Как компаниям соблюдать законодательные требования по кибербезопасности

«Мы хотим облегчить компаниям доступ к нормативно-правовым документам по кибербезопасности»

Анна Кулашова, управляющий директор «Лаборатории Касперского» в России и странах СНГ в интервью РБК рассказала, как соблюдать требования регулятора в кибербезопасности в разных отраслях экономики России.

Алина Танатарова, обозреватель:
— Сегодня в России количество атак, к сожалению, продолжает расти. По предварительным оценкам вашей компании за 11 месяцев текущего года, я знаю, что количество пользователей, подвергшихся атакам, выросло на 10% и составило 63%. Расскажите, какая ситуация сегодня с бизнесом и почему мы наблюдаем такую динамику?

Анна Кулашова, управляющий директор «Лаборатории Касперского» в России и странах СНГ:
— Примерно такая же ситуация и с бизнесом. Порядка 44 корпоративных заказчиков тоже подвергаются атакам, по статистике за то же время. Все объясняется тем, что, с одной стороны, ландшафт киберугроз усложняется, с другой — традиционные методы и утечки, и шифровальщики, и дДОС-атаки, к сожалению, у нас остаются. Злоумышленники продолжают совершенствовать свои механизмы и инструменты нападения. Порядка 411 тысяч новых зловредов мы обнаруживаем ежедневно. И по сравнению с прошлым годом это составляет примерно 3%. То есть видите, что злоумышленники не дремлют. И мы тоже.
Из тех проблем, с которыми сталкиваются заказчики, наверное, шифровальщики остаются достаточно острой проблемой, когда злоумышленники приходят и либо пытаются совершать подлоги в документах, если они работают с финансовыми институтами, либо они дополучают доступ к каким-то критическим данным. Дальше они шифруют, требуют выкуп, если компания отказывается, то выкладывают в открытый доступ. То есть вот это то, с чем часто сталкиваются наши уважаемые заказчики. Соответственно, здесь нужно продолжать всем совершенствовать и киберграмотность, и средства защиты, которые у нас есть.

— Давайте здесь как раз тренды и вызовы обсудим.

— С точки зрения трендов, как я уже сказала, это усложнение ландшафта. Цифровизация — это хорошо, это большая польза, подспорье бизнесу, инструмент развития. С другой стороны, цифровизация добавляет новые поверхности атаки, злоумышленники создают дополнительные точки возможного проникновения в инфраструктуру. И это тот тренд, с которым мы дальше будем каким-то образом жить и развиваться. Второй тренд, конечно же, требования регуляторов, которые совершенствуются. И они не просто так возникают. Регуляторы у нас беспокоятся о том, чтобы максимально обеспечивать защиту бизнеса, защиту пользователей. И эта история влияет на общее развитие того, что у нас происходит.
Третий большой тренд, он никуда у нас не делся, это уход крупных игроков иностранных с рынка. И мы продолжаем видеть последствия этого ухода. На самом деле, если в прошлом году это был достаточно большой вызов, то сейчас очень многие компании уже перестраивают свои инструменты работы, переходят действительно на импортозамещение, находят новые интеграционные формы и решения. Но, так или иначе, если мы говорим про железо, некоторые сложности там остаются, связанные с доступом к электронной компонентной базе.

— В текущей ситуации какие шаги должна предпринять компания, чтобы повысить свою кибербезопасность?

— Прежде всего это киберграмотность сотрудников. Мы всегда говорим, не устаем повторять, что порядка 50%, если не больше, всех проблем, которые возникают в компании, — это то, что связано с людьми, с персоналом, с теми инструментами воздействия злоумышленников, которые направлены непосредственно на людей. И здесь прежде всего фишинговые атаки по-прежнему остаются на острие, и общее повышение грамотности сотрудников, постоянное обучение — это первый залог того, что компания работает в этом направлении. И у нас инструменты есть, которыми мы, конечно же, помогаем.
Вторая история — это обеспечение уже технической защиты от массовых угроз. Это те угрозы, которые можно решать автоматическими инструментами и средствами защиты. Здесь и защита конечных устройств, и от утечек информации, и от дДОС-атак. Опять же есть широкий набор инструментария, которым мы помогаем нашим уважаемым заказчикам преодолевать эти сложности.
Следующий уровень защиты — это, конечно, защита от сложных угроз. И здесь у компании есть два варианта, как они уже смотрят, исходя из того, какими ресурсами обладает компания. Первый — это когда собственный достаточно мощный отдел информационной безопасности есть, классные эксперты, и компания сама может обеспечить себе правильный инструментарий по организации такой защиты. Если же не хватает ресурсов либо нужны дополнительные ресурсы, то мы предлагаем смотреть в сторону аутсорсинга, так называемых security operating центров, и центры обеспечения безопасности наших партнеров — то, что как сервис можно предоставлять компании.
И на самом деле это соблюдение требований регуляторов. Здесь надо обращать внимание на то, что там происходит. И еще один очень важный аспект — поскольку компании находятся в разных индустриях, у нас есть критические и информационные инфраструктуры, компаниям тоже необходимо осознавать, а что с точки зрения этой специфики есть у них, и какая специфика с точки зрения обеспечения индустриальной безопасности, о безопасности промышленных контуров тоже нужно беспокоиться.

— Сегодня с уходом западных вендоров остро стоит вопрос импортозамещения. Как вы можете оценить уже результаты в части кибербезопасности разработки отечественных решений.

— На самом деле, наверное, динамика достаточно хорошая у нас. В информационной безопасности в принципе игроки всегда российские были достаточно сильны. Тем не менее по ряду программно-аппаратных комплексов, конечно, это потребовало определенных усилий. И большие изменения есть. Сейчас, если компания планирует плановый переход на отечественные программно-аппаратные комплексы, то можно ориентироваться на реестры российские. И с точки зрения программного обеспечения, конечно, мы всегда готовы поддержать и помочь понять, как это делать, но, как правило, здесь нужны комплексные решения от нескольких вендоров, хорошо сочетающиеся.

— Вы уже затронули тему регуляторных ограничений. Я знаю, что с 1 января 2025 года как раз компаниям в части критической инфраструктуры будет запрещено пользоваться иностранным ПО. Какую роль, какое место занимает соблюдение этих требований в сфере информационной безопасности для компаний?

— Это очень важная роль, потому что злоумышленники будут пытаться использовать уязвимости ушедших компаний с точки зрения обновлений, которые достаточно сложно, притом что они ушли с рынка, получать, — это раз. Два — там возможны различного рода закладки. И, конечно, регуляторы прежде всего обеспокоены вот этими недокументированными возможностями, которые там возникают. Первое понятно — клиенту нужно оценить, приоритезировать переходы и то, как они будут защищать. От чего-то можно уйти достаточно быстро, а что-то потребует достаточно серьезных усилий. И опять же это должен быть комплекс мер, где применяются какие-то средства. Если с точки зрения информационной безопасности можно достаточно быстро многое заместить, то с точки зрения тех инструментов, информационных технологий, например, средства АСУТП, которые используются, нужно понять, как планово их защитить сейчас и как действительно дальше импортозамещать.

— Я знаю, что как раз на фоне этих требований вы запустили регуляторный хаб. Расскажите о нем подробнее.

— Да, это очень важная своевременная инициатива, которую мы сделали. Регуляторный хаб был создан как раз для того, чтобы облегчить нашим заказчикам доступ прежде всего к нормативно-правовым документам, которые касаются их областей хозяйствования, в которых они находятся. Это тот инструмент, который позволяет собрать регуляторные требования, с одной стороны, те сценарии и запросы заказчиков, которые есть, с другой стороны, и оптимальным и доступным образом их представить. Например, у нас с вами есть какой-нибудь промышленный заказчик небольшой, который озаботился тем, чтобы свою инфраструктуру информационной безопасности каким-то образом оценить и усовершенствовать с точки зрения законодательства. Он может зайти на регуляторный хаб, выбрать свою индустрию, выбрать те сценарии, которые он хочет реализовать. Например, защита критической информационной инфраструктуры или построение современной системы безопасности своего предприятия. И получить некоторый свод рекомендаций как организационных мер, которые он может предпринять, и соответствующие нормативные акты, которые регулируют эту историю, так и набор технических инструментов, которыми он может решить эту задачу.

— Как планируете в дальнейшем платформу развивать?

— Будем дополнять ее в обязательном порядке, будем развивать и расширять и с точки зрения нормативно-правовой базы. Потому что очень динамичное у нас законодательство, многое меняется, многое дополняется по ходу. И необходимо эти нововведения очень оперативно интегрировать в регуляторный хаб. То есть над этим будем постоянно работать. Соответственно, будем наращивать экспертизу. Потому что одно из важных инструментов в информационной безопасности — это обогащение данных, которые мы предоставляем заказчикам и об угрозах, и о способах защиты от этих угроз. Этим мы тоже будем наполнять. Это интегрированная экспертиза. Дальше такая обратная связь и взаимодействие с пользователем. То есть нам нужно как можно больше получать обратной связи от наших заказчиков для того, чтобы эту историю развивать. Обязательно на острие, постоянно обновлять информацию, регуляторную и не только, и информацию об угрозах, которые мы получаем.

— Анна, спасибо вам огромное, хочется пожелать вам успехов в развитии платформы.

— Спасибо большое.