Новые угрозы ИБ для бизнеса и госсектора. Чем ответит рынок?

Переоценка традиционных рисков

При кризисных сокращениях персонала традиционные компенсационные методы перестают работать. В докризисное время достаточно было мониторить активность сотрудников, в качестве кнута используя угрозу увольнения или штрафов. Сокращаемых сотрудников довольно трудно напугать увольнением, поэтому велика вероятность того, что они используют доступную им корпоративную информацию для увеличения своей ценности на вновь ставшем конкурентном рынке труда.

Увольняемые сотрудники будут пытаться унести с собой все, что смогут и что им поможет в кризис быстрее найти работу и продвинуться на ней: клиентские базы, интеллектуальную собственность (от листинга программ до шаблонов документов), информацию о новых, еще не выпущенных на рынок продуктах и т.п. Хороши будут все каналы передачи информации – флешки и переносные жесткие диски, корпоративная электронная почта, мессенджеры, облачные хранилища данных, принтеры, удаленный доступ снаружи и т.д.

Поэтому от мониторинговых систем при массовых сокращениях нужно переходить к решениям с блокирующими функциями, не информирующих вас о том, что вашу информацию украли, а не дающим у вас ее украсть. Таких предложений на рынке существенно меньше: работа в режиме блокирования требует очень внимательного отношения к ложным срабатываниям второго рода (false positives) и наличия специальных функций обработки приостановленных операций (подтверждение со стороны ответственного лица, продолжение разрешенной операции), чтобы работа системы защиты не мешала бизнес-процессам.

Сокращение бюджета при увеличении задач

Роль информационных ресурсов, особенно внешних, во время кризисов возрастает. Контакты и транзакции в сети дешевле, поэтому при закрытии офлайновых офисов, магазинов, учебных центров бизнес будет перенесен в электронные магазины, реклама и закупки – на электронные торговые площадки, обслуживание клиентов – в "личные кабинеты", тренинги – в вебинары. Реклама будет привлекать клиентов на ярко оформленные порталы, командировки будут заменены на видеоконференции и т.п. От надежности работы таких систем напрямую будет зависеть прибыль предприятия в непростые времена.

Кроме эшелонированной обороны Web-ресурсов, которую можно построить и не реорганизуя собственные процессы на уровне провайдера, необходимо также организовать работу по безопасной разработке с программистами. Неважно, имеет компания собственных разработчиков или заказывает разработку Web-ресурсов на стороне, она должна контролировать качество приложения, в том числе – и безопасность. Применение автоматизированных систем тестирования кода Web-приложений, совмещающих в себе разные виды анализа, от статического анализа исходного кода до динамического, проверяющего гипотезы статического анализа, позволят, с одной стороны, ускорить сдачу в продуктив нужного бизнесу функционала, а с другой – будет гарантировать отсутствие ошибок и "закладок", порождающих опасные уязвимости. Только надо решить для себя – покупать продукт или сервис по анализу защищенности приложения – предложения и того, и другого появились на рынке не так давно.

Производители средств защиты Web-ресурсов понимают, что решения, требующие квалифицированных ресурсов (аналитиков, аудиторов и пр.), на стороне заказчика не будут сегодня востребованы: кризис не позволяет увеличить штат пропорционально росту задач. Поэтому разработчики сегодня либо предлагают сервисы, полностью автоматизирующие процесс защиты, либо включают в свои услуги аутсорсинг специалистов.

Риски попадания под санкции

То, как развиваются геополитические процессы, показывает, что в любой момент совершенно далекая от политики и обороны компания или банк в один далеко не прекрасный день могут стать жертвами геополитических конфликтов. В канцелярию компании придет в конверте или по факсу письмо производителя средств автоматизации или защиты информации, в котором вам объяснят: "Так, мол, и так, ваша компания стала объектом санкций со стороны страны – производителя этих средств, и отныне мы, как законопослушная компания, прекращаем поддержку нашей системы. Деньги, заплаченные за поддержку, мы вам не вернем, ибо санкции – форс-мажор". Десятки российских компаний уже получили такие письма – то акционер у них неудачный оказался, то отрасль попала под секторальные санкции, то филиал в Крыму открыли. Никто не знает, какие новые санкции завтра придумают наши "политические оппоненты", поэтому эти риски сбрасывать со счетов нельзя.

Сценарий развития событий должен прорабатываться в каждой компании. Пока санкции включают в себя не отключение систем, а отказ в продаже, обновлении и технической поддержке, поэтому есть надежда, что уже развернутые системы какое-то время еще проработают, только не будут обновляться. Это время надо использовать для переноса бизнес-процессов в системы, базирующиеся на российских разработках, или в облачные сервисы, управляемые российскими компаниями. Некоторые компании, попавшие под санкции, передают имеющиеся средства автоматизации формально неаффилированным компаниям, у которых их затем арендуют. В любом случае, все такие сценарии должны быть просчитаны заранее.

Идеально иметь информационную систему, построенную на российских решениях, однако если производители российских программных продуктов российского производства будут рады заполнить освободившуюся нишу, то с предложением российских аппаратных решений выбор обстоит похуже. Поэтому единственной реальной альтернативой американским производителям "железа" могут стать лишь китайские производители.

Хактивизм и кибервойна

Нестабильность на политической арене, как бы далеко ни находились поля сражений, может настигнуть российские компании довольно быстро. Количество атак на государственные информационные ресурсы и ресурсы системообразующих предприятий постоянно растет. Иногда атаки идут со стороны хактивистов – политически мотивированных хакерских группировок, ставящих своей целью заблокировать работу ресурса, скомпрометировать его или похитить какую-либо чувствительную информацию. Иногда это работа специальных подразделений армий и разведок других государств, стремящихся получить секретную информацию или получить контроль над информационной системой.

Внешние атаки часто бывают комбинированными, они сочетают в себе отвлекающие маневры, операции прикрытия, специально написанное под конкретную задачу ПО, поэтапное проникновение в систему, сочетающее острые фазы атаки с затишьем, и прочие профессиональные приемы настоящей кибервойны. Если компания упоминается в политических новостях в негативном свете или просто является важным элементом экономики (энергетика, включая атомную, крупный государственный банк и т.п.), то надо быть всерьез готовым к такому "вниманию" со стороны ранее не беспокоивших активистов.

Сложные атаки требуют и комплексного им противодействия – одиночные решения по защите только от одной угрозы (например, DDoS-атак) неэффективны, такие атаки часто используются для скрытия других атак, поэтому отражение такой атаки – не самоцель. Рынок предлагает множество продуктов и сервисов по контролю защищенности информационной системы и по активной защите от различных внешних (DDoS и хакерских) и внутренних (инсайдерских и целенаправленных) атак. Важно оптимально рассчитать свою возможность не только приобрести эти продукты и сервисы, но и обслуживать их.

Недостаток средств

Уже январские закупки этого года показали, что большинству компаний не хватит средств даже на то, что они планировали для развития своей системы информационной безопасности. Бюджеты, сверстанные в октябре по курсу 45 руб. за $1, не позволяют покупать те же средства защиты при курсе, в полтора раза меньшем. Производители средств защиты, чьи цены номинируются в иностранной валюте, пытаются поддержать закупки, фиксируя курс доллара, то есть в реальности давая беспрецедентные дополнительные скидки, но долго это не продлится – выход искать надо системно.

Прежде всего надо оценить требования к средствам защиты информации – не были ли они завышены, не брались ли с запасом, "на вырост". Возможно, в рамках нынешних бизнес-задач можно перейти на младшие модели тех же производителей или взять более дешевый тариф у поставщиков услуг. Поставщики с радостью посоветуют приемлемое решение, лишь бы сохранить клиента. Если и в этом случае не удается вписаться в бюджет, то стоит присмотреться к решениям менее раскрученных брендов, которые технически могут и не уступать тем решениям, которые широко рекламируются. Сейчас в каждой продуктовой нише есть решения разной ценовой категории от разных производителей, включая иногда даже бесплатные, поэтому выбор есть всегда.

Заключение

Какими бы страшными не казались новые риски и вызовы, стоящие перед бизнесом, у компаний нет шансов их игнорировать, поэтому бороться с ними все равно придется. Лучше не ждать, пока угрозы реализуются, а заранее иметь план противодействия каждой угрозе и соответствующие средства защиты. Рынок гибко подстраивается под спрос – в кризисное время больше предложений появляется по сервисам защиты, поскольку ими проще начать пользоваться и легче отказаться при необходимости. Растет предложение и по аутсорсингу некоторых функций информационной безопасности, откликаясь на сокращение персонала. Поэтому важно не только осознавать новые растущие угрозы, но и находить, как с ними бороться в рамках сократившегося бюджета. Не в первый раз, бывало и похуже.