Как компании обеспечивают свою кибербезопасность
Готовность №1Изобретательность хакеров, мошенников, а также появление новых способов обработки информации стимулируют разрабатывать все более жесткие стандарты и требования к информационной безопасности (ИБ), которые генерируют новые решения в этой области, считают эксперты. Во сколько обходится обеспечение кибербезопасности и что надо учесть при создании киберщита, корреспонденту «Капитал.kz» рассказали специалисты ОЮЛ «ЦАРКА», компаний Wooppay, Kolesa Group, OLX.KZ.
Олжас Сатиев, президент Центра анализа и расследования кибератак (ОЮЛ «ЦАРКА»)
В Казахстане не так много компаний, которые занимаются практической информационной безопасностью. Не больше десяти. Главная причина: большинство заказов отдавалось на субподряд в Россию, Израиль или страны Европы. Например, банки второго уровня заказывали ИБ не у казахстанских, а у зарубежных поставщиков. На казахстанском рынке очень много дистрибьюторов программного обеспечения, продающих зарубежные антивирусы, фаерволы, защитные системы.
Основные потребители услуг по кибербезопасности – это, конечно, банковский сектор, потому что это критично важно для их репутации. Кроме того, если произойдет утечка информации, то финансовых потерь избежать будет крайне сложно. То есть БВУ должны, например, проходить ежегодные аудиты, которые стоят от $20 тыс. Если говорить про малый бизнес, то аутсорсинг информационной безопасности будет стоить, наверное, от 1 млн тенге в месяц. При этом затраты компаний все еще особо не окупаются, потому что рынок растет медленно.
Именно по этой причине мы вышли на зарубежный рынок, где клиенты более зрелые, а чеки выше. Если говорить про наш продукт WebTotem, в него было инвестировано порядка 150 млн тенге.
Отмечу, что хорошей инициативой было создание концепции «Киберщит Казахстана». Но основным драйвером, конечно, является закупка государственными, национальными компаниями этой услуги у местных поставщиков. Для этого и сформировали так называемый реестр отечественного поставщика, где программное обеспечение проходит проверку. Если система отвечает всем требованиям и проходит аттестацию, то ее вносят в реестр отечественного поставщика, а государственные организации должны закупать программу, фаервол или антивирус у местной компании.
Александр Бондаренко, директор финтех-компании Wooppay
Сейчас любой бизнес является потребителем услуг кибербезопасности. При этом можно сколько угодно вкладывать инвестиций в данное направление, но их всегда будет мало.
Если говорить про финансовый сектор, то в список необходимых затрат входят покупка программных сканеров безопасности, стоимость разработчиков ИБ для написания правильного и безопасного кода, разработка архитектуры приложения и базы данных. ИБ сейчас внедряется во всей организации в каждом отделе: от бухгалтерии до отдела разработки. Не стоит забывать, что документы с финансовыми условиями – тоже информация и покупку сейфа также можно рассмотреть как инвестирование в ИБ. Поэтому тратить на ИБ, в зависимости от размера компании и количества обрабатываемых данных, можно от 100 тыс. тенге до 500 млрд.
Инвестиции в информационную безопасность зависят от количества клиентов компании, обращений к ее данным, типа бизнеса и критичности охраняемой или обрабатываемой информации.
Мы ежемесячно вкладываем в техническую инфраструктуру со всеми ее ингредиентами, включая безопасность, более 10 млн тенге. Суммарные же инвестиции в разработку программного обеспечения и приобретение аппаратных средств исчисляются миллиардами тенге.
Игорь Бородихин, технический директор (CTO) Kolesa Group
Пандемия COVID-19 вынудила бизнесменов активнее уходить в интернет, а оставшиеся без работы специалисты переключились на поиск уязвимостей в надежде на заработок через программы bug bounty (программа, ориентированная на выплату вознаграждения за найденные уязвимости). Эти же специалисты, работая из любой точки земного шара, увеличили конкуренцию на нашем рынке и подтолкнули его к развитию.
Важно понимать, что обеспечение кибербезопасности – это не проект, который можно реализовать, поставить галочку и на этом успокоиться. Это в первую очередь выстраивание новых и изменение существующих процессов в жизненном цикле организации с учетом определенных правил и рекомендаций по обеспечению информационной безопасности. Бизнес должен определить достаточный уровень безопасности, и чем в случае атаки он готов рискнуть. Исходя из этого решения, формируется объем работ и бюджет на их реализацию.
На мой взгляд, размер инвестиций в обеспечение кибербезопасности пропорционален зрелости организации. Кто-то полагается на удачу, другие понимают свою ответственность перед клиентами и готовы вкладываться.
Данара Масирбаева, руководитель направления модерации и безопасности клиентов казахстанского сервиса объявлений OLX.KZ
Проблема мошеннических атак коснулась всех ресурсов в сфере онлайн-торговли. OLX является одним из крупнейших сервисов объявлений в Казахстане, с посещаемостью ресурса около 9 млн человек ежемесячно.
Вследствие пандемии и самоизоляции люди проводят все больше времени в Сети и, соответственно, совершают все больше покупок онлайн и пользуются услугами доставки. В свою очередь мошенники пользуются этим, придумывая различные уловки, с помощью которых вынуждают пользователей добровольно расстаться с деньгами, отслеживая тренды и придумывая все новые преступные схемы. Здесь, если говорить о верификации, специалисты платформы постоянно работают над повышением степени безопасности пользователей. Им, например, предлагается для подтверждения своей учетной записи пройти sms-подтверждение.
Помимо этого, мы постоянно работаем над улучшением процесса верификации и защиты наших пользователей через новые технические решения, которые мы сможем реализовать.
К большому сожалению, эксперты отмечают активный рост онлайн-мошенничества во всем мире и в Казахстане в частности. Самой распространенной схемой мошенничества сейчас стал фишинг – вид мошенничества, целью которого является получение данных: логины, пароли, доступ к банкингу, мошенники создают сайты-двойники банков, крупных организаций, интернет-магазинов и популярных сервисов и заманивают пользователей на фишинговые сайты. Схема очень проста. Мошенники получают электронные адреса жертв и отправляют письма о том, что пользователи стали обладателями ценного приза, а для получения подарка необходимо отправить данные банковской карты. Как преодостерчься от различных схем интернет-мошенничества – мы рассказываем в Центре поддержки, в блоге, в соцсетях, на сервисе, в чатах и в приложении.
При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.