Об эксперте: Евгения Наумова, директор по кибербезопасности МТС, гендиректор МТС RED (дочерняя структура МТС в сфере кибербезопасности). Ранее работала в «Лаборатории Касперского», компаниях «Доктор Веб» и StarForce Technologies.
Рост кибератак и его причины
— В 2022 году количество DDoS-атак на некоторые отрасли в России выросло в несколько раз. Какова ситуация сейчас? Стало ли спокойнее или наоборот?
— По данным наших исследований, в первом квартале 2023 года DDoS-атак в России было в десять раз больше, чем в первом квартале 2022 года. Причем растет число не только таких тривиальных с технической точки зрения угроз, как DDoS, но и более сложных — например, атак через цепочку поставок. В ходе таких атак злоумышленники взламывают компанию не напрямую, а через ее подрядчика, у которого есть доступ в инфраструктуру целевой организации. И как только злоумышленник оказывается внутри инфраструктуры с такой вот легитимной учетной записью, он может оставаться незамеченным очень долго, буквально годами. Атаки такого типа достаточно сложны в реализации и требуют подготовки, и тем не менее мы видим, что и они происходят все чаще.
— С чем связан такой рост?
— Во-первых, злоумышленники стали активнее использовать такой классный инструмент, как искусственный интеллект, в том числе ChatGPT. Это очень хорошее средство автоматизации простых атак — в части написания вредоносного кода или текстов фишинговых писем.
Киберпреступники вообще активно используют средства автоматизации, и это приводит к снижению порога входа в эту деятельность, а кроме того, организация атак постепенно дешевеет. В то же время уровень автоматизации российских вендоров (поставщики, продвигающие товары или услуги под собственным брендом или торговой маркой. — «РБК Тренды»), которые поставляют решения в сфере информационной безопасности (ИБ), пока недостаточно высокий.
Только самые простые атаки блокируются автоматически: можно однозначно определить, что какое-то ПО является вредоносным, и заблокировать активность, можно блокировать доступ пользователей к ресурсам, которые со 100-процентной вероятностью принадлежат злоумышленникам.
Но если атакующий действует чуть более тонко, хотя бы тем методом, о котором говорилось выше — через взломанного подрядчика, автоматически такую атаку заблокировать практически невозможно. Следы его действий все равно остаются, но для того, чтобы понять, скрывается ли за учетной записью подрядчика хакер, нужен человек, иначе высок риск заблокировать нормальные, легитимные бизнес-процессы в организации.
Иногда ключевым преимуществом атакующих является не незаметность, а скорость. Если в компании нет круглосуточного мониторинга событий в инфраструктуре, ее могут атаковать вечером в пятницу и за выходные, например, украсть всю значимую конфиденциальную информацию. Конечно, в понедельник ИБ-специалисты смогут пошагово восстановить все действия хакеров, но ущерб уже будет нанесен.
И, кроме того, геополитическая ситуация тоже стимулирует рост количества атак на российские организации.
Как растут риски в сфере кибербезопасности
- $10,5 трлн составит ущерб от киберпреступности к 2025 году, прогнозируют в Cybersecurity Ventures. В 2022 году ущерб составил $8 трлн. Это почти в 1,5 раза больше российского ВВП.
- Всемирный экономический форум уже включил киберпреступность в топ-10 главных глобальных рисков на краткосрочную и среднесрочную перспективу. На десятилетнем горизонте она опережает такие серьезные риски, как геополитическая конфронтация и масштабные экологические катастрофы.
Мировые стандарты и российские реалии
— Как у зарубежных вендоров обстоят дела с автоматизацией? У них все хорошо?
— Если посмотреть на топ-6 ключевых западных игроков, то можно выделить два важных параметра.
Первый — платформенность. Все их решения интегрированы в единую платформу. Они взаимодействуют между собой, собирают данные и делятся друг с другом.
Второй — максимальное количество покрытия доменов (Security Domain — совокупность объектов и участников цифрового процесса с единой политикой и администрацией безопасности. — «РБК Тренды»). Например, управление данными, защита пользователей и т.д. Это либо собственные решения, либо системы, которые вендоры приобрели и встроили в свои платформы. Все это дает синергию в плане автоматизации.
Когда у нас в стране работали западные вендоры, они предоставляли российским заказчикам защиту мирового уровня. Сейчас, когда западные игроки ушли, стала набирать обороты отечественная разработка, но, чтобы дорасти до уровня западных решений, требуются время и инвестиции в развитие технологий.
— Получается, без западных вендоров мы стали менее защищенными?
— Да, это так. Потому что, если взять топовых российских игроков, практически ни у кого нет единой платформы в полном смысле этого слова.
Сейчас в РФ около 120 вендоров, которые работают в области кибербезопасности, не считая интеграторов. И только у 20% игроков есть API (Application Programming Interface — интерфейс для взаимодействия приложений. — «РБК Тренды»), который позволяет встраивать клиентские решения в свою систему или встраиваться в решения заказчика. То есть у остальных продукты неинтегрируемы.
Крупному заказчику, как правило, нужно больше 50 разных решений. А каждый вендор предоставляет одно-два-три, в лучшем случае четыре решения. И все их нужно как-то собирать и стыковать между собой.
Мы видим очень сильный разрыв между мировыми стандартами и российскими реалиями. Естественно, это сказывается на уровне защищенности. Но это и огромный стимул для российского бизнеса, чтобы создавать хорошие решения. Идти к платформенности, экосистемности, стараться покрыть больше доменов.
Тренд на построение платформ и экосистем очень силен. Мы видим это не только на примере кибербезопасности. Сегодня крупнейшие технологические компании, в том числе МТС, придерживаются стратегии развития через создание экосистем. Причины и предпосылки этого понятны: сквозная связанность цифровых сервисов дает каждому из них дополнительную ценность, а кроме того, заказчик может получить все необходимое «из одного окна». На уровне кибербезопасности эти принципы работают точно так же.
— Как продвигается процесс импортозамещения в области кибербезопасности?
— Ситуация различается в зависимости от домена. Есть те, которые всегда были в фокусе внимания регуляторов. Например, защита рабочих станций, сетевая защита, криптография. Регулирование стимулировало спрос, а требование использовать сертифицированные решения давало преимущество отечественным игрокам. Благодаря этому они могли активнее инвестировать в разработку и совершенствовать свои продукты.
В результате в домене защиты рабочих станций практически не было зарубежных вендоров. В области сетевой безопасности, самом большом по объему и деньгам домене, было около 30% иностранных игроков. Такая же ситуация — в доменах управления правами доступа к корпоративным IT-ресурсам и безопасной разработке IT-решений.
Сейчас российский рынок продуктов в сфере информационной безопасности растет, но несколько медленнее, чем рассчитывали аналитики. Ключевыми драйверами считались импортозамещение и уход западных игроков, но эти тренды частично нивелирует серый импорт. Тем не менее законодательство не стоит на месте. Думаю, что благодаря регуляторным изменениям импортозамещение удастся.
— Какую долю тех решений, которые раньше поставляли зарубежные вендоры, уже удалось заместить?
— Полагаю, что не больше половины. Остальное закрывает серый импорт.
Доступные инструменты и бизнес в тисках
— Какой бизнес сегодня больше всего страдает от киберугроз — крупный, средний или малый?
— К крупным компаниям из списка топ-500 РБК — меньше всего вопросов с точки зрения ИБ. У них хорошие бюджеты, есть собственные SOC (Security Operations Center — центр мониторинга и реагирования на кибератаки. — «РБК Тренды»), большое количество специалистов.
Страдают в основном компании с численностью персонала от 1 тыс. до 5 тыс. человек. С одной стороны, они более привлекательны для злоумышленников, чем малый бизнес. С другой — они не могут обеспечить себе достаточную защиту. Это идеальная мишень для хакеров: для успешной атаки требуется не так много вложений, как в случае с компаниями из списка топ-500, а финансовая выгода может быть очень высокой. Это высокомаржинальный бизнес, и пока он таким остается, число атак на этот сегмент будет только расти.
— Что сегодня могут сделать компании для повышения своей защищенности?
— Крупному бизнесу главное не сбавлять обороты и уделять внимание проактивной безопасности. У компаний этого сегмента есть кадровые и технические ресурсы, чтобы выявлять и блокировать атаки, поэтому точкой приложения их усилий должны стать повышение киберграмотности сотрудников и регулярный аудит защищенности: от классического контроля уязвимостей до Purple Teaming — проверки и пошагового улучшения таких показателей, как скорость и эффективность выявления и противодействия кибератакам.
Компаниям с численностью от 1 тыс. до 5 тыс. сотрудников нужно оценить эффективность имеющейся стратегии информационной безопасности. Понять, какой минимальный набор продуктов позволит им защититься от основных угроз пусть не на 100%, а хотя бы на 80%.
Сейчас самая распространенная проблема — «лоскутный» подход к кибербезопасности: клиенты используют множество разнородных IT- и ИБ-решений от разных вендоров. Как я уже говорила, они сложно и дорого интегрируются друг с другом. Решения не обмениваются данными, соответственно, остаются слепые зоны.
Таким компаниям необходимы аудит информационной безопасности как единой системы и «дорожная карта» развития, где все шаги должны быть приоритезированы, исходя из критичности потенциальных угроз для бизнеса. Это можно сделать самостоятельно, можно заказать консалтинг. Далее, исходя из бюджетов и кадровых ресурсов, можно строить кибербезопасность полностью собственными силами, а можно отдать на аутсорсинг или использовать какие-то технологии по подписке, как сервис.
Пока в России не очень распространен подход «я хочу купить безопасность как сервис, чтобы мне подключили все готовое и управляли этим». Если посмотреть на мировых игроков рынка информационной безопасности, то у телекоммуникационных компаний бизнес в этой сфере растет в среднем на 3–4% быстрее, чем у остальных. Потому что их клиентам, в том числе со штатом 1–5 тыс. сотрудников, удобно купить связь и сразу защитить канал, подключить все в пакете. Это в конечном итоге и есть та условная платформа ИБ. Только она работает на стороне провайдера как сервис под ключ.
— А что делать малому бизнесу?
— Для больших компаний цена успешной атаки — это репутация, а для маленьких — это выживание. Чтобы увести у микробизнеса базу клиентов, достаточно одной атаки.
Поэтому у маленьких компаний один путь — выбрать наиболее критичный актив (та же база клиентов или, например, сайт) и обратиться к сервис-провайдеру, чтобы он обеспечил его защиту. Или подключить защищенные облачные сервисы, получить готовую функцию и вообще не беспокоиться, что там внутри происходит.
Но для этого бизнес все-таки должен передать провайдеру какие-то данные. В России к такому не все психологически готовы. Ведь в чем сила западных вендоров? Запад готов к облакам, и там крупнейшие игроки работают как MSSP-провайдеры (Managed Security Service Provider — поставщик услуг управляемой безопасности. — «РБК Тренды»). То есть предоставляют безопасность. Мы тоже к этому придем, потому что других вариантов у небольших компаний просто нет.
— Прямо сейчас на рынке достаточно инструментов, чтобы закрыть базовые нужды российских компаний?
— Инструментов не хватает. Представьте, что я владелец среднего бизнеса. У меня 500 рабочих станций (подключенных к сети компьютеров или других комплексов для решения рабочих задач. — «РБК Тренды»). Я купил антивирус, файервол и вроде бы созрел для покупки еще одного решения по информационной безопасности. Но оказывается, что связки между ними нет и нужна интеграция.
Если у компании есть дополнительный бюджет, она обращается к интегратору, и тот помогает состыковать решения. Но зачастую такого бюджета нет. Собственных кадров тоже не хватает.
Если бы можно было обратиться к западным вендорам, то они бы просто дали минимальный готовый набор. Причем тот, который подходит именно этой компании: учитывает, какие бизнес-процессы для нее наиболее важны, надо ли защищать сайт от DDoS-атак и т.д.
Бизнес оказывается в тисках. Под рукой нет профессионала, который мог бы подобрать и интегрировать решения с рынка. И нет платформы, которая бы дала необходимый минимум. В таком случае, конечно, нужно идти к сервис-провайдеру. И на эту тему бизнес-комьюнити еще нужно просвещать.
Как растет рынок киберзащиты
762 млн руб. достиг объем российского рынка защиты от DDoS-атак в 2022 году, подсчитали в МТС RED. По прогнозам компании, в 2023 году рынок вырастет на 60%. К 2025 году рост, как ожидается, составит 250% по отношению к нынешним объемам.
Девушка с коробками и письма о зарплате
— Насколько цифровая грамотность сотрудников влияет на уровень кибербезопасности компании?
— Недавно мы приобрели долю в компании Phishman, которая занимается оценкой осведомленности сотрудников в области ИБ и разрабатывает курсы по повышению киберграмотности. В этих курсах есть показательные примеры из жизни, на которых обучение проходит максимально легко и эффективно. Представьте: приятная девушка приходит в офис с тяжелыми коробками — вроде бы она забыла пропуск. Ей, конечно, хочется помочь. Сотрудники ее пропускают, а она в итоге оказывается злоумышленником.
В жизни люди ведут себя так же неосознанно и просто хотят быть вежливыми, не задумываясь об угрозах. Если бы на каждом этаже висел плакат о том, что по своему пропуску других пропускать нельзя, что это чревато, у вас могут украсть данные, формировался бы определенный критический взгляд на такие ситуации.
С фишингом то же самое. Phishman проводит тесты на знание правил ИБ и рассылает псевдофишинговые письма, адаптированные к определенной аудитории. Какие письма все откроют? Конечно, про зарплату.
В одной из компаний (на самом деле далеко не одной) был комичный случай. Директор службы безопасности пропустил сообщение о том, что будут проводить такие тесты. Открыл письмо, прошел по ссылке. Понял, что ссылка не работает, и стал звонить в техподдержку. В поддержке сотрудники тоже ничего не заподозрили, стали заходить по ссылкам. В итоге дело чуть не закончилось скандалом: люди хотят посмотреть зарплату, а у них ссылки не работают. И никто не подумал о том, чтобы проверить, точно ли отправитель — организация, можно ли вообще эту ссылку открывать.
— Можно ли решить проблему с помощью курсов по цифровой грамотности и информационной безопасности?
— После того как сотрудники несколько раз пройдут тренинги по ИБ, вероятность успешных атак снижается на 70%. И нести эти знания надо в игровой форме, чтобы это было интересное обучение, а не десятки страниц документов. Мы знаем, как зачастую люди читают правила безопасности. Так же, как лицензионные соглашения, — то есть никак.
— Трех-четырех краткосрочных тренингов по ИБ будет достаточно, чтобы добиться заметных подвижек?
— Тут дело в регулярности. На тренинг можно потратить, допустим, четыре часа в месяц. Но ты должен проходить его ежемесячно. Потому что киберугрозы совершенствуются. С помощью того же ChatGPT можно очень точно подобрать подход к каждому человеку. Составить его психологический портрет исходя из информации, которая есть в интернете. И создать фишинговое письмо не про зарплату, а про то, что «болит» у конкретного человека.
Топ-3 проблем и возврат специалистов
— Если взять все актуальные для российских компаний проблемы в области ИБ, какое место среди них занимает цифровая грамотность сотрудников?
— Мне кажется, она входит в топ-3.
— Какие еще проблемы в этой тройке, помимо цифровой грамотности?
— Проникновение в IT-инфраструктуру компании через подрядчиков сейчас точно входит в этот список. А также управление доступом и учетными записями. К сожалению, когда сотрудники увольняются, порой даже не блокируются их учетки. У нас этот ИБ-домен недооценен, и это порождает много проблем. Злоумышленники понимают, что здесь слабое звено и сюда можно идти.
— Вы говорили, что многим компаниям не хватает кадров для защиты от киберугроз, потому что сильные спецы хотят работать только в крупных корпорациях. Насколько вообще сейчас остро стоит проблема дефицита кадров в кибербезопасности?
— Недавно представители Минцифры приводили статистику, согласно которой 80% российских компаний страдают от дефицита специалистов по кибербезопасности. Помимо просто дефицита кадров я вижу и другую проблему. Специалисты ИБ пытаются донести до руководства свои опасения в отношении потенциальных атак на бизнес, а их часто не слышат. И это приводит к выгоранию. На конференциях по информационной безопасности тема «Как профессионалу в ИБ научиться говорить на языке бизнеса» остается популярной уже много лет.
— Что делать компаниям, которые хотят укрепить штат специалистов по ИБ?
— Первое, очевидно, доращивать специалистов, внедрять программы стажировок, менторства. Второе — возвращать из-за границы интересными карьерными возможностями. У нас, например, в компании сейчас 250 человек. Мы работаем на территории РФ, это обязательное условие. И три человека специально ради работы у нас вернулись в Россию.
Но можно отдавать задачи на аутсорсинг или переходить на сервисы под ключ. У большинства провайдеров, которые предлагают безопасность как сервис, всегда есть штат квалифицированных специалистов. Если специалист ИБ обеспечивает информационную безопасность одной компании, то, по сути, занимается одним и тем же. Другое дело, когда он переключает свое внимание от компании к компании — всегда есть интересные задачи.