Еще каких-то лет 10 назад мы в повседневной жизни мало сталкивались с IT-технологиями в быту. Сейчас же, начиная от оплаты автотранспорта, коммунальных услуг до работы крупных систем города, все работает через Интернет. Рынок кардинально поменялся, изменились и мы. Вместе с тем нарастают риски информационной безопасности, сохранности наших персональных данных. Как их избежать, в интервью корреспонденту inbusiness.kz рассказал директор Центра анализа и расследования кибератак (ЦАРКА) Арман Абдрасилов.
– Арман, кто больше всего в Казахстане подвергается сейчас кибератакам?
– Банки, страховые компании, медиаресурсы. В меньшей мере – сайты различных компаний, все зависит от их финансового оборота и имиджа.
В то же время банки – это одни из самых защищенных структур в Казахстане, они вкладывают много ресурсов в безопасность. Цель злоумышленников – заработать деньги в том или ином виде. Монетизировать можно все, что угодно. Учитывая слабую защищенность данных, злоумышленники, например, применяют вирус-шифрователь. Программа закрывает доступ к нужной информации и требует выкуп за ее возврат. Представьте свой компьютер в редакции, сколько там необходимой для вас информации и документов? Особенно актуально это становится в период налоговой отчетности, когда потеря бухгалтерских данных может принести большой ущерб. Из-за действий хакеров вся деятельность организации будет парализована. Из нашей практики, к сожалению, очень часто люди платят выкуп.
– Сколько денег компании вкладывают в свою безопасность?
– Мировая практика ИТ-проектов говорит о том, что в среднем 10% стоимости проекта тратится на безопасность. Тут важно понимать, что такое безопасность. Основными задачами безопасности являются обеспечение трех показателей – целостность, доступность и конфиденциальность. Если говорить о целостности в контексте "электронного правительства", то это означает неизменность ваших данных: Иванова не должна стать Петровой. Либо человек жив, а система показывает его статус как "мертв". Это явный инцидент информационной безопасности.
Изменения в законодательстве ужесточают требования к безопасности, в госкомпаниях выделяется должность офицера безопасности. Кроме того, закреплено понятие "критически важный объект инфраструктуры". К нему может относиться, к примеру, электростанция. Так как кибератака на нее может остановить инфраструктуру города или привести к человеческим жертвам. К таким объектам государство предъявляет повышенные требования безопасности.
– Как можно себя обезопасить, какие действия нужно предпринять?
– Конечно, лучше предупредить атаку, чем бороться с ее последствиями. Мы идем к врачу, когда уже болезнь наступила, тратим большие деньги на лечение, тогда как профилактика могла помочь ее избежать. В безопасности все также. К сожалению, большинство до последнего игнорирует безопасность, пока не наступит "час икс".
Профилактика гораздо дешевле. Еще одна проблема в том, что безопасность тяжело измерить. В организациях, где есть сотрудники по IT-безопасности, ничего не происходит, и возникает ощущение, что эти люди бесполезны и их работа незаметна. Но как только вы выключаете из процесса службу безопасности, начинаются инциденты.
Недавно я читал статью одного из российских экспертов, мне понравилась его концепция о низко висящих фруктах. Ее суть в том, что злоумышленник не будет тратить слишком много времени на атаку той или иной системы. Ему проще перейти на другую жертву, чем атаковать хорошо защищенный объект. Возвращаясь к концепции, преступник будет в первую очередь пытаться сорвать нижние фрукты, не тратя силы на фрукты, висящие на верху дерева.
Действуйте по правилу Парето 20/80 – 20% усилий дают 80% безопасности. Вот несколько простых правил, которые существенно усложнят жизнь киберпреступникам. Используйте лицензионное программное обеспечение, регулярно проводите обновление систем, не переходите по подозрительным ссылкам, развивайте внутреннюю осведомленность. К примеру, одна лицензия на Windows стоит порядка 30 долларов. Заплатив эти небольшие деньги, вы получаете в поддержку всю техническую службу огромной компании. Компания периодически находит и отрабатывает слабые места в системе и выпускает обновления. На это разработчик тратит миллиарды долларов. То же самое относится к другому оборудованию и программному обеспечению.
Если вы владелец крупного интернет-магазина, у вас большая сеть, миллионные продажи, то дешевле обойдется создать службу поддержки и безопасности. Маленьким магазинам это накладно. В таких случаях целесообразнее использовать аутсорсинг.
– Можете составить портрет хакера, сколько ему лет, что им движет?
– Это молодые специалисты до 25 лет. Здесь внесу уточнение. Если мы говорим о хакерах-преступниках, то здесь применимо понятие "скрипкидис" (script kiddies). Это люди, которые используют чужие "скрипты" (инструменты). То есть они не занимаются исследовательской работой в отличие от хакеров и специалистов по безопасности. Скрипкидис гонятся за легкой наживой, покупают и продают на "черном" рынке краденую информацию. Сейчас достаточно инструментов, которые позволят анонимизировать себя: VPN-сервисы, иностранные серверы либо TOR-сети. Поэтому понять, из какой страны вас атакуют, достаточно сложно, это запросто может оказаться ваш сосед, при этом следы будут вести в Сингапур.
– Рынок растет, а грамотные специалисты уезжают. Как вы думаете, можно ли их удержать? Министр Даурен Абаев как-то говорил, что им важен челлендж, они поработают за рубежом и вернутся.
– Я еще не видел возвращающихся. Есть правда том, что инженеры и программисты – увлеченные профессией люди. Они все время повышают квалификацию, достигают "потолка" и ищут сложные проекты. К примеру, в компании Google не самые высокие зарплаты на рынке, даже бывают ниже средней. Однако люди идут туда, потому что там очень интересные проекты и коллектив. В Казахстане с этим сложнее. В нашей стране всего несколько крупных и интересных проектов: "Сергек", Chocolife, проекты KaspiGroup, ЦАРКА, KazDream, TengriLab. Высококвалифицированному специалисту особо некуда податься. Чистое поле и несколько компаний. Всего несколько вариантов: пойти в один из нескольких проектов и продолжить рост, согласиться на стагнацию или деградацию, оставшись в одном из квазигосорганов, переехать в другую страну с интересными проектами.
– Есть ли перспективы с развитием деятельности в Узбекистане, который сейчас либерализует свои рынки?
– Пока еще рано о чем-то говорить. Они только в начале пути либерализации. Нужно немного подождать. Но чем хорош Узбекистан, так это своим большим рынком. Это важно, потому что Казахстан очень маленький для локальных проектов, для выживания необходимо масштабироваться на другие страны. Перспективные страны развития для бизнеса – это, например, страны Юго-Восточной Азии ввиду высокой плотности населения и объема рынка.
Отрасль ИБ растёт быстрее и правильнее, чем отрасль IT. Мы подошли более системно, ввели правила игры, лицензирование. Это позволило нам отделить профессионалов от остальных. Прежде чем попасть в клуб избранных, компания должна соответствовать нескольким критериям. Для государства тоже все понятнее, понятно, кто пришел надолго и кого надо поддерживать на рынке ИБ. Можно провести аналогию со строительным бизнесом. Не могут два строителя без должного опыта, штата и техники получить лицензию на строительство многоэтажного дома, для этого требуется выполнить ряд требований. Если мы говорим про IT-сектор, то в этой сфере все себя называют "айтишниками". Будь это стартап, отдельный программист или небольшое ТОО или ИП. Между ними нет разделения. По моему мнению, в IT тоже нужно ввести некий ценз в виде общемировых требований. Сейчас государство выделяет средства на поддержку IT-рынка, где смешались все. Происходит распыление усилий, и, как следствие – плохой результат. Местные компании-"единороги" дают отдачу, но редкий положительный эффект размазан по всему рынку. Измерять среднюю температуру по больнице бесполезно, нужно отделить перспективных.
– В прошлом году вы говорили, что уполномоченный госорган делит на своих (госкомпании) и чужих (частные). Ситуация с тех пор изменилась?
– Объясню, с чем мы не согласны. Государственный ИБ оператор – РГП "Государственная техническая служба" отвечает за безопасность госорганов и квазигоссектор. В этой области он монополист. Нет конкуренции, никто в эту область не может зайти. Принимая во внимание, что 80% отечественного рынка – это госзаказ, возникает желание увеличить роль частного сектора.
Теперь практический пример. В прошлом году мы обнаружили около тысячи зараженных роутеров. Мы не можем определить владельцев IP-адресов, потому что это прерогатива госорганов. Вынужденно передаем данные в ГТС, которая определяет адреса и дает нам следующий ответ: "Из 1000 устройств только 10 находятся в госучреждениях и нацкомпаниях, остальные не представляют для нас интереса". По этим 10 устройствам ГТС провела профилактику: обратилась к владельцам, посоветовала обновить или ликвидировать уязвимость. Возникает логичный вопрос: "А как же остальные 990 устройств на частном рынке? Чья это область интересов?" Вот вам и разделение на своих и чужих.
Мы все понимаем, что еще много неотработанных процессов в системе, придется решать эти задачи в ходе работы. Думаю, со временем мы сможем утрясти все процедуры и оптимизировать эту работу.
Айгуль Тулекбаева
