Бизнес отстал в ИБ
<p>Такую оценку дал директор Департамента цифровых технологий Торгово-промышленной палаты (ТПП) России Владимир Маслов, выступая на Инфофорум-Центре. При этом у бизнеса, прежде всего малого и среднего, работа по выстраиванию мер защиты находится пока на начальной стадии, хотя атакуют небольшие и средние компании так же активно, как и крупные. Владимир Маслов посоветовал бизнесу активнее перенимать опыт органов власти, которые добились значительных успехов в деле защиты ИТ-инфраструктуры от атак в 2022-2023 гг.</p> <p>Руководитель направления Центра компетенций по информационной безопасности ООО "ТС Интеграция" Валерий Степанов считает, что эталоном по обнаружению, предотвращению и реагированию на киберугрозы были и остаются организации из финансового сектора, что обусловлено жестким нормативным регулированием отрасли.</p> <p>По оценке руководителя Центра комплексной безопасности АО "ЛАНИТ" Дмитрия Дудко, во многом такое отставание носит объективный характер, и СМБ сложно перенимать чей-то опыт: "СМБ всегда старается сэкономить на непроизводственных расходах. И если средства защиты информации приобретаются, то исключительно локального характера - прежде всего антивирусы. СМБ-предприятие с 5-10 компьютерами просто не может себе позволить решения по защите периметра или контроля утечек. Поэтому я сомневаюсь, что компании СМБ смогут перенять какой-то опыт у крупного бизнеса". По мнению Дмитрия Дудко, главной задачей 2023 г. является переход на решения, которые не подвержены санкциям, но данный процесс очень небыстрый: на полную замену ушедших вендоров уйдет два-три года.</p> <p>По мнению собственника продукта ООО "Инностейдж" (Innostage) Евгения Суркова, между бизнесом и государством существует объективная разница вследствие принципиально разного целеполагания: "Коммерческие организации ориентированы на достижение максимальной прибыли. Взять те же критерии категорирования: только один критерий обоснования трат на ИБ - соотношение затрат и экономии - совпадает с их базовыми потребностями. У государства основной KPI - благополучие граждан, что в некоторых ситуациях вступает в прямой конфликт с целями бизнеса. Поэтому, пожалуй, ключевая проблема - невозможность, ввиду неумения или недостатка данных, адекватно посчитать и спрогнозировать влияние потенциальных рисков и угроз ИБ на конкретные финансовые потери".</p> <p>Заместитель генерального директора группы компаний "Гарда" Рустэм Хайретдинов считает, что опыт госструктур для бизнеса не всегда релевантен, особенно для СМБ: "Крупный бизнес особенно сильно оцифрован: финансы, электронная торговля, телеком, онлайн-развлечения - имеет большую цифровую зрелость и, соответственно, более продвинутые системы информационной безопасности. Те ФОИВ, которые повернуты лицом к гражданину и имеют цифровые системы с миллионами пользователей - ФНС, "Госуслуги" и т.п., также не отстают от лидеров цифровизации в частном секторе. Региональные цифровые системы, тем более, могут отличаться по своей цифровой зрелости и зрелости информационной безопасности от федеральных и коммерческих. У них меньше функций и меньше пользователей, да и за редким исключением меньше ресурсов. А зрелые цифровые системы оказались более готовыми к атакам, поскольку их атаковали и раньше. СМБ, который до СВО был скорее случайной жертвой атак, чем целенаправленной, оказался менее защищен. Те из них, кого серьезно сломали в прошлом году, сделали правильные выводы и теперь не относятся к инвестициям в защиту по принципу "да кто нас будет ломать". Также специфика СМБ в том, что они больше используют внешние ИТ-сервисы. Государственные же структуры часто ограничены в возможностях выбора внешних сервисов, поэтому их опыт защиты не всегда релевантен для СМБ".</p> <p>"Крупный бизнес, ФОИВ и РОИВ изначально защищены лучше, так как выделяют значительные средства на ИБ. У СМБ приоритеты другие, ИБ-риски стоят не на первом месте, поэтому и расходы на обеспечение безопасности сильно меньше. Соответственно, и страдает он больше других. - Для атакующих СМБ - лакомая цель, но чаще всего такие компании используются в атаках на цепочку поставок, становясь "мостом" к другим инфраструктурам, где они имеют доступ как подрядчики, - считает директор по продуктовому развитию ГК "Солар" Валентин Крохин. - Основная цель злоумышленников - это все-таки информационные системы в госуправлении и бизнесе. У госструктур СМБ может поучиться системности в ИБ. Для государственных организаций разработаны конкретные рекомендации, их можно найти в открытом доступе и попытаться применить в отношении своего бизнеса".</p> <p>Заместитель губернатора Тульской области Галина Якушкина назвала залогом успешного противостояния угрозам применение системного подхода, в том числе и к нижестоящим структурам - подведомственным предприятиям и учреждениям РОИВ и муниципальному звену. Она подчеркнула, что должна быть выстроена единая политика и единая система контроля, чтобы необходимые меры доводились до всех и неукоснительно соблюдались.</p> <p>Заместитель председателя правительства Тульской области - министр по информатизации, связи и вопросам открытого управления Тульской области Ярослав Раков заявил о некотором снижении количества атак в 2023 г. после удвоения по итогам 2022 г. При этом, по его словам, количество инцидентов было считаным: имели место лишь два дефейса сайтов муниципальных учреждений, где использовалась система управления контентом Bitrix. Но атаки, как заявил Ярослав Раков, стали сложнее, и их целью все чаще становится получение доступа к информации.</p> <p>Однако появляются новые типы атак. Так, ректор Тульского государственного университета Олег Кравченко рассказал об атаке класса "компрометация электронной почты" (BEC, от Busiines E-mail Comprometation), целью которой было получение персональных данных преподавателей и сотрудников вуза.</p> <p>"Таких историй по всей России очень много, - заявила ведущий инженер отдела технологий анализа ООО "Газинформсервис" Лидия Виткова изданию Anti-Malware.RU. - Мне, как сотруднику научно-исследовательского центра в Санкт-Петербурге и доценту университета, с частотой раз в месяц звонят "представители силовых структур" и заводят одни и те же мошеннические песни. Многие мои коллеги ученые и преподаватели из разных регионов России рассказывают в нашем комьюнити, что получали подобные звонки". Целью данной атаки стали сотрудники российских вузов и научно-исследовательских институтов, работающих над проектами с господдержкой.</p> <p>В Тульской области, как проинформировал Ярослав Раков, используется централизованная модель управления ИБ. Такой подход, по его словам, позволяет ускорить реализацию проектов и при этом добиваться контроля исполнения всех норм и требований на местах. Обратной стороной же, как отметил Ярослав Раков, является необходимость иметь подготовленные кадры в достаточном количестве.</p> <p>Однако именно недостаток и низкое качество подготовки кадров назвал Владимир Маслов главным препятствием для достижения необходимого уровня информационной безопасности. Особенно резко он критиковал качество подготовки на цифровых кафедрах, которые открываются в непрофильных вузах: "Они не дают практических знаний, а только корочки".</p> <p>Помощник полномочного представителя президента Российской Федерации в Центральном федеральном округе Алексей Мошков назвал не меньшей проблемой и то, что до сих пор в штатном расписании многих предприятий и учреждений или полностью отсутствуют специалисты по информационной безопасности, или их должностные оклады очень низкие.</p> <p>Важной задачей, как заявил Ярослав Раков, является постоянное повышение осведомленности персонала. Он напомнил, что многие виды атак используют человеческий фактор, и технические средства против них часто просто бессильны. Как отметил Ярослав Раков, необходимо также регулярно, раз в три месяца, проводить оценку практического уровня знаний сотрудников и проводить дополнительное обучение тех, кто поддался на приемы, которые используют авторы фишинговых рассылок.</p> <p>Вместе с тем есть подходы, где органы власти перенимают опыт бизнеса. Это, например, программы поиска уязвимостей Bug Bounty. О первом опыте применения таких программ рассказал заместитель директора Департамента обеспечения кибербезопасности Минцифры России Евгений Хасин.</p> <blockquote class="quote4"> <p>https://www.comnews.ru/content/226229/2023-05-19/2023-w20/gosuslugi-proshli-proverku</p> </blockquote> <p>По его словам, в ходе двух первых проектов были обнаружены весьма серьезные уязвимости, которые невозможно было выявить другими средствами, причем очень быстро и с небольшими затратами. Всего, как заявил Евгений Хасин, в качестве вознаграждений выплачено 2 млн руб. По его словам, на 2024 г. уже запланировано использовать практику Bug Bounty для 20 различных государственных информационных систем.</p>