Комплексная корпоративная информационная безопасность (ИБ) традиционно начинается с безопасности ключевых информационных бизнес-систем, таких как ERP, CRM, HR, подключенных к Payment Card Industry и т. п.
Digital Security (за рубежом ее знают под брендом ERPScan), одна их немногих российских ИКТ-компаний, имеющих серьезный международный опыт, выполняет задачи оценки защищенности именно таких систем.
Технический директор компании Александр Поляков, основавший исследовательский центр Digital Security Research Group, рассказал научному редактору PC Week/RE Валерию Васильеву о современных проблемах безопасности бизнес-критичных информационных систем.
Несомненный интерес представляют также его оценки актуальных событий и явлений в области ИБ, в которых он опирается на свой десятилетний опыт работы (прежде всего зарубежный) в ИБ-индустрии.
PC Week: Особый интерес, насколько я знаю, вы как ИБ-профессионал проявляете к сложным ИКТ-системам. К таким системам, как мне представляется, в первую очередь относятся те, владельцами которых являются различные госструктуры разных стран. Что можно сказать об информационной безопасности этих систем в странах с развитой экономикой и в развивающихся странах, например в Китае?
Александр Поляков: Честно говоря, мой опыт работы с госструктурами как заказчиками невелик. Но определенно могу сказать, что бизнес к использованию средств, выделяемых на безопасность, относится гораздо рачительнее.
Если же сравнивать ИБ сложных информационных систем, находящихся в ведении коммерческих структур, то страны с развитой экономикой опережают в этой области тех, кто их догоняет, в среднем года на два-три (в каких-то отраслях больше, в каких-то меньше).
Отдельно скажу о Китае, экономика которого в современном мире играет очень важную роль. В этой стране есть сильно закрытые объекты и данные которые хорошо защищаются. В среднем же по стране уровень информационной и кибербезопасности невысок.
Китай часто рассматривают как источник киберугроз, и прежде других такую оценку дают США. Я полагаю, что это следствие политико-экономического противостояния двух стран. Китай сегодня — мощная, успешно развивающаяся держава, продающая свою продукцию, в том числе и инфотелекоммуникационную, по всему миру. США не могут игнорировать столь сильного конкурента. Отсюда — нередко надуманные публикации об атаках на ресурсы других стран с территории Китая, о недекларированных закладках в китайской ИКТ-продукции…
Могу согласиться с тем, что программные коды, написанные китайскими разработчиками, содержат больше уязвимостей, чем, например, коды программистов из США. Могу представить, что есть в них и закладки. Но я совсем не уверен, что закладок нет в программных разработках, сделанных в США. Поэтому разговоры о Китае как о современной “империи киберзла”, как впрочем и о России, в значительной мере считаю следствием больших политических и экономических игр.
PC Week: Как вы оцениваете отношение ИКТ-разработчиков к безопасности своих продуктов? Что можно сказать о результативности таких программ, как Microsoft Security Development Lifecycle (SDL)?
А. П.: Microsoft раньше многих других вендоров была вынуждена начать заниматься безопасностью своих продуктов, поскольку сильнее испытывала давление как со стороны злоумышленников (старающихся взломать их продукты), так и со стороны пользователей (требующих сделать эти продукты более безопасными). В результате программные разработки Microsoft стали намного безопаснее, чем у других поставщиков.
Деятельность нашей компании во многом сосредоточена на поиске уязвимостей в программных продуктах корпорации SAP, у которой до недавнего времени не было программы, аналогичной Microsoft SDL, поэтому при первых наших исследованиях было выявлено огромное количество уязвимостей.
Ситуация изменилась около двух лет назад, когда SAP начала внедрять свою System Development Life Cycle (SDLC), в том числе с некоторой нашей поддержкой. В результате количество обнаруживаемых в SAP уязвимостей сократилось значительно, но в свою очередь они стали более опасными. Их устранение, как мне кажется, является задачей более длительного использования SDLC.
PC Week: Какие первейшие рекомендации вы хотели бы дать пользователям ИКТ-систем?
А. П.: Прежде всего нужно отметить, что сильно расширился возрастной состав нынешних ИКТ-пользователей (не корпоративных, а индивидуальных). Сегодня компьютеры находятся в распоряжении людей, которым от трех лет и до ста. Наверное, поэтому вот уже многие годы для них остаётся насущным требование применять правильные, рекомендованные ИБ-специалистами пароли и не ходить в Интернете по сомнительным ссылкам. Нам следует относиться к ИКТ так же, как мы относимся ко всему, что нас окружает в жизни, — со здравым смыслом.
PC Week: Вы проводите тренинги, в том числе и индивидуальные, для ИБ-руководителей компаний из списка Fortune 500. Что больше всего их волнует сегодня?
А. П.: Мне сложно охватить весь спектр проблем, волнующих ИБ-руководителей, поскольку наша компания, и я как специалист, сосредоточена на обеспечении ИБ бизнес-систем (ERP, CRM, HR и т. п.) и критических объектов (АСУТП). Могу сказать, что по этим направлениям интерес к тренингам растет во всем мире. Мы активно расширяем их географию: Австралия, Индия, страны Персидского залива.
Особенно актуализировались проблемы обеспечения безопасности АСУТП. Сейчас идет процесс осознания остроты проблем в этой области, поиски подходов к их преодолению. На это, как я считаю, уйдет года два. Затем начнутся серьезные масштабные внедрения, и по их результатам еще через пару лет можно ожидать улучшения общей ситуации с ИБ АСУТП.
PC Week: В этом году некоторые ИБ-специалисты как-то особенно активно начали искать различия между безопасностью кибернетической и информационной. Как вы трактуете эти два термина?
А. П.: Мне представляется, что информационная безопасность связана с обеспечением функционирования информационных систем, предотвращением хищений материальных и интеллектуальных ценностей.
Что же касается кибербезопасности, то она, как я думаю, направлена против угроз человеческой жизни. Я выделил бы три области в кибербезопасности.
Первая — медицина. Недавно, например, были опубликованы результаты исследований возможных способов удаленных взломов инсулиновых помп (устройств, которые автоматически поддерживают уровень глюкозы в крови пациентов) и кардиостимуляторов. Чтобы понять, насколько важна ИБ таких устройств, стоит ознакомиться с данными о количестве людей, их использующих (кстати, среди них есть и действующие мировые политики высших рангов).
На второе место я поставил бы транспорт. Сегодня, используя беспроводные технологии, например, можно перехватывать управление автомобилем — ускорить, затормозить, повернуть. У нас есть исследования ИБ-систем гражданских самолетов, на основании которых можно сказать, что через те системы, которые позволяют пассажирам во время полета смотреть видео и слушать аудиозаписи, можно выйти на системы управления полетом. Разумеется, сделать это непросто, но возможно.
И наконец, безопасность критически важных объектов я тоже отнес бы к области кибербезопасности. Прежде всего это безопасность АСУТП, телекоммуникационных систем, критически важных информационных систем нефтегазовой отрасли, атомной промышленности и т. п.
PC Week: Вы регулярно участвуете в таких международных хакерских мероприятиях, как Black Hat. Известно, что в них принимают участие представители разведывательных госструктур США, например, глава АНБ Кейтс Александер. Насколько конструктивными, интересными бывают их выступления? Известны ли вам случаи участия в подобных конференциях представителей российских силовиков?
А. П.: Генерал Александер в этом году снова делал доклад на конференции Black Hat, и по мнению коллег, с которыми я успел пообщаться на этой конференции, выступление его было интересным, хотя и не имело прямого отношения к ИБ, — он рассказывал о сложностях (и уже как следствие об уязвимостях) программного обеспечения системы посадки марсохода.
Докладов российских публичных силовиков подобного ранга я ни на одной международной технической конференции не слышал ни разу. Что же касается тех из них, кто работает “на земле”, то светиться там им ни к чему — проще ознакомиться с материалами конференции в офлайне, которые окажутся для них интересными.
PC Week: А гражданских представителей российского сообщества ИБ-специалистов на такие мероприятия часто приглашают с докладами? С интересом слушают их?
А. П.: Что касается участия гражданских российских ИБ-специалистов, то всё зависит от выбранной темы и уровня представляемого на конкурс доклада. Поскольку Black Hat оплачивает докладчикам проезд, проживание (а порой и выплачивает гонорары) за счет слушателей, то отбор докладов там очень строг. Так, из общения с представителями комиссии, отвечавшими за отбор докладов прошлой Black Hat, я узнал, что из восьми сотен присланных докладов отобрано было только семьдесят.
Наша компания участвует в Black Hat с 2010 г., и попасть в пул докладчиков поначалу нам было непросто. Зато теперь многие конференции сами присылают нам приглашения, предлагая выступить с докладом.
Год назад я заметил некоторый всплеск на международных конференциях докладов из России. Я отношу это также к заслугам проходящей в Москве международной конференции ZeroNights, с площадки которой в 2011-м российским ИБ-специалистам было показано, что делиться исследованиями интересно и полезно (отмечу, однако, что в нынешнем году на Black Hat USA кроме двух докладов от нашей компании других российских сообщений, увы, не было и что внезапно возникший у российских исследователь интерес к выступлениям на западе постепенно стал сходить на нет).
Количество международных конференций с ИБ-тематикой сегодня заметно возросло — по моим подсчетам они практически ежедневно проходят в семидесяти разных странах, и российские ИБ-специалисты стали появляться на них несколько чаще.
PC Week: Как международное хакерское сообщество относится к деятельности, которой занимается, например, Джулиан Ассанж, т. е. к преданию гласности государственных и деловых секретов разных стран и компаний? И как к этому относитесь лично вы?
А. П.: Многие ИБ-аналитики и исследователи расценивают такую деятельность позитивно, потому что она соответствует принципам свободы доступа людей к информации, свободы слова. К людям, подобным Джулиану Ассанжу, они относятся как к робин-гудам третьего тысячелетия.
Не могу сказать, что лично я за или против таких людей. Мне интересна та информация, которую они делают публичной. Осуждать их я не могу, потому что они делают достоянием общества сведения о неблаговидных делах государств и бизнеса. Методы, которыми они пользуются, возможно, небезупречны, но точно так же ведут себя те, о ком они рассказывают.
PC Week: Ассанж все-таки реализует право доступа людей к информации, пользуясь правом не раскрывать собственные источники, т. е. действуя в рамках юридического права и журналисткой этики. Другое дело Эдвард Сноуден — будучи сотрудником спецслужб, он опубликовал информацию, к которой имел служебный доступ…
А. П.: Поведение Сноудена во всем мире квалифицируется как предательство. Однако мне непонятна шумиха вокруг раскрытой им информации — разве не очевидно, что в обязанности спецслужб как раз и входит такая, разведывательная, деятельность. Но с другой стороны, если бы резонанса не случилось, то у спецслужб могло бы укрепиться чувство безответственности за свои методы, что, конечно, неправильно.
PC Week: Благодарю за беседу.