2017-й преподнес для безопасников сразу ряд сюрпризов. Коммерческие банки вздохнули более спокойно, биткойн-магнаты обнаружили, что с ростом активом стали более привлекательными целями, и мир снова вспомнил, что надо обновлять свои информационные системы — а то WannaCry и различные «пети» не дремлют.

Государство тоже не спало, но и не бежало — вроде и вышел 187-ФЗ о защите критических информационных инфраструктур, но реальной практической утвержденной нормативки так и не появилось — хотя не один год уже ждем.

Кадровый рынок «нагрелся», специалистов стали перекупать и по два раза за год, вместе с этим целый ряд организаций стал думать о подготовке специалистов наперед — со студенческой скамьи.

Государство

Государство продолжило развивать программы защиты критической инфраструктуры и ГосСОПКИ, начало развитие десятков проектов в рамках программы «Цифровая экономика» и несколько сбавило темп по тематике персональных данных — ни Facebook, ни Google так и не были заблокированы. Впрочем по тематике ПДн над организациями весь год сгущались тучи из-за европейского закона о защите персональных данных GDPR (Global Data Protection Directive).

Защита критической информационной инфраструктуры и ГосСОПКА

ГосСОПКА наконец-то начала походить на сопку (гору), а не маленький порожек. К настоящему моменту принят профильный закон по защите критической информационной инфраструктуры (КИИ), работы по «сопке» стали заметны в публичных закупках РЖД, МВД, Минтранса и Минпромторга, появился целый пакет проектов регламентирующих документов. Впрочем прошлогодний прогноз оправдался — полноценного рывка рынка «сопки» так и не произошло. Он в очередной раз сорвался ввиду традиционной неторопливости государственной машины, а также вялого развития экономики — на «сопку» тратят те, кто и так немало тратил на ИБ.

Под конец года перспективы ГосСОПКИ стали еще более призрачными, чем год назад — стало понятно, что руководство страны не станет складывать все яйца в одну корзину, и за обеспечение безопасности КИИ станет отвечать ФСТЭК, оставив ФСБ роль оператора государственной системы класса CERT-CC. А значит инвестиции снова пойдут в предотвращающие технологии — сетевую и «хостовую» безопасность, тем более что предотвращение по-прежнему гораздо более понятно руководству организаций, чем мониторинговые технологии и практики.

Многочисленные проекты регламентирующих документов от ФСТЭК и ФСБ должны быть приняты в 2018 г., однако не будем забывать судьбу методических рекомендаций по моделированию угроз ПДн — проект не утвержден еще с 2015 г. Пока не будет утвержденного пакета документов руководители многих организаций заблокируют выделение серьезных бюджетов — просто чтобы потом не переделывать системы ИБ критической информационной инфраструктуры. Однако можно ожидать повышенный спрос на различные «мини-сопки», «мини-системы защиты КИИ» и различные дорожные карты — закон о КИИ вступил в силу и какую-то активность нужно будет показать.

В зависимости от активности игроков рынка и маржинальности проектов и разрешится ситуация с утверждением документов — будет определено, выгодно ли иметь четкие документы или стоит и дальше ловить рыбку в мутной воде, благо соответствующие публичные закупки в РЖД лишь в 2017 г. составили не одну сотню миллионов рублей.

Персональные данные — GDPR и блокировки

Закон Яровой был снова отложен, крупной блокировки, аналогичной LinkedIn, не случилось, ужесточение штрафов за нарушение норм по обработке информации было не столь уж строгим (200 000 вместо 20 000 руб. никого не пугает) — сфера защиты ПДн в 2017-м была более-менее спокойной.

Существенным заделом на будущие изменения стал раздел по защите «больших персональных данных» плана по направлению ИБ в рамках программы «Цифровая экономика». Будут созданы необходимые регулирующие акты, пока основным объектом регулирования указаны облачные провайдеры. Вместе с этим в той же программе существует раздел по ИБ «супермассивов данных» — и пока непонятно, как это регулирования будут сосуществовать. Однако это перспектива в первую очередь 2019 г., к концу которого по плану завершится нормотворческий процесс.

GDPR так и не стал значимым драйвером развития отрасли ИБ, как заявил в приватной беседе владелец одной из крупнейших ИТ-компаний, «посмотрим, возможно это психологическая атака правительств». У бизнеса в России и так полно проблем, поэтому он будет выжидать реальной правоприменительной практики и надеяться на уточнения посредством заключения межправсоглашений между ЕС и Россией — по аналогии с тем, как было с таким же экстерриториально действующим актом FATCA.

Политические атаки и киберсанкции

Относительно небольшое количество политически мотивированных кибератак было просто затишьем перед бурей — как показала практика трех предыдущих выборов, стоит ждать атак всех мастей на сайты СМИ и политические партии. Это будут не только банальные взлом сайта и DDoS, но и SMS- и голосовой флуд, подделка веб-страниц и много других вариантов. Как одно из самых крупных и значимых в стране событий выборы-2018 привлекут очень много внимания злоумышленников, а также создадут временный субрынок политически мотивированных заказов на кибератаки.

Точечные киберсанкции в 2017 г. стали еще одним пластом общественно-политической жизни — вторжением «русских» хакеров в американские информационные системы мотивируются теперь санкции и снижение уровня сотрудничества практически любого масштаба и пошиба. Между тем убедительных для профессионального сообщества доказательств так и не было представлено. Тем не менее вторжения вполне могли иметь место, и учитывая особенности американской бюрократии определенные круги в США могут действительно искренне видеть среди источников угрозы Россию. Ошибочные обвинения в политически мотивированных атаках могут быть и не намеренными — а вызванными обычными неточностями в определении источников атак.

Ввиду осложнения политического климата российский кибербизнес понес урон — снова под удар упала «Лаборатория Касперского», чьи продукты даже рекомендовали не использовать в госорганах США и Великобритания, известна и непубличная информация от отмене открытия в России Центров оказания киберуслуг на экспорт (Global Security Delivery Center) — клиенты просто боятся получать услуги от «русских хакеров».

Справедливости ради стоит отметить, что ограничения по использованию иностранных средств защиты в России присутствуют давно, а с 2014 г. они усилены и распространены на весь иностранный софт.

Бизнес

Несмотря на миллиардные потери от WannaCry и ExPetr, массовые взломы крипто-компаний и держателей кошельков, в 2017 г. ситуация в сфере ИБ в целом была относительно спокойной. Вроде бы новости напоминают сводки с фронта, но они меркнут перед тем, что нас ожидает.

Весь 2017 г. правительство, финансовый сектор и «Ростелеком» вели активную работу по разработке технологий удаленной идентификации. В декабре был принят соответствующий законопроект, а сама удаленная идентификация должна заработать в середине 2018-го. Это значит, что триллионы активов банковской системы РФ станут принципиально более доступны — а значит подвержены риску. Недостаточное внимание к вопросам безопасности удаленной идентификации может привести к полномасштабному экономическому кризису уже лишь из-за недостаточного уровня кибербезопасности.

Массовые кибератаки

В мае 2017 г. мир в очередной раз вспомнил о необходимости регулярной установки обновлений безопасности. Такая практика не нова, но также не ново и ее игнорирование бизнесом. От атаки WannaCry только в публичном поле пострадали «Мегафон Ритейл» и «Роснефть», непубличном число жертв гораздо больше, а в мировом масштабе убытки измеряются миллиардами долларов. Атака по сути была аналогичной атаке Mirai в конце 2016-го и будет актуальной еще долгое время — пока бизнес и ИТ не научатся обновлять свои системы вовремя. Благо это возможно — ряд технологических компаний и государственных организаций России не пострадал в принципе.

Атака стала возможной из-за опубликования эксплойта (кибероружия) АНБ США Eternal Blue, и вот проблема — никто не знает, сколько подобного добра еще есть у АНБ и подобных организаций иных стран и сколько еще прорвется в мирное пространство.

Стали набирать силу бот-сети с нагрузкой по майнингу биткоинов и даже жестче — теперь в ЦОДах крупных компаний время от времени обнаруживаются крипто-фермы. Воровство электричества и мест в стойках стало новой угрозой для корпораций, и они пока не поняли, что с этим делать и стоит ли что-то делать в принципе — урон в деньгах незначителен. С другой стороны, где крипто-ферма, там можно поставить и управляющий центр ботнета, а через полгода ЦОД возьмет штурмом ОМОН в рамках расследования проводимых посредством ботнета атак.

Целевые атаки

Основными публичными жертвами целевых атак в России в 2017 г. стали биткойн-магнаты. Исходя из оценок совокупного мирового ущерба в 500-700 млн. долл. и доли россиян в 10-20%, ущерб российской криптоиндустрии составил порядка 80 млн. долл. (более 6 млрд. руб.). Впрочем размер глобальной криптоиндустрии по различным оценкам достигал и 500 млрд. долл., а значит относительный ущерб составил всего 0,1%, что вряд ли существенно повлияет на бизнес-модель криптокомпаний.

Очевидно атаки на криптокомпании продолжатся, им еще предстоит потерять миллиарды долларов, так как в отличие от традиционных игроков финансового сектора они еще не понимают, что являются лакомой целью для злоумышленников (нет необходимости монетизировать похищенное), и даже еще более лакомой — переводы в целом анонимны, а значит затраты на отмывание денежных средств (money laundering) существенно снижены (обычно киберпреступность тратит на это десятки процентов от суммы похищенного).

Среди банков, по сообщениям СМИ, в конце года пострадал банк «Глобэкс» из-за инцидента, связанного с SWIFT. Платежная система в 2017 г. активно внедряла кардинально новый SWIFT Security Framework (свод правил безопасности), и есть надежда, что в этом месте банки будут более защищены, чем раньше, тем более что SWIFT-сегменты в банках обычно небольшие и проекты по их защите можно реализовать всего лишь за несколько месяцев.

Стратегии

В заключение хотелось бы сформулировать три актуальные стратегии для обеспечения безопасности бизнеса.

Безопасность, основанная на осведомленности (Intelligence-driven security). Внутренние нарушители, внешние атаки, новые инфраструктурные сервисы и бизнес-приложения уже составляют многомерную матрицу активов и рисков, разобраться в которой аналитическим способом (top-down) становится практически невозможно. Остается опираться на практику — отслеживать процессы внутренние (мониторинг сетевой безопасности и профилирование активности пользователей и сервисов) и внешние — используя СМИ, базы данных и подписки об угрозах. Без опоры на свежую и полную информацию о качестве управленческих решений и системы кибербезопасности в целом говорить уже не приходится.

Бизнес-партнерство. Крупные корпорации и государственные организации приступили к тотальной информатизации и цифровой трансформации, вследствие которой даже традиционно консервативные в плане ИТ бизнесы реального сектора уже не смогут реализовывать свои бизнес-процессы без точной и надежной работы информационных систем.

Возрастающая зависимость делает ИТ более интересным объектом для управления со стороны бизнеса, но и бизнес становится более требовательным к ИТ и ИБ (как свойству ИТ). Управление требованиями и неизбежно возникающими конфликтами приоритетов требует создания института бизнес-партнеров — кураторов определенных направлений бизнеса с точки зрения ИБ.

У бизнес-партнеры должно быть понимание не только ИБ, но и задач и тревог бизнеса, чтобы амортизировать корпоративные трения и фасилитировать выработку эффективного совместного решения.

Экспертиза. Для среднего бизнеса актуальна иная проблема — нет экспертизы по ИБ в целом. Вместе с этим бессмысленно продавать онлайн, работать через цифровые каналы с партнерами, собирать данные программ лояльности, если эти процессы не защищены — ведь тогда они будут генерировать в итоге лишь убытки. Средним компаниям необходимо все же привлекать внутреннюю экспертизу по ИБ, возможно в формате управленца-лидера функции ИБ плюс технологического лидера (инженера), делегируя рутинные и трудоемкие функции внешним экспертным организациям — сервис-провайдерам (MSSP).