Даже крупные компании передают информационную безопасность на аутсорсинг
Александр Осипов
Директор по развитию облачных и инфраструктурных решений ПАО «МегаФон» о том, как бизнесу защититься от хакеров
Представьте, что вы управляющий банка. Вам звонит гендиректор компании и просит совершить несколько транзакций на общую сумму $35 млн, объяснив, что они нужны для крупных покупок. Сможете ли вы распознать подвох? Реальный менеджер банка в Гонконге не смог и перевёл деньги злоумышленникам. Мошенники использовали технологию клонирования голоса и для большей убедительности отправили менеджеру электронные письма от имени директора и юриста, в которых подтверждалась сделка. Этот случай, описанный американским Forbes в прошлом году, показывает, что бурная цифровая трансформация порождает все новые киберугрозы. Зачем компании нанимают специалистов, которые разбрасывают по их офисам флешки с вредоносным программным обеспечением, и почему растёт спрос на аутсорсинговые услуги по информационной безопасности, в интервью «Ведомости&» рассказал директор по развитию облачных и инфраструктурных решений ПАО «МегаФон» Александр Осипов.
«Купить "железо" стало сложно»— Как в ближайшие годы будут развиваться системы защиты информационной безопасности? Какие направления вам кажутся наиболее перспективными?
— Мы уже не представляем свою жизнь без цифровых сервисов, начинаем пользоваться ими с самого утра, не вставая с кровати. Цифровые будильники, роботизированные кухни, дроны для доставки товаров — это всё про развитие IТ и интернета вещей (IoT, передача данных между объектами, оснащёнными встроенными средствами и технологиями для взаимодействия друг с другом или с внешней средой. — «Ведомости&»). В любых умных устройствах есть уязвимости, и хакеры могут воспользоваться ими, чтобы получить доступ к данным. Поэтому защита интернета вещей сегодня — одно из наиболее перспективных направлений развития кибербезопасности.
Другое важное направление — защита цифровых аватаров. С развитием метавселенных и социальных сетей всё более актуальной становится проблема угона цифровой личности. А это для пострадавших большие репутационные издержки.
Развитие NFT (цифровой эквивалент уникального предмета. — «Ведомости&») и появление авторского права в виртуальном пространстве тоже открывают большие возможности для деятельности хакеров, которые будут всё чаще пытаться украсть виртуальное имущество. Соответственно, будут возникать всё новые способы его защиты.
Также сегодня активно развивается технология дипфейк (от англ. deep learning — глубинное обучение и fake — подделка. — «Ведомости&»), которая позволяет с помощью нейронных сетей подменить лицо человека на видео или фотографии. Она востребована в рекламе, кино, но пользуются ей и злоумышленники. Отличить оригинал от подделки бывает очень сложно. Поэтому ещё одно направление защиты — развитие решений, с помощью которых можно идентифицировать личность вне зависимости от того, какое лицо она на себя «надела».
Чем лучше защищаются специалисты по информационной безопасности, тем более технологичными становятся методы атакующих. Это постоянное соревнование брони и снаряда.
— Чтобы защититься от хакеров, компании лучше создать собственную службу безопасности или привлечь партнёра на аутсорсинге?
— Всё зависит от размера организации и от отрасли, в которой она работает. Больше всего в собственную инфраструктуру информационной безопасности инвестируют банки и телекомкомпании. Это связано с зарегулированностью этих отраслей и высокими репутационными издержками в случае утечки данных.
Если говорить про зависимость от размера, то небольшие компании зачастую не могут позволить себе даже одного специалиста по информационной безопасности, не говоря уже об отделе. Как правило, в таких компаниях эту роль выполняет либо IТ-специалист, либо технический директор, либо системный администратор. Их знаний обычно хватает только для установки антивируса и firewall (межсетевого экрана, который уберегает сеть от несанкционированного или нежелательного доступа. — «Ведомости&»), чтобы защититься от примитивных атак.
При этом даже маленьким компаниям нужно заботиться об информационной безопасности, если они занимаются цифровой деятельностью. Покупка необходимого оборудования и содержание профильных сотрудников стоят дорого, поэтому оптимальным вариантом для них становится аутсорсинг. Инвестиции в покупку собственного программно‑аппаратного комплекса составят десятки и даже сотни миллионов рублей, а услуга аутсорсинговой компании по защите от DDoS‑атак (такие атаки парализуют работу сайтов и веб‑приложений. — «Ведомости&») трафика объёмом 100 Мбит/с может стоить 30 000–100 000 руб. Что касается сотрудников, то компаниям проще заплатить за конкретные работы, чем регулярно выплачивать зарплату штатным специалистам, вкладываться в их обучение и сертификацию (сертификаты по международным стандартам нужны для подтверждения квалификации. — «Ведомости&»).
— А крупные компании, наоборот, больше полагаются на собственные ресурсы?
— У крупных компаний действительно есть своя инфраструктура и штатные специалисты по информационной безопасности. Но для оптимизации процессов, сокращения расходов часть задач крупный бизнес отдаёт на аутсорсинг. Например, защиту от DDoS‑атак, тестирование на проникновение (pentest, представляет собой имитацию попыток проникновения в информационную систему с целью поиска в ней уязвимостей. — «Ведомости&»), расследование конкретных инцидентов, аудит информационной безопасности. Как правило, под своим контролем организации оставляют наиболее важные бизнес‑процессы, например проверку кода приложения, которое генерит компании основную выручку, или, если речь идёт о промышленном предприятии, обеспечение защищённости автоматизированной системы, которая отвечает за производство деталей на конвейере.
— По каким ещё причинам помимо экономических компании выбирают аутсорсинг?
— Во‑первых, из‑за скорости. Чтобы запустить любой внутренний продукт, организации нужно нарастить компетенции, закупить оборудование и нанять сотрудников, протестировать и внедрить необходимое решение. Всё это, особенно поиск специалистов, занимает большое количество времени. А у провайдера, который специализируется на услугах по информационной безопасности, все решения, оборудование и специалисты уже есть.
Во‑вторых, из‑за компетенций провайдера, заточенных под решение конкретных задач.
В этом году ещё одной причиной популярности аутсорсинга стала нехватка серверов и сетевого оборудования. Из‑за геополитической ситуации некоторые комплектующие перестали поставляться в Россию, так что купить «железо» стало сложно. Параллельный импорт пока не очень справляется, поэтому компании стали всё чаще обращаться к услугам провайдеров, у которых оборудование есть.
— Но ведь проблема нехватки комплектующих затрагивает и провайдеров. Как её решает «МегаФон»?
— Нам повезло: мы успели закупить дополнительные серверы в конце февраля, что позволило увеличить ёмкость резерва нашей облачной инфраструктуры в 7 раз. Думали, что это наш задел на будущее, но в итоге активно используем оборудование под нужды клиентов, поскольку у них сейчас нет возможности масштабировать свою инфраструктуру.
Приведу конкретный пример. У нас есть услуга по защите корпоративной почты. Это облачный сервис для борьбы со спамом, фишингом и вирусами. Раньше им пользовались в основном клиенты, которые размещают свою корпоративную почту в нашем облаке. Но теперь увеличилось количество запросов на его использование без размещения почты в облаке. Это произошло потому, что компании, у которых есть своя почтовая платформа, не хотят или не могут расширить свои серверные ресурсы под новое программное обеспечение.
«Вырос спрос на сервисы по защите от атак и взломов веб‑страниц»
— Как компании выбрать поставщика решений по информационной безопасности? На что стоит обратить внимание?
— Один из главных параметров — это имя компании. Насколько бренд известен на рынке, реализовывала ли организация подобные решения раньше, есть ли у компании сертификаты на соответствие международным и российским стандартам, сертифицированные специалисты. Такие документы — это доказательства того, что провайдер разбирается в той или иной области кибербезопасности и ему можно доверять.
Кроме того, нужно обратить внимание, есть ли у поставщика опыт реализации решений в конкретной индустрии. Например, если заказчик — горнодобывающая компания, то ему стоит посмотреть, были ли у провайдера клиенты из этой отрасли.
Ещё один фактор — доступность услуги. Это то, насколько быстро подрядчик готов реагировать на запросы, оказывать техническую поддержку. Как правило, все условия прописываются в соглашении об оказании услуг (SLA — Service Level Agreement. — «Ведомости&»). Например, скорость регистрации инцидента составляет до 15 минут, срок решения проблемы — до 30 минут. В этом же документе фиксируется финансовая ответственность партнёра в случае невыполнения своих обязательств.
Ну и, наконец, нужно смотреть на цену, но помнить о том, что дешевле — не значит лучше.
— Насколько надёжен аутсорсинг? Есть ли риски утечки данных через сервисную компанию?
— Риски есть, но их всегда можно нивелировать. Так, финансовая ответственность подрядчика в случае утечек прописывается в договоре. Помимо этого заказчик может уточнить у поставщика, каким образом оказывается услуга — в каких центрах хранения и обработки данных (ЦОД) расположено решение, есть ли средства мониторинга работоспособности, каким образом защищается конфиденциальная информация.
«МегаФон Облако», на базе которого оказывается часть услуг по модели SECaaS (Security as a Service — безопасность как услуга. — «Ведомости&»), не только развёрнуто в ЦОДах уровня Tier 3 (стандарт надёжности инфраструктуры и оборудования. — «Ведомости&»), но и имеет собственный мониторинг инцидентов информационной безопасности, а конфиденциальные данные, например, пользователей заказчика передаются по каналу с использованием криптошифрования (кодирования информации. — «Ведомости&»). Это даёт возможность максимально защитить данные от утечек.
— С какими запросами к вам чаще всего приходят клиенты?
— В первом полугодии был невероятный рост спроса на сервисы по защите от атак и взломов веб‑страниц. В первую очередь — на анти‑DDoS и Web Application Firewall. Вы знаете, что в этом году российские сайты подверглись беспрецедентным атакам, причём хакеров интересовали не только банки, но и СМИ, государственные структуры, университеты, транспортные и промышленные предприятия. То есть даже те структуры, которые раньше никогда с атаками не сталкивались. И если в прошлом году средняя длительность атак составляла 15–30 минут, то в этом — от суток до недели. Клиенты прибегали к нам в панике: «Помогите, нас "дидосят" уже неделю, своими силами мы не справляемся!» Хакеры чаще всего использовали DDoS, потому что это самая лёгкая с точки зрения реализации атака. Её может организовать даже неспециалист по инструкции в Telegram‑канале.
Были ещё атаки с так называемым deface — подменой главной страницы. Хактивисты (хакеры, которые совершают атаки с целью привлечь внимание к определённым идеям или проблемам. — «Ведомости&») размещали на захваченных сайтах политические призывы и лозунги. Соответственно, те компании, которые использовали свои сайты как визитки и не испытали финансовых потерь, понесли репутационные издержки. Поэтому и вырос спрос на Web Application Firewall — этот сервис позволяет обезопаситься от подмены страницы и других последствий взлома.
— Встречаются ли нетривиальные запросы?
— Расскажу вам о не самой редкой, но интересной услуге. Иногда клиенты хотят протестировать не только конкретные информационные системы, но и своих сотрудников в офисе, и мы отправляем к ним хакеров, которые проникают внутрь здания и, например, разбрасывают по нему флешки. Дальше смотрим, сколько сотрудников готово вставить эти флешки в свои ноутбуки. Если бы на месте наших специалистов были настоящие злоумышленники, через эти флешки они могли бы запустить вредоносные вирусы.
Были случаи, когда клиенты просили нас взломать бортовой компьютер, чтобы через него получить доступ к управлению автотранспортом. Или приехать к ним в офис и попытаться взломать банкомат. Все условия эксперимента обговариваются заранее и осуществляются под чутким контролем.
— С какими ещё кибератаками столкнулись компании за последнее время?
— В этом году мы увидели новый расцвет фишинга (чаще всего представляет собой отправку поддельных писем с вредоносным программным обеспечением в виде вложения или ссылки с целью проникновения в инфраструктуру организации. — «Ведомости&»). Причём содержание писем соответствовало актуальной повестке. Так, в марте злоумышленники рассылали письма от имени Роскомнадзора, в которых говорилось о запрете использования VPN для перехода на страницы запрещённых ресурсов. К письму прилагалась ссылка для скачивания списка этих ресурсов. Сотрудники компаний, которые повелись на эту уловку, запустили вредоносный вирус.
— Отличить настоящее письмо от подделки может быть непросто. Как защититься от подобных угроз?
— Стоит установить программное обеспечение по защите корпоративной почты, которое проверяет входящие сообщения на наличие вредоносных вложений и блокирует все подозрительные письма. Но это не всегда помогает, потому что хакеры постоянно совершенствуют свои методики.
Поэтому нужно обучать сотрудников правилам цифровой гигиены. Например, у нас есть обучающая платформа по базовым принципам информационной безопасности Security Awareness, которая включает в себя более 60 курсов. В ходе обучения сотрудники компаний узнают, какие вложения нельзя открывать, где лучше хранить пароли, почему важно защищать персональные данные, что такое конфиденциальная информация и т. д. У обучающей платформы есть и антифишинговый модуль, который помогает симулировать фишинговые атаки и проверять сотрудников «в бою». Он пользуется большим спросом.
Методы социальной инженерии (психологические и социологические приёмы, которые позволяют получить конфиденциальную информацию. — «Ведомости&») всегда были одними из наиболее распространённых у злоумышленников. Но даже базовые знания о них позволяют снизить количество угроз в разы. Так, до обучения на нашей платформе 36% сотрудников готовы предоставить свои данные фишеру, а после обучения эта цифра снижается до 3–5%.
Анна Дерябина, Роман Кутузов
Источник: Ведомости