2 февраля в офисе Франко-российской ТПП состоялся семинар, посвященный киберугрозам и IT-рискам. Его участники обсудили диджитал-инструменты контроля бизнеса в условиях пандемии, проблему нехватки кадров в IT-сфере, а также сформулировали перечень основных киберугроз и трендов в области информационной безопасности на 2022 год.
Открывая встречу, ее модератор, заместитель председателя Комитета по ИТ Франко-российской торгово-промышленной палаты, коммерческий директор региона Евразия компании Infobip Юрий Ларин напомнил, что полной безопасности добиться невозможно, однако минимизировать риски до некоего приемлемого уровня – задача вполне реализуемая.
Руководитель предпродажной поддержки "Лаборатории Касперского" по России и СНГ Евгений Бударин посвятил свое выступление анализу итогов ушедшего года и прогнозу на год наступивший. Он обратил внимание, что если раньше киберпреступники атаковали в основном компании крупного бизнеса, причем определенных отраслей, то теперь жертвой вполне может оказаться и небольшая фирма. При этом методы используются примерно одни и те же, хотя ущерб, конечно, отличается. Участились атаки на цепочки поставок, когда проникновение в небольшую слабозащищенную компанию, имеющую среди партнеров более крупных, используется в качестве своего рода трамплина для того, чтобы поразить более интересную цель. Наиболее показателен пример компании Solarwinds, проникновение в которую позволило злоумышленникам попасть внутрь 18 тыс. ее заказчиков.
Также киберпреступники пользуются тем, что сложность систем растет, тогда как проблема дефицита ИБ-специалистов с нужным уровнем квалификации далека от решения. При этом имеющийся персонал перегружен, работает не всегда эффективно, что порождает другие проблемы. Уровень поддержки пользователей со стороны ИБ падает, мероприятия по повышению осведомленности персонала или не проводятся, или происходят формально и не выполняют поставленных задач.
В 2022 г. основными тенденциями, по мнению Евгения Бударина, станут рост практики переиспользования киберпреступниками чужих технологий, расширение практики использования своего рода аутсорсинга при осуществлении атак, активизируется эксплуатация слабо защищенных участков (прежде всего подразделений, где эксплуатируется ПО с незакрытыми уязвимостями, а также устаревшее сетевое оборудование, которое снято с поддержки производителями). В ходе фишинговых атак, как и раньше, будет использоваться актуальная повестка: например, пандемия или развитие сетей 5G. Также, по оценке Евгения Бударина, активизируются атаки облачных сервисов. При построении системы защиты, как отметил эксперт, необходимо ориентироваться на достигнутый компанией уровень зрелости заказчика.
Генеральный директор SearchInform Сергей Ожегов посвятил свое выступление специфике защиты данных в постковидное время. Он констатировал факт, что старые добрые времена, когда подавляющее большинство сотрудников работали в офисе, а все данные располагались за корпоративным периметром, остались в прошлом. Так, как было в 2019 г. и раньше, уже не будет. Несмотря на то что в 2021 г. количество тех, кто работал в удаленном режиме, снизилось, оно все равно очень велико и радикально сокращаться уже не будет.
Соответственно, задача защиты от внутренних угроз усложняется. Критичные данные могут находиться не только внутри сети компании, но и в облаке или на личных устройствах, которые используются для работы. Усложнилось управление правами доступа к разным системам и ресурсам. Если раньше при увольнении было достаточно просто удалить пользователя из системы, что лишало практически всех возможностей для "мести", то теперь этого недостаточно, и "обиженный" сохраняет целый ряд возможностей для саботажа. Особенно много их у ИТ-специалистов, которые могут оставить всяческого рода "закладки" или "логические бомбы". Появился запрос на новые функции систем защиты от утечек данных (DLP) – например, контроль эффективности работы сотрудников или борьба с мошенничеством. При этом, как предупреждает Сергей Ожегов, "волшебной таблетки", способной решить все проблемы, не существует. Он посоветовал изучать лучшие практики и привлекать психологов. Именно они позволяют выявить тех, кто способен совершить акты саботажа, и предложат меры, позволяющие избежать негативных последствий. Как правило, эти затраты будут заметно ниже, чем потенциальный ущерб.
Директор по развитию Aprotech Максим Карпухин рассказал, как при создании инфраструктуры IoT/IIoT важно не только учитывать безопасность подключенных устройств, но и обеспечивать доверенность передаваемых данных. Именно эти данные от самых разных источников информации являются ценным ресурсом при создании сквозных цифровых сервисов. Ключевым элементом такого транспорта являются промышленные шлюзы данных, задача которых связать два мира: роботов/оборудования и аналитических/бизнес-систем. Специально для этого создана линейка шлюзов Kaspersky IoT Secure Gateway (KISG), позволяющая не только конвертировать и предобрабатывать данные с полевых устройств, но и гарантировать их доверенность при получении на облачных и локальных ИT-системах для последующей обработки.
Архитектор по информационной безопасности CISSP Atos Дмитрий Заболотный поделился своим опытом по имплементации информационной безопасности в стратегию цифровой трансформации компании, которая является переосмыслением развития бизнеса в цифровом мире. И мероприятия по безопасности также должны учитывать бизнес-логику и использовать четкий риск-ориентированный подход. Мероприятия по безопасности не должны обходиться дороже, чем возможный ущерб. Одной из главных задач должно стать внедрение системы аутентификации пользователей, которыми могут быть не только люди, но и устройства. При этом нужно применять ролевую модель и следовать концепции нулевого доверия. Также для предотвращения атак с использованием цепочек поставок необходимо внедрить систему отслеживания состава и изменений ПО, как коммерческого, так и с открытым кодом. При разработке ПО своими силами следует обязательно включать механизмы безопасной разработки.
Управляющий директор по Восточной Европе, Кавказу и Центральной Азии Qualys Павел Сотников посвятил свое выступление преимуществам использования облачных сервисов по сравнению с традиционными клиент-серверными продуктами. Традиционно в России слишком доверяют облакам, однако чем выше уровень абстракции (от IaaS к SaaS), тем больше потенциальных проблем с безопасностью берет на себя оператор, более того, с архитектурной точки зрения, только облачная архитектура позволяет эффективно управлять и защищать новую распределенную ИT-инфраструктуру. Павел Сотников посоветовал переходить на облачные системы защиты: только с ними компании эффективно смогут адресовать возникающие проблемы цифровой трансформации бизнеса и качественно обеспечивать безопасность.
Директор по подбору персонала T1 Консалтинг Павел Одинец поделился своим опытом в сложном деле поиска и удержания кадров. Он представил свежие данные сайтов по поиску работы, согласно которым потребность в специалистах выросла на треть, тогда как количество резюме – лишь на считаные проценты. Распространенной практикой является так называемый контроффер, когда части сотрудников, которые решили покинуть компанию, делается предложение по увеличению заработной платы, превышающее то, что было установлено другими потенциальными работодателями. Удаленный режим в условиях пандемии давно стал привычной практикой, равно как и соцпакеты. В итоге на рынке труда все решает не работодатель, а специалист.
Павел Одинец порекомендовал использовать так называемые реферальные практики, когда действующие сотрудники предлагают своих знакомых. Неплохие результаты давало привлечение специалистов из регионов, но этот резерв во многом исчерпан. Также необходимо предложить интересные задачи. Для многих это даже более важно, чем уровень оплаты труда. При этом каждый должен видеть свое участие в проекте. Очень помогает удерживать кадры институт наставничества. Не меньшие результаты дает сбор пожеланий. Кому-то важнее предоставить договор расширенного медицинского страхования, а кому-то хочется выучить китайский язык, и такую возможность нужно дать. И уже на стадии подбора нужно определить, с кем соискателю комфортнее общаться: с человеком или ботом. Также нужно создавать центры компетенции по работе с разными площадками, в качестве которых могут выступать не только традиционные сайты по поиску персонала, но и социальные сети, вплоть до TikTok.
В конце семинара его участники обменялись мнениями насчёт минимизации рисков в области цифровой безопасности и обсудили статистику по киберугрозам, которым ежегодно подвергаются компании.