Советник генерального директора компании Positive Technologies Артем Сычев для рубрики "Три вопроса о главном" в рамках Восточного экономического форума рассказал о различных способах построения результативной кибербезопасности компаний, а также о природе кибератак на Россию и Азиатский регион.
— Согласно исследованию, проведенному вашей компанией, Азиатский регион регион стал одним из самых атакуемых в мире в 2022-2023 годах. Каковы причины такого интереса злоумышленников к нему? И какие параллели здесь можно провести с Россией?
— Тема форума созвучна с причиной того, что страны Азии так активно подвержены атакам. По сути, этот регион активно экономически развивается. И, если проанализировать, что стоит в качестве мотивации за атаками, по сути, это шпионаж. То есть экономически обоснованные атаки с целью понимания, как у конкурентов все работает и что злоумышленник может от них получить. То есть мы говорим о том, что экономический подъем, развитие различных отраслей промышленности приводят к росту интереса, к цифровизации и к информационным технологиям у злоумышленников.
Можно провести определенные параллели с тем, что происходило в последнее время на территории Российской Федерации. В Азиатском регионе у киберпреступников, в основном, экономическая мотивация. В большинстве кибератак, предпринятых на российские организации, злоумышленники руководствовались политическими мотивами. Их цель была в деструктиве, нарушении работоспособности предприятий и даже целых отраслей. Этого в Азиатско-Тихоокеанском регионе пока, к счастью, не прослеживается.
Согласно нашему последнему исследованию, 27% организаций в Азиатском регионе столкнулись с нарушением работоспособности в результате интенсивных атак. И это как раз предмет для обсуждения необходимости выстраивания результативной кибербезопасности. По сути, сейчас вектор внимания информационной безопасности должен быть сосредоточен не только на общих ее требованиях, что крайне немаловажно, но и на технологиях, используемых компаниями. Атаки на них могут привести к отказу работоспособности организации. Фактически это нарушение доступности ее сервисов для клиентов и отсутствие возможности предоставления услуг широкому кругу лиц, то есть обществу в целом. И в конечном итоге, что недопустимо, неполучение прибыли или невозможность достижения финансовых результатов компанией.
— Как можно на практике гарантировать защищенность государств в целом и регионов, и даже отдельных компаний?
— Мы полагаем, что важно сосредоточиться на правильной оценке того, что есть недопустимые события для каждой конкретной организации. Нужно выстраивать безопасность не только организационными методами, но и использовать совершенно новые подходы к обеспечению информационной безопасности. Например, программы Bug Bounty для поиска уязвимостей и оценки невозможности реализации недопустимых событий.
— Отдельно говоря о решении ИБ-проблем, как компании и клиенты могут точно гарантировать, что их активы и вложения будут защищены?
— В этом случае мы говорим об определенной комплексности обеспечения информационной безопасности. По сути, должна выстроиться эшелонированная система, где на каждом этапе применяются различные методы и средства обеспечения защиты. Это так называемые элементарные методы безопасности, кибергигиена, когда есть уверенность, надежность пароля, а информационные системы всегда вовремя обновляются. Но и этого не всегда достаточно. Когда мы говорим о результативной кибербезопасности, мы имеем ввиду привлечение более широкого круга специалистов — так называемая оценка защищенности с участием независимых исследователей.
Такие программы называются Bug Bounty, когда большое количество независимых исследований изучают системы в поисках каких-то уязвимостей. Это дает возможность компании всегда быть в тонусе, выявлять проблемы, которые могут быть в системах. А системы — они ведь живые, каждая из них постоянно совершенствуется, в нее вносятся какие-то изменения, и, естественно, появляются узкие места, которые могут дать киберпреступникам новые возможности для атаки.
Для постоянного контроля защищенности программы независимые оценки крайне важны. Но даже в условиях, когда в компании налажена процедура patch-менеджмента (процесс управления уязвимостями) и есть система обнаружения и предотвращения атак, важно еще и страхование ответственности организаций перед своими клиентами и третьими лицами в случае возникновения ущерба от тех самых реализованных недопустимых событий. По сути, это страхование от реализованных рисков в области информационной безопасности.
И, если мы говорим о комплексности, о результативности, мы получаем определенный многослойный пирог, в котором есть традиционные методы обеспечения безопасности, есть обычная кибергигиена, есть процессы непрерывного контроля защищенности с привлечением независимых специалистов.