Социально-политические потрясения 2022 года закономерно отразились на отечественной IT-индустрии и сделали и без того очень серьёзную тему информационной безопасности остроактуальной. Многие компании подверглись DDoS-атакам, сливам клиентских баз, а также столкнулись с последствиями санкций. О мерах защиты от киберзлоумышленников рассказали представители «Акстел-Безопасность» — компании, которая занимается реализацией высокотехнологичных и комплексных проектов, генеральный директор Сергей Тарабакин и руководитель направления по информационной безопасности Максим Прокопов.
Status-media.com
— Что представляет собой российский рынок информационной безопасности?
— В настоящее время этот сегмент IT-рынка достаточно разнообразен: есть классические системные интеграторы, работа с гостайной, информацией, которая защищается по требованию законодательства (например, персональными данными), и прочее. Каждый из игроков старается занять собственную нишу: кто-то работает с госсектором, кто-то — с крупными коммерческими компаниями, кто-то — со средним бизнесом. Люди начали осознавать, что информационная безопасность стоит финансовых вложений, причём если говорить о крупном бизнесе, то это относительно небольшие средства.
Сегодня активно развивается направление реальной информационной безопасности — проводятся киберучения, то есть моделирование реакции центров мониторинга на инцидент. Это очень интересная сфера, подразумевающая комплекс работ по анализу защищённости компании и адекватному противодействию угрозам.
— Учитывая увеличившееся количество хакерских атак, как компаниям противостоять киберугрозе?
— Один из самых важных моментов заключается в том, чтобы система безопасности в компании строилась не ради галочки. Система безопасности состоит из трёх основных блоков: технического инструментария, регламентирующей документации и выстроенного процесса. Кроме того, необходимо регулярно проверять на практике, насколько система справляется с текущими угрозами. Мы реализуем систему и проверяем, какие угрозы она видит, как может реально противодействовать атакам. Новые угрозы появляются постоянно, системы их проверяют, и только таким образом возможно оставаться в тренде. Это в самом упрощенном, общем понимании, если же говорить о каких-то конкретных системах, то в каждом направлении есть свои нюансы.
— Существует ли какая-то достоверная статистика, позволяющая понять, насколько велики потери компаний от кибератак?
— Конечно, каждый вендор (поставщик отбрендованного товара, включаемого компанией — системным интегратором в IT-решение), каждый значимый игрок рынка, российский или зарубежный, пытается оценить объём потерь от преступлений в сфере информации. Но сделать это очень сложно: не все атаки имеют моментальный результат, большой процент вторжений предполагает кумулятивный эффект. На фоне обострившегося международного противостояния злоумышленники могут воспользоваться информацией, украденной в двадцатом году, только сейчас. Вполне наглядный пример — когда у банка уводятся средства со счетов их корреспондентов, но это далеко не всё, что происходит на рынке информационной безопасности. А как оценить потери компании от того, что у неё утекла база данных, как у некоторых логистических и транспортных агрегаторов? Или когда их клиенты начнут получать целенаправленные атаки? Такой ущерб адекватно оценить невозможно.
— Как происходит тестирование системы безопасности компании?
— Технологий защиты достаточно много. Крупные компании, холдинги, корпорации — все те, чьи риски высоки, стремятся к набору определённых концепций построения комплексной системы безопасности. Однако важно не только иметь технологии, но и знать нюансы внедрения процессного подхода, чтобы результат был на самом деле эффективным. Эффективность проверяется учением под названием Red Team (атака «красной команды») — имитацией реальных атак с целью оценки кибербезопасности систем. Профессиональная команда хакеров пишет угрозу нулевого дня (неустранённые уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы) под конкретный проект. Им противостоит защищающая команда Blue Team. Также может быть этапе Purple Team — взаимодействие атакующей команды Red Team и защищающей Blue Team, которые разбирают кейсы, анализируют тактики, обсуждают, что увидели и чего не заметили, делают выводы, что нужно «докрутить», какие логи (файлы с информацией) не собираются. Это очень интересные профессиональные истории, и компания «Акстел» много раз выполняла такую работу для крупных заказчиков. Это дорогостоящая услуга, но только благодаря ей можно оценить эффективность работы системы.
— Какие ещё решения востребованы сейчас?
— Всё чаще компании осмысленно относятся к своей безопасности — они начинают получать реальный дискомфорт и прямые потери от кибератак, поэтому больше не хотят просто приобретать продукт и класть его на полку. Интересно, что возник новый сегмент — расследование инцидентов безопасности. Если раньше запросы на информационную криминалистику были единичными, то теперь можно говорить о серьёзном потоке. Компании обращаются за экспертизой в формате forensic — расследования корпоративного мошенничества и коррупции в компании, кражи конфиденциальной информации и инсайдерства.
— Насколько успешно происходит процесс импортозамещения IT-индустрии?
— В сфере информационной безопасности дела с импортозамещением обстояли неплохо и до начала спецоперации. В России очень многие решения были разработаны на высоком уровне, и локальные вендоры продолжают эту работу. Но ключевая проблема всей российской IT-сферы — это отсутствие отечественного «железа». Сейчас все ведущие производители прекратили поставки в Россию программно-аппаратных комплексов, которые могут на высокой скорости качественно отрабатывать инциденты информационной безопасности. А продуктов такого уровня, который предлагают наши зарубежные коллеги, у нас по факту нет — ни компонентной базы, ни процессоров.
— В таком случае в чём могут быть точки роста?
— Если говорить про информационный бизнес, то это сетевая безопасность и автоматизация различных рутинных задач, повышение осведомлённости пользователей, проверки технологий средств защиты службы безопасности и повышение качества программного обеспечения, которое занимается выявлением инцидентов и интеллектуальным поиском различных кибератак.
— Как государство может поддержать IT-отрасль на федеральном уровне?
— Достаточно сложно говорить за государство, но, вероятно, на федеральном уровне надо заняться обеспечением независимости с точки зрения электронных компонентов и вычислительных мощностей. Именно это сейчас составляет огромную проблему, к которой мы даже ещё не прикоснулись. Поддержка IT-сегмента в комплексе — это тяжелейшая задача, требующая гигантских капиталовложений и пристального внимания со стороны государства. Столь же актуальна проблема со специалистами и планкой современного образования: российские вузы сегодня не готовят профессионалов высокого уровня. Знания, которые дают в институтах, устарели минимум на десять лет. Необходимо возродить систему классического образования «среднее — профессиональное — высшее», активно включать в учебные программы практику. Впрочем, проблема с базовым образованием существует не только в IT-сфере, а в инженерной школе в целом. Начинать нужно со среднего специального (профессионального) образования, по сути, учить студентов базовым вещам. А затем уже продолжать готовить их в высших учебных заведениях. В сложившихся условиях требуется на порядок больше специалистов, а не искать редких самородков. В конце концов, самородки — это гении, которые должны заниматься не повседневным ремеслом, а какими-то творческими высокоуровневыми проектами. А нам нужно очень много хороших специалистов во всех инженерных отраслях