С начала весны 2022 года популярные российские онлайн-сервисы начали активно подвергаться массированным и точечным кибератакам. О методах защиты сервисов VK от злоумышленников, планах по увеличению штата и бюджета в сфере информационной безопасности и переходе на отечественные средства защиты в интервью ТАСС рассказал вице-президент, директор по информационной безопасности компании Алексей Волков.
— Этот год был очень непростым, особенно в сфере кибербезопасности и информационной безопасности.
— Действительно, по оценкам разных экспертов, количество атак в России в целом по сравнению с предыдущим годом выросло от 10 до 15 раз. Во II квартале рост оценивался в десять раз. Подросло и количество кибератак на наши сервисы. В целом мы пережили их так же, как и другие компании, — сталкивались с сопоставимым объемом DDoS-атак, точечных кибератак, попытками несанкционированного доступа в наши системы. Все атаки были отражены.
— Какие меры безопасности были предприняты, чтобы обеспечить дополнительную устойчивость сервисов VK?
— У VK кратный технологический резерв по мощностям, который позволяет нам как поддерживать имеющиеся продукты, так и запускать новые. При этом мы работаем над тем, чтобы этот запас постоянно пополнялся. То же самое касается и технологических средств в части информационной безопасности — мы за этот год внедрили несколько новых систем и продуктов как на базе открытых решений, так и на базе решений от лидеров рынка в этой области и постоянно усиливаем безопасность периметра и внутренней инфраструктуры.
Прежде всего мы усилили направление, которое обеспечивает так называемую практическую безопасность — защиту инфраструктуры и приложений, создали департамент защиты клиентов. Обновили нашу программу VK Protect, направленную на защиту пользователей.
Одновременно с этим мы начали трансформировать свой операционный центр безопасности (или Security Operation Center), чтобы как можно раньше выявлять попытки атаки на нас и уменьшать время реагирования на них
Для того чтобы более эффективно искать уязвимости в наших сервисах, мы почти в два раза увеличили количество внешних аудитов и пентестов. Мы также вынуждены были быстро найти отечественную Bug Bounty платформу в связи с невозможностью больше работать с зарубежными (ранее VK работала с площадками HackerOne и Bugcrowd — прим. ТАСС).
— Вы разместились на Bug Bounty платформе Positive Technologies. В каких сервисах VK было найдено больше всего уязвимостей и насколько они были критичными?
— Сейчас 35 сервисов VK размещено на платформе Standoff 365, разработчиком которой является Positive Technologies. С момента запуска программы мы получили порядка 400 отчетов и выплатили около 4,5 млн рублей. Было выявлено две важные уязвимости в наших сервисах, по которым мы выплатили достаточно много денег и которые оперативно исправили. Конкретные сервисы не назову, чтобы не привлекать к ним внимания.
Недавно мы запустили программу Bug Bounty на второй российской платформе от компании BI.ZONE, где также ожидаем высоких результатов. Сейчас думаем над тем, чтобы разместиться еще на одной российской площадке — BugBounty.ru.
— Правильно ли я понимаю, что вы не планируете запускать собственную платформу по поиску уязвимостей, а продолжите размещаться на сторонних?
— Количество исследователей в России ограниченно, кто-то из них любит одну платформу, кто-то другую. Нам, с точки зрения обеспечения безопасности продуктов, важно максимально охватить всех, кто хочет отыскивать уязвимости и зарабатывать на этом деньги. Поэтому мы уже размещены на двух платформах. В создании своей платформы Bug Bounty пока не видим необходимости.
— Планируете ли вы увеличивать размер выплат в следующем году?
— Стоимость уязвимости зависит от уровня ее критичности и приоритетности конкретного исследуемого сервиса. Но в целом размер выплат — это рыночная история. Мы знаем, какая уязвимость сколько в среднем стоит. Если рынок будет расти и будет требоваться увеличение вознаграждения, мы готовы это делать.
— Дополнительные действия по информационной безопасности (ИБ) не могли не привести к расширению штата и увеличения бюджета по этому направлению. Насколько выросли показатели в этом году и какие у вас планы на следующий?
— Штат в 2022 году действительно увеличился. В первую очередь — чтобы обеспечивать работу нашего обновленного операционного центра безопасности. За 2 последних квартала больше 100 специалистов пришли к нам из подразделений ИБ организаций различных отраслей экономики.
Мы планируем набирать сотрудников и в 2023 году, но конкретные планы раскрывать пока не будем. Бюджет VK на кибербезопасность в следующем году вырастет в 2,5 раза относительно этого года.
— Какие сервисы VK оказались под особым прицелом со стороны злоумышленников и мошенников в этому году?
— Социальные сети "ВКонтакте" и "Одноклассники". На этих площадках больше всего пользователей, объема контента, люди проводят здесь много времени. Пик кибератак мы зафиксировали в первые месяцы года, затем динамика прироста снизилась.
— Насколько чаще стали в этом году пытаться взламывать страницы во "ВКонтакте" и "Одноклассниках"?
— Если мы говорим о попытках взлома, которые регистрируем и предотвращаем мы, то их частота подросла. При этом пользовательских жалоб на взломы в этом году стало на 10–11% меньше. Это произошло благодаря тому, что мы постоянно совершенствуем как наши средства, так и сервисы и функции безопасности, используя которые люди могут защитить свои учетные записи. Мы учим и мотивируем аудиторию этими функциями пользоваться.
— В августе 2022 года в социальной сети "ВКонтакте" появилась функция проверки скомпрометированного пароля. Сколько подобных паролей уже было обнаружено?
— Порядка 3,6 млн человек сменили пароли на новые, более сложные (ежемесячная аудитория "ВКонтакте" в России по итогам третьего квартала составила 76,9 млн человек — прим. ТАСС). К сожалению, нельзя в один момент изменить пользовательский паттерн и научить людей не использовать один и тот же пароль в разных сервисах. На это понадобится немало времени.
— "ВКонтакте" также запустила функцию о предупреждении подозрительных сообщений в мессенджере. Сколько пользователей уже было предупреждено с момента запуска?
— Подозрительные сообщения являются проблемой, потому что в них может быть все что угодно: от банального фишинга до более зловредных вещей. Летом мы подключили функцию автоматического уведомления о подозрительных собеседниках.
Как только алгоритмы фиксируют подозрительную активность, в чате или беседе появляется уведомление об угрозе. С момента запуска функции в июле мы разослали порядка 1,5 млн предупреждающих сообщений
Процесс полностью автоматизирован, оценка подозрительного поведения профиля осуществляется специальным алгоритмом на основе целого ряда факторов и их комбинаций.
— В конце мая 2022 года был запущен RuStore. Насколько он активно подвергался кибератакам?
— В мае, на старте проекта, были массированные DDoS-атаки. Мы сумели нейтрализовать их и выстроить эффективную защиту для отражения угроз в дальнейшем.
Отмечу, что все приложения, опубликованные в RuStore, проходят обязательную проверку на вредоносный код с помощью технологий "Лаборатории Касперского" и ручную модерацию.
— Какие еще функции VK собирается разработать в будущем для защиты пользователей?
— Мы постоянно мониторим, что отрасль и цифровые платформы предлагают своим пользователям в части информационной безопасности, разбираем лучшие практики. Результаты анализа показывают, что функции и сервисы, которые мы разработали и внедрили в рамках VK Protect, обеспечивают хороший уровень безопасности для пользователей. Они эффективно препятствуют спаму и нежелательному контенту, защищают от взлома страниц и других неприятных событий при одном условии — если вы ими пользуетесь.
Поэтому мы видим необходимость в повышении киберграмотности пользователей, уровня их знаний об инструментах защиты в сети. Прежде всего я говорю о популяризации двухфакторной аутентификации
Сейчас это один из наиболее эффективных инструментов, который позволяет надежно защитить аккаунт. Подавляющее большинство попыток взломов, около 96–97% — это взломы аккаунтов, у которых не подключен второй фактор. Здесь мы видим необходимость больше мотивировать пользователей использовать это решение.