет-магазины и оффлайн-магазины. За бонусную карточку, люди отдают им свои личные данные. Вот сколько таких анкет было в моей жизни заполнено за 10-15 лет и в каких магазинах личные данные находятся, уже и не вспомню. И они сейчас гуляют по сети, продаются, воруются конкурентами и не только. Вот это ещё тоже угроза – наша приватность размывается. И происходит это уже не благодаря нам, а благодаря тем компаниям, которые собирают наши данные и не защищают их.

  

– С каким видом информационных угроз в Вашей практике приходится сталкиваться сегодня чаще всего?

– Давайте скажем так, киберпреступники очень прагматичны. И всегда делают себестоимость атаки максимально дешёвой. А максимально дешёвая атака – через фишинг, социальную инженерию. Их цель, отправить письмо с вирусом как можно большему количеству пользователей и поймать кого-то. Это первый шаг большинства успешных кибератак. И дальше уже начинать развиваться внутри. Основное конечно же фишинговые атаки. Точка входа – социальная инженерия через фишинг. Люди по своей сути ленивые как “опасники”, так и безопасники. Поэтому чем дешевле кибератака, тем больше заработок. Разослали письма и ждут пока кто-то клюнет.

Понятно, что есть и таргетированные атаки, когда ищут уязвимости в сетевом периметре конкретной компании, пытаются взломать какое-то устройство, сервер. Но чаще взломы происходят через публично известные дыры-уязвимости. Вот, например, в начале этого года была найдена очень критичная дыра в безопасности в почтовых серверах Microsoft Exchange и довольно быстро сделали exploit (программу эксплуатирующую дыру в безопасности, которая была найдена). Если мы вовремя не обновляем свое программное обеспечение и есть публично известная дыра в безопасности в этом необновлённом программном обеспечении, то нас с большой вероятностью взломали или взломают. Нас же взламывают тихонечко, можно и не заметить. Сидит там какой-то спящий агент, а потом когда нужно он проявляется. Поэтому тут нужно понимать, что массовые атаки всегда превалируют. Массовые – это фишинг и через известные уязвимости, известные дыры в безопасности.

  

– Вы используете какой-то инструмент для классификации информационных угроз? Если не секрет, расскажите пожалуйста, какой?

– Мы используем инструмент – интеллект. Все инструменты, которые есть они больше для визуализации или хранения, и анализа этой информации. То есть все равно эти угрозы нужно через себя пропустить. Инструмент каждый выбирает для себя. Мы же помогаем для конкретной компании оценить угрозы.

 

– Как вы их оцениваете?

– Оценка есть качественная, а есть количественная. Качественная это когда мы говорим это угроза низкого уровня, среднего, или критического уровня. Это шкала критичности риска, угрозы. Она может быть чем угодно. Это называется качественный подход, он не оперирует конкретной цифрой. Но угрозу мы больше оцениваем не как саму угрозу, а больше, как риск связанный с этой угрозой. А риск — это вероятностная величина.

Риск — это как произведение двух величин, одна составляющая этого произведения – величина ущерба, если эта угроза будет реализована, то есть атака произойдёт. Но угроза же может так и не реализоваться, атаки не будет. Вот мы уже оцениваем не угрозу какую-то эфемерную, а что будет когда она произойдет. Для оценки представляем, что угроза уже произошла. И мы оцениваем риск. Вторая величина в формуле риска – это вероятность того, что инцидент случится, например, угроза будет реализована и будет нанесён ущерб. И вот величину ущерба можно посчитать в цифрах и для качественной оценки. Когда мы говорим про низкий уровень ущерба, то для разных компаний это считается по-разному. Например, в компаниях с миллионным оборотом низкий ущерб может быть – от 0 до 10 000. А с миллиардным оборотом – от 0 до 1 000 000. А вот вероятности мы оцениваем в том, насколько легко реализовать эту угрозу. Мы для себя решили, что ориентируемся на квалификацию потенциального хакера. То есть если любой хакер с легкостью может взять публичный инструмент, который есть в Интернете, запустить его и взломать компанию через публично известную дыру, уязвимость, то реализовать угрозу очень легко. И это максимально высокая вероятность, что угроза будет реализована. Если же для того, чтобы взломать нужен высококвалифицированный хакер с уникальным своим разработанным инструментом, которого нету в публичном доступе, то мы снижаем эту вероятность. Потому что таких хакеров намного меньше, чем людей просто умеющих нажимать на кнопки. Вот так мы качественно оцениваем риски.

Иногда оцениваем количественно, то есть каждый риск уже будет иметь величину в цифрах. Величину ущерба от инцидента посчитать легче, но дальше следующий вопрос: ущерб от такой атаки будет миллион, а какая вероятность? И мы сидим, думаем и тут уже подключается экспертное мнение, которое основывается на статистике, личном опыте и нашем предположении, которое является экспертным, но субъективным. Кто бы что ни говорил это субъективная оценка.

Например, с какой вероятностью сейчас на нас будет атака вируса шифровальщика? Мы понимаем, что среди 100% успешных кибератак, наверное, 90 % атак вирусами-шифровальщиками, я не знаю какая точная статистика сейчас, но можно посмотреть коммерческие атаки и примерно подобная статистика будет. Хакеры зарабатывают на вирусах шифровальщика несколько сотен миллионов в год. Но ломают не всех. У вас есть деньги? Да. Сколько? Сто миллионов в год оборот! Так, конечно, вас будут атаковать, эта вероятность практически стопроцентная. Почему? Да потому что есть автоматизированные инструменты. Да потому что у вас, к примеру, десять тысяч сотрудников, а по статистике конверсия любой фишинговой атаки не менее 5 %. Вот минимум 500 сотрудников откроют вложенный файл с вирусом и заразят компьютер. И вам нужно с этим работать. И вот у вас уже есть оценка риска в цифрах. Вот мы берём вероятность 90 %. Например, берём ущерб в миллион долларов (предположительная величина выкупа и/или простоя компании) умножаем на эти 90% (0,9), получаем девятьсот тысяч – количественная величина этого риска. А теперь что нужно сделать чтобы её закрыть? И вот тут уже появляется несколько вариантов. Если человеческий фактор, то ограничить его влияние. Все говорят человеческий фактор, но человеческий фактор можно ограничивать в том числе технологически. Ограничивать права пользователя на устройствах. Ограничить права доступа к какой-то информации. Нужно чтобы пользователь ставил хорошие пароли, двухфакторную аутентификацию. Это тоже влияет на снижение риска человеческого фактора. Да, человек может и нажать на ссылку или файл, но последствия будут разные от того, что у него ограниченные права на устройстве или же права администратора, как у нас многие топ-менеджеры любят в Украине. Он у себя является администратором на компьютере, потому что хочет игры ставить и всё остальное, у него самые простые пароли, потому что «великому человеку» запоминать сложные пароли негоже.

  

– Расскажите пожалуйста, какие проблемы, заблуждения и мифы в области корпоративной безопасности существуют сегодня?

– Первый миф, который я разрушаю уже почти 10 лет, что кибербезопасностью и корпоративной безопасностью должны заниматься только безопасники. Имеется в виду, что нетехнические топ-менеджеры также должны чётко понимать какие риски для бизнеса у них есть. Они могут не закрывать их сами, но они должны знать о них и знать их величину. И когда они это знают, охотнее выделяют бюджеты и сами начинают охотнее работать, чтобы эти риски минимизировать. То есть если топ-менеджер понимает, что у него права администратора на компьютере и это может стоить компании сотни или десятки миллионов, если, например, зашифруют их компанию и будут вымогать выкуп. Вот тогда он дважды подумает, а отвечать ли мне перед акционерами, перед своими партнёрами то, что я знал, что есть такой риск. Но я махнул на него рукой, и компания потеряла столько денег. Поэтому кибербезопасность – уже давно не технический андеграунд, а бизнес-риски.

Страховая компания Allianz каждый год проводит среди нетехнических топ-менеджеров опрос и задаёт вопрос: назовите топ -10 рисков для вашего бизнеса. И уже второй год подряд на первом месте стоят киберриски, а до этого они два года подряд были на втором месте. То есть киберриски уже оценивают как критические нетехнические топ-менеджеры в зрелых компаниях всего мира, у которых есть деньги. Они давно страдают от киберпреступлений и ставят киберриски на первое место. Наши партнёры недавно проводили опрос,и у нас в Украине киберриски еле-еле входят в топ-10. На первом месте у нас стоят риски от госструктур. На самом деле почему киберриски в Украине на 10-м месте? Да потому, что у нас страна бедная, у нас не возьмёшь, как в Америке пятьдесят миллионов долларов выкуп с компании, у которой многомиллиардный оборот. У нас в компании всего может быть пятьдесят миллионов оборот в год и то в гривне. Ну что ты возьмёшь с этой компании? Пятьсот тысяч она заплатит? Одну атаку, две атаки в год за пятьсот тысяч? Вы знаете, киберпреступники очень азартные люди и хотят бОльшего. Вот взломали они какую-то американскую или немецкую компанию с оборотами в несколько миллиардов. Попросили пятьдесят миллионов выкупа, и им заплатили. А заплатила компания, потому что они в день теряют намного больше. Вот теперь Вы понимаете, что Украина сильно не страдает не потому, что мы защищены, или украинские хакеры своих не трогают или российские хакеры не трогают своих, просто пока что брать нечего. Когда экономика будет расти, киберриски в топе рисков будут становиться все выше и выше, ведь ущерб от атак будет только увеличиваться. Да, правоохранительные органы могут прийти и кошмарить бизнес, но, когда-то, надеюсь, будет судебная реформа и мы в судах сможем отстаивать свое право,  в судах не будет беспредела, и таких рисков станет меньше. А вот хакеров вы судебной реформой не закроете. Киберриски никакими реформами не уменьшаются. Они уменьшаются только тем, что вы занимаетесь этими киберрисками в своей деятельности, как государство, как организация, и как обычный человек. Если у вас есть важная информация, и вы не хотите всему миру ее показать, – вы должны её защищать. Неважно кто вы есть: физическое лицо, малый бизнес, крупный бизнес или государство. Это аксиома и её не нужно никому доказывать. Просто стоимость этой защиты на каждом уровне будет разная.

Как физическое лицо вы можете уменьшить киберриски даже бесплатными инструментами. Нужна бОльшая защита? Докупите платный продукт по кибербезопасности, например платный антивирус. Потому что бесплатные антивирусы вы же понимаете, бесплатный сыр бывает только в мышеловке. И золотое правило кибербезопасности: если вы не платите за товар, то вы сами товар. Вот, например бесплатный антивирус Avast: оказалось, что он сливал данные с компьютеров на которых он был установлен, не секретную информацию, но ту которую в дальнейшем продавали маркетологом и рекламщикам.

Поэтому нужно помнить, как физическое лицо можно сделать следующие шаги: поставить надёжные пароли (это бесплатно), подключить бесплатно двухфакторную аутентификацию для всех используемых сервисов через бесплатный Google аутентификатор или Microsoft аутентификатор. Можно? Можно. Обновлять все свои устройства, которые у вас есть бесплатными обновлениями от производителя. Можно? Можно. Только главное их обновлять, а не пропускать. Делать резервные копии, например на бесплатные Dropbox, Google Drive. Можно? Можно. Было бы только желание. Физическому лицу можно минимизировать киберриски и бесплатно.

Малому бизнесу можно защититься практически бесплатно, но все-таки какие-то элементы киберзащиты ему уже нужно будет купить. Например, тот же антивирус за 300 грн в год. Это ведь не является чем-то сверхзатратным?

Вот и второй миф о том, что кибербезопасность это дорого. Нет, кибербезопасность – это недорого. Если понимать, что защищать. Вот когда только технари занимаются кибербезопасностью, они пытаются защищать всё и говорят, что нужно покупать технологию, то конечно это дорого. Технологии всегда дорого стоят. Особенно понимая, что все хотят с помощью технологий защитить всё, тогда конечно это очень дорого для бизнеса. Поэтому нужно сначала понимать, ЧТО защищать. А потом КАК защищать и ЧЕМ защищать. И только уже в конце этой цепочки будет реальная стоимость. Вот собственники бизнеса и руководители понимают какие у них есть информационные активы, не бухгалтерские материальные активы, компьютер или ещё там что-то, а информационные? Информация какая есть в их бизнесе важная? Где она обрабатывается? Где находится цифровой след этой информации, что нужно защищать? И вот когда ответы на все вопросы получены. Тогда появляются реальные устройства, которые нужно защищать, реальные люди, которых нужно обучать, защищать, покупать технологии, проводить учения, тестирования для того, чтобы человеческий фактор минимизировать. Если людей обучать и регулярно тестировать, то они будут в тонусе. И будут видеть фишинговые сообщения. Также следует принимать меры, допустим если они попадутся на тестовом фишинговом сообщении. Мерой наказания может служить «кнут», например доска позора, чтобы вызвать у сотрудника чувство стыда, или же можно использовать «пряник» – поощрение за успешное прохождение тестов и стойкость к социальной инженерии. Чтобы он бдительно относился к каждому письму, которое получает, и на реальное фишинговое письмо не попался. Это все подход процессный, то есть постоянный — обучение и тестирование персонала, снижение влияния человеческого фактора. И это тоже практически бесплатно. Малому бизнесу это можно делать самому или обратиться за помощью к профессионалам. То есть кибербезопасность это недорого. Только нужно понимать, ЧТО защищать. Ну и понятное дело золотое правило, что защита не должна стоить дороже самой информации. Всегда нужно оценить сколько стоит ваша информация. Если вы не государство конечно, тогда ваша информация государственной важности и она стоит бесконечно дорого.

Послесловие

Выражаю Виталию огромную благодарность за увлекательный разговор. Виталий затронул хорошую тему вопросов: надо понимать от кого или чего вы планируете защищаться, какие у вас существуют угрозы. Выявлять слабые места и только потом действовать в сторону минимизации угроз.

От себя добавлю, помимо всего вышесказанного Виталием, к сожалению, в нашем мире существует еще и недобросовестная конкуренция, которая представляет очень серьезную угрозу для бизнеса. И если черным хакерам украинский бизнес не интересен или пока не интересен, то всегда найдутся те, кто захочет бизнесу навредить. И вредить они будут самыми изощренными способами.

Продолжение следует…