Информационная безопасность в 2016 году: кибертеррор на пороге

Деловой журнал «Эксперт-Урал» от 11 апреля

В области информационной безопасности начался парадигмальный сдвиг. Компании и злоумышленники перестали развлекаться. Одни окунулись в кибершпионаж, другие начали отказываться от «черных коробок» в пользу реально работающих решений.

В феврале-марте сразу три IT-гиганта выпустили отчеты, касающиеся информационной безопасности (ИБ) бизнеса. Компания IBM совместно с Institute for Business Value опросила более 700 руководителей предприятий из 28 стран. Хорошие новости – почти 70% топ-менеджеров считают киберзащиту задачей номер один; больше половины директоров уверены, что для борьбы с преступниками необходимо широкое сотрудничество. Плохие новости – 70% управленцев полагают, что главная угроза исходит от хакеров-одиночек (в действительности, согласно докладу ООН, 80% атак осуществляется высокоорганизованными группировками); только треть респондентов выразили готовность поделиться с «внешним миром» информацией об инцидентах в сфере кибербезопасности (при таком уровне открытости о широком сотрудничестве говорить сложно).

Опрос также провела компания Red Hat совместно с TeechValidate, в опросе участвовали 426 человек, принимающих решения в сфере информбезопасности. Главных выводов три, и обнадеживающими их назвать сложно. Первый – поставщики «новых» IT-решений зачастую игнорируют вопрос безопасности. Речь в первую очередь идет об оборудовании, устанавливаемом в рамках концепции Интернета вещей. Ничего неожиданного в этом нет: производители, скажем, датчиков, в первую очередь озабочены усовершенствованием их способности снимать показания, остальные параметры второстепенны. Удивительно другое – только 14% респондентов заявили, что их беспокоит наличие в системе непропатченных устройств или устройств, которые в принципе не поддерживают обновления.

Второй вывод – для почти половины опрошенных ключевой угрозой в области ИБ является отнюдь не утечка ценных данных, не репутационные или финансовые потери, а утрата доверия клиентов.

Третий вывод вряд ли кого-то удивит: ни громкие инциденты, ни новые уязвимости и угрозы, ни заявления топ-менеджмента о важности защиты не приводят к росту ИБ-бюджетов. 81% респондентов заявили, что в 2016-м намерены оставить его на уровне 2015-го или незначительно увеличить. Подход прост – делаем больше за те же деньги.

Последнее на данный момент заметное исследование в области информбезопасности опубликовали VMware и The Economist Intelligence Unit. Партнеры поставили перед собой задачу выявить различия во взглядах IT-директоров (CIO) и прочих управленцев (CEO, CFO, COO). Все выводы делались на основе опроса. Выборка впечатляет: 1,1 тыс. респондентов из стран Европы, Америки и Азиатско-Тихоокеанского региона. Главных наблюдений четыре. Первое – только 5% руководителей, не имеющих отношения к IT, считают кибербезопасность ключевым приоритетом (это явно противоречит результатам исследования IBM). Второе – директора компаний и IT-подразделений расходятся во мнении, какие активы нужно защищать прежде всего. CEO и CFO сфокусированы на стратегии, для них главными являются репутация и бренд. CIO же сосредоточены на тактике и уверены, что спасать надо данные и приложения.

Третье наблюдение – почти 30% IT-директоров видят необходимость существенного увеличения ИБ-бюджета в ближайшие два года, но только 10% финансовых руководителей готовы на столь существенный рост инвестиций. И наконец, четвертый вывод – более 30% CIO ожидают крупной и успешной атаки на их системы в течение трех месяцев. Среди других управленцев паникеров только 12%. Любопытно, что аналогичный вопрос респондентам задавали и в IBM, только промежуток был более протяженным – два года. Результат впечатляет: 94% руководителей высшего звена полагают, что на этом горизонте их компанию, возможно, ожидает серьезный инцидент в сфере кибербезопасности. О способности адекватно на него отреагировать сообщили только 17% опрошенных.

«Мир киберпреступности стремительно эволюционирует, – констатирует вице-президент IBM Security Калеб Барлоу. – Несмотря на это, у многих топ-менеджеров нет понимания комплексности современных угроз. Они не имеют четкого и ясного представления, кто на самом деле является их истинным врагом и как с ним эффективно бороться».

Существует и еще один опрос – не столь заметный, но чрезвычайно любопытный. Провела его компания SailPoint. Респонденты – тысяча предприятий США, Европы и Австралии со штатом не менее 50 тыс. человек. Итог: каждый пятый сотрудник готов продать свой пароль, 40% из них – менее чем за 1 тыс. долларов. Некоторые согласны выдать хакерам корпоративные данные и за 100 долларов. 65% опрошенных используют один и тот же пароль для разных учетных записей, каждый третий работник без ведома IT-отдела приобретает приложения, распространяемые по модели SaaS (софт хранится на сервере сторонней компании, пользователь получает к нему доступ через браузер). Респонденты объясняют свои действия тем, что ИБ-специалисты чрезмерно усложняют процесс установки нового программного обеспечения.

Самое время напомнить данные, которые в прошлом году обнародовала «Лаборатория Касперского». В мире на каждом инциденте в физической среде компании теряют 30-400 тыс. долларов, в виртуальной – 60-800 тыс. (цифра складывается из расходов на внешних ИБ-специалистов, юристов, пиарщиков, упущенных бизнес-возможностей и потерь от вынужденного простоя IT-инфраструктуры и приостановки бизнес-процессов). В IDC прогнозируют: в 2016-м киберпреступления будут стоить мировой экономике более 650 млрд долларов, а к 2020-му годовой ущерб от них преодолеет отметку в 1 триллион.

Некоторые читатели могут справедливо отметить, что приведенные данные преимущественно сделаны на основе анализа деятельности американских и европейских компаний. Чтобы «приземлить» тему, редакция журнала «Эксперт-Урал» опросила более трех десятков интеграторов, разработчиков софта и представителей компьютерной науки о российских и региональных трендах в области ИБ (хотя заметим, что IT-рынок уже давно стал глобальным и результаты исследований с некоторыми оговорками можно экстраполировать и на нашу страну). В 2015 г. Россия по числу утечек конфиденциальной информации граждан уступила только США (данные InfoWatch). Еще в 2014-м «Лаборатория Касперского» подсчитала, что ущерб отечественного малого и среднего бизнеса от каждого инцидента составляет 780 тыс. рублей, крупного – 20 миллионов.

Российский рынок информбезопасности агентства еще не проанализировали. Первые и пока единственные оценки дает IDC: сегмент аппаратных ИБ-решений по сравнению с 2014-м просел на 17,8% до 145 млн долларов, продажи защитного ПО – на 37%. Для сравнения весь отечественный IT-сектор сжался на 43% до 15 млрд долларов. В рублевом эквиваленте можно говорить о подъеме (средневзвешенный курс доллара в 2015 году прирос к рублю на 58,6%). И это неплохое утешение с учетом съеживания и промпроизводства, и розничной торговли, и реальных доходов населения.

Диапазон мнений опрошенных экспертов по поводу влияния кризиса на ИБ-сектор чрезвычайно широк. Оценки большинства специалистов, как и ожидалось, в середине диапазона.

«На информбезопасности в кризис, к сожалению, стараются экономить, так как ее принято относить все-таки к расходным подразделениям организации, – замечает ведущий эксперт по ИБ компании InfoWatch Мария Воронова. – Замораживаются или переносятся проекты, сокращается штат. Основной сопутствующий оптимизации аргумент – «ИБ денег не зарабатывает, только требует». Но классическая схема монетизации решений в области информбезопасности предполагает сокращение возможных убытков от реализации угроз. Компании, которые это понимают или которые на практике проверили постулат «лучше сейчас вложить 100 рублей, чем завтра в результате кибератаки потерять 1000», более взвешенно подходят к вопросам организации ИБ».

На еще одном кризисном эффекте фокусируется директор по развитию направления баз данных компании «Аладдин Р.Д.» Денис Суховей – это рост числа угроз, прежде всего внутренних (сотрудники могут унести с собой при увольнении, продать или передать конфиденциальную информацию): «В итоге ИБ-специалисты зачастую находятся между молотом необходимости усиления мер безопасности и наковальней нехватки бюджета».

Позиция меж двух огней будет способствовать парадигмальному сдвигу рынка. Деловому журналу «Эксперт-Урал» удалось выделить четыре его аспекта. Первый – компании от соблюдения норм регуляторов перейдут к реальной защите бизнеса. Во главу угла они будут ставить эффективность предлагаемых решений, и подход «эта черная коробка меня защитит» сменят на более тонкое взаимодействие с инструментами.

Второй аспект, тесно связанный с первым, – рост интереса вендоров и заказчиков к модели SecaaS (Security as a Service, безопасность как услуга, речь об облачных ИБ-продуктах).

Одним из ярких примеров безоговорочной веры в SecaaS является компания Panda Security: с 2016 года она полностью отказалась от продажи корпоративных ИБ-решений, которые разворачиваются локально в сети предприятия на его инфраструктуре. «Надо отметить, что в мире такой подход себя оправдывает, – комментирует решение директор по маркетингу Panda Security в России Светлана Петровых. – В нашей стране ситуация осложнена рядом ограничений, наложенных на облака. Тем не менее совсем игнорировать такие продукты уже невозможно».

Третий аспект – вероятное существенное снижение зависимости от иностранных вендоров, формирующих ценник в долларах и евро. Росту отечественного сегмента, вероятно, будут способствовать внешнеполитическая ситуация и инициативы государства в области ИБ.

Четвертый аспект – из-за сжатия сегмента крупных заказчиков вендоры все активнее будут идти в сектор среднего и крепкого малого бизнеса. Работы там непочатый край: небольшие компании в массе своей не задумываются о вопросах безопасности, уровень IT-зрелости многих из них очень низок.

В рамках рассуждений об информбезопасности принципиальным является вопрос «Чего ждать?». В целом образ будущего уже сформирован. Главная головная боль на среднесрочную перспективу – целевые атаки. Приоритеты от простого интереса все очевиднее переходят в финансовую плоскость. Тренду далеко не первый год. Еще в начале 2010-х Евгений Касперский заявлял: киберпреступность превратилась в прибыльный и хорошо организованный бизнес. Но тогда его слова казались прогнозом, теперь они стали явью.

Следующее, к чему нужно готовиться – открытие неочевидных каналов утечек. В этом плане крайне любопытно замечание директора по развитию бизнеса PROMT в России Юлии Епифанцевой: «При освещении крупных информационных скандалов обычно фигурируют облачные сервисы вроде Gmail, Mail, Dropbox, WhatsApp, однако часто упускаются из виду каналы вроде онлайн-сервисов перевода. Бесплатные решения собирают и анализируют переводимый контент и могут (по запросу) передать его спецслужбам. Как правило, в компаниях на первом месте по потребности стоит перевод деловой переписки, на втором – документов, которые содержат юридическую, финансовую, технологическую информацию. И все это может оказаться одним нажатием кнопки в «черном ящике» сервиса онлайн-перевода, и тут не спасет даже десять уровней защиты внутри корпорации».

Еще один крупный объект картины будущего – мобильные угрозы. И здесь мы приходим к следующему вызову, заключающемуся в росте числа подключенных к сети устройств и развитию модели Интернета вещей (Internet of Things, IoT). IoT фактически приводит к мощному увеличению поверхности атаки. И нельзя сказать, что концепция эта – дело отдаленного будущего: датчики и реле, управляемые или обновляемые через Интернет, вовсю используются на предприятиях и в учреждениях здравоохранения. Многие бытовые приборы обладают внутренними микропрограммами.

Другая глобальная проблема – «большой брат». Ни для кого не новость, что вендоры в явном или тайном виде собирают информацию о пользователях (это делает Microsoft, Apple, Google и многие другие поставщики ПО и «железа»). Мотивируют они это заботой о потребителе и необходимости улучшения продукта. Очевидно, что ИБ-персоналу в ближайшем будущем придется пристально изучать IT-инфраструктуру на предмет ее скрытых возможностей.

Не ослабевает актуальность и внутренних угроз. «Речь не только об офисных служащих, которые, например, могут скачать с серверов компании базу клиентов и передать ее конкурентам, но и о сотрудниках, работающих «в полях» (например, на складе или в магазине). Там список угроз еще шире. Когда в компании нет бизнес-процессов по расследованию таких эпизодов, это дает злоумышленникам ощущение безнаказанности», – уверена руководитель направления информбезопасности Softline Ольга Макарова.

И последнее – продолжающийся рост квалификации киберпреступников при одновременном упрощении доступа к инструментам атак. Компаниям нужно готовиться к лавине. Ее масштаб можно оценить всего по одной цифре: около 27% когда-либо существовавших угроз были созданы в 2015 году.