Интернет держит оборону

Цифровая трансформация экономики неизбежно приводит к увеличению внешних и внутренних угроз в Сети. Чтобы защититься от кибератак, бизнесу придется вкладывать все больше средств в обеспечение информационной безопасности (ИБ)

Игорь Клоков, «Дело»

В Минске прошла третья конференция «Технологии защиты информации и информационная безопасность организаций» (IT-Security Conference). Инициатором ежегодного мероприятия выступает Оперативно-аналитический центр при Президенте Респуб­лики Беларусь (ОАЦ).

По словам начальника отдела ОАЦ Анатолия Матвеева, конференция IT-Security – это событие года в области кибербезопасности. Угрозы в этой сфере растут пропорционально росту цифровизации* белорусской экономики. Кибератакам подвергаются не только банки, но и другие предприятия. По итогам прошлого года «лидируют» организации системы здравоохранения и образования. Как отметил представитель регулятора, в последние годы здесь быстро происходит цифровая трансформация, но вопросами кибербезопасности никто должным образом не занимается.

Шантаж и диверсии

Если в предыдущие годы самыми заметными и резонансными киберпреступлениями считались DDoS-атаки (атаки на корпоративные сайты), то в 2016-м, по данным ОАЦ, таких инцидентов зафиксировано всего 5. А. Матвеев отмечает: «Это характеризует системную работу, которая включает сертификацию средств защиты, отработку мер реагирования, анализ действий и подготовку рекомендаций, а также координацию действий провайдеров».

Но зато активизировалась проблематика Ransomware – то есть шифрование данных на компьютере жертвы с последующим требованием выкупа за расшифровку. Только во втором полугодии 2016 года зафиксировано 14 таких инцидентов, связанных с госорганами. Представитель ОАЦ считает, что эта цифра могла быть и больше, если бы не была проведена предуп­редительная работа. По итогам прошлого года отмечается, что 62% кибератак составляют целевые атаки на корпоративные активы. Наиболее частым способом проникновения в корпоративные системы является таргетированный фишинг** в виде делового письма, а также использование социальной инженерии. ОАЦ как регулятор отмечает неудовлетворительное состояние защищенности критической инфраструктуры и ее базиса – автоматизированной системы управления технологическим процессом (АСУТП). По данным прошлогоднего мониторинга, количество уязвимых компонентов не уменьшилось.Практически половина найденных уязвимостей имеет высокую степень риска. Лишь 14% уязвимостей были устранены относительно оперативно, в течение 3-х месяцев, 34% устранялись более 3-х месяцев. Оставшиеся ошибки либо вовсе не исправлены, либо не сообщают об устранении. Представитель ОАЦ отмечает: «Руководителям предприятий необходимо изменить отношение к кибербезопасности и рассматривать ее как важнейший компонент инфраструктуры. Уже сегодня необходимо закладывать соответствующие средства в стратегию развития предприятий».

Угнал виртуальный танк? Получи реальный срок!

Начальник управления по расследованию преступлений против информационной безопасности и интеллектуальной собственности Главного следственного управления Следственного комитета Беларуси Александр Сушко отмечает, что киберпреступники обратили свой интерес в сторону граждан, которые меньше заботятся об информационной безопасности, чем предприятия. Растет количество преступлений, связанных с платежными системами. Эксперт отмечает:

«Постоянно снижается доля преступлений по ст. 212 УК (хищения с использованием компьютерной техники) и растут правонарушения по главе 31 УК (несанкционированный доступ к компьютерной информации, модификация компь­ютерной информации, неправомерное завладение, компьютерный саботаж)».

Общее количество зарегистрированных киберпреступлений стабилизировалось на уровне 2500 в год. Одно из самых резонансных правонарушений последнего времени – хищение средств с банковских карт с использованием подставных онлайн магазинов. Пострадали 130 тыс. человек из 29 стран, сумма ущерба составила более €8 млн. В Беларуси задержаны 4 участника международной группы преступников вместе с лидером. Из заметных преступлений в СК отмечают также угон виртуального танка в известной игре у жителя Пружан и угон космолета в другой онлайн игре. А. Сушко отмечает:

«За преступления в виртуальном мире существует такая же ответственность, как и в реальном. К уголовной ответственности мы привлекаем не за угон игрового танка, а за несанкционированный доступ к компьютерной информации».

В поисках «белого хакера»

Как отмечает эксперт в области управления IТ-рисками, менеджер ООО «Эрнст энд Янг» (EY) Кирилл Домнич, периметр безопасности организаций стал более сложным вследствие использования облачных сервисов и распределенной структуры организаций.

«Важно прогнозировать, куда движется злоумышленник, как меняются угрозы», − считает К. Дом­нич. − Если вас не взломали, возможно, вы еще просто об этом не знаете. Вопрос в том, когда это произойдет, и не произошло ли уже».

Чтобы этого избежать, в компании должен быть создан «корпоративный щит» – набор мер, который с помощью различных уровней обороны защищает ценные активы компании и делает эту работу непрерывно. Функции ИБ – прогнозирование, защита и реагирование. По данным исследования EY в Беларуси, 87% сотрудников не уверены в кибербезопасности своих компаний.

Проблема состоит в том, что компаниям трудно вырастить (или нанять) собственного специалиста по информационной безопасности, так называемого «белого хакера». А на аутсорсинг белорусские компании, осуществляющие такие услуги, идут неохотно. Только 11% организаций передают тестирование на проникновение на аутсорсинг (в среднем по миру – 36%). Эксперт отмечает:

«Белорусские организации пока не готовы передавать операционные функции информационной безопасности на аутсорсинг. 45% респондентов не имеют формализованной программы идентификации уязвимостей и актуализации данных об угрозах. Отсутствие формализованных программ означает неэффективность этих механизмов, поскольку ландшафты угроз и уязвимостей регулярно меняются. И должны контролироваться также на регулярной основе».

По мере усложнения информационных систем растут и навыки злоумышленников. И заполучить к себе «белого хакера» становится все дороже. «Спасение утопающих» переходит в руки самих утопающих: 33% опрошенных компаний самостоятельно выполняют все функции центра безопасности (SecurityOperationsCenter, SOC), в мире эта цифра достигает 10%. В результате 73% указали, что в их организациях недавно произошли инциденты, связанные с кибербезопасностью (в мире – 57%). Но 55% белорусских организаций осознают, что недофинансирование ИБ значительно влияет на эффективность выполнения функций организации, и готовы к увеличению затрат на технические меры обеспечения ИБ. Это настраивает на оптимистичный лад, как и тот факт, что в 18% организаций сотрудник, ответственный за обеспечение ИБ, занимает должность в руководстве.

CERT или FinCERT?

Уже не первый год обсуждается возможность создания в Беларуси структуры, которая могла бы аккумулировать информацию об инцидентах, анализируя и оценивая вирусные системы и атаки − FinCERT. Такая структура создана в России. Российский FinCERT действует с середины 2015 г. как центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Это структурное подразделение главного управления безопасности и защиты информации Банка России (ГУБиЗИ). Банки-участники направляют в ЦБ сведения о выявленных компь­ютерных атаках (на карточные счета, системы дистанционного обслуживания, банковские сайты). ЦБ РФ анализирует данные, формулирует суть проблемы и оперативно направляет участникам рынка и правоохранительным органам результаты анализа. У нас за FinCERT также ратуют представители банковского сообщества, поскольку киберпреступления именно в этой сфере наносят исчисляемый и существенный ущерб. И регулятор (Нацбанк), и коммерческие банки готовы поддерживать этот проект. А. Сушко к тому же подчеркнул, что «сейчас особенно остро стоят вопросы необходимости ухода от принципа нулевой ответственности». Этот принцип состоит в том, что банк, который выдал клиенту карточку, обязан вернуть все денежные средства, которые исчезли с нее по вине мошенников. Разумеется, держатели карт в этом случае защищены и могут не обращать внимания на соблюдение принципов безопасности. При этом банки несут потери. От FinCERT ожидают прежде всего возможности обмена информацией о новых вирусных угрозах, получения актуальной информации о новых схемах мошенничества, а также видят в нем центр экспертизы, поскольку в пылу конкурентной борьбы банки нередко выводят на рынок услуги в ущерб вопросам безопасности. Центр экспертиз мог бы аккумулировать информацию не только по нашему рынку, но и по соседним−России, Украины, Казахстана.

Между тем в Беларуси создан и активно действует CERT.BY – Национальный центр реагирования на компьютерные инциденты Республики Беларусь. CERT.BY осуществляет сбор, хранение и обработку статистических данных, связанных с распространением вредоносных программ и сетевых атак. Здесь также вырабатываются меры реагирования на сами инциденты не только в информационных системах государственных организаций, но и у других субъектов национального сегмента интернета. Основная задача центра – снижение уровня угроз информационной безопасности национального сегмента Сети. Но его полноценной работе, по мнению технического специалиста ОАЦ Виктора Гурина, мешает тот факт, что коммерческие организации не всегда готовы сообщать об инцидентах в сфере IТ-безопасности по соображениям престижа и рыночной конкуренции. Эксперт отмечает:

«До тех пор, пока не введена ответственность за утаивание кибератак, за непредоставление информации об инцидентах − мы не преодолеем этот барьер. В рамках Евросоюза это уже нашло законодательное закрепление. Должна накладываться финансовая ответственность на владельцев критической инфраструктуры, персональных данных в случае несообщения об инцидентах, которые случаются на их инфраструктуре. Интернет – трансграничная среда и благодаря наличию информации об инцидентах и выработке рекомендаций по их устранению можно защититься от неприятностей, которые он таит».

У сотрудников негосударственных структур есть определенные опасения по поводу функционирования центра информирования об инцидентах. Начальник отдела ИБ ЗАО «ТК Банк» Андрей Миклашевич отмечает:

«Успешному функционированию CERT.BY мешает тот факт, что он создан на базе спецслужбы. При этом у бизнес-сообщества – настороженное отношение к спецслужбам. Сегодня нет достаточно хорошего обмена информацией даже между госорганизациями. Вряд ли получится наладить такой обмен с коммерческими организациями».

Подписать договор мобильником

Сфера защиты персональных данных также связана с вопросами IТ-безопасности, как и финансовая сфера. Цифровая трансформация меняет условия обращения документов даже такого уровня, как паспорт. В Украине с прошлого года взамен общегражданского паспорта действует электронная карта. Белорусская электронная карта (БЭК) также на подходе. Она разрабатывается в рамках комплекса мер по внедрению биометрических документов в Рес­публике Беларусь и созданию Белорусской интегрированной сервисно-расчетной системы (БИСРС)», утвержденной решением премьер-министра № 33/102-343/586 от 17 октября 2016 г. БЭК обещает стать удобным и универсальным инструментом для получения большого (если не всеобъемлющего) перечня госуслуг для граждан, причем как информационных, так и платежных. Такая функциональная нагруженность диктует высокие требования к безопасности. Пока еще не определено, сколько микроконтроллеров будет включать карта – один или два. Но уже известно, что БЭК будет содержать как международные, так и национальные криптографические алгоритмы. По словам заместителя директора по информационной безопасности ООО «ЛВО» Владимира Козловского, «механизм идентификации БЭК включает идентификационное приложение в соответствии с требованиями ICAO, реализующее международные криптографические алгоритмы шифрования» (ICAO – Международная организация гражданской авиации, разрабатывающая стандарты машиночитаемых документов).

При этом БЭК будет также содержать сертификаты электронной цифровой подписи (ЭЦП). Начальник Республиканского удостоверяющего центра (РУЦ) ГосСУОК, РУП «Национальный центр электронных услуг» (НЦЭУ) Дмитрий Чуяшов отмечает:

«Сертификаты электронной цифровой подписи на ID-карте служат для подписания документов либо идентификации себя в информационных системах. Эту работу ведет НЦЭУ, ее планируется завершить к концу 2018 г.». Ожидается, что карта получит хождение, начиная с 2019 г.

Эксперт также обращает внимание, что с июля 2016 г. в РУЦ стала доступна «услуга по выдаче сертификатов мобильной ЭЦП сроком на 1, 2 или 3 года, позволяющая при помощи обычного телефона подписывать документы в любое время и в любом месте». Воспользоваться услугой могут юридические и физические лица, абоненты velcom. С 12 апреля 2017 г. аналогичную услугу запустил и оператор МТС. Компания стала аккредитованным регистрационным центром Государственной системы управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь (ГосСУОК). ЭЦП размещается на SIM-карте, является сертифицированным средством идентификации и криптографической защиты и имеет юридическую силу на территории Беларуси.

Надежная криптозащита

Криптографическая защита информации (КЗИ) – основа безопасного оборота юридически значимых документов. В Беларуси Закон об электронном документе и ЭЦП принят раньше, чем в России и всего на полгода позже, чем в США. Процессы, которые происходят в этой сфере, направлены на интеграцию Беларуси в мировое информационное пространство. Тем не менее, в ближайшее время ОАЦ не будет ужесточать требования по криптографической защите информации. Начальник отдела ОАЦ Станислав Кутузов подчеркивает:

«Никаких резких движений в воп­росах криптографической защиты информации, не содержащей сведения, отнесенные к государственным секретам, регулятор в ближайшее время не предполагает. Некоторые изменения произойдут в Приказе №62, который регулирует вопросы технической и криптографической защиты информации. Но они относятся к технической защите и, возможно, к аттестации систем защиты информации. Возможно, будет принят новый стандарт по классификации информационных систем».

Представитель регулятора отметил, что в нашей стране создана криптографическая инфраструктура, которая включает: нормативно-правовые акты; технические правовые акты, которые устанавливают требования к средствам, алгоритмам, протоколам, а также система сертификации. ОАЦ осуществляет контроль по трем направлениям: за технической и криптографической защитой информации, по направлению лицензирования, и инспекционный контроль в рамках сертификации продукции. Сейчас в Беларуси вся криптографическая продукция сертифицирована по схеме «1с»?– серийное производство. Она ежегодно подвергается контролю. С. Кутузов отмечает:

«Контроль эффективен, в прош­лом году выявились случаи реализации производителями средств криптографической защиты информации, не имеющих сертификатов соответствия техническому регламенту. Нарушители заплатили штраф».

Николай Микулич, заместитель генерального директора по информационной безопасности ЗАО «БелХард Групп», отмечает, что «становление отрасли КЗИ в Беларуси происходило в 1995-2000 гг. С 2013 г. можно говорить о ее создании. Сейчас происходит дальнейшее развитие». Нормативно-правовая база опирается на Закон Республики Беларусь от 28 декабря 2009 г. № 113-З «Об электронном документе и электронной цифровой подписи» и Указ Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации». Лицензирование деятельности выполняется согласно Указу Президента Республики Беларусь от 1 сентября 2010 г. № 450 «О лицензировании отдельных видов деятельности». А экспертиза и сертификация КЗИ опирается на Постановление Совета Министров Республики Беларусь от 15 мая 2013 г. № 375 «Об утверждении технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY). Подготовка кадров в сфере информационной безопасности осуществляется в БГУ, БГУИР и БНТУ. Однако Владимир Комисаренко, директор по развитию ЗАО «БЕЛТИМ СБ», директор ассоциации «Рус­Крипто», отмечает, что специа­листов не хватает. В частности, в сфере внедрения проектов на основе блокчейн: «Есть финансирование на выполнение таких работ, а исполнителей нет. Движение в направлении блокчейн действительно есть, при Нацбанке действует рабочая группа, валютная биржа проявляет интерес. Но пока это − дань моде».

Между тем С. Кутузов обращает внимание: «ОАЦ как государственный регулятор в сфере информационной безопасности более не намерен включать темы разработки средств криптографической защиты в государственные программы. Это порочная практика». Средства, которые разрабатываются в рамках госпрограмм, доводятся до опытного образца, сдаются заказчику и лежат мертвым грузом. Потому что за 5 лет требования уходят далеко вперед, а сопровождения не преду­смотрено. Регулятор ожидает большей активности от бизнеса в рамках государственно-частного партнерства, а также в разработке требований к средствам КЗИ.

Резюмируя

Информационная безопасность все больше выходит на передний план как в бизнесе, так и в деятельности государственных организаций. В Беларуси вовремя обратили внимание на этот аспект цифровизации экономики. Регулятор диктует опору на «три кита» безопасности: технические средства, организационные и правовые мероприятия. Непрерывность производственных процессов обеспечивается аттестацией информационных систем и наличием сертифицированных специалистов. Бизнесу придется закладывать все больше средств на ИБ. Это неизбежная дань цифровой трансформации общества и экономики.

*Цифровизация – переход с аналоговой формы передачи информации на цифровую.

**Фишинг (англ. phishing, от fishing – рыбная ловля, выуживание) – вид интернет-мошенничества, целью которого является получение доступа к конфиденциаль­ным данным пользователей – логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей.