Американские спецслужбы обвиняют российских хакеров в попытке повлиять на результат выборов, а российский Центральный банк предлагает банкам запастись ликвидностью из-за угрозы DDoS-атак – в 2016 году тема информационной безопасности стала постоянным героем выпусков новостей. Игорь Ведёхин, заместитель генерального директора IBS, российского разработчика сложных ИТ-решений, в числе клиентов которого ЦБ, Газпром, Сбербанк и многие другие организации, объясняет, как можно противостоять атакам и почему порой лучше делиться информацией, чем скрывать ее.
О главных технологических угрозах
Чем больше технологий становятся частью нашей жизни, тем больше возникает связанных с ними угроз. Одно дело, когда это были игры на лужайке, когда информационные технологии были некоторым приятным довеском к основному бизнесу. Совсем другое дело, когда это стало системным фактором, без которого невозможно представить частную, деловую жизнь и политические сферы – влияние различных угроз в информационной безопасности в последние годы стало очевидным.
Первая группа угроз – это все, что касается безопасности финансовых систем. Кибербезопасность и защита от киберзлодеев особенно актуальна для банкиров и финансистов, потому что здесь прямая дорожка: вот банковский счет, бери его, похищай и трать деньги. Потери легко подсчитать и легко монетизировать похищенное – банковская среда к таким угрозам наиболее чувствительна. Для банкиров повсеместное внедрение информационных технологий – это и попытка расширить контингент людей, которые пользуются услугами, и попытка быстрее достучаться до клиентов, и при этом новые опасности.
Для промышленных компаний, работающих в нефтяной или газовой сфере, киберпохищение денег со счетов чуть менее значимо. Для них гораздо актуальнее защита в области автоматизации. Попытки вредоносного влияния на функционирование газоперекачивающего оборудования, воздействия на компрессорные станции, на нефтепровод и так далее становятся настоящей болью таких компаний. Поэтому все, что связано с защитой промышленных объектов, вызывает тревогу. Это наиболее уязвимые объекты инфраструктуры, они все чаще оснащаются ИТ-системами и находятся под их мониторингом и управлением. Такие системы получают все больше функций. Так что оправдан интерес крупных компаний к импортозамещению, потому что не важно, на каких серверах будет крутиться ERP-система, а вот какое оборудование отвечает за автоматизацию на заводах, – это другой вопрос и гораздо более серьезная задача. Это как раз серьезная зона работы, здесь явно сейчас меняются и подходы, и скорость, с которой происходят изменения.
Все, что связано с защитой промышленных объектов, вызывает тревогу
Для инновационных компаний по-прежнему остро стоит вопрос промышленного шпионажа. И это дорога с двусторонним движением: чем больше в России будет таких компаний, тем больше будет спрос на защиту, тем больше будет предложение.
Раньше в нашей стране промышленным шпионажем в основном интересовались с другой стороны: у кого-то что-то позаимствовать. Мы все помним, что значительное количество советских изобретений были так или иначе, скажем аккуратно, подсмотрены. Хотя, с другой стороны, были же истории, – не знаю, насколько правдивые, – когда японские компании скупали «Науку и жизнь» и другие журналы, которые публиковали разные лайфхаки того времени или какие-то интересные разработки.
Сегодня ситуация, на мой взгляд, изменилась: не всегда утечка информации вредна и далеко не всегда закрытость ведет к повышению конкурентоспособности. Зачастую разумная коллаборация может быть полезна. Мы порой сознательно даем ту или иную «утечку», чтобы проверить идеи, потому что зачастую в процессе творческого поиска можно уйти не туда. Очень важна обратная связь и разделение идей с сообществом. Научный мир всегда жил по таким принципам, компаниям тоже стоит взять их на вооружение. В попытке сохранить корпоративные секреты важно не перейти грань, которая мешает их обсуждать с коллегами по цеху, и разумно распределять эти наработки по всей технологической цепочке.
Об утечках
Проще всего всем сесть в одной комнате, приставить автоматчика к дверям, в шарашке какой-нибудь разрабатывать некое невиданное доселе нововведение, которое перевернет мир. Но сегодня такой метод работы уже сложно применять, потому что изобретения настолько сложны и многослойны, что их нужно конструировать вместе с партнерами. Вычленение сути и очень четкое понимание того, что является ключевым в твоем продукте, – вот это, мне кажется, очень важная задача, и важно защищать именно это.
Сейчас создание всех сложных механизмов – это работа огромного количества компаний, находящихся в достаточно тесной производственной кооперации. Без разумного распространения идей это не будет работать в принципе. Когда в проекте занято много участников, утечки информации могут быть просто катастрофическими, и это, с одной стороны, ночной кошмар специалиста по безопасности, но, с другой стороны, это нормальная жизнь промышленной компании. Еще больше усложняет задачу то, что каждый участник проекта ведет активную социальную жизнь: хорошо, если не постит какие-то свои разработки в фейсбуке, но гипотетически может ведь и это сделать.
Правда, есть еще история, связанная с тем, когда попытка навредить делается не с прагматическими целями, а только ради развлечения. Когда, скажем, молодой сотрудник совершает некие действия не ради выгоды, а просто потому, что может. Такая форма троллинга или оскорбленная позиция сотрудника. Человек обиделся на что-то, хочет громко хлопнуть дверью или просто встал не с той ноги – это риски, от которых в принципе сложно защититься. Как защищаться от собаки, которая сошла с ума, ходила вокруг вас, а тут – хоп – цапнула? Вы же не знаете, что у нее в голове, поэтому очень сложно бывает защититься.
Есть некоторые универсальные средства: идешь на стройку – надень каску. Понятная история. Есть базовые средства безопасности: поставить антивирус, использовать сложные пароли. Но в случае такой внутренней диверсии это мало помогает.
О там как защита связана с эффективностью бизнеса
Универсальным решением становится внедрение системы мониторинга, которая не только позволит отслеживать возможные атаки внутри организации, но и сможет повысить эффективность работы. Когда руководитель понимает, чем занимаются его сотрудники, проще построить правильные схемы мотивации, чтобы они занимались тем, что более выгодно компании. И, конечно, тогда можно в значительной степени противодействовать каким-то негативным событиям, происходящим в жизни организации, понимая, в каком русле ведется переписка, где узкие места в принятии решений, где решения принимаются с определенной тенденциозностью, – например, в области закупок. Это фактически тоже потеря денег, потому что если ваши сотрудники завышают цены при закупках, уводят ваш бизнес на сторону, то вы за это переплачиваете.
Антивирус, сложные пароли – в случае внутренней диверсии это мало помогает
Сегодня компании, использующие решения в области автоматизации бизнес-процессов, имеют все возможности для жесткого регламентирования полномочий сотрудников. Все как на ладони: если человек интересуется не той информацией, которая традиционно входит в его компетенцию, или он обычно этого не делает, – это сразу же становится видно. Можно в режиме реального времени следить за тем, кто из сотрудников имеет тот или иной доступ, а если еще не лень интересоваться параллельно жизнью этих сотрудников в соцсетях, то с высокой степенью вероятности можно все возможные проблемы предупреждать или пресекать сразу же после возникновения. В финансовых организациях есть программа «знай своего клиента», а во всех компаниях нужна такая же программа «знай своего сотрудника».
О методах защиты
Идеальный рецепт безопасности изобрести сложно. С одной стороны, есть средства, позволяющие упростить жизнь в этом многообразии паролей, которыми пользуются люди и в корпоративной, и в личной жизни. На помощь здесь приходят методы, связанные с биометрической аутентификацией, многие уже используют их на своих телефонах.
С другой стороны, нужно лучше защищать базы данных, которые коллекционируют персональные данные. Объектов, запрашивающих доступ к вашим данным, становится все больше и больше, у нас только ленивый в магазине не спросит телефон, дату рождения; хорошо, если паспортные данные не попросят в обмен на какие-то скидки. Хотя в этом может быть некоторое удобство для пользователей, это еще и точки потенциального попадания персональных данных в разного рода базы – а потом мы удивляемся, когда приходит большое количество спама.
Я скорее положительно отношусь к решениям, связанным с формированием доверенной среды вроде универсальной электронной карты или других подобных проектов. Хотя мы говорим, что нельзя хранить все яйца в одной корзине, иногда лучше делать именно так, потому что одну корзину проще защитить, чем множество. Если на уровне большого агрегатора будет решена задача идентификации пользователя, это упростит жизнь многим локальным игрокам на рынке,
Владельцу небольшого онлайн-магазина логичнее передать эти полномочия агрегатору, чем самому пытаться построить систему обработки пользовательских данных и защищать их. Лучше за какую-то разумную плату пользоваться этим, чем строить такую же систему у себя, порождая новые угрозы для всех участников рынка, и непонятно, будет ли построение новой базы эффективным. Но, конечно, такая ситуация рождает неравенство, потому что и так сейчас на рынке интернет-торговли есть гранды, которые снимают все сливки с рынка. Как я уже говорил, универсальных рецептов не существует.
Фото: Арсений Несходимов для Republic. Автор: Илья Кабанов