Традиционно в начале очередного года наше издание готовит обзор состояния российского рынка информационной безопасности по итогам года прошедшего. В этот раз специалисты компании “Информзащита” дали нам возможность предварить предстоящий более детальный и пространный анализ, заострив внимание на наиболее важных, по их мнению, аспектах этой области.
Основные ИБ-угрозы. Директор департамента по работе с финансовыми организациями “Информзащиты” Лев Фисенко обратил внимание на активизацию использования киберкриминалом целенаправленных долговременных атак (APT).
Про его мнению, защититься от них традиционными средствами не представляется возможным. К счастью, лидирующие ИБ-разработчики, среди которых McAfee, Trend Micro, RSA, уже предлагают готовые продукты, предназначенные для борьбы именно с APT. Г-н Фисенко выразил надежду, что в этом году подобные средства защиты предложат и российские ИБ-вендоры. При этом он предупреждает заказчиков о том, что сравнивать эффективность этих продуктов весьма непросто ввиду их сложности, а также особенностей защищаемых инфраструктур — средства защиты от APT, эффективные для одной ИКТ-конфигурации, могут оказаться избыточными или недостаточными для другой.
Далеко не каждая компания может позволить себе приобрести и развернуть защиту от APT и далеко не каждая корпоративная ИБ-служба обладает достаточной квалификацией, чтобы противостоять APT. Рост APT-угроз может стать удобным моментом для популяризации ИБ-аутсорсинга. Но тут от ИБ-аутсорсеров потребуется правильная ценовая политика за услуги, с тем чтобы для клиентов не оказалось более выгодным перекупать квалифицированных ИБ-специалистов и все-таки организовывать защиту от APT своими силами.
В числе других наиболее актуальных ИБ-угроз г-н Фисенко назвал утечки информации. Он связывает с этим рост спроса в нашей стране в прошлом году на DLP-системы, который, как он предполагает, продолжится и в году наступившем.
Г-н Фисенко считает, что выбор промышленных DLP-систем в России сегодня достаточно широк, для того чтобы даже небольшие компании могли найти для себя подходящий по стоимости и функционалу продукт. Однако, предупреждает он, важно правильно провести внедрение DLP-системы. Ключевым, по его мнению, тут является предваряющее внедрение выстраивание бизнес-процессов заказчика таким образом, чтобы в них был предусмотрен контроль утечек. В результате такой контроль можно будет осуществлять, во всяком случае на первых порах, даже вручную и уже потом, убедившись в правильности изменений бизнес-процессов, автоматизировать его средствами DLP.
Такая последовательность существенно повышает эффективность внедрения DLP и нивелирует дискредитацию этого класса ИБ-защиты, которая наблюдалась на протяжении нескольких лет и была обусловлена именно неправильной организацией процесса внедрения.
Бичом для российских компаний, работающих в финансовой, ритейловой и производственной сферах, стал внешний и особенно внутренний фрод, приводящий к потерям материальных, денежных и интеллектуальных ценностей. Специалисты отмечают изощренность и рост технической вооруженности мошенников. Так, в банковской сфере они перешли от краж крупных сумм (перемещение которых контролируется более тщательно) к гораздо более частым кражам сумм небольших, контроль за которыми зачастую лежит ниже порога срабатывания средств защиты. Мошенничество приобрело такой размах, что совсем недешевые антифрод-системы окупаются за считанные месяцы после внедрения!
ИБ-обучение. Низкая корпоративная ИБ-культура по-прежнему оставляет широкие лазейки для использования злоумышленниками приемов социальной инженерии. Как сообщили представители “Информзащиты”, по этой причине практически все проводимые ею на заказ тесты на проникновение в корпоративные сети позволяют пройти защиту. Ситуация свидетельствует о явных недостатках в системе ИБ-обучения персонала российских компаний.
Цифровизация жизни на бытовом уровне (прежде всего через персональные ИКТ-устройства) положительно отражается на понимании управленцами высшего звена необходимости защиты информации, способствует нахождению общего языка между бизнесом, ИТ- и ИБ-службами.
По словам г-на Фисенко, со стороны бизнес-руководителей высшего звена явно обозначилось стремление повысить свою осведомленность в области ИБ, они хотят понимать ситуацию с ИБ-инцидентами в своих компаниях. Он рекомендует учебным центрам подготовиться к этому запросу и разработать специальные программы, учитывающие специфику такого контингента слушателей.
Соответствие требованиям регуляторов. Наступивший год будет годом перехода к третьей версии стандарта безопасности международных платежных систем MasterCard и Visa PCI DSS. Если в этом году еще можно сертифицироваться на соответствие второй версии, то с 2015 г. — только на третью.
Согласно оценкам экспертов, новая версия не потребует внедрения каких-либо дополнительных технических средств, зато обяжет изменить организационный подход к соответствию с цикличного — от аудита к аудиту — на постоянный, что вполне возможно сделать за оставшееся время в фоновом режиме.
Руководитель направления отдела безопасности банковских систем “Информзащиты” Алексей Бабенко отметил в России усиление тенденции перехода крупных торговых сетей к построению собственных платежных процессингов, так называемого торгового эквайринга, несмотря на то что он должен подвергаться аудиту на соответствие стандарту PCI DSS. При этом они преследуют цели снижения риска прерывания бизнеса (за счет исключения зависимости от банков-эквайров) и сокращения расходов (за счет прекращения выплат за предоставление процессинговых услуг).
Чтобы аудиты торгового эквайринга проходили без осложнений, напомнил г-н Бабенко, безопасность подобных систем (в парадигме PCI DSS) следует закладывать уже на этапе их планирования. Это поможет снизить затраты как на сертификацию, так и на обеспечение ИБ процессинга на хорошем уровне.
Поскольку эквайринг приносит банкам хороший доход, то, по словам г-на Бабенко, они готовы разделять риски несоответствия торговых сетей — мерчантов стандарту PCI DSS и неохотно отпускают последних в самостоятельное плавание по водам эквайринга. Однако при этом банки-эквайры должны быть готовы к тому, что аудиторы PC DSS могут проявить дотошность и потребовать сертификации особенно крупных мерчантов.
Управление рисками. Оценкой ИБ-рисков в той или иной мере занимаются все российские компании. Однако, как отметил руководитель направления отдела безопасности банковских систем “Информзащиты” Юрий Шелихов, до управления ИБ-рисками, как это определяется в международных стандартах и лучших мировых практиках, им пока далеко — на сегодня это остается привилегией наиболее продвинутых отечественных компаний.
Управление ИБ-рисками (которое следует вести в рамках управления операционными рисками) должно не только позволять в любой момент определять их текущий уровень (в соответствии с принятой моделью угроз и приоритезацией рисков), но и соотнести этот показатель с оценкой возможных ущербов. Именно с количественной оценкой ИБ-рисков дела в российских компаниях обстоят плохо. В то же время в этих данных заинтересованы практически все корпоративные структуры, поскольку они позволяют оценивать эффективность их работы и выявлять в ней узкие места.
По словам г-на Шелихова, для количественной оценки последствий реализации ИБ-атак вполне пригодны обычные электронные таблицы — главная и наиболее трудоемкая задача заключается в определении необходимых данных и получении их из структурных подразделений компании. В то же время на рынке с недавних пор существует специальный класс информационных систем, которые называются Governance, Risk management and Compliance (GRC). Они помогают автоматизировать сбор необходимых данных, в первую очередь процесс инвентаризации информационных активов.
Системы GRC могут послужить тем самым инструментом, который облегчит ИБ-службе общение с бизнес-руководством на понятном ему языке количественных оценок ущерба и позволит поднять ее статус в компании.