Как компании готовятся к кибератакам в эпоху цифровых кризисов
Систематизация кибербезопасности внутри компаний становится наиболее важным фактором защиты бизнеса. На сессии "Инфосистемы Джет" на ЦИПР представители IT-отрасли обсудили защиту инфраструктуры в эпоху цифрового терроризма и практики страхования от рисков. Модератором выступил генеральный директор интегратора Владимир Елисеев. Только за последний год компания участвовала в устранении последствий 17 кибератак у крупных заказчиков. Именно статистика стала отправной точкой дискуссии.
"Особенно в последние два года вероятность получить полную остановку бизнеса в результате кибератаки драматически превысила вероятность ущерба в результате любого другого естественного случая. При том что в публичное поле попадает существенно меньше - около 10%", - отметил Владимир Елисеев. Открытый диалог и активная информационная политика IT-компаний меняют подходы к защите на всем рынке. Игроки все чаще делятся кейсами сложных инцидентов и восстановления деятельности после взлома и утечек.
Сегодня нет средств, обеспечивающих стопроцентную защиту. "Если кто-то из потенциальных партнеров говорит, что мы тебя полностью защитим, полностью обезопасим, для меня это из серии инфоцыганства, шарлатанства", - рассказал заместитель Генерального директора Трубной Металлургической Компании (ТМК) по информационным технологиям Дмитрий Якоб.
Член Совета директоров Страхового Дома ВСК Роман Фролов привел в пример компрометацию ряда хостов и захват учебной записи администратора в компании. Так, было зафиксировано несколько DDoS-атак средней интенсивности, которые в итоге привели к остановке деятельности на несколько дней. С помощью команды криминалистов компания воспроизвела полный вектор атаки, нашла использованные инструменты и скомпрометированные узлы.
Фролов отмечает, что полное восстановление после масштабной кибератаки заняло три недели. Сначала был реанимирован инфраструктурный слой, потом прикладная инфраструктура, пользовательские приложения и рабочие места. Далее команда занялась интеграцией и данными: восстановление целостности данных, синхронизация между системами, подключение внешних сервисов.
"Мне нравится термин не "киберзащита", а "киберустойчивость" - то, как быстро компания может восстановиться. Важна защита внутренней инфраструктуры и периметра. Нужно строить защиту исходя из того, что злоумышленник уже в сети. Нельзя экономить на пентестах", - указывает Фролов.
По данным ВСК, в случае атаки киберстрахование покрывает расходы на экспертов (от форензики до пересборки систем), простой и упущенную выгоду - остановку выдачи полисов, потерю клиентов, постоянные расходы, восстановление инфраструктуры из резервных копий, пересборку виртуальной инфраструктуры, оповещение регуляторов и клиентов, а также юридические риски.
Вице-президент по цифровизации и ИТ АО "ТВЭЛ" Евгений Гаранин поделился опытом реализации цифровых проектов в Топливном дивизионе и тем, какое влияние на них оказывает необходимость повышенной устойчивости ИТ-ландшафта. "Обеспечение устойчивости наших решений - это неотъемлемая часть цифровой трансформации. Каждая наша система обладает BC- и DR-планами, проводятся регулярные проверки, в том числе возможности горячих и холодных бекапов. Мы вместе с коллегами из блока по ИБ находимся в постоянном диалоге с регуляторами относительно подхода к реализации тех или иных решений. Для нас это серьезное направление, поскольку обеспечение беспрерывности реализации производственного плана с использованием ИТ-решений для нас является непоколебимым приоритетом".
Средняя скорость изменения ландшафта в компаниях достигает 30-40% в год, отмечает директор по информационной безопасности АО "СОГАЗ" Георгий Старостин. По его словам, ИБ-специалисты сегодня должны обладать экспертизой высокого уровня. При этом во многих компаниях требуется унификация процессов по выявлению рисков, чтобы каждый специалист мог покрывать максимальное количество проектов.
Поэтому важно систематизировать работу по выявлению рисков на предприятиях, в первую очередь требуется разработать план восстановления после атаки. И самый важный элемент плана - наличие защищенных резервных копий и идеально выстроенных процессов резервного копирования.
"Одна из копий должна быть полностью изолирована воздушным зазором, например на вынимаемых кассетах. Но проблема таких копий в том, что скорость восстановления может достигать недель. Пока данные с ленты перельются обратно, время восстановления составит от 72 часов - все зависит от объемов данных", - говорит Старостин.
Так, контуров копирования должно быть несколько под разные задачи (холодные копии, горячие копии и т.д.), и речь не только про оборудование. Главное - это выстроенные процессы. У организаций, которые имеют резервную копию, в 30% случаев полное восстановление из нее не происходит по тем или иным причинам, например из-за сбоя самого резервного копирования или носителя. Старостин подчеркивает, что все процессы должны быть системными, начиная с базовых гигиенических мер (контроль учетных записей, блокировка уволенных сотрудников и подрядчиков) и заканчивая системами мониторинга и операторами.
Информационная безопасность - это процесс, и здесь нельзя "купить" результат. Заказчик может приобрести все технические средства защиты, которые представлены на рынке, а процесса может не быть. Все зависит от того, насколько серьезно компания относится к построению киберустойчивости.
По словам Дмитрия Якоба, один из базовых принципов: безопасность - это непрерывный процесс. В этом не бывает стопроцентных гарантий, поэтому всегда нужно быть готовым. Компаниям нужно менять менталитет в сторону постоянного ИБ-мониторинга, потому что инцидент может случиться в любой момент.
В части построения стратегии важно донести приоритет киберустойчивости для первых лиц компаний. Якоб отмечает, что стратегии кибербезопасности - это не только обязанность по закону, но и маркер вовлеченности руководства в защиту данных организации. Здесь же важно понимать, насколько можно доверять подрядчикам. Генеральный директор "Инфосистемы Джет" Владимир Елисеев добавляет, что около половины всех инцидентов сегодня происходит из-за подрядчиков и нанятых команд.
При этом есть "базовая кибергигиена" и вещи, связанные с изменением законодательства, - это нулевой приоритет, их нельзя трогать. Но существуют и процессные вещи на корпоративном уровне: регулярная оценка рисков, переоценка, принятие решений о том, тратить деньги или нет.
В этом случае отдельным элементом систематизации кибербезопасности компании становятся учения по предотвращению атак. Если специалисты уже имеют опыт того, как действовать при инциденте, их план работы не будет содержать множества ошибок и лишних неотработанных действий.
Эксперты заключают, что нужно постоянно обновлять планы работы - актуализировать информацию не только для ИБ-команд, но и для организации в целом. Развитие новых технологий и искусственного интеллекта не способствует повышению защиты от атак, злоумышленники внедряют ИИ-модели часто быстрее, чем подобные кейсы становятся заметны на рынке.
