Как обеспечить ИБ при небольшом бюджете? Через сколько лет пользователи будут массово ездить на беспилотных авто и обмениваться мыслями? Об этом и многом другом говорили на киберфестивале Positive Hack Days 2, организованном компанией Positive Technologies, лидером в области результативной кибербезопасности. Для обсуждения вызовов цифровизации в «Лужниках» 23–26 мая собрались представители министерств, руководители, CIO и CISO крупных IT-компаний, разработчики, хакеры и студенты. PHDays Fest 2 стал самым масштабным с момента проведения первого форума Positive Hack Days в 2011 году. С докладами на мероприятии выступили более 300 экспертов из 17 стран. За четыре дня его посетили более 120 000 человек, свыше 130 000 зрителей следили за событием онлайн. Состоялась и кибербитва Standoff 13 с призовым фондом в 15 млн рублей; победителем стала команда DreamTeam, а инфраструктуры Positive Technоlogies и Innostage не поддались натиску белых хакеров.
На Standoff 13 к уже известному Государству F добавилось новое Государство S, со своей инфраструктурой и отраслями: нефтегазовой, металлургической, энергетической и другими. Кстати, некоторые офисы на киберполигоне были полностью построены на Linux и свободном ПО, что стало интересной задачей для исследователей, привыкших иметь дело с уязвимостями Windows. Белые хакеры разделились на два клана, а синим командам — специалистам по ИБ — надо было выявлять атаки, расследовать их и реагировать на них. Участвовали команды из разных стран. Со стороны «красных» — Россия, Белоруссия, Иран, Франция, Казахстан. Со стороны «синих» — Россия и Малайзия. Основной призовой фонд (2,5 млн рублей) должны были разделить 10 лучших красных команд. Помимо этого, 7,5 млн рублей могли получить команды за выполнение специального задания от Positive Technologies на этапе плей-офф, а 5 млн рублей — за выполнение специального задания от Innostage во время плей-ин.
В основном этапе победило Государство F. После этого четыре команды, которые вышли в плей-офф (DreamTeam, ℭ𝔲𝔩𝔱, DeteAct × SPbCTF и GISCYBERTEAM), поборолись за главный приз — 7,5 млн рублей. В ходе финала кибербитвы Standoff 13 атакующие пытались реализовать одно из двух недопустимых событий в копии реальной инфраструктуры Positive Technologies, которая была под защитой автопилота для результативной кибербезопасности — MaxPatrol O2. Хакеры были близки к успеху, но каждый раз сталкивались с защитными механизмами этого метапродукта. Таким образом, 7,5 млн рублей пока не нашли своего обладателя.
Команды защиты за три дня кибербитвы смогли расследовать 114 атак, предотвратили 84 критических события и обнаружили 689 инцидентов.
Отраслевая проблематика и угрозы для большого бизнеса
О прорывных технологиях и будущей безопасности
На пленарной дискуссии, ведущим которой стал Юрий Максимов (сооснователь Positive Technologies и АО «Сайберус»), обсудили безопасное кибербудущее и новые технологии.
«Цифровые технологии могут дать гигантский скачок эффективности в здравоохранении, управлении дорожным движением, госуправлении, — поделился своими мыслями Максут Шадаев, министр цифрового развития, связи и массовых коммуникаций Российской Федерации.— Я несколько раз использовал беспилотные авто и уверен, что в течение 5–7 лет практика их применения войдет в нашу жизнь. В стране уже есть области, предназначенные для них, например Иннополис».
Топ-3 направлений в развитии транспорта, за которыми будущее, перечислил Владимир Евтушенков, основатель АФК «Система».«Первое — использование ядерной энергетики, но при условии, что ядерный ректор сможет заменить двигатель или батарею в автомобиле или другом транспортном средстве. Второе место у применения водородной энергетики. Она наиболее эффективна и лучше всего подходит для России с ее размерами и перепадами температур. На третьем месте — двигатели на электротяге. Нужно работать над всеми направлениями, а жизнь покажет, что реально „выстрелит“». Стоит заметить, что электросуда, построенные на верфи Emperium, входящей в Sitronics Group (часть АФК «Система»), за первые три месяца работы на маршруте «Киевский — Сердце Столицы» перевезли более 220 тысяч пассажиров.
Размышляя об интересных технологиях, Денис Баранов, генеральный директор Positive Technologies, рассказал о впечатлениях от современного оборудования для хакинга, в котором используют жидкий азот или лазеры (его применяли хакеры в лаборатории Positive LABs, сотрудники которой тоже выступали на PHDays Fest 2). Вторая достойная внимания технология — LLM (large language model, «большая языковая модель»). Хакеры очень быстро научились использовать ChatGPT и его аналоги для поиска уязвимостей. России нужно серьезно вложиться, чтобы не отстать в области LLM, полагает спикер.
«Но самый главный прорыв, который нас всех ждет, будет находиться в области компьютерного взаимодействия человека с человеком. В промышленной автоматизации это называется HMI (human-machine interface). Человечество запускает спутники в космос, расщепляет атом, но для передачи мысли все еще приходится нажимать на клавиши клавиатуры, придуманной пару веков назад, — отметилДенис Баранов. — Мы обязательно застанем в своей жизни новые технологии для обмена образами или идеями напрямую друг с другом. Основная цель таких механизмов заключается в прямой передаче опыта и мыслей между людьми для создания новых подходов к совместному решению задач, некой синергии интеллектов. Компания Neuralink уже занимается подобными устройствами, и в этом направлении нам тоже надо работать».
Денис Баранов отметил, что главная миссия экспертов по кибербезопасности связана с защитой человечества. «Кибероружие можно использовать ничуть не менее разрушительно, чем любое другое. Но у нас — специалистов по ИБ — еще есть время построить защиту. Я вижу в этом главный вызов — довести состояние IT-систем до такого уровня, что им будет невозможно нанести реальный ущерб».
В свою очередь, Елена Шмелева, председатель совета федеральной территории «Сириус», руководитель фонда «Талант и успех», заявила, что дети — это главная аудитория, которую нам надо комплексно защищать. Необходимо наличие базовых компетенций в области ИБ у преподавателей школ и колледжей. Важно также наладить комплексное повышение квалификации учителей в области ИБ, все время включая в эту среду специалистов из IT-компаний.
Готовы ли российские компании противостоять кибератакам
По данным отчета Федора Чунижекова, старшего аналитика ИБ исследовательской группы Positive Technologies, сейчас готовность отечественных организаций противостоять кибератакам невысока. Российские компании редко оценивают уровень защищенности через соотношение временных метрик TTA (время проведения атаки) и TTR (время реагирования на атаку). Из-за этого многие из них упускают возможность объективно оценить свою способность вовремя заметить и нейтрализовать кибератаки до реализации недопустимых событий. При этом лишь 4% опрошенных используют количественные метрики для оценки уровня защищенности.
Основная проблема компаний заключается в отсутствии отлаженных процессов обеспечения киберустойчивости. Большинство российских организаций (80%) выборочно укрепляют IT-инфраструктуру, в то время как для поддержания максимального уровня устойчивости требуется внедрение всех основных процессов ИБ. «Среди главных сложностей харденинга инфраструктуры компании назвали дефицит времени (55%), нехватку компетенций (37%) и недостаток эффективной коммуникации между командами IT и ИБ (31%). Все это в значительной мере влияет на эффективность защитных мер, а следовательно, и на киберустойчивость организаций», — сказал Федор.
Справиться с актуальными вызовами в борьбе с кибератаками отечественному бизнесу поможет новый метапродукт MaxPatrol Carbon. Запуск коммерческой версии решения состоялся на PHDays Fest 2. MaxPatrol Carbon позволяет действовать превентивно: анализирует все сценарии, выполнение которых может привести злоумышленника к критически важным активам или к реализации недопустимых для компании событий. После чего формирует практические рекомендации, как можно лишить преступника возможности навредить компании или усложнить его путь. Помимо этого, метапродукт помогает выстроить совместную работу департаментов IT и ИБ и объективно оценить масштаб работ.
Можно ли обеспечить ИБ, не имея миллиардных бюджетов
Что предпринять, если в компании нет средств на продвинутые средства ИБ, такие как MaxPatrol Carbon? Вопрос обсуждали Денис Романюк (директор департамента кибербезопасности «Лоция»), Андрей Каширин (директор по ИБ ПАО «Группа Черкизово»), Михаил Кадер (главный архитектор стратегических проектов Positive Technologies), Марат Чураков (директор по инфраструктуре продуктов Positive Technologies) и независимый эксперт Мона Архипова. Специалисты составили топ-5 советов, которые помогут обеспечить приемлемый уровень защиты даже при скромном бюджете:
Провести аудит инфраструктуры — попытаться найти неиспользуемые и устаревшие узлы.
Проверить существующие права на избыточность и отключить ненужные legacy-системы.
Внедрить и применять политики security by design.
Изучить и использовать общедоступные стандарты и рекомендации по безопасности, например первые шесть из списка CIS Controls 18 помогут защититься от 70% типовых атак.
Категорировать сервисы с точки зрения непрерывности бизнеса (business continuity management, BCM) и создать для них бэкапы глубиной в месяц. Это поможет минимизировать ущерб в случае успешной атаки.
Как можно реально проверить защиту
Любую систему защиты, независимо от размера бюджета, необходимо регулярно тестировать. Эксперты рынка ИБ и представители бизнеса рассмотрели различные подходы к оценке защищенности (багбаунти, пентесты, кибериспытания, верификация недопустимых событий и участие red team) и обсудили, в каких ситуациях они применяются и как их правильно реализовывать.
Говоря о багбаунти, Роман Шапиро, руководитель департамента ИБ «Почты России», заявил о желании разместить все приложения компании на специализированной платформе, чтобы задействовать для поиска уязвимостей в них максимальное количество независимых исследователей ИБ. Однако, заметил он, существуют регуляторные требования к отдельным элементам инфраструктуры, из-за которых любая организация, сопоставимая по масштабам с «Почтой России», становится заложником ситуации: «Термин „багбаунти“ пока не закреплен на уровне регуляторов, а значит, выход на такую платформу прямо сейчас для нас невозможен».
Кирилл Мякишев, директор по ИБ Ozon, отметил, что командный формат, который компания опробовала на себе ранее в рамках Standoff Hacks1, показал себя очень хорошо. Результативность этого подхода, реализованного также на киберучениях, во время которых команды белых хакеров на протяжении нескольких дней кропотливо и интенсивно изучали инфраструктуру, намного выше классического формата багбаунти. Около половины из 4 млн рублей, которые Ozon потратил в этом году на работу исследователей, искавших уязвимости в ресурсах организации, было выплачено в рамках Standoff Hacks. Число найденных недостатков безопасности за это время превышает сотню. Сейчас в Ozon обсуждают существенное перераспределение бюджета на следующий год между классическими пентестами и багбаунти-программой.
Юлия Воронова, директор по консалтингу Positive Technologies, рассказала, что Positive Technologies, являясь как организатором платформы Standoff Bug Bounty, так и поставщиком сервисов red team, тоже проверяет безопасность своей инфраструктуры, чтобы иметь полную картину. Наиболее подходящим форматом оценки компания уже давно определила кибериспытания с объявленными недопустимыми событиями. Максимальная сумма за реализацию одного из таких событий сейчас составляет 60 млн рублей.
Кибериспытания — самая объективная оценка защиты от угроз, уверен Вячеслав Левин, генеральный директор проекта «Кибериспытания». Существующие методы анализа, по его мнению, это все же инструменты, позволяющие проверить наличие уязвимостей, чтобы впоследствии усовершенствовать защиту. Соответственно, требования к этим программам выставляют службы ИБ. «Чтобы сделать оценку защищенности объективной, должны быть понятные критерии и правила (как проверяется инфраструктура и выстраивается процесс), то есть необходим некий стандарт. При этом с оценкой должны согласиться те, кто ее проводит, тот, кто получает результат, и любая другая заинтересованная сторона. Кибериспытания решают вопрос независимости анализа. При создании методологии наша компания аккумулировала весь опыт, накопленный с помощью багбаунти-программ, испытаний red team и пентестов, а также изучила путь, пройденный Positive Technologies при выходе на багбаунти-платформу с первой в своем роде программой по реализации недопустимых событий».
«Сегодня нет хакеров-одиночек, они действуют группами по предварительному сговору; это целые корпорации, где есть серьезное разграничение зон ответственности и работы. Чем более похожую на их структуру, проверяющую защищенность компаний, мы эмулируем, тем более релевантные результаты киберустойчивости получим», — отметил Дмитрий Васильев, директор департамента ИБ «Интер РАО». В компании, например, используют харденинг, кибергигиену, а также предпринимают проактивные действия по созданию систем ИБ, которые в автоматическом режиме предотвращают появление уязвимостей, в частности виртуальный патчинг.
Как меняется повестка топ-менеджмента под влиянием ИБ
Топ-менеджмент стал больше интересоваться информационной безопасностью. Однако есть и опасные тренды. В беседе на тему вовлеченности топ-менеджеров в ИБ приняли участие Роман Шапиро (руководитель департамента ИБ «Почты России»), Денис Толпейкин (министр цифрового развития и связи Оренбургской области), Айдар Гузаиров (генеральный директор компании Innostage), Олег Колесников (заместитель генерального директора, директор блока по продукту, соревнованиям, трансляции и технологиям АНО «Агентство развития компьютерного и иных видов спорта») и Борис Симис (заместитель генерального директора по развитию бизнеса Positive Technologies).
«Сложно сказать топ-менеджменту о наличии рисков и возможности взломать компанию, руководству тяжело это принять. Важно подобрать слова и суметь рассказать об опасностях клиентам так, чтобы сохранить с ними хорошие взаимоотношения. При этом сейчас многие топы чувствуют усталость от вопросов кибербеза: люди привыкли к теме взлома и перестали в моменте уделять ей внимание. Это опасный тренд, с которым придется грамотно бороться в ближайшее время», — отметил Роман Шапиро.
«Мысль о безопасности должна глубоко поселиться в головах руководства любого уровня. Нужно объяснять, почему важно стремиться к безопасности, а не продавать страхи. Конечно, можно и запугать, но это неэффективно. Люди должны понимать, зачем кибербез нужен именно им. В компаниях важно рассказывать о безопасности правильными словами тем, кто ответственен за продукт своего подразделения. За последние годы вопросы кибербезопасности стали появляться в тех областях, в которых никто над ними не задумывался, в частности в спорте (если говорить о платформе „Игр будущего“, например)», — подчеркнул Олег Колесников.
В ходе дискуссии была затронута важная тема — недопустимые события, к которым могут привести кибератаки на компании. Борис Симис среди недопустимых событий для Positive Technologies назвал взлом системы клиента, кражу денег со счетов компании, неработоспособность инфраструктуры и компрометацию программного кода продуктов. К недопустимому событию для госструктур Денис Толпейкин, помимо очевидных (безопасность граждан, непрерывность доступа к сервисам, утечка персональных данных и конфиденциальной информации), отнес и репутационный риск.
Должно ли CISO быть стыдно за пропущенные инциденты
Репутационный риск может быть не только у компании, но и у руководителя управления службы ИБ. Насколько для CISO критически важен ноль в графе «пропущенные инциденты»? В обсуждении приняли участие эксперт Илья Зуев, Сергей Демидов (заместитель председателя правления по ИБ Московской биржи), Артем Сычев (первый заместитель генерального директора «РТ-Информационная безопасность»), Илья Борисов (директор департамента методологии ИБ VK), а также эксперты Олег Кузьмин и Илья Волков.
Участники сошлись во мнении, что число киберинцидентов в компании не может служить адекватной метрикой для оценки эффективности работы CISO. К главным ее показателям специалисты отнесли индекс удовлетворенности генерального директора компании, число критически значимых и действительно опасных уязвимостей, соотношение расходов на ИБ и доходов компании, а также ущерб, который нанес организации тот или иной инцидент и оценка возможности его предотвращения, если он привел к серьезным последствиям.
«CISO должен не только обеспечивать безопасность компании, но и быть социален. Он не должен закрыться от всех, расставив кучу ловушек, всем все запретить и ждать, что инцидентов не будет. Они так или иначе произойдут. Но он должен научить людей в команде реагировать на них спокойно и со знанием дела, — заявил Артем Сычев.— Киберучения в этом плане помогают, что называется, набить руку. Это как с экстремальным вождением: что-то обязательно будет новым, уникальным, но ты уже привык к экстриму благодаря регулярному обучению и готов реагировать».
О будущем российской хай-тек-индустрии
Вопросы к топ-менеджерам появились и у экспертов, обсуждавших отечественные подходы к созданию ПО. Алексей Тотмаков, CEO VK Tech, затронул тему дефицита кадров на рынке разработки в России. Он рассказал, что во многих крупных банках или ритейле обязательно создают свои системы для видеоконференций, мессенджер, CRM. Отвечая на вопрос «Зачем?», как правило, рассказывают о десятках тысяч инженеров, которые уже написали процессинг (если речь о банке) и систему бэк-офиса, а теперь освободились, и пересоздают весь тот софт, которым пользуются, вместо того чтобы покупать его на рынке. Алексей уверен: если бы представители IT-индустрии договорилась совместно для всей страны создавать не 20 мессенджеров, а хотя бы 2–3, появилось бы огромное количество инженеров, которые смогли бы заняться более важными или уникальными задачами.
«Чем быстрее на российский рынок придет честная конкуренция, тем меньше у нас будет „велосипедов“ — не очень нужных и не очень хороших продуктов, — считает Алексей Андреев, управляющий директор Positive Technologies.— Я также верю, что искусственный интеллект рано или поздно нас покорит, и мы сильно удивимся тому, как много задач можно делегировать и автоматизировать. Мир сильно изменится за десять лет».
О потенциале российской индустрии кибербезопасности на новых рынках
Обсуждать тему возможностей российских ИБ-компаний, но уже за пределами страны, продолжили Айдар Гузаиров (генеральный директор Innostage), Дмитрий Григорьев (генеральный директор АНО КОМИБ), Сергей Андреев (управляющий партнер «Сайберус»), Максим Филиппов (заместитель генерального директора Positive Technologies) и Константин Левин (коммерческий директор BI.ZONE).
Эксперты сошлись во мнении, что невозможно добиться результата, играя по чужим правилам. Нужно учитывать локальную специфику IT-ландшафта, наглядно показывать эффективность продукта по сравнению с аналогами в тестах на проникновение и предоставлять обучение местным специалистам. В вопросе участия государства прозвучало два мнения. Для некоторых компаний была бы предпочтительнее прямая поддержка в переговорах и выход на иностранный рынок по модели G2G (правительство — правительству). Другая форма сотрудничества предполагает, что компания продвигает продукты на рынках других стран своими силами, а государство помогает разрешить отдельные вопросы, например поиск подрядчиков в лице государственных организаций или софинансирование крупных межгосударственных проектов.
В рамках дискуссии выделили три принципа успешного входа на иностранный рынок:
Объективная система результатов, которая позволяет наглядно показать эффективность продукта не только специалистам, но и главам компаний и правительственных служб. В качестве такого критерия лучше всего выступает проверка на устойчивость с привлечением хакеров.
Возможность обучить местных специалистов работе с продуктами и технологиями.
Способность быстро закрыть критически важные секторы бизнеса за счет специалистов компании, несущих ответственность за результат.
...и о перспективах киберстрахования в России
Пока одни эксперты размышляют о возможностях на зарубежных рынках, другие исследуют перспективы выхода страховых компаний на рынок ИБ. Дмитрий Прохоров, начальник отдела страхования информационных рисков «Ингосстрах», рассказал:
«По нашему опыту, чаще всего киберриски страхуют компании с иностранным участием: им приходит запрос от зарубежных материнских организаций. Среди российских игроков подобные программы пользуются популярностью в основном у крупнейших компаний».
По словам экспертов, сегодня российские страховые организации не готовы предложить рынку высокие лимиты по выплатам. Алина Малышева, руководитель управления страхования финансовых рисков «АльфаСтрахования», отметила: «Самый крупный проект на российском рынке, который имеет хоть какой-то успех, предполагает лимит в 2 млрд рублей, причем в договоре участвует много других сторон». Эксперт подчеркнула, что представленные лимиты соответствуют в первую очередь запросам малого и среднего бизнеса, для крупных компаний этих сумм недостаточно.
Владимир Жуков, руководитель направления киберстрахования в фонде развития результативной кибербезопасности «Сайберус», подводя итоги дискуссии, сказал: «Чтобы сформировать страховые портфели, которые позволят рынку стабильно развиваться, необходимо в числе прочего повысить грамотность клиентов в области кибербезопасности. Это позволит состыковать вопросы, касающиеся необходимости страхования киберрисков и лимитов по выплатам».Владимир Клявин, коммерческий директор Positive Technologies, добавил: «Уже ведется работа в этой области. Например, в рамках дня инвестора Positive Technologies, было озвучено, что одна из целей компании заключается в расширении списка клиентов с точки зрения масштаба бизнеса. Это позволит небольшим компаниям чувствовать себя увереннее в области ИБ, а страховым — развивать рынок, сотрудничая с игроками с ответственным отношением к кибербезопасности».
Сейчас продолжает формироваться статистическая база с учетом и размеров убытков от инцидентов, и их частоты. Например, как выяснилось, основным ограничением по привлечению клиентов выступают лимиты по выплатам в случае инцидента, которые не превышают 500 млн рублей и зачастую не покрывают ущерб от атаки для крупных предприятий. Компании в области ИБ при этом могут помочь бизнесу подготовиться к приобретению страховки, поскольку на стоимость полиса значительно влияет зрелость процессов обеспечения безопасности. Еще одна роль разработчиков средств кибербезопасности в сфере страхования — экспертная оценка ущерба от атаки для определения размера выплаты.
Куда движется российский финансовый сектор в части построения новых сервисов
В российском кредитно-финансовом секторе ожидается разработка важных инструментов и сервисов, и они должны быть созданы с участием компаний в области ИБ. Об этом сообщила Ольга Скоробогатова, первый заместитель председателя Центрального банка Российской Федерации, рассказав о трендах цифровизации финансового сектора и новых проектах в этой области. Сегодня Центральный банк совместно с Минцифры России и игроками рынка работает над созданием возможности бесшовного проведения операций независимо от того, где они будут начинаться — в финансовых сервисах или на Госуслугах. Кроме того, ЦБ России развивает проект по открытым финансам, в рамках которого разрабатывает стандарты по обмену данными между компаниями при согласии клиента. Еще один важный проект Банка России — введение цифрового рубля, который позволит совершать безналичные платежи без привязки к тарифам и дополнительным услугам банков. По словам спикера, эти проекты в течение 3–5 лет значительно изменят инфраструктуру финансового рынка, хотя с появлением новых цифровых сервисов возрастут риски кибератак.
В целях обеспечения безопасности своих продуктов и их клиентов Банк России планирует привлекать к тестированию платформ разные организации в области ИБ, которые в том числе занимаются поиском уязвимостей. «Безопасность стала неотъемлемой частью создания сервисов. Очень важно начинать выстраивать процессы защиты с самого начала разработки вместе с экспертами по ИБ. И делать это нужно гибко, чтобы мы могли быстро реагировать на киберугрозы и внедрять новые технологии. Что касается последних, их количество на российском рынке заметно увеличилось. Это говорит о том, что ресурсы и потенциал, которые у нас есть, позволяют нам как стране быстро идти вперед и обеспечивать безопасность систем», — отметила Ольга Скоробогатова.
Угрозы для малого и среднего бизнеса
SMB под натиском веб-атак
По статистике Positive Technologies, более 60% веб-ресурсов России построены на таких системах управления сайтов, как «1С-Битрикс» и WordPress. Поэтому именно эти приложения находятся в фокусе злоумышленников, когда они пытаются проникнуть в инфраструктуру небольших и средних компаний.
Антон Грецкий, директор по ИБ компании Active Cloud, в ходе дискуссии «Кибербез: с чего начать», отметил недостаток цифровой гигиены: «Самое обидное, что многое пользователи сами отдают злоумышленникам. Огромная проблема в социальной инженерии, прежде всего это фишинг; в использовании слабых паролей (многие вообще применяют один для всех ресурсов). Люди зачем-то отвечают на письма интернет-мошенников. Если мешает антивирус — его отключают, а еще часто постят конфиденциальную информацию в социальных сетях. Киберпреступникам сегодня, к сожалению, не очень-то и сложно нас атаковать».
Веб-ресурсы и приложения — важная составляющая бизнеса «Спортивных лотерей», сказал Дмитрий Смирнов, начальник отдела ИБ компании:«Наша команда старается не допустить и кратковременного простоя, даже остановка на день для нас критически опасна. Мы можем потерять лояльность клиентов и понести финансовые убытки. Кроме того, как государственная лотерея мы обязаны четко соблюдать требования регулятора». Злоумышленники прекращают атаки, когда понимают, что их действия нерезультативны и потенциальная жертва хорошо защищена, поделился Дмитрий интересным наблюдением из своей практики. «Спортивные лотереи» периодически сталкиваются с DDoS-атаками, особенно в дни розыгрыша новогоднего тиража. «У нас есть защита, чтобы успешно их отражать. Как правило, хакерам хватает 15 минут, чтобы понять, что их атаки не увенчаются успехом, после чего они бросают попытки».
Отрицание, оправдание, штраф: обзор административных дел об утечках персональных данных
Помимо кибератак небольшие компании, как правило, чувствительны к денежным взысканиям. Независимый исследователь Олег Шакиров, автор телеграм-канала «Кибервойна», затронул проблему административных штрафов по делам об утечках данных. Многие из них открыты, исследователь смог изучить около 90, и поделился некоторыми выводами.
Топ-10 оправданий, которые ответчики используют в суде (от редкой к наиболее распространенной): «Кибератака не подтверждена», «Не получали жалоб от клиентов», «Утечка не содержит персональных данных» (или это старые или тестовые данные), «Ответственность лежит на партнере», «У преступников не было злого умысла», «Срок давности истек», «Роскомнадзор допустил нарушения при проверке», «Утечка малозначительная» и наиболее частое оправдание — «Нас взломали».
«Часто оператор персональных данных узнает об инциденте одновременно с Роскомнадзором, когда информация становится общеизвестной благодаря деятельности самих злоумышленников, которые делятся результатами на своих ресурсах, в телеграм-каналах, Твиттере, на форумах и т. п., а также благодаря СМИ или популярным каналам. По большинству дел назначаются административные штрафы. Стандартный размер — 60 000 рублей, но может быть и больше (например, за повторную утечку). Кроме того, существует еще такой вид наказания как „предупреждение“. Однако в случае с особо чувствительными делами штрафом можно и не отделаться», — отмечает Олег Шакиров.
Чтобы избежать штрафов, ищем утечки самостоятельно
Александр Колчанов, инженер ПСБ, в докладе «Раскапываем архивы утечек из 2020 года: что еще доступно и что не удается удалить годами» предложил несколько способов найти утечки в своей организации. Первый и самый простой — опросить сотрудников о возможных нарушениях работы с данными. Эффективен также поиск ссылок, ведущих на внешние сервисы, по базам знаний и трекерам задач. При этом за закрытым документом может содержаться каталог ссылок на незащищенные файлы с конфиденциальными данными. И важно помнить, что утечки часто случаются из-за отсутствия нужных для работы инструментов. Чем меньше удобных сервисов, тем больше утечек. Мало кто готов лишиться премии и не выполнить задачу — скорее, люди воспользуются небезопасным инструментом (например, чтобы передать большой файл, часто используют личные облачные сервисы, персональную почту или мессенджер).
Можно ли справиться с выгоранием и сколько людей захотело защитить Кибергород от сумасшедшего ИИ
Начальник аналитического центра кибербезопасности «Газинформсервиса» Лидия Виткова со сцены научпоп-трека рассказала о том, как бороться с выгоранием на работе и строить карьерный путь, а не карабкаться по карьерной лестнице.
«Когда вы выгораете — вам больно, когда вам больно — значит, вы растете. И это нормально. Прямо сейчас, когда вы выгораете на работе, в университете, вы растете. Когда я провожу собеседования, то стараюсь выяснить, есть ли у человека такая проблема, как выгорание, сталкивался ли он с ней и как он научился с ней справляться, чтобы сразу понять, поможет ли длительный отпуск в горах, массаж, бег, медитация или просто переключение внимания», — отметила Лидия Виткова.
По словам эксперта, необходимо иногда обманывать свой мозг. «Представляйте, что рутинная работа сродни действиям монаха буддийского монастыря, идущего за водой вниз и вверх по одной и той же отвесной горной дороге. Любуйтесь кодом или другим отрезком своей работы как произведением искусства и наслаждайтесь им. Хороши любые способы», — рассказала Лидия.
Сергей Никитин, руководитель группы управления продуктами «Газинформсервиса», в докладе «Экосистемы, фичефактории и техдолг: как быть продуктивным» отметил, что секрет продуктивности — в интересе к теме, без него ничего не работает. «Всем хочется создать идеальный продукт, но, к счастью, мы живем в изменчивом мире, а значит, к совершенному продукту можно только приблизиться. Я думаю, что будущее — за парадигмой „выбираем лучшее из лучшего“, которая строится на открытых API, синергии с лучшими продуктами и реализации логики нового уровня за счет объединения нескольких экосистем», — отметил Сергей Никитин.
Исследователи угроз информационной безопасности из «Лаборатории Касперского» Александр Козлов и Николай Фролов вскрыли миниатюрного робота на базе Android, предназначенного для обучения ребенка, и рассказали в своем выступлении, так ли хорошо защищена умная игрушка, как заявляет вендор на своем сайте (спойлер: все плохо). Оказывается, взломав девайс, злоумышленник может осуществить полный захват устройства. Ему доступна личная информация владельца: имя, фамилия, возраст и место нахождения. Зная всего-навсего логин, можно позвонить ребенку, и он будет думать, что ему звонит родитель. Исследование показало, что можно из любой точки мира осуществить полный хайджек. Небезопасная настройка обновления девайса дает возможность полностью захватить устройства этого вендора и попросту вывести их из строя, что, конечно, несет риски для бизнеса компании-производителя.
«К умному чайнику, который „трудится“ в ботнете, можно относиться с известной долей хладнокровия. Но безопасность устройств, которыми пользуются дети, волнует несколько больше», — отметил Александр Козлов, ведущий эксперт по исследованиям угроз информационной безопасности «Лаборатории Касперского».
На треке, посвященном искусственному интеллекту, Наталья Бессонова, директор департамента биометрических технологий АО «Центр биометрических технологий», поделилась результатами экспериментов в биометрии. В основу опытов легли популярные утверждения об атаках с использованием уникальных физических параметров человека. Например, одна легенда гласит, что биометрия работает только на данных высокого качества. Однако эксперимент, проведенный с фото, показал, что системы способны распознать людей и на некачественных изображениях (с бликами, темным фоном или пальцем в кадре). При этом Наталья отметила, что чем качественнее данные, тем лучше будет работать нейронная сеть.
«Отслеживая динамику атак в разрезе российских систем, мы не видим значительного роста числа кибернападений с помощью взлома биометрии. Чтобы обойти алгоритмы, злоумышленникам нужно приложить определенные усилия, им проще все-таки обмануть человека с помощью социальной инженерии», — объяснила спикер.
Об отечественных аппаратных платформах и независимости
Выступление Антона Печенева, ведущего менеджера продуктов в компании YADRO, было посвящено отечественным аппаратным ресурсам и элементной базе. YADRO — производственная компания полного цикла: разрабатывает «железо», проектирует его архитектуру, выпускает оборудование на своих заводах и в дальнейшем поддерживает его. Представитель компании поделился опытом создания и производства надежной и безопасной инфраструктурной платформы, отвечающей потребностям рынка и клиентов. «Специализированные платформы VEGMAN были выпущены в 2021 году. Они соответствуют задачам ИБ и требованиям регуляторов. У них короткий форм-фактор, много сетевых портов, которые при необходимости можно конфигурировать. Кроме того, они нешумные и производительные. В 2023 году мы обновили модели с учетом новых запросов от вендоров и регуляторных требований, чтобы наши платформы можно было использовать в решениях класса NGFW», — отметил он.
Особенности разработки и использования современных российских ПАК
Тема российских аппаратных решений продолжила на партнерском треке Наталья Селиверстова, руководитель проектов в компании «ICL Системные технологии» (ГК ICL). По словам спикера, отечественные ИТ-компании на протяжении многих лет создавали продукты, ориентируясь на то, что их разработки будут внедрены в инфраструктуру, где основные функции реализованы с помощью иностранных компонентов. С уходом многих зарубежных решений рынок столкнулся с проблемой несовместимости российских программных и аппаратных продуктов. Борьба с этим препятствием стала одним из ключевых векторов развития сегмента ПАК. Наталья рассказала, как трансформируются проекты по разработке и эксплуатации программно-аппаратных комплексов в контексте современных вызовов.
«Меняется распределение бюджета и организационное взаимодействие, это приводит к перераспределению рисков. Риски несовместимости полностью ложатся на производителя. У заказчика их становится меньше, но при этом у клиента появляются ограничения, связанные с поставщиками или оборудованием, поскольку компании нужен комплекс, который будет обеспечивать нужную производительность при использовании определенных аппаратных средств. Это касается, например, продуктов класса NGFW, криптошлюзов и других сегментов решений по ИБ, которые, с точки зрения регуляторов, должны иметь аппаратную часть», — сказала она.
Трудности при внедрении SOAR
SOAR (security orchestration, automation and response) — это решения для координации и управления системами безопасности. Встраивание подобной системы в инфраструктуру организации требует немалых усилий, и Евгений Бисовко (Security Vision) в докладе «Как внедрить SOAR» перечислил основные проблемы на пути к внедрению: «Это длительное согласование процессов с клиентом, проблемы с получением доступов, плохое вовлечение ИТ-блока в проект, низкий уровень заинтересованности пользователей в тестировании и последующая их неудовлетворенность по итогам внедрения».
Создать свой Shodan и исследовать сетевое оборудование России
Эксперты Positive Technologies Артемий Цецерский, Андрей Сикорский и Максим Пушкин для своего проекта сделали аналог сканера Shodan и проанализировали подключенное к сети оборудование, которое работает на территории России. В отчете все устройства разделили на три группы:
«Маленькие коробочки» — домашние, промышленные сотовые роутеры и роутеры MikroTik. Как показали результаты исследования, большое количество устройств позволяло получить метаданные без аутентификации, узнать модель и версию прошивки, а также множество открытых портов, что повышает поверхность атаки.
«Большие коробочки» — сетевые устройства: межсетевые экраны, коммутаторы, маршрутизаторы и криптошлюзы. На этом оборудовании экспертам удалось узнать аппаратную версию, версию прошивки и даты релиза ПО, с помощью которых можно найти актуальные для них уязвимости. Анализ показал, что множество устройств работают с устаревшей прошивкой и внедренными бэкдорами.
«Коробочки в коробочках» — устройства класса BMC для удаленного управления сервером. Как выяснилось, многие из них позволяют получить информацию о поддерживаемых версиях и типах аутентификации, имеют возможность анонимной аутентификации (входа с пустыми полями логина и пароля) или входа только по имени пользователя, а каждое третье устройство позволяет получить хеш пароля, зная только логин.
Кибербезопасность для всех и каждого
Как и в прошлом году, в 2024-м состоялась открытая часть киберфестиваля с развлечениями для посетителей всех возрастов — от самых маленьких до старшего поколения. В Кибергороде были построены десятки инсталляций, которые можно было изучать, трогать руками и даже ломать. Кроме того, там проходил квест для взрослых и детей, где управлял всем сошедший с ума искусственный интеллект. Участникам предстояло провести расследование: изучить информацию о разных системах и устройствах, выявить атаки на них и разобраться, почему же ИИ сломался. Кибергород спасли более 400 раз: столько участников фестиваля прошли квест до конца и уберегли цифровой город от разрушения. За первые два дня детского трека также состоялось восемь квестов по шести локациям Кибергорода, в которых приняли участие более 500 юных посетителей.
Воркшопы и другие активности были доступным не только в московских «Лужниках». Студенты и старшеклассники могли посетить PHDays Fest 2 в рамках молодежного дня, который прошел 25 мая в Санкт-Петербурге, казанском Иннополисе, Нижнем Новгороде. Они могли послушать истории практикующих экспертов об их карьерном пути и об особенностях профессии, выполнить реальные задания по ИБ на воркшопах, поучаствовать в активностях компаний-партнеров и многое другое. Молодежный день объединил более 5000 студентов с помощью телемоста.
Новые подробности о PHDays Fest 2 будут освещаться в наших соцсетях. Киберфестиваль в 2025 году пройдет по традиции следующей весной, и подготовка к PHDays Fest 3 скоро стартует.
Оставайтесь с нами!
Standoff Hacks — закрытое мероприятие, где лучшие исследователи безопасности с платформы Standoff 365 ищут уязвимости в ранее не опубликованном скоупе компаний.