На первый взгляд кажется, что только связанная с пандемией COVID-19 необходимость обеспечения социального дистанцирования привела к переводу сотрудников большинства компаний на работу из дома. Но скорее пандемия лишь ускорила цифровую эволюцию общества, считает управляющий директор компании Tengri Security Тимур Имамбаев. Все больше людей приходят к пониманию, что их безопасность зависит не только от толщины входной двери и качества замка, но и от надежности используемых механизмов аутентификации и защищенности данных. «Базовая потребность в безопасности все больше распространяется и на новую область присутствия человека – киберпространство», – сказал он в интервью корреспонденту «Капитал.kz».
- Тимур, расскажите, как перевод на дистанционный режим сотрудников отразился на информационной безопасности компаний?
- Надо отметить, что в Казахстане и раньше использовалась практика удаленного подключения к ресурсам организаций, но она носила весьма ограниченный, можно даже сказать, исключительный характер. Как правило, работнику предоставлялся корпоративный ноутбук, иногда смартфон, который соответствовал требованиям информационной безопасности компании, и они использовались в служебных целях.
Сегодня ситуация изменилась. Количество работников, применяющих удаленное подключение к ресурсам предприятий для исполнения своих служебных обязанностей, возросло в десятки, а порой и сотни раз в зависимости от численности персонала. Обеспечить в условиях острого дефицита времени всех сотрудников служебными ноутбуками или иными устройствами для подключения из дома к корпоративной сети организации получается не везде.
Нередко работники для этих целей используют личные устройства, как правило, не отвечающие требованиям информационной безопасности. Например, на них отсутствует или неактуально антивирусное программное обеспечение. Могут быть не активированы встроенные системы обеспечения безопасности операционных систем, не установлены обновления безопасности операционных систем и т.п. Домашнее устройство может использоваться членами семьи по очереди – поработал взрослый, после им воспользовался ребенок: поиграл, побывал на разных сайтах.
- В этом есть какая-то опасность?
- Конечно. Попытаюсь пояснить без погружения в технические тонкости: незащищенное устройство гораздо проще успешно атаковать, получить к нему доступ, скомпрометировать корпоративную учетную запись работника и проникнуть в корпоративную сеть организации.
При этом необходимо иметь в виду, что и после снятия карантинных мер работа на удаленке будет иметь гораздо более широкое распространение, чем это было раньше – в доковидные времена. Тенденция работать вне офиса возникла не сегодня – уже продолжительное время определенные категории работников удаленно подключаются к различным корпоративным ресурсам для исполнения служебных обязанностей. Просто вчера это была привилегия для немногих – администраторов систем, топ-менеджеров, а сегодня организации для поддержания работоспособности бизнеса должны предоставить такую возможность, можно сказать, для широких масс работников.
- Вернемся к началу нашей беседы. Как приведенные вами примеры сказываются на кибербезопасности компаний?
- В связи с пандемией процесс вхождения в новую цифровую реальность многократно ускорился. В этой реальности киберпространство занимает гораздо больше места, чем в прошлом, как для отдельных людей, так и для предприятий. Это новая среда обитания и она требует новых поведенческих стереотипов, иной культуры, включая элементы и некой кибергигиены. Отсутствие этих привычек у основной массы неспециалистов создает широкие возможности для киберпреступников. Формирование любой культуры, то есть определенного набора навыков, требует времени, становление кибергигиены – не исключение. Данный процесс ускоряется в случае возникновения новых вызовов, как это происходит сегодня.
Как пример: почему наибольший уровень зрелости в части обеспечения информационной безопасности демонстрируют финансовые организации?
- Почему?
- Сложно найти более IТ-зависимые организации, чем банки. Традиционно они были первыми массовыми объектами атак киберпреступников как за рубежом, так и в Казахстане. Поэтому соблюдение требований по обеспечению информационной безопасности в банках редко носят ритуальный характер – вроде так положено, а почему – непонятно. Для руководителей банков необходимость обеспечения кибербезопасности очевидна и наполнена практическим смыслом. А с повсеместным проникновением дистанционных сервисов обслуживания клиентов элементы обеспечения информационной и кибербезопасности стали неотъемлемой частью банковских продуктов и процессов.
- Про банки, наверное, будет сложно сказать, но может быть, на примере микрофинасовой компании вы могли бы пояснить, с какого минимального порога начинаются инвестиции в информационную безопасность?
- Вне зависимости от размера и рода бизнеса руководство должно четко понять, для чего предприятию нужна кирбезопасность. Сколько оно потеряет в случае успешной атаки на ее ресурсы. Что именно необходимо защитить. Провести оценку рисков. А уже по итогам оценки определить необходимый уровень инвестиций в эту сферу. Правило простое – средства, затрачиваемые на обеспечение безопасности актива, не должны превышать его стоимость и обеспечить приемлемый уровень его защищенности.
- Какие виды кибератак актуальны сегодня?
- Как и раньше, сохраняют свою актуальность атаки, направленные на кражу конфиденциальной информации, включая аутентификационные данные – логины, пароли ит.п., перехват управления устройствами и учетными записями. С появлением так называемых «крипторов» (вирусов-шифровальщиков) риск стать жертвой кибермошенников многократно увеличился и для нефинансовых организаций. Новости о том, что та или иная компания в результате удачно проведенной кибератаки потеряла доступ к собственным данным, потому что они оказались зашифрованы, и стала жертвой вымогателей, уже не вызывают удивления. Например, на днях атакам подверглась компания Garmin – производитель GPS-навигационной техники и умных часов. Пострадали как сервисы, которыми пользовались миллионы клиентов из числа физических лиц, так и сервисы, поддерживающие работу авиационно-навигационного оборудования. Кибермошенники вымогали у Garmin крупную сумму денег в обмен на возможность восстановления доступа к данным компании.
- И компания заплатила?
- В СМИ была информация, что «многомиллионный выкуп» заплачен. Официального сообщения от Garmin я не видел. Но, вне зависимости от того, заплачен выкуп или нет, вследствие этой атаки Garmin понесла серьезный ущерб, как репутационный, так и финансовый.
В связи с ранее упомянутыми мной факторами – срочный и массовый переход на «удаленную работу», использование слабозащищенных устройств и т.д. уязвимость казахстанских организаций для кибератак, в том числе и подобного рода, значительно возросла.
- Программа «Киберщит Казахстана» поможет повысить нашу информационную и кибербезопасность?
- В рамках данной концепции государством реализован ряд инициатив в области обеспечения кибербезопасности. Совершенствуется законодательство: вносятся изменения в действующие нормативные акты, разрабатываются новые. В обиход вошли новые понятия: КВОИКИ – критически важные объекты информационно-коммуникационной инфраструктуры, НКЦИБ – Национальный координационный центр информационной безопасности. Одним из следствий работы, проводимой профильными государственными органами, является заметный рост спроса на организацию кибермониторинга критичных ресурсов предприятий и ведомств с привлечением специалистов ОЦИБ – оперативных центров информационной безопасности. Можно полагать, что меры, предпринятые государством, ускорят формирование культуры обеспечения кибербезопасности в нашей стране.
- Расскажите, какие элементы кибербезопасности наиболее важны?
- Информационная безопасность стоит на трех китах: технологии, процессы, люди. Важны все перечисленные элементы. При этом необходимо помнить, что без людей технологии и процессы мертвы. Подготовка специалиста требует времени. Например, сегодня членов нашей команды можно условно разделить на три категории: специалисты с опытом около 5 лет – инженерный состав, от 5 до 10 лет – лидеры функциональных команд, более 15 лет – руководство. Первая категория специалистов проходила этап профессионального становления в нашей команде. Конечно, я имею в виду не просто стаж работы на определенных должностях, а период профессионального становления специалиста – трансформации академических знаний в практически ценные умения.
Следовательно, крайне важно скорее создать условия для развития молодых специалистов в области обеспечения кибербезопасности. Без этого невозможно обеспечить качественное развитие всех IT-зависимых отраслей, количество которых неуклонно увеличивается. Наличие специалистов в свою очередь позволит развивать отечественные технологии и совершенствовать необходимые процессы.
