В сфере информационной безопасности (ИБ), как ни в каком другом сегменте ИТ, тесно переплетаются интересы отдельных людей и государств, частных компаний и целых стран. Именно поэтому ИБ, с одной стороны, демонстрирует стабильно высокие для ИТ-отрасли показатели роста, а с другой — порождает проблемы, не оставляющие в стороне общественные, государственные и межгосударственные структуры.
О своем понимании ключевых проблем, с которыми сталкиваются разработчики и пользователи средств защиты информации, научному редактору еженедельника PC Week/RE Валерию Васильеву рассказал евангелист в области ИБ из компании G Data Эдди Уильямс.
PC Week: Какие ИБ-угрозы настоящего времени вы считаете наиболее опасными для людей? Есть ли среди этих угроз присущие только России?
Эдди Уильямс: Что касается специфики России в сфере информационной безопасности, то с ней эксперты сегодня связывают большое число ботнетов, таких, например, как ZeuS, которые представляют серьезную угрозу для людей многих других стран. Злоумышленники используют ботнеты для распространения всевозможных вредоносных кодов и массированных атак на сетевых пользователей, как корпоративных, так и индивидуальных.
Для домашних пользователей наибольшую опасность, как мне кажется, в настоящее время представляют трояны и программы-шпионы, похищающие данные о персональных банковских счетах, тем самым открывая киберпреступникам прямой и короткий путь к краже денежных средств, вернуть которые потом бывает очень сложно. Наряду с вредоносными программами злоумышленники активно применяют против компаний и частных лиц приемы социальной инженерии, причем эти приёмы очень эффективны. Для корпоративных пользователей ценностью являются не только деньги, но и представляющая собой интеллектуальную собственность информация, которая тоже стала объектом интереса кибер-криминалитета.
PC Week: А средства защиты, предлагаемые ИБ-ведорами, адекватны этим ИБ-угрозам?
Э. У.: В области защиты информации все идет эволюционным путем: вслед за изменением угроз меняются и средства защиты. ИБ-вендоры стараются делать защиту многослойной, комплексной и проактивной.
PC Week: Из вашего ответа напрашивается вывод, что с защитой информации сегодня все обстоит благополучно. Или все-таки что-то остается незащищенным?
Э. У.: Для антивирусной индустрии одной из проблем является быстрый рост количества новых вредоносных кодов, счет наименований которых в базах антивирусных вендоров идет уже на десятки миллионов. Пока вендоры справляются с этим, перенося сигнатурный анализ с рабочих клиентских станций на свои серверы. Однако при таких темпах роста вредоносов количество сигнатур в скором времени увеличится настолько, что оперировать их базами данных станет просто невозможно. Что делать с этим, пока не ясно.
Все резче обозначается проблема защищенности платформы Android, связанная с правилами разработки и установки на нее новых приложений. Согласно этим правилам, которые предлагают сами хозяева этой платформы, даже производители средств защиты информации сегодня не могут получить легитимный доступ к базовым системным функциям платформы Android, что значительно снижает возможности наших средств защиты. В то же время те, кто пишет вредоносные программы, естественно, игнорируют эти правила.
Есть и еще одна проблема в области ИБ, которую, я исходя из личного опыта считаю недооцененной. Если система защиты имеет неудобный интерфейс, сложна при развертывании и настройке, то нередко консультанты, инсталляторы и эксплуатационщики допускают ошибки именно в этих процессах, из-за чего сразу после установки и запуска системы в работу она становится уязвимой. Особенно остро такая проблема стоит в малых и средних компаниях, где дефицит квалифицированных ИБ-специалистов наиболее ощутим.
PC Week: А как же “облачная” поддержка клиентов и сигнатурная обработка на стороне ИБ-вендора, которую сегодня предлагают все ведущие разработчики антивирусов? Вы полагаете, что в борьбе с быстрым численным ростом новых вредоносных кодов бессильны и эти технологии?
Э. У.: “Облако” нельзя считать совершенным решением для обеспечения безопасности, хотя бы потому, что любой “облачный” сервис сам может быть атакован и заблокирован. К тому же в “облачной” среде не всегда ясно, кто является владельцем “облака”, кто в данный момент предоставляет данный сервис, и никогда нет уверенности, что полученная из “облака” информация не скомпрометирована злоумышленниками, даже если она шифруется. Поскольку сами “облачные” технологии небезопасны, мы используем только некоторые из их возможностей, такие, например, как составление и поддержка “черных” и “белых” списков веб-страниц, серверов и файлов.
PC Week: И все-таки насколько обоснованны опасения ИБ-вендоров и потенциальных клиентов “облачных” сервисов в слабой защищенности “облачной” архитектуры и виртуальных сред, которые в ней активно используются?
Э. У.: Главная проблема здесь — доверие между вендорами, провайдерами “облачных” услуг и потребителями. Её единственным решением может стать создание системы сертификации. Эта система должна быть бесплатной, и строить ее нужно на основе экспертных оценок, выдаваемых в ходе тестирования “облачных” сервисов. Конечно, ИТ-сообществу еще только предстоит создать такую систему оценок, разработать тесты для нее, методики их проведения и расчета рейтингов сервисов. При этом не стоит забывать, что “облака”, как и любую другую ИТ-инфраструктуру, полностью защитить невозможно.
PC Week: С завидным постоянством как потребители, так и разработчики высказывают недовольство существующей системой оценки эффективности ИБ-продуктов (антивирусов, межсетевых экранов, DLP-систем и т. п.). Что и как здесь можно было бы изменить?
Э. У.: Я являюсь одним из инициаторов создания Anti-Malware Testing Standards Organisation (AMTSO), которая старается улучшить данную ситуацию, разрабатывая методологические подходы и стандарты в области тестирования средств обеспечения ИБ. Для начала можно рекомендовать тестирующим лабораториям следить за тем, чтобы отбираемые ими для исследований продукты относились к одному классу. Сегодня, увы, нередки случаи, когда тестировщики сваливают в одну кучу, например, мощные, высокопроизводительные бизнес-продукты и облегченные бесплатные версии для домашнего использования, что конечно же заведомо неверно, потому что по сути у этих продуктов должен быть разный набор функций, эффективность которых только в совокупности определяет рейтинг продукта.
Важно правильно категоризировать ИБ-продукты и наборы тестов, использовать методики, которые позволят исключить влияние на результаты тестирования побочных факторов. Кроме того, для AMTSO существенно сделать тесты такими, чтобы в их результатах могли разобраться не только специалисты по информационной безопасности, но и пользователи тестируемых продуктов.
PC Week: А как вы оцениваете ту категоризацию ИБ-продуктов, которую предлагают ведущие аналитические компании, такие как Forrester Research, Gartner, IDC?
Э. У.: Категоризация ИБ-продуктов остается важной областью приложения усилий AMTSO. Повторяю, нужно сделать так, чтобы процесс и результаты тестирования были понятны потребителям ИБ-продуктов. Сегодня же нередко бывает, что в организации процесса испытаний, в его показателях и выводах, сделанных инженерами тестовых лабораторий, не могут разобраться даже профессионалы.
По всем направлениям своей работы AMTSO конечно же взаимодействует с упомянутыми аналитическим компаниями. Однако быстрых и радикальных изменений в этой области ожидать не стоит. Но постепенно, шаг за шагом, улучшения в тестировании, как мне представляется, все-таки происходят: тесты становятся более достоверными и понятными.
PC Week: На какие средства защиты компании и организации тратят сегодня больше всего средств? Какие ИБ-задачи с их помощью они стараются решить, от каких угроз в первую очередь стремятся защититься?
Э. У.: Основная часть корпоративных ИБ-бюджетов по-прежнему расходуется на защиту периметра от внешних угроз. Однако делается это порой в ущерб внутренним уровням защиты, что продемонстрировал недавний случай с компанией DigiNotar. Организовав по последнему слову техники защиту периметра, ее ИБ-специалисты оставили слабо защищенной клиент-серверную архитектуру. Так, на рабочих станциях в компании не было установлено даже антивирусов, что и определило успех хакерской атаки, произведенной на компанию изнутри.
PC Week: Область ИБ, как никакая другая в эпоху построения информационного общества, подвергается жесткому многоуровневому регулированию. Считаете ли вы действия регуляторов (государственных, отраслевых, профессиональных) в разных странах адекватными современным угрозам ИБ?
Э. У.: В области регулирования ИБ общие для региона тенденции и примерно одинаковые для разных стран региона стандарты характерны для Европы. Похожая картина наблюдается в США, несмотря на федеративное устройство этой страны и различия в законах разных штатов.
Однако ситуация с регулированием ИБ в мире в целом далека от желаемой гармонии именно из-за различий в подходах к информационной безопасности. Главные проблемы, как мне кажется, сосредоточены сегодня в странах Азии, где законы существенно отличаются от стандартов, распространенных в Европе и США. Например, в Индии закон не запрещает разрабатывать вирусные программы — там это разрешенный вид деятельности. Что же касается России, то законодательство вашей страны довольно близко к европейскому.
Вывод же в целом таков: глобальная стандартизация регулирования ИБ потребует от всех стран больших усилий и немалого времени.
PC Week: В одном их своих недавних выступлений вы сказали, что отследить современного кибер-преступника сложно и это способствует его безнаказанности. Что же нужно сделать, чтобы изменить такую ситуацию?
Э. У.: Есть только один способ — арестовывать больше кибер-преступников. Как бы ни было сложно выявлять их, они неизбежно совершают ошибки. Этим и нужно пользоваться. Вот российский пример. Создатель трояна SpyEye вставил в свой ник-нейм фрагмент разработанного им вредоносного кода. По этому признаку отыскать его следы в Интернете, а затем и его самого оказалось несложно: в социальной сети он действовал под тем же ником. Ну а когда на сопровождающем его там профиле он разместил фото, где был снят на фоне шикарного авто вместе с номерными знаками, проблема аутентификации была окончательно решена. Вроде бы преступника вычислили, однако арестовать его до сих пор так и не смогли из-за проблем трансграничного взаимодействия полиции разных стран. Для борьбы с кибер-преступностью нам нужно налаживать межгосударственные контакты, разрабатывать и применять общие способы для выявления, задержания и наказания преступников.
PC Week: Необходимость межгосударственного взаимодействия в борьбе с кибер-преступностью налицо, но ведь у стран есть свои национальные интересы. Как вы считаете, будет ли Интернет с течением времени разделён “государственными границами”, или он останется международным?
Э. У.: В некоторых странах уже появился так называемый Kill switch, отключающий по желанию их правительств население от доступа в Интернет. Однако следует иметь в виду, что процесс отключения может быть двусторонним — то же самое могут сделать и извне, и последствия этого окажутся просто катастрофическими для страны, против которой будет направлена эта акция. Причина — в глубокой интернационализации самых разных областей и процессов жизнедеятельности обществ разных стран, включая функционирование государственных структур. Проблема регулирования использования Интернета глобальная и очень серьезная, в ее решении должны участвовать все страны. Отсидеться на своем информационном “острове” не получится.
Правительствам разных стран не стоит сбрасывать со счетов и общественную реакцию: использование Kill switch равносильно тому, чтобы запретить гражданам выезд из страны; оно может спровоцировать народные волнения, ведь даже в слаборазвитых регионах мира люди уже получили опыт современного коммуникационного взаимодействия, которое простирается далеко за государственные границы.
PC Week: Благодарю за беседу.