Информационная безопасность в России: угрозы, вызовы и пути защиты

Алина Танатарова, обозреватель:
— Алексей, ранее в своем исследовании вы сообщали, что в течение двух последних лет более 70% российских компаний сталкивались с разными видами хакерских атак. С чем связана повышенная активность киберпреступников именно в этот период?

Алексей Новиков, управляющий директор Positive Technologies:
— Все это началось значительно раньше, это началось после февраля 2022 года. При этом последние два года явно можно отследить тенденцию, что увеличилось количество хакеров и злоумышленников, которые в первую очередь пытаются заработать на своих киберпреступлениях, на своих атаках. Они шифруют инфраструктуру и потом требуют соответствующий выкуп с компаний, чтобы они потом им предоставили ключи для расшифровки. Также последняя тенденция — когда выводят из строя прямо целые компании. То есть уничтожают всю IT-инфраструктуру для того, чтобы парализовать бизнес-процессы, для того, чтобы компании не могли нормально функционировать. Это две основные причины, из-за которых злоумышленники атакуют российские компании.

— Как вы считаете, может ли быть такая ситуация, что 70% — это официальная цифра, а в реальности таких компаний гораздо больше, потому что они просто скрывают факт взлома и платят выкуп злоумышленникам?

— Да, к сожалению, цифра, скорее всего, больше. Потому что специфика российского рынка информационной безопасности состоит именно в том, что большинство компаний стараются умалчивать о компьютерных инцидентах. Немаловажный факт на самом деле еще в том, что в последние два года тенденция привела к тому, что очень часто многие, ну, еще два года тому назад говорили о том, что молния в одно и то же место не бьет. По нашей статистике мы видим, что у компаний происходят инциденты второй, третий раз. Одну компанию на протяжении трех лет, по нашей статистике, взламывали шесть раз.

— Это плохая защита или же они пошли на поводу у злоумышленников?

— Это скорее невыученные уроки. Большое количество компаний, к сожалению, недостаточно инвестирует в обеспечение безопасности и не хочет вкладываться в инфобез. Когда происходит первый инцидент, они говорят: «Ну, вот не повезло, ладно. Один раз нас взломали, наверное, второго раза не случится». Нет, случится. Бывает и второй, и третий, и четвертый, и пятый. И, к сожалению, количество таких компаний, которые на протяжении последних двух-трех лет сталкивались с несколькими инцидентами, которые значимы для них, приводили к остановке бизнес-процессов, к полной либо частичной, количество таких компаний только растет.

— Как вы в целом оцениваете уровень зрелости российских систем информационной безопасности?

— Это очень неоднородная такая оценка. И очень сложно на текущий момент говорить о том, как правильно оценить, кто более защищен, чем остальные компании. Те, кто столкнулся с хакерами, злоумышленниками, они более защищенные. У них реже происходят инциденты, они выделяют значительные бюджеты и так далее. В то же время существует проблематика о том, что нельзя однозначно сказать, а сколько стоит взломать эту компанию, другую компанию, кто более защищенный, кто менее защищенный. На текущий момент в рамках индустрии есть ряд проектов, посвященных именно попытке дать объективную оценку киберзащищенности компаний. То есть у этих компаний вопрос с защищенностью, с безопасностью обстоит довольно плохо. В то же время крупные компании — они более защищенные в силу специфики и более раннего инвестирования в информационную безопасность.

— Но среднее время реагирования на инциденты, оно сокращается?

— Среднее время, да, слава богу, оно сокращается. Если мы пять лет тому назад говорили о месяцах, то сейчас можно говорить о том, что это исчисляется где-то в восемь-девять дней. Важно тут еще понимать не только само время реагирования на инцидент, важно еще говорить о том, когда компания обнаружила, что она взломана. Потому что, к сожалению, большое количество компаний взломано довольно продолжительный период времени.

— И они про это не знают?

— И они про это не знают. До тех пор, пока у них не наступило какое-либо последствие. То есть по большому счету, если бы была развитая система информационной безопасности, если бы они инвестировали в ИБ, они могли бы обнаружить фактически чуть ли не за пять месяцев наличие хакеров в их инфраструктуре и могли бы их остановить. Что не привело бы к остановке бизнеса.

— Давайте поговорим теперь о том, как сегодня меняются, развиваются, совершенствуются системы информационной безопасности отечественных компаний. Как трансформируется запрос в этой сфере и как на него отвечает рынок услуг?

— На текущий момент можно говорить, что у нас действительно высококонкурентный рынок информационной безопасности внутри России. У нас появилось большое количество вендоров, большое количество поставщиков различных услуг. И, самое главное, вот эти инциденты привели к тому, что компании начали задавать правильно вопрос: чего хотеть от информационной безопасности? То есть если десять лет тому назад все удовлетворяли комплаенс, покупали какие-то решения для того, чтобы соответствовать на бумаге, как мы говорим, регуляторике, то на текущий момент многие компании задаются вопросом: а что же хотеть действительно от ИБ, что такое практическая информационная безопасность и, самое главное, как это можно проверить? То есть запрос на понятные метрики, на понятный результат и, самое главное, доказуемую практическую кибербезопасность. Это то, что на текущий момент чаще всего спрашивают у вендоров.

— Но движется ли рынок информационной безопасности к технологической независимости и лидерству? Какова наша роль на мировой арене?

— С точки зрения экспертизы мы однозначно на первом месте.

— Успели набить руку.

— Да, мы успели набить руку. И никто больше не видел. Существует устойчивый спрос на самом деле от других стран именно на тот опыт построения комплексной информационной безопасности, который позволяет вот в такой буре атак выжить и не дать бизнесу остановиться.

— А как компании понять, подойдет ли ей конкретный продукт или решение? Насколько эффективны вообще готовые открытые решения?

— Тут существует большое количество способов удостовериться в том, что решение подходит или не подходит. Но в первую очередь необходимо понимать, какова скорость внедрения. То есть необходимо уходить не в долгие проекты, которые измерялись бы годами, а выбирать те решения, которые готовы давать результат уже завтра, то есть через минимальный срок. Это номер один. Номер два — это опять же говорить об ответственности вендора, об ответственности решения. И номер три — какой результат это решение должно принести? То есть защищает оно от всех угроз, защищает оно от части угроз? Допустим, мы в своей методологии хакеров и злоумышленников разделили условно на пять категорий, на пять градаций. От самых простых, которые даже не обладают какими-то готовыми IT-знаниями. Они просто взяли готовую инструкцию, нажали next, next, next и кого-то взломали. К сожалению, на текущий момент это возможно. До более продвинутых, организованных, мы их называем APT-группировки, которые могут использовать уязвимости нулевого дня. То есть это те уязвимости, о которых даже еще не знает вендор и для которых нет патчей — специальных обновлений безопасности. Пять градаций, каждая из этих градаций, каждый из этих хакеров, категорий может использовать соответствующие методы и техники. И когда ты выбираешь для себя решение, ты должен ответить четко на вопрос: кому я могу быть интересен? Каким я обладаю инструментарием? И те решения, которые я выбираю, они в состоянии меня защитить от этого уровня хакеров, от этого уровня злоумышленников? Дальше, после того как состоялся выбор, вопрос: а как проверить? То есть можно, конечно, ждать, когда придет реально хакер и атакует, а мы в своей методологии предлагаем такой подход, как кибериспытания. То есть когда мы привлекаем комьюнити «белых» хакеров, исследователей по безопасности и они пытаются реализовать то или иное недопустимое событие. И тут как-то вендор, поставщик решения должен нести ответственность. Если они не могут взломать, значит, защита работает и реальный хакер тоже не взломает.

— А вот такой вопрос. В каких случаях компании лучше содержать собственный штат по информационной безопасности, а в каких случаях лучше обратиться к подрядчику?

— Необходимо в каждой конкретной ситуации смотреть, какое решение лучше. Лечение нужно уже прямо завтра и нет времени на долгие проекты, поэтому необходимо выбрать то решение, которое дает результат прямо завтра. Это обычно облачное решение либо какая-то услуга от вендора-поставщика. В то же время, если компания хочет долго и планомерно и готова стратегически инвестировать, можно выбрать, как мы их называем, он-прем-решения и строить у себя внутри информационную безопасность. То есть если компания-вендор, допустим, смотрит и мониторит, защищает пять, десять, 15 компаний из ретейла, то, естественно, увидев у одного клиента, как их атакуют, они тут же эту практику, экспертизу переносят на всех остальных. И за счет этого получается, что идет не противодействие компании против конкретного хакера, а именно защита отрасли против конкретных хакеров. Поэтому необходимо об этом тоже помнить, и можно использовать и решения, размещенные внутри компании, и вот таких поставщиков решений облачных, которые выступают как второе мнение, по сути говоря, и обогащают экспертизой специалистов, которые работают внутри компаний.

— А что бы вы порекомендовали компаниям, которые только начинают внедрять решения по информационной безопасности, но имеют ограниченный бюджет?

— В первую очередь сформулировать, какой результат они хотят получить и от какого уровня злоумышленников они хотят защититься. Соответственно, защититься от социальной инженерии. И, самое главное, есть решение, которое в состоянии быстро реагировать на всей инфраструктуре. Это уже дает защиту от начального плюс уровня хакеров и даст уже положительный результат очень быстро и за вполне приемлемые деньги.