02.12.2021
Одна из самых тяжелых гирь на негативной чаше весов цифровизации индустрии – комплекс угроз кибербезопасности предприятий. Насколько они критичны и какова их структура?
Облачные риски, опасности дистанта, несовершенство биометрических технологий и нереализуемость 100%-го импортозамещения в IT-сфере – такие четыре основные группы проблемных вопросов выделили эксперты форума Global Information Security Days. Проанализировав мнения специалистов в области кибербезопасности, мы представляем спектр тезисов, связанных с проблематикой защиты цифровой инфраструктуры промышленности.
Период коронакризиса с его режимами изоляции существенных изменений в направления развития информационных технологий и кибербезопасности не внесли, но кардинально сместили акценты. На первое место вышли решения для удаленной работы. А масса предприятий заинтересовалась как облачной безопасностью, так и потреблением собственно информационной безопасности (ИБ) из облачной среды. Поэтому и наибольшие затраты в 2020 году в сфере ИБ пришлись на облачную безопасность.
Рынок осознал, что использовать облака экономически выгодно. Более того, достаточно популярным стало мнение, что у облачного провайдера хранить данные безопаснее, так как физическая безопасность в облаках выше. Ведь сервер с завода можно взять и вынести, а в облаках будет довольно сложно найти клок тумана, который относится именно к вашему предприятию. К тому же не исчезла и общая для промышленности проблема удержания собственных квалифицированных IT-специалистов. В любом случае кому-то довериться придется. Ведь единственная альтернатива – это сверхрасходы с негарантированным результатом.
Для индустриального сегмента все это пока лишь первые шаги и первые впечатления. Но в качестве примера уже освоившейся и уверенно «плавающей в облаках» отрасли можно рассмотреть опыт е-commerce. Ведь электронная торговля не просто нуждается в облаках – она находится в них изначально и онлайн-продавцы используют широкую модель рисков. Непредсказуемы и широки тут не только угрозы, но и возможности. Задача e-commerce – непрерывно работать даже под напором угроз и быстро масштабироваться, когда предоставляется такая возможность. Так, некоторые компании используют SaaS в качестве защиты от DDoS и парсинга сайтов, PaaS как защиту для мобильных приложений и IaaS для геораспределения и резервирования.
SaaS (Software as a Service) – программное обеспечение как услуга. Это модель обслуживания, при которой подписчикам предоставляется готовое прикладное ПО для облачных вычислений, полностью обслуживаемое провайдером. Поставщик самостоятельно управляет приложением, предоставляя заказчикам доступ к функциям с клиентских устройств.
PaaS (Platform as a Service) – платформа как услуга. Это модель предоставления облачных вычислений, при которой потребитель получает доступ к использованию информационно-технологических платформ: операционных систем, систем управления базами данных, связующему программному обеспечению, средствам разработки и тестирования, размещенным у провайдера.
IaaS (Infrastructure as a Service) – инфраструктура как услуга. Это одна из моделей обслуживания в облачных вычислениях, по которой потребителям предоставляются по подписке фундаментальные информационно-технологические ресурсы – виртуальные серверы с заданной вычислительной мощностью, операционной системой и доступом к сети. В IaaS не предусматривается контроль со стороны поставщика услуг за устанавливаемым ПО, он контролирует только физическую и виртуальную инфраструктуру.
Среди ключевых тенденций в развитии облачных вычислений сегодня продвинутыми компаниями, развивающимися в концепции cloud native приложений, подразумевающих использование облачных решений, отмечаются такие, как:
– появление в решениях искусственного интеллекта;
– мультиоблака дрейфуют в сторону омниоблака;
– продолжение развития контейнеризации;
– увеличение количества компаний, использующих подход cloud native;
– появление понятия security as a service;
– стремление в облака технологий блокчейна.
Однако преимущества облачной стратегии оборачиваются и рядом угроз. Так, например, при использовании разных облачных решений в коде увеличиваются потенциальные поверхности атаки. Также риски возникают и со стороны провайдера, и со стороны самих облаков. Проблемы возникают потому, что паттерны безопасной архитектуры и стратегия облачной безопасности отсутствуют, контроль за изменениями недостаточный, интерфейсы взаимодействия и программные интерфейсы – небезопасные, а сами облачные сервисы непрозрачны. А одна из самых больших проблем во время перехода в облака – реализация архитектуры, способной противостоять современным кибератакам и угрозам, характерным для облачной инфраструктуры. Правильная архитектура и стратегия безопасности являются необходимыми элементами для безопасного перемещения, развертывания и работы в облаке.
COVID-19 рассадил многих по домам, и многим это понравилось. Офисная часть промышленных предприятий сегодня практикует три формата работы: полностью удаленный, офисный и гибридный с гибким графиком и присутствием на работе только по необходимости.
Доверие, которое формируется при переходе на дистанционный режим, работу в коворкинге или с помощью мобильного устройства, подразумевает усиление контроля. Причем эксперты в области информационной безопасности предпочитают не организационный, а технологический контроль, связанный с циклом выявления и отработкой инцидентов. Ведь злоумышленникам, трансформирующим свою деятельность, нередко удается вовлечь в преступную деятельность сотрудников предприятий. Между хакерами и бизнесом уже нет разницы. Киберпреступники называют своих жертв клиентами, обещают им «техподдержку» и устраивают настоящие онлайн-курсы. Их можно пройти на спецсайтах и в Telegram. Недорого. Иногда стоимость обучения всего несколько сотен или тысяч рублей. Дальше все как положено: книги, хорошо написанные, понятные инструкции в PDF-файлах. После этого готовый специалист получает возможность «трудоустроиться». Новые рекруты учатся на готовых скриптах, которые поступают от бывших сотрудников организаций. Затем их приглашают поработать в интернет-проекте, при этом они даже не подозревают о том, что будут помогать мошенникам.
Иногда скрипты передают не бывшие, а действующие сотрудники, имеющие отношение к фронт-офису. Их просят сфотографировать некоторые стандартные операции и отослать снимки заказчикам из даркнета. Доказать такие преступления сложно, служба безопасности не успевает отследить подобные действия, а текучка кадров делает свое дело: когда нарушителя приходят ловить, он уже давно уволился.
Сегодня принято считать, что биометрические данные – хорошая замена паролям, которые невозможно запомнить и легко потерять. Сетчатку глаза или отпечаток пальца утратить сложнее и поменять в случае компрометации невозможно. Биометрические данные в индустриальном секторе часто охотно используют для контроля доступа на промышленные площадки, в здания, к различным приложениям и устройствам. Но риски некорректного внедрения таких инноваций остаются. Так, например, при проведении испытаний, представителями «Русского биометрического общества» на объекте заказчика – одной из ведущих в своей отрасли компании – после тестовой атаки системы было взломано практически все. И сильно далекая от нуля ошибка систем составила значения 0,3–0,4.
И, по мнению экспертов, проблема заключена отчасти в российской нормативке, регулирующей кибербезопасность. Для сравнения: международные требования (ISO/IEC 19989-2) определяют минимальные значения вероятности ложного доступа для систем с очень высоким уровнем доверия как 0,000001% (10-8), а для минимального, базового уровня доверия – не менее 1% (10-2). А отечественные документы сейчас гарантируют только минимальный уровень доверия биометрических систем. Ошибки, которые зарубежные коллеги допускают только для слабых доверенных систем, в России утверждены для всех систем. К примеру, в приказах учитывается только вероятность ложного совпадения, но не учитывается вторая биометрическая ошибка – вероятность ложного несовпадения. Нет учета обобщенных ошибок, когда система вас вообще не видит и не дает ответа. Для обеспечения же надежного уровня кибербезопасности промышленных предприятий необходимо обеспечить именно высокий уровень доверия систем, а не низкий, как это сейчас прописано в документах.
Для цифровизации крупных и особенно стратегически важных производств высокую актуальность приобретают такие понятия, как технологическая независимость и импортозамещение в IT-сфере. Но пока это поле для компромиссов. Ведь современный мир таков, что никто не может сформировать весь технологический ландшафт самостоятельно. Ни одно государство не способно с нуля сделать только для себя даже смартфон, осуществив производство полного цикла, начиная с аппаратной платформы и заканчивая приложениями.
При этом технологическая независимость подразумевает возможность принимать самостоятельные решения. И здесь, в условиях неполного импортозамещения, важно сохранить баланс между функциональностью и обеспечением безопасности. Эксперты полагают, что идущая впереди импортозамещения технологическая независимость в сфере кибербезопасности должна прежде всего по возможности быть направлена на исключение внешних блокирующих воздействий.
Выручка 30 крупнейших участников рейтинга CNews Security 2019 года выросла на 37%. Более 1/2 оборота компаний из этого списка приходится на трех крупнейших отечественных игроков
При подготовке публикации использовались материалы CNews.