Об эксперте: Алексей Новиков, управляющий директор Positive Technologies. Работает в сфере ИБ с 2005 года, имеет опыт работы в национальном CERT («Компьютерная группа реагирования на чрезвычайные ситуации») и ряде других проектов.
Место кибербезопасности в экономике
— Какое значение кибербезопасность имеет в 2024 году?
— Еще недавно многие говорили «хакер — это миф», «я никому не интересен». Сейчас все понимают, что попали под пристальное внимание хакеров. Успешная кибератака на компанию может серьезно аукнуться. Например, традиционно считается, что злоумышленники, атакующие банки, нацелены на вывод денег с банковских счетов или счетов граждан. На самом деле успешная атака на крупный банк может разрушить его полностью и даже дестабилизировать финансовую систему страны. Многие думают, что безопасность, скажем, энергетики или водоснабжения строится вокруг условных рубильников, которые вручную включают и выключают. Это давно не так — сегодня все перешло на цифровые системы управления. Поэтому успешная хакерская атака, направленная на них, чревата значимым ущербом. В таких условиях кибербезопасность начинает играть роль несущей конструкции любой организации или даже целой отрасли.
— Остается ли сегодня Россия уязвимой для киберугроз?
— За последние два года Россия превратилась в зону свободной киберохоты: сейчас любой IP-адрес, который географически расположен на территории России, подвергается атакам. Рядовой активностью в среде атакующих стали вебинары и курсы, рассказывающие всем желающим, как атаковать российские организации.
Да, пока не случилось взломов такого уровня, чтобы их последствия повлияли на экономику государства или население. Тем не менее атакам в течение последних пары лет подвергались самые разные организации. В ряде случаев они получали публичный резонанс, как, например, было в случае атак на сайты арбитражных судов, сервис Госмониторинга, службу доставки Boxberry, сайты СМИ и стриминговых сервисов, электрозарядных станций и др. Из последних заметных историй — атака на сайты медиахолдинга ВГТРК в начале октября 2024 года, которая поразительно напоминает историю Rutube в июне 2022 года.
Ориентиром для хакеров во всех этих случаях стали российские IP-адреса. Хотя задачи, которые они решают, меняются: если в 2022 году массовая хакерская активность была нацелена на то, чтобы создать видимость шквала атак, то сейчас атакующие в большинстве своем сфокусированы на нанесении физического урона организациям. Часть хакеров прокачалась профессионально и теперь пытается сочетать навыки, характерные для хактивистов и профессиональных APT-группировок (advanced persistent threat), перейдя от атак, нацеленных на психологическую дестабилизацию общества, к более серьезным: к попыткам проникновения в критическую инфраструктуру, шпионажу, хищению ценной информации.
Роль топ-менеджера в кибербезопасности
— Почему сейчас в принципе компании могут быть взломаны?
— Основная проблема в отсутствии правильного целеполагания и контроля. И причина этого во многом в том, что топ-менеджмент компаний в каком-то смысле «недовыполняет» свою часть работы. Звучит странно, но это так.
Кибербезопасности нужно четко ставить задачу, «что конкретно ни при каких обстоятельствах не должно произойти с компанией в результате кибератаки». Это может сделать только руководитель организации.
Второй уровень его ответственности за реальную защищенность предприятия — установка максимально приближенного к реальности контроля кибербезопасности. То есть, если хочешь понять, насколько ты защищен от хакеров, в прямом смысле слова найди хакеров и проверь.
Сегодня для этого есть несколько вариантов, основанных на привлечении «белых» хакеров. Например, их силами можно проанализировать защищенность компании с акцентом на реализацию недопустимых событий. И если у них не получится воспроизвести критичные для компании сценарии, можно считать, что с безопасностью все хорошо. В моменте.
Еще лучше делать такие замеры ежедневно и вывести для этого компанию на баг-баунти (открытая программа по поиску уязвимостей в продукте за вознаграждение). Главное — использовать не исторический формат баг-баунти, когда исследователи ищут атомарные уязвимости (и непонятно, насколько найденные уязвимости влияют на защищенность компании), а их новую версию, когда задача хакеров — доказать бизнес-импакт кибератаки.
Особенно чувствительные сегменты бизнеса, где потенциальная остановка работы недопустима и может иметь катастрофические последствия, могут сделать такую проверку на киберполигонах, дав возможность этичным хакерам работать с цифровым двойником предприятия.
— То есть топ-менеджменту сегодня недостаточно мыслить бизнес-задачами, нужно быть погруженным еще и в IT и ИБ?
— Кибербезопасность нужно рассматривать через призму интересов бизнеса. Она может стать конкурентным преимуществом. Возьмите, к примеру, финансовый сектор — банк, у которого гарантированно не утекают деньги или данные клиентов и который на лету останавливает мошенничество, может оказаться существенно привлекательнее для клиентов и партнеров. Или любая компания, оказывающая услуги широкому кругу потребителей, для которых важна непрерывность их получения (от медицинской сферы до банальных транспортно-грузовых сервисов), или, скажем, облачные провайдеры, гарантирующие защиту своим клиентам, — текущий уровень цифровизации в организациях таков, что бизнес по факту в результате кибератаки может быть уничтожен полностью.
Технологии защиты вместо людей
— Существует ли конечное решение вопроса кибербезопасности или это постоянное противостояние с хакерами?
— Опытным путем мы пришли к тому, что нужен софт, который должен останавливать хакерские атаки. Мы формируем такой пул решений, с помощью которого защищаемая компания не будет взломана хакерами. Понятно, что для эффективной работы выстроенной системы киберзащиты необходимы высококлассные эксперты, и в зависимости от сложности защищаемой инфраструктуры их число может исчисляться десятками. Такие команды нужны сотням отечественных организаций. При этом специалистов такого уровня на нашем рынке хорошо если 250. То есть для закрытия потребностей отечественных компаний людей просто нет.
Поэтому мы сфокусировались на автоматическом предотвращении кибератак — и с помощью нашей технологической линейки, и без участия человека. И тут нашей целью стало создание метапродуктов — автоматических систем — по сути, автопилотов уровня Tesla в кибербезе.
— То есть защита будет осуществляться вообще без участия человека?
— Практически. Для управления будет нужен хотя бы один оператор, но это не десятки тысяч людей в индустрии, которые выполняют массу рутинных задач ежеминутно. Более того, у нас уже есть кейсы, когда метапродукт под управлением одного оператора выявлял атаки высококвалифицированных хакерских группировок.
Российская кибербезопасность за рубежом
— Хватает ли места для российского кибербеза на отечественном рынке и нужно ли заглядываться на зарубежный?
— С уходом иностранных вендоров освободилась почти половина рынка. При этом от нас как поставщика продуктов и услуг в области защиты ожидают 100-процентного обеспечения защиты. И в плане объема рынка пока и в России достаточно места для реализации амбиций в нашей индустрии. Более того, наши технологии уже больше двух лет испытываются боем и доказывают эффективность на практике. Это открывает для нас и международный рынок: в дружественных странах видят, что и мы как отрасль, и компании, которые мы защищаем, выстояли эти два года, понимают наши реальные возможности и активно рассматривают российские технологии защиты. У нас же в этом есть еще один интерес: освоение новых регионов важно для создания технологий, конкурентных на мировом рынке.
— Какие страны наиболее перспективны для сотрудничества в сфере кибербезопасности? Есть ли уже какие-то контракты?
— При выборе стран для сотрудничества мы в первую очередь ориентировались на их лояльность в отношении работы с российскими поставщиками и актуальность тематики кибербезопасности. В частности, сейчас у нас фокус на страны Латинской Америки, Ближнего Востока, Азии. На этих рынках наиболее актуальны технологии, эффективно выявляющие хакерскую активность в инфраструктуре. Профильная экспертиза, наработанная при участии «белых» хакеров и специалистов по противодействию хакерским атакам, заложена в наши продукты и потому мотивирует выбирать именно наши решения.
В регионах есть большая потребность в изучении российской кибербез-экспертизы. В нашем случае это трансформировалось в некоммерческий трек шеринга экспертизы: в наших киберучениях Standoff в течение года приняли участие несколько десятков команд из разных стран, мы запустили серию международных митапов и кэмпов, участники которых получают возможность изучить наши лучшие практики противодействия современным кибератакам. И сейчас мы работаем с международным ИБ-комьюнити не только как коммерческая компания, но как команда экспертов, чей опыт ими востребован, применим и, главное, успешен.
👀 Следите за телеграм-каналом «РБК Трендов» — будьте в курсе последних тенденций в науке, бизнесе, обществе и технологиях.