- Жизнь всегда выбор между допустимым, нежелательным и недопустимым. Например, потеря миллиона рублей для каждого из нас - недопустимая ситуация, тысячи - неприятная, но вполне переживаемая, монеты-десятирублевика - обыденная. Три случая, связанных с деньгами, а реакция на них разная. Этот пример универсален и для компаний - государственных, частных. Только там суммы астрономические, а причины их утраты - хакинг, нерезультативный проект, штраф… Если вы сфокусируетесь на предотвращении недопустимых событий, то автоматически защититесь и от остальных неприятностей, - посоветовал участникам секции "ИБ не по шаблонам" бизнес-консультант по ИБ Positive Technologies Алексей Лукацкий.
Выступление московского эксперта стало, пожалуй, самым вдохновляющим для молодых специалистов по ИБ. Ведь достаточно долгое время они незаслуженно воспринимались начальством как дармоеды: мол, не видно, не слышно и чем вообще занимаются непонятно. Это подтвердит любой кадровик: если на одну среднюю компанию обычно приходится три айтишника, то безопасник всего один, и хорошо, если штатный… Но ситуация, утверждает Лукацкий, меняется буквально на глазах. Теперь уже открыто заявляют, что 70 процентов действий злоумышленников можно блокировать автоматически, но на отработку оставшихся 30 процентов все-таки нужны люди - сейчас на весь мир требуется более трех миллионов специалистов по кибербезопасности.
А еще принимаются важные документы. Тут в первую очередь следует назвать указ президента № 250 от 1 мая 2022 года, который уже окрестили революционным для отрасли - под него подпадают минимум 500 тысяч организаций в России.
- Принципиальные изменения касаются ответственных за информационную безопасность в каждой конкретной компании: тут либо безопасника должны поднять до уровня заместителя руководителя, либо существующего зама назначить ответственным за ИБ. Я бы не сказал, что в остальном указ несет важные новации. Абсолютное импортозамещение ПО к началу января 2025 года? Так все к тому и шло. Требования следовать указаниям основных регуляторов в лице Банка России, ФСТЭК и ФСБ - тоже из прошлой жизни. Но при том 250-й указ настраивает компании не просто поставить средство защиты и забыть о нем, а постоянно работать над усилением охранных действий - проводить регулярные киберучения, проверки, мониторинги, - перечисляет Лукацкий.
Очевидно, что необходимо усиливать работу и в блоке защиты персональных данных. В новой редакции закона о них от 14 июля появилось "разделение потоков": кибербезопасники должны уведомлять Роскомнадзор об утечке данных, которые были обнародованы публично, а ФСБ - об инцидентах, которые привели к утечке. Дорабатывается очередная версия законопроекта, инициированного Минцифры РФ, об оборотных штрафах. Речь уже не про 60 тысяч рублей, которыми пригрозили "Яндексу", а про один и три процента годового оборота провинившейся компании (если инцидент был скрыт, наказание, соответственно, ощутимее). Кроме того, на прошлой неделе Госдума в первом чтении приняла законопроект, увеличивающий штрафы до 200 тысяч рублей и за непредоставление сведений о категории или создании критической информационной инфраструктуры. Алексей Лукацкий заявляет, что теперь тема недопустимых событий заиграла новыми красками: когда бизнесу объяснили про реальные последствия, он наконец задумался о серьезных мерах.
Путь к защите от Лукацкого состоит всего-то из 13 шагов. Он начинается с определения недопустимых событий и заканчивается их регулярным пересмотром. Самый необычный - предпоследний, именуемый Bug Bounty, - это когда компания настолько созрела, что готова пригласить внешнюю команду или белого хакера взломать свою систему за вознаграждение. Нужно же понять, где брешь, и добраться до нее быстрее черных взломщиков. Владимир Яцюк, менеджер по продвижению продуктов и поддержке продаж Positive Technologies, добавляет, что при выстраивании защиты нужно не спорить с IT-отделом, кто главнее, а договориться о партнерстве - цель-то ведь общая. А директор по работе с ключевыми клиентами компании "Новые технологии безопасности" Вячеслав Емельянов советует коллегам обращать внимание на защиту удаленного доступа и учетных записей - это тоже лакомый кусок для хакеров.
К слову, на эксперименты по согласованному взлому готово само минцифры с дальнейшим распространением этого опыта на подведомственные организации. Поговаривают, что до конца 2022 года проникнуть в свою инфраструктуру хакерам предложат Госуслуги. Возможно, кто-то посчитает такой шаг слишком рискованным, но эксперты говорят: это лучший вариант работы над собственной уязвимостью, ведь атака зачастую совершается за один, максимум два шага. Надо увеличить число шагов для злоумышленника, тем самым растянув время до критического момента. А когда он замешкается, поймать и наказать.