Біль нашого часу. Як поєднати кібербезпеку та віддалений доступ
Є питання, про важливість яких знають усі, але насправді розуміються небагато. Інформаційна безпека – одне з них. "ДС" вирішила розібратися в ситуації і зібрала за круглим столом експертів з цієї теми
18 листопада "Ділова столиця" провела круглий стіл "Інформбезпека на віддаленні: як захистити компанію". У ньому взяли участь відомі в нашій країні фахівці з кібербезпеки, послухати яких прийшли як численні журналісти, так і всі, для кого інформаційна безпека – не порожній звук, а повсякденна необхідність.
Насправді сьогодні ми стикаємося з дуже актуальними і, можна сказати, повсякденними небезпеками. І небезпека втратити свої дані чи взагалі пустити під укіс налагоджені бізнес-процеси зараз велика як ніколи.
Так, за останні два роки радикально змінився увесь наш світ, ми увійшли в зону турбулентності. Але щодо нашої інформаційної безпеки, то проблеми з нею сталися не сьогодні, кібератаки на нас тривають уже як мінімум десятиліття. Хоча саме пандемія і локдауни, що настали після неї, дали хакерам нові можливості та інструменти для атак на інформаційні потоки. А у нас з'явилися нові засоби та технології, що дозволяють себе захистити.
Про те, як сьогодні виглядає "протистояння броні та снаряда" в корпоративних IT-системах, і розповіли фахівці, які зібралися на круглий стіл.
Важлива особливість наших днів: вести бізнес доводиться на віддаленні, пішовши з офісу, розподіливши робочі команди в просторі. І співробітникам більшості компаній у 2020 р. довелося дуже швидко навчитися працювати, не звертаючи уваги на те, де вони знаходяться, в якій локації – вдома, в кафе, в коворкінгу. Тепер треба виконувати свою роботу віддалено і користуючись тим пристроєм, який у вас в руках.
Якби це стосувалося якихось особистих питань, то не було б так страшно надіслати не той файл, який може зіпсувати весь день. Але сьогодні така небезпека стосується файлу, який можна відправити від імені вашого бізнесу, і він може зруйнувати не лише ваш день, а й вашу кар'єру і ваш бізнес загалом.
Начебто всі чудово знають, наскільки важливо зберігати свої важливі дані в повній безпеці. Але це важко робити сьогодні, коли контур інформаційної безпеки підприємства більше не окреслюється офісною комп'ютерною мережею. Коли потрібно забезпечувати інформбезпеку великої групи людей, які працюють віддалено, найчастіше – з дому, у багатьох випадках – зі своєю власною технікою, як правило, слабко захищеною від дій професійних зломщиків.
Саме про це говорили зібрані "ДС" спеціалісти. А також вони разом шукали відповіді на запитання: яке місце Україна як країна займає в ситуації кібербезпеки? З чого взагалі складається кібербезпека? Наскільки ми захищені завдяки корпоративним рішенням та як кожен із нас може сам себе захистити? Наскільки Україна загалом інтегрована у цю світову систему, яка займається пошуком шляхів, які забезпечують нашу безпеку? Історії з реального життя, конкретні приклади з розглядом, як цьому можна було запобігти і як налаштувати свій бізнес у майбутньому, – усе це обговорювалося на круглому столі.
Спершу тон задав Олег Гокунь, керівник корпоративного департаменту Lenovo в Україні. "Найголовніше, що я хотів би донести: люди знають найскладніші речі, не знають найпростіших. Тому я спробую висвітлити питання, які зазвичай ідуть з поля зору керівників підприємств чи IT-підрозділів, – сказав він. – Це питання: люди і те обладнання, на якому вони працюють, і яка є реальна технологія (або технології), які можуть допомогти вирішити багато питань, навіть ті, що ще не поставлені у вигляді завдань".
Далі експерт навів результати досліджень, наочно показавши, де виявляються проломи в кібербезпеці підприємств. Якщо говорити коротко, усі дослідження підтверджують давній постулат: найуразливіша ланка в ланцюжку забезпечення інформаційної безпеки – це людина. Будь-яке досконале обладнання безсиле, якщо користувач встановив пароль "1234567" (або password) або записав його на папірці і приклеїв на ноутбук.
А значить, вважає Олег Гокунь, інженерні рішення, які застосовуються, мають закривати ті напрями, де проломи в інфобезі можуть виникати через поведінку людей. Найпростіший приклад: рішення безпеки не повинно дозволяти використовувати простий пароль. А найкраще – саме генерувати для користувача складне за певними правилами і змушувати його використовувати. Або, наприклад, у платформу ThinkShield вбудовано технологію, яка за наявності інфрачервоної камери блокує ноутбук, коли господар відходить від нього. Це має бути комплекс технічних, програмних й адміністративних заходів з як мінімум двофакторною ідентифікацією.
У свою чергу, Павло Ларьков, офіцер систем інформаційної безпеки холдингу BROCARD, поділився досвідом організації віддаленої роботи у своїй компанії. "Усі здебільшого сприймають магазини мережі BROCARD як красиві затишні місця, де можна знайти аромати або засоби догляду за собою. Але насправді за цією красою стоїть досить велика і серйозна робота. Перехід на віддалену роботу — це був такий дуже цікавий виклик", — сказав Ларьков, додавши, що це не було несподіванкою.
"У нас уже був досвід віддаленої роботи з низкою співробітників. Ну а на початку року ще був і час, і гроші на підготовку. Ми купили корпоративні ноутбуки, налаштували їх відповідним чином і роздали співробітникам", – зазначив Павло Ларьков.
Однак проблемою стало те, що багато співробітників усе ж таки використовували власні ПК для роботи. І, відповідно, повною мірою виявлявся описаний вище людський чинник, включаючи ненадійні паролі, присутність сторонніх осіб за комп'ютером тощо.
За словами Ларькова, ці проблеми вирішувалися через впровадження особливої архітектури "клієнт — сервер". При цьому клієнтська частина встановлювалася на комп'ютер користувача і містила все необхідне для забезпечення інформбезпеки.
Костянтин Корсун, СОО в BSG, засновник і перший керівник CERT-UA, підійшов до теми з іншого боку, через оцінку масштабу проблем.
"Насправді практично немає у світі кейсів, щоб якась кібератака повністю зруйнувала більш менш великий, налагоджений бізнес… Але я б порівняв атаки із зубним болем. Тобто від карієсу поки що ніхто не помер, але ми всі уважно стежимо за ротовою порожниною, може бути ниючий біль, який можна відкласти на потім, а може бути такий біль, що зводить з розуму і ти біжиш до стоматолога. Ось приблизно з цим можна порівняти кіберзагрози в сучасному світі. Вони насамперед стосуються переважно бізнесу, тому що бізнес – це основа економіки", — зазначив він.
Загалом питання, хто більше перебуває під ударом – прості користувачі, бізнес чи держструктури – буквально висів у повітрі. Як зізнався начальник Державного центру кібербезпеки Держслужби спеціального зв'язку та захисту інформації України Андрій Кузьміч, організації, яку він очолює, регулярно доводиться стикатися з кіберпроблемами, які "прилітають" бізнесу. І фахівці Держцентру кібербезпеки допомагають у їх вирішенні. Однак стратегію кіберзахисту кожне підприємство все одно вибудовує самостійно. І на перше місце тут виходить питання освіти користувачів, підвищення їхньої особистої кваліфікації.
Цю ідею підхопив наступний експерт – Сергій Разуменко, Security/Risk Manager, Levi9 Technology Services. Він переконаний, що основа інформаційної безпеки – це люди, кінцеві користувачі. Тому важливо навчати людей усьому, від чого залежить захист даних. А технічні засоби самі собою допомагають забезпечувати захист і без них – теж нікуди. Ну а для захисту підприємства слід використовувати, з одного боку, технічні засоби, а з іншого – сучасні хмарні послуги. Які, у свою чергу, вже досягли такого рівня розвитку, коли в них інтегровано гідні засоби захисту інформації.
Про "міграцію безпеки до хмар" говорив і голова підрозділу інженерів з кібербезпеки EPAM Україна Віталій Балашов. Він, утім, почав з того, що бізнеси, які працюють в Україні, змогли налагодити стійкі IT-інфраструктури, але повністю під своїм контролем, у власних офісах. Однак тепер настає час нового покоління інфраструктури, коли купується не обладнання і програмне забезпечення, а сервіси, як локальні, так і хмарні. Сервісом може бути і платформа, і інфраструктура — їх сьогодні пропонують найбільші світові IT-корпорації, як-от Amazon і Microsoft.
Але це неминуче означає, що якісь важливі речі доведеться віддавати на аутсорс. Інформбезпека – у тому числі (частково, звісно). У цій ситуації завдання IT-підрозділу змінюється: невід'ємною частиною забезпечення безпеки є не технічна складова захисту інформації, а гарантія виконання домовленостей між бізнесами. Як переконатися, що провайдер вибраної хмарної CRM не передасть комерційних таємниць бізнесу третім особам? Як бути впевненим, що він справді подбав про власну технічну безпеку і захищений від злому хоча б низькокваліфікованими, хуліганськими хакерськими групами? Як притягнути його до відповідальності у разі інциденту, який негативно вплинув на бізнес? Ці питання нерозривно пов'язані з якістю правосуддя. Україна має або покращувати його, щоб іти в ногу з часом, або спостерігати, як нове покоління інфраструктури бізнесу мігрує в безпечніші "гавані" (наприклад, у поле дії британського права).
Загалом учасники круглого столу були налаштовані оптимістично. Так, виклики є, небезпеки є, але немає нічого такого, з чим не змогли б впоратися кваліфіковані фахівці з інформбезпеки.
Після закінчення круглого столу генеральний директор видавничої групи "Картель" Ірина Асман у коментарі наголосила, що захист персональних даних, фінансової інформації, комерційної таємниці – критично важливі питання для бізнесу, оскільки від цього залежить його безперебійна робота. "Сьогодні вже дуже велика кількість людей змушена працювати віддалено, і зрозуміло, що це створює дуже високі ризики для інформбезпеки. Тому ми і вважали за важливе провести цей круглий стіл, щоб обговорити всі ризики і знайти вирішення проблем з кібербезпекою", — зазначила гендиректор "Картеля".
Сьогодні ми маємо ситуацію, коли загроза інформбезпеці може виходити з будь-якої точки нашої планети, можуть використовуватись будь-які механізми атак – як зсередини компанії, так і ззовні. Можуть для атак навіть використовуватися якісь державні структури. Тому весь світ почав більше уваги приділяти інформбезпеці, і прийшло усвідомлення того, що порятунок потопаючих – справа рук самих потопаючих. Навіть серйозні технологічні гіганти дуже великі гроші витрачають на вдосконалення систем інформбезпеки, які у них є. Якщо говорити про ситуацію з постачання обладнання, насамперед персональних систем, то пандемія призвела до ситуації, коли ми маємо підвищений попит на обладнання, питання логістики, питання компонентної бази (нестачі компонентів) – усе це призводить до того, що нас ще чекає як мінімум складне півріччя, а найімовірніше – і досить складний увесь 2022 рік. Щодо попиту на апаратну складову інформбезпеки, то він, звісно, змінився. На сьогодні є низка параметрів, які почали враховувати під час закупівлі техніки для корпоративних потреб. Перше – обов'язково йде TPM-модуль. Це модуль шифрування, який встановлюється в ноутбуці, і при увімкненні ми отримуємо зашифровані дані на вашому вінчестері. Якщо цей диск видалено з комп'ютера, зчитати інформацію неможливо. Друге – використання техніки, яка пройшла сертифікацію за певними стандартами – це так звана сертифікація MIL-SPEC. Це стандарти на підставі тестів американської армії, і їхня суть полягає в тому, щоб обладнання могло стабільно працювати в більш критичних режимах, ніж звичні нам. У результаті ми отримуємо надійну техніку, в якій менше відмов, і ми справді можемо використовувати цю техніку скрізь. Наприклад, вона може стабільно працювати на висоті понад 2 км. Це, наприклад, нам дуже стало у нагоді при реалізації проєкту в гірських районах Грузії.
Нинішній рік не став важчим чи легшим від минулого коронакризового, він став іншим. У тому плані, що ми продовжуємо працювати з дому. Ми зрозуміли, що це нове життя, новий формат. І повертатися до старого формату людям, можливо, буде вже важко. Оскільки ми багато часу працюємо з дому, це стало комфортним для всіх. Світ змінився настільки, що, мабуть, немає сенсу у більшості компаній працювати з офісу.
У плані інформаційної безпеки, звичайно, з кожним днем з'являється все більше нових вразливостей і ризиків. Загалом стає важче, тому що доводиться набагато більше часу приділяти навчанню людей тому, що відбувається у світі і як необхідно змінювати своє бачення роботи з огляду на те, що ми працюємо з дому.
Щодо зростання витрат на інформаційну безпеку – це закрита комерційна інформація. Важко сказати, якою є динаміка, оскільки є технічна складова, а є управлінська. Остання порівняно з минулим роком незначно, але зросла. Технології дозволяють більше, можливостей стає більше, тому зростає вибір якісних рішень.
Генеральний партнер заходу: Lenovo.
Партнер, що приймає: INVERIA Event Space.
Партнери події: EPAM, BROCARD, Levi9.