Кто защитит «новую нефть»
Лев Матвеев («СёрчИнформ»): «Во всех странах мира компании конкурируют за право распоряжаться данными»
Хакеры добывают персональную информацию, чтобы использовать ее в качестве «патронов» для целевых точечных ударов по компаниям. В накрывшей мир волне IT-преступлений российский бизнес могут спасти отечественные конкурентные решения по информбезопасности (ИБ). О новом виде атак, государственной супербазе и импортоопережении вместо замещения читателям RSpectr рассказал председатель совета директоров «СёрчИнформ» Лев Матвеев.
RSpectr: Какие концептуальные изменения произошли в мире киберпреступности после пандемии?
Лев Матвеев (Л.М.): Главный тренд, который мы наблюдаем, заключается в том, что атаки становятся все более прицельными – интернет-взломщики ищут уязвимости, характерные для конкретной компании. Им важна любая информация – от версии антивируса до имени бухгалтера. При наличии сообщника внутри фирмы такие данные и доступы получить довольно просто. Дальше дело техники и выбора удобного сценария: взламывать компанию, просить инсайдера дать нужный доступ или использовать фишинг, чтобы внедрить вирус-шпион.
RSpectr: Какие новые виды кибератак стоит ожидать в ближайшие годы?
Л.М.: Я бы не говорил о новых формах атак. Если посмотреть, все они стандартны, меняются только сценарии. Например, в 2020 году кризис ударил по бизнесу, поэтому компании уже не могли платить тысячи долларов выкупа преступникам за расшифровку собственных данных. Поэтому хакеры стали монетизировать добычу по-другому – продавали в Сети скачанные у организаций базы данных. Дефицита в покупателях нет, данные сегодня – ликвидный товар, в первую очередь как сырье для фишинга. Чем больше у мошенников персональных данных (ПД), тем более эффективной будет атака социнженеров. Жертва легко доверится, если отправитель письма знает про адресата почти все. Поэтому фишинг еще долго будет самой распространенной и эффективной схемой.
Единственный по-настоящему новый тип атак – это дипфейки. Технология уже есть, и ее массовое применение – вопрос времени
Представьте, если вам позвонит человек с номера директора, да еще и голос совпадает – не знаю, кто сможет противостоять. А тут мы уже приходим к вопросу сохранности биометрической информации, особенно в контексте появления больших государственных баз данных и распространения голосовых и видеосервисов.
СПРАВКА
Лев Матвеев
председатель совета директоров «СёрчИнформ»
- В 1993 году окончил Минский радиотехнический институт, специальность – инженер-программист.
- В 1995 году основал собственную компанию. На разных этапах карьеры возглавлял IТ-компании численностью от 30 до 500 человек. В настоящий момент – председатель совета директоров «СёрчИнформ».
- Автор ряда патентов в области обработки неструктурированной информации.
- Основатель ежегодного Road Show SearchInform – серии образовательных конференций для специалистов сферы ИБ.
- Член правления НП «РУССОФТ», основатель комитета по информбезопасности в рамках РУССОФТ. Член АРПП «Отечественный софт», ассоциации независимых разработчиков ПО ISDEF (Independent Software Developers Forum).
RSpectr: Персональные данные становятся «новой нефтью». Как это повлияет на конъюнктуру, конкуренцию в бизнес-сообществе?
Л.М.: Это уже произошло – информация о человеке и есть «нефть». Во всех странах мира компании конкурируют за право распоряжаться данными.
Причем соперничество идет не между представителями крупного бизнеса, а в первую очередь между корпорациями и государствами
Где-то перевес на стороне частных сервисов, где-то – на стороне государства. В России, например, в 2020 году наметился перелом – государство закрепило за собой право распоряжаться данными граждан, когда появился закон о Едином федеральном информационном регистре (ЕФИР). Правительство соберет и структурирует данные о нас в одном месте, создав супербазу – полноценный цифровой профиль каждого гражданина.
RSpectr: Каково Ваше отношение к этому проекту?
Л.М.: Эксперты могут спорить, где должны находиться данные – в частных или государственных руках. Меня в этом волнует только вопрос защищенности. Мы только что говорили, что хакеры вот-вот начнут использовать правдоподобные дипфейки. Страшно представить, что в их руках окажется доступ к этой полной базе. Напомню, что по разным оценкам от 60 до 80% киберинцидентов происходит при участии инсайдера. Данные из ЕФИР – лакомый кусок. Сколько госслужащих имеет легальный доступ к этой базе? Хватит у них знаний, чтобы не допустить утечку из-за ошибки? Наш опыт взаимодействия с государственными органами власти показывает, что осознание риска там пока недостаточное.
RSpectr: Какие законодательные изменения нужны для защиты ПД?
Л.М.: Защита персональных данных – непростая задача, потому что цифровизация опережает установку норм регуляторами. Сейчас каждая компания имеет право собирать ПД клиентов – и даже требует их при любом удобном случае. Например, вы не можете без скана паспорта заселиться в гостиницу. Но бизнес не несет никакой ответственности за сохранность информации. Я много говорил, что наказание за нарушение закона «О персональных данных» было нестрашным. Сейчас суммы увеличиваются до 500 тыс. рублей. Но юридических лиц, которые зарегистрированы как операторы ПД, потеря полумиллиона рублей не пугает. А подобных операторов насчитывается около 400 тыс., хотя реальная численность гораздо больше. В итоге строгость закона компенсируется необязательностью его исполнения.
Также есть правовой перекос – с точки зрения закона, страшнее хакеры, а не инсайдеры
А я уже упоминал, что это не так. Даже в зарегулированной банковской сфере требования к защите от хакеров описаны подробно, а по защите от инсайдерских сливов есть только рекомендации, не директивы. Поэтому в законах и приказах нужно прописывать конкретные классы защитных решений. Еще одну проблему вижу в том, что в различных требованиях к операторам ПД нет четких указаний, какое ПО использовать для защиты информации.
RSpectr: Очевидно, что компаниям необходимо в массовом порядке обучать персонал цифровой грамотности. Когда это станет трендом?
Л.М.: Я надеюсь, что в ближайшие два-три года это случится. В крупных компаниях курсы уже проводят. Там понимают, что обучение – это базовая, но эффективная мера повышения защиты. Остальные бизнесы скоро осознают – хотя бы минимальный ликбез проводить надо.
Самое интересное, что тратить деньги компаниям не нужно. Только найти время. Мы, например, второй год проводим большой курс для госслужащих. Например, в рамках курса Центробанка. В сумме обучили около 6 тыс. человек в 40 субъектах РФ. В этом году начали обучение сотрудников частных компаний. Мы готовы тратить время и ресурсы наших экспертов, поскольку это наша социальная ответственность и вклад в информбезопасность страны.
RSpectr: Как повысить эффективность стратегии импортозамещения в информбезопасности?
Л.М.: Если говорить конкретно про сегмент ИБ, на нас стратегия импортозамещения в плане госзакупок не очень влияет. В России есть сильные отечественные программы почти в каждом классе защитного ПО. Информационная безопасность – одна из тех отраслей, где мы можем достойно конкурировать с западными игроками. Включая направление DLP-решений (Data Leakage Prevention – предотвращение утечек данных).
RSpectr: Конкурировать на равных?
Л.М.: Приведу такой пример:
в рейтинге известной исследовательской компании Gartner среди лучших мировых DLP-решений четверть вендоров – российские
Это уникальная ситуация и очень показательный пример.
Проблема в том, что госкомпании не спешат внедрять защитное ПО. Тут я могу ссылаться на цифры нашего исследования – оснащенность госсектора ниже, чем у частного. Особенно заметен разрыв в том, что касается защиты от инсайдерских рисков.
Если говорить про стратегию импортозамещения в целом, то тут мы тоже топчемся на одном месте. Госпрограмме давно пора перейти на следующий этап – импортоопережение. Российские программы должны не просто заменить иностранное ПО «хоть как-то», но и превосходить его в конкурентной борьбе.
Государству нужно поддерживать сильных игроков, способных конкурировать с западными вендорами
По факту же поддержка достается тем, кто может развиваться только в «оранжерейных» условиях. В пример можно привести некоторые отечественные коммерческие продукты, разработанные на основе open source, их аналоги вне РФ вообще бесплатные. Заказчики не будут закупать их по доброй воле, только из-под палки. У таких программ нет перспектив за рубежом, а значит, и новых доходов в бюджет России они не принесут.
RSpectr: Российская IT-отрасль в области информбезопасности получила какие-то конкурентные преимущества из-за пандемии?
Л.М.: Как только компании худо-бедно наладили бизнес-процессы, вопрос безопасности и контроля персонала встал ребром. И вендоры получили новые заказы. Государственные компании принимали решение сразу закупать российские продукты. У остальных в принципе тоже выбор состоял из отечественных софтов. В каждом сегменте ИБ их достаточно, потому что они объективно не слабее, а часто сильнее зарубежных конкурентов.
Если уж говорить о нашем рынке инсайдерских утечек – мы отметили рост спроса на 56% на отдельные контролирующие модули. Речь о компонентах DLP-системы. Их функционал позволяет мониторить, как сотрудники расходуют рабочее время, в каких программах и процессах заняты, как используют облачные хранилища.
RSpectr: Какие новые продукты разрабатывают и предлагают отечественные компании и «СёрчИнформ» в частности?
Л.М.: Разработка защитных решений никогда не стоит на месте – ведь мы всегда в роли догоняющего. Появляются новые киберугрозы, мы ищем способы от них защитить. Тенденции сегодня таковы, что компаниям нужна комплексная ИБ-защита, отдельные продукты должны работать совместно как часы: передавать друг другу данные, интегрироваться с внутренней IТ-инфраструктурой.
Также заказчики диктуют требования, чтобы защитные продукты становились более экономичными, нетребовательными к «железу». Нужно, чтобы ПО решало комплекс задач, растут требования к функционалу.
За последние два года мы выпустили два новых программных продукта (FileAuditor и DataBase Monitor), а также развиваем сервисное направление – DLP-аутсорсинг и DLP-cloud (в облаке). Вместе с остальными продуктами линейки получается полный комплекс для защиты от внутренних угроз. Защита на всех уровнях: каналов передачи информации, файловой системы, баз данных, всей IТ-инфраструктуры (SIEM-система) и самого пользователя (ProfileCenter). Уверен, что столь полной линейки для защиты от инсайдерских рисков сейчас нет у других вендоров.
Изображение: «СёрчИнформ»
ЕЩЕ ПО ТЕМЕ:
