В РФ разработают стандарты подготовки кадров в сфере инфбезопасности

"В связи с резким переходом систем управления на информационные решения ощущается нехватка специалистов в сфере инфобезопасности. И в нашей стране такая необходимость растет быстрее, чем идет подготовка кадров. Сейчас в России более 170 вузов готовят специалистов в этой сфере. Число таких вузов заметно увеличилось за последние годы. Но в связи с резким увеличением числа киберугроз во всем мире ощущается недостаток около 1,5 млн специалистов", - отметил Магомед Вахаев.

Он предложил оргкомитету форума сформировать на базе некоммерческого партнерства "Инфофорум" рабочую группу из представителей заинтересованных органов исполнительной власти и законодателей, которой необходимо будет подготовить и направить в правительство, Министерство труда и социальной защиты РФ предложения по формированию перечня профессиональных стандартов для отрасли информационной безопасности. По словам Магомеда Вахаева, результатом этой работы должна стать законодательная инициатива.

Такая необходимость продиктована ростом киберпреступности. Киберугрозы компьютерным системам, приложениям и персональным сетям достигли рекордного уровня за последние 13 лет. К такому выводу пришли аналитики компании Cisco в своем ежегодном отчете по информационной безопасности. "На смену простым атакам, наносящим возмещаемый ущерб, приходят изощренные, прекрасно финансируемые операции организованной киберпреступности, способные нанести значительный экономический и репутационный ущерб пострадавшим как в частном, так и в государственном секторе", - отметили аналитики Cisco.

Эксперты отмечают также, что усложнение угроз и решений, обусловленное быстрым ростом числа интеллектуальных мобильных устройств и популярности облачных вычислений, существенно расширяет горизонт атак.

"С появлением принципиально новых устройств и инфраструктур перед злоумышленниками открываются новые возможности атак, использующих непредвиденные слабые места и плохо защищенные ресурсы. Темпы совершенствования технологий и методов сетевых преступников и роста их непрекращающихся попыток взлома сетей и кражи данных обогнали возможности экспертов в области ИТ и инфобезопасности противостоять угрозам. Все это рисует довольно мрачную картину современного состояния инфобезопасности", - заявил главный директор компании Cisco по информационной безопасности Джон Стюарт.

По словам начальника Бюро специальных технических мероприятий (БСТМ) МВД России Алексея Мошкова, число компьютерных преступлений в России в 2013 году увеличилось на 8,6%: "По оценкам исследователей, каждую секунду в мире жертвами киберпреступников становятся 12 человек, и эта цифра с каждым годом растет, и Россия не отстает от мировых показателей по темпам роста киберпреступности".

Основной мотив киберпреступников, по мнению экспертов, - извлечение материальной выгоды. "Практически все случаи неправомерного доступа к информации, это 19% от всех компьютерных преступлений направлены на хищение денежных средств. Количество преступлений, организованных с целью хулиганства, при этом крайне незначительно, - отметил Алексей Мошков. - Среди поступающих обращений граждан жалобы на мошенничество составляют наибольшую долю. Важно, что преступники-одиночки постепенно вытесняются с криминального рынка хорошо организованными преступными группами, объединяющими людей из разных регионов и стран мира".

Первый заместитель начальника Центра защиты информации и специальной связи ФСБ России Алексей Кузьмин обратил внимание на опасные тенденции, которые складываются в сфере борьбы с киберпреступностью: "Попытки воздействия на информационные ресурсы перестают быть действиями хакеров - услуги по атакам предлагаются за определенную сумму. Формируется рынок, это означает, что есть спрос. Вторая опасность - информационное оружие становится настоящим оружием. В Иране была проведена атака на ядерные станции. Для того чтобы создать вирус, который этот сделал, нужна была информация от разработчика исходных программ. Выгода от этой атаки экономически была ничтожна, это было явно политическое решение".

По мнению экспертов, эти тенденции будут только усиливаться. "Производство вредоносного ПО уже поставлено на поток. За 2012-2013 годы выявлено около 25 млн образцов такого программного обеспечения. Оборот денег на рынке вредоносного ПО почти равен обороту наркотиков. Разрастаются также рынки бот-сетей, через которые распространяется спам. В России с 2014 года количество машин, которые попадают в бот-сети, возрастет в 4-5 раз. Россия занимает пятое место в мире по рассылке. Большая часть спама идет через блоги, социальные сети и различные форумы. Почти каждое 10-е сообщение является спамом", - рассказал Алексей Кузьмин.

Одной из главных проблем в сфере защиты информации эксперты называют также защиту от киберугроз мобильных устройств. "Владельцы мобильных телефонов и планшетов не уделяют этим вопросам внимания. 57% владельцев смартфонов даже не знают о существовании антивирусов для мобильных устройств, - подчеркнул Алексей Мошков. - Представителям отрасли нужно активнее информировать общество о необходимости защиты своих мобильных гаджетов и персональных компьютеров. Нужно не терять благоразумие и трезво рассуждать".

Сегодня мобильность сотрудников в тренде - корпорации ценят возможность всегда связаться с сотрудником, даже если того нет в офисе. Поэтому доступ к корпоративной информации через мобильные устройства сделался повсеместной практикой. "Но она очень опасна, так как ПО любого смартфона или планшета крайне уязвимо для информационных атак. Понятно, что остановить и тем более развернуть тенденцию невозможно - уровень мобильности сотрудников будет расти в любом случае. Но можно по-разному защищаться от этого - от социального инжиниринга до внедрения защиты голосовых коммуникаций", - рассказал управляющий директор Optima Infosecurity (Группа Optima) Неманья Никитович.

Заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев обратил внимание на проблему информационной безопасности в кредитно-финансовой сфере. По его словам, участились централизованные атаки на кредитные организации: "Атака на сайты крупнейших российских банков в прошлом году на неделю парализовала работу всех систем. Она была скоординирована и имела не экономический смысл, а политический. Ее целью было создать негативное отношение у пользователей и деструктивно воздействовать на фондовый рынок. Подобные инциденты - вызов для банковской системы".

По наблюдениям экспертов, одними из самых уязвимых являются системы онлайн-банкинга. "Для борьбы с атаками на эти системы нужны современные средства защиты. Их на российском рынке пока мало, но тем не менее уже появились решения, которые позволяют оценивать репутацию мобильных устройств и немедленно блокировать, к примеру, банковскую транзакцию, если попытка ее осуществить совершается со скомпрометировавшего себя устройства, - рассказал Неманья Никитович. - Если говорить о внутрикорпоративной информации, то самое уязвимое звено в информационной цепи - конечный пользователь. Внутри корпорации это ее сотрудник".

Эксперт по информационной безопасности компании "Аладдин Р.Д." Сергей Котов согласен с тем, что особое внимание государству нужно уделить проблеме подготовки специалистов по информационной безопасности: "Годовой выпуск таких специалистов не превышает 2/3 от потребности, а если смотреть в разрезе специализации и качества подготовки - ситуация еще хуже. Но проблема не в появлении принципиально новых технологий - я таковых за прошедший год не увидел. Проблема в общем подходе. Пример в активности и изощренности подают некоторые государства. Зачем обычному хакеру горнодобывающие и тому подобные компании? Зачем ему организовывать атаки на ядерные объекты Ирана? Также дело вовсе не в повышении "интеллекта" мобильных устройств (растет только их вычислительная мощность), а в росте их количества. И наконец, дело совсем не в недостатке средств и методов защиты. Если программное обеспечение (особенно для мобильных систем) изначально пишется "дырявым", исходя из принципа быстро, дешево, и так сойдет, то чего же мы ждем?".

Представители отрасли ИБ считают, что для того, чтобы обезопасить себя корпорациям и госструктурам нужно тратить деньги на тестирование приобретаемого ПО, на специалистов по ИТ и ИБ, на средства защиты, на просвещение своих клиентов. "Бесплатной безопасности не бывает. Если говорить о гражданах, они же пользователи, они же клиенты, они же обиженные - спасение утопающих дело рук самих утопающих. Не нужно качать из Интернета гигабайтами и не глядя все подряд и с первого попавшегося ресурса, переходить по ссылкам из явно неадекватных писем. Если человек прыгает с обрыва, не умея летать, - это означает, что он либо запасся парашютом, либо подстелил соломку, и то и другое стоит денег. Почему-то к информационной безопасности у среднего обывателя другой подход. Сначала он отдает ключи от квартиры, где деньги лежат, жулику, а потом идет в банк жаловаться".