Воронеж. 18.12.2023. ABIREG.RU – Интервью – Можно ли избежать утечки корпоративной информации, как повлиял уход иностранных компаний на кибербезопасность в России и почему искусственный интеллект может помочь украсть данные? Об этом и многом другом «Абирег» поговорил с директором блока управления безопасностью ПАО «МТС» Александром Бородиным.
– Что чаще всего приводит к утечке данных корпоративной информации?
– Нередко это происходит в результате эксплуатации злоумышленниками уязвимостей внешнего периметра организации. У любой компании есть веб-ресурсы, пограничное сетевое оборудование, иные элементы ИТ-инфраструктуры, которые доступны извне. Если они содержат уязвимости, это первый этап, с которого начинается взлом инфраструктуры, что в итоге может привести к утечке данных. Второй частой причиной утечек является человеческий фактор. Это игра злоумышленника на доверии сотрудника, в области кибербезопасности это называется фишинг – вид интернет-мошенничества, цель которого – кража ценных данных, в частности логина и пароля сотрудника от корпоративных систем. Началом атаки может стать компрометация учетных данных пользователя или же сбор через него дополнительной информации об ИТ-ресурсах компании, используемых средствах защиты и т.п. – сотрудник может неосознанно выдать эту информацию злоумышленникам. Следующий шаг – проникновение в инфраструктуру с использованием собранных данных. К сожалению, до 80% всех атак на компании начинаются с компрометации сотрудников.
– Как-то с этим можно бороться? Именно с человеческим фактором?
– Да. Необходимо повышать осведомленность сотрудников в вопросах кибербезопасности и делать это системно. Регулярно обучать персонал, проверять полученные знания, тестировать на киберграмотность. Есть специализированные сервисы, которые позволяют организовать этот процесс полностью – от и до. С их помощью службы информационной безопасности организаций могут создавать тренировочные фишинговые письма (очень похожие на обычную корреспонденцию) и рассылать их сотрудникам организации. Если сотрудник неправильно среагировал на фишинг – перешел по ненадежной ссылке, открыл подозрительное вложение и т. п., ему назначается курс обучения основам противодействия фишингу. Через некоторое время тренировку повторяют с помощью обновленного тестового письма. Так мы проверяем, насколько хорошо люди усвоили материал. Это такая базовая кибергигиена для сотрудников.
– Есть ли шанс полностью побороть человеческий фактор в рамках кибербезопасности?
– Смотря кого мы имеем в виду. Если мы говорим о рядовых сотрудниках и их устойчивости к фишингу, то практика показывает, что уже после первого обучения на 70% меньше работников попадаются на уловки хакеров. Если речь о так называемых «инсайдерах» – сотрудниках компании, в силу рабочих обязанностей имеющих доступ к различной конфиденциальной информации: ценным корпоративным документам, учетным данным от различных систем, в которых содержатся важные данные и т. п., – риск утечки подобной информации через таких сотрудников будет оставаться всегда. Здесь нужна сложная системная работа на стыке с информационной, экономической и физической безопасностью. Если мы имеем в виду специалистов по информационным технологиям или информационной безопасности, ответственных за инфраструктуру, за безопасность активов, здесь на помощь может прийти искусственный интеллект, автоматизируя многие процессы, в том числе процесс принятия решения в сложной ситуации. Таким специалистам часто не хватает временного ресурса либо знаний и необходимых компетенций. Выходом может стать автоматизированная платформа, помогающая специалисту по безопасности управлять всем циклом ИБ в компании в режиме одного окна.
– Есть ли возможность предугадывать, как мошенники будут обманывать, и бороться с этим наперед?
– Это постоянная системная работа по прогнозированию угроз, по сбору информации о самых новых техниках атак злоумышленников. Нужно погружать клиента в эту тему и постоянно поддерживать его осведомленность. Проводить рассылки об актуальных атаках по клиентам, вести просветительскую работу в социальных сетях, мессенджерах, СМИ. Вы наверняка слышали об участившихся звонках гражданам якобы от представителей операторов связи с требованиями продлить контракт на сотовую связь. На самом деле это комплексная атака на портал Госуслуг. В процессе мнимого продления контракта злоумышленник направляет человеку ссылку на поддельный сайт Госуслуг, где нужно ввести свой номер телефона и код, который придет в СМС, якобы чтобы продлить контракт с оператором. На самом деле в СМС приходит код на смену пароля для входа в личный кабинет гражданина на портале Госуслуг. При этом, так как звонят от лица оператора, негатив идет в сторону его техподдержки.
– Очень часто утекают данные именно клиентов банков и пользователей сотовых операторов. Кто в этом виноват?
– Если было бы так просто сказать, чья вина, это было бы удобно. Любая утечка – совокупность факторов. Первое – уязвимость на уровне человека: чье-то неверно принятое решение, возможно, кто-то осознанно совершил какие-то незаконные действия. Здесь нужно бороться с внутренними нарушителями, которые сознательно пытаются скомпрометировать данные. Бывает нарушение на стороне подрядчика. Любой крупный банк или оператор использует подрядчиков в своей работе, например может передавать им часть данных клиента, заранее об этом его уведомив. Скажем, в маркетинговых целях, когда нужно проанализировать данные, подготовить клиентскую рассылку и т.п. Не у всех есть желание это делать с помощью внутренних ресурсов. Поэтому могут привлекаться агентства, которые получают данные и обязуются их защищать. В результате утечка может произойти у подрядчика, который оказывает банку или оператору какие-то услуги. Поэтому, чтобы определить источник утечки, нужно проводить расследование.
– Насколько сильно сказался на отрасли информационной безопасности уход зарубежных компаний, занимающихся защитой?
– Так как они ушли, то перестали предоставлять российским компаниям техническую поддержку своих решений, обновления своих продуктов. Это влияет и на качество работы, и на скорость, и на отказоустойчивость этих систем. Соответственно, крупный бизнес не может себе позволить, чтобы их системы защиты оставались без технической поддержки и не были обновляемы. Ведь уязвимости могут содержаться не только в ИТ-системах, но и в самих средствах защиты. А с регулярными обновлениями компании получают и регулярное устранение выявленных уязвимостей. Выходом из положения может стать импортозамещение, однако, к сожалению, не все решения можно заместить. Отечественных аналогов некоторых классов решений просто нет на рынке. До недавнего времени российские разработчики были сфокусированы на создании систем для госсектора, ВПК, объектов критической информационной инфраструктуры. Массовым коммерческим сегментом занимались далеко не все. Плюс дефицит кадров: не забываем, что часть ИТ-специалистов уехала из страны, и в целом нехватка кадров в отрасли наблюдается многие годы. Эти два фактора, к сожалению, влияют на защищенность организаций.
– Насколько в вашей компании ощущается кадровая нехватка?
– У нас с этим полегче, так как хорошие кадры охотнее идут к игрокам рынка информационной безопасности, у которых за спиной поддержка крупного бренда с именем, ресурсами. Здесь хорошие зарплаты и интересные, амбициозные проекты. Сейчас мы активно масштабируемся, создаем много новых решений и для этого набираем целые команды с рынка, которые уже имеют опыт создания передовых технологий в других компаниях. На рынке идет борьба за ключевых специалистов.
– В период полной цифровизации безопасно быть пользователем интернета, пользоваться телефоном, быть зарегистрированным в социальных сетях?
– Нужно понимать, что всегда есть риск, и о нем следует помнить. Я не говорю, что необходимо отказаться от всех этих благ. Но базовые правила цифровой гигиены нужно прививать со школьного возраста, возможно, даже с детского сада. Люди должны осознавать, что нельзя разглашать посторонним данные своих банковских карт, сообщать злоумышленникам свои персональные, учетные, медицинские, финансовые и иные конфиденциальные данные. Следует четко понимать, что любая автоматизация облегчит вам жизнь, но новейшие технологии могут таить в себе угрозы. Например, оборотная сторона использования биометрии для удобной идентификации – ее применение в дипфейках. Дипфейк – это возможность подменить лицо человека на видео или фотографии. Скажем, вам звонит по видеосвязи человек, который представляется вашим руководителем, звучит его голос, вы видите его лицо. Вы можете просто не отличить его от вашего настоящего руководителя, а он попросит вас передать ему какие-то конфиденциальные документы или ваши личные данные под благовидным предлогом. Это наше будущее на ближайшие годы, мы будем часто сталкиваться с такими инцидентами. Поэтому стоит подождать, посмотреть, как технология себя зарекомендует и какие векторы атак и уязвимости в связи с ней возникнут. Пользоваться можно, отдавая себе отчет, что некоторые новые технологии несут и новые риски, которые не всегда очевидны как производителю, так и пользователю. Хакер на то и хакер, он придумывает новые виды атак, причем даже на то, о чем не задумывались изначально разработчики. В этом как раз и риск.
Состояние абсолютной защищенности недостижимо, поскольку хакеры всегда находятся на шаг впереди: сначала они разрабатывают новые методы атак, а после этого появляется средство защиты от них. Однако компании могут заранее позаботиться о том, чтобы атака не нанесла серьезного ущерба бизнесу и его клиентам. А пользователям надо быть бдительными во всем, что касается безопасности их данных и устройств.
– Какой вид мошенничества является самым распространенным?
– Что касается физических лиц, здесь атаки нацелены на получение данных, позволяющих злоумышленникам вывести деньги со счетов граждан. Если мы говорим о бизнесе, самый распространенный вид мошенничества – это фишинг с целью кражи данных доступа в системы, компрометации финансовой и иной конфиденциальной информации, чтобы получить возможность встроиться в цепочку атаки на финансовые потоки.
По итогам первого полугодия, максимальное количество атак в ЦФО было направлено на ИТ-компании и на организации промышленного сектора (36% всех атак было нацелено на ИТ-компании и 20% – на промышленные предприятия). На третьем месте оказался ретейл, но во втором полугодии его сменило здравоохранение, атаки как на коммерческую, так и на государственную медицину вошли в тренд. Утекают данные сотрудников компаний, данные клиентов, граждан, а также информация о самой инфраструктуре.
Если мы говорим про коммерческую тайну, это история очень точечная. У каждой компании свое понимание, что относится к коммерческой тайне. Кто-то создает ноу-хау, что-то разрабатывает. У кого-то это база данных клиентов, у кого-то – база данных контрагентов, с которыми они взаимодействуют, уникальные условия продаж какого-то сырья или продукции. Но чаще всего, конечно, утекают персональные данные. За последние два года, по данным Роскомнадзора, в 40 раз выросло количество утечек персональных данных россиян.
Относительно атак на компании нужно отметить, что в целом две трети всех успешных атак были целенаправленными, когда атакуют не любые компании в банковском секторе, а пытаются взломать конкретный банк. Или конкретную больницу, специально выбранную ИТ-компанию и так далее. На рынке киберугроз цена атаки невысока, есть очень много недорогих сервисов, которые позволяют атаковать инфраструктуру: фишинговые ресурсы, DDOS-сервисы и так далее. Где от злоумышленника не требуется очень глубоких знаний, при этом за небольшую стоимость можно проэксплуатировать уязвимость, вывести из строя сайт компании. Низкий порог входа влияет на рост количества атак.
– Какие еще мошенничества будут популярны в ближайшем будущем?
– Механизмов и инструментов для реализации атак становится всё больше. Цена использования этих инструментов снижается. Соответственно, стоит ждать не резкого роста новых видов мошенничества, а обновленных комбинаций старых. Вспомним о схеме атаки на Госуслуги, о которой я чуть ранее рассказал. Плюс искусственный интеллект дает возможность злоумышленнику по-новому взглянуть на атаку на пользователя. Здесь нужно ждать от него подножки.
– Значит, искусственный интеллект может помочь уберечь от мошенничества, а может и создать новый вид?
– Да. В любой технологии есть плюсы и минусы. Почему бывают технологии двойного назначения? В чистом виде искусственный интеллект – это не ядерное оружие, но та инновация, которая может приносить как пользу, так и вред. Сейчас наблюдаются попытки систематизировать и структурировать работу с искусственным интеллектом. Я думаю, что все 2020-е годы страны будут постепенно осознавать, как и где его нужно безопасно использовать. Мы являемся как раз одной из стран, которая в эту гонку будущего вступила. Искусственный интеллект, Big data – всё это позволяет создавать новые инструменты, главное, делать это осознанно и ответственно.
– Можете назвать Топ-3 самых защищенных сайтов?
– Это очень сложно. Помните, я говорил, что абсолютная защищенность недостижима? Однако могу сказать, что команда Минцифры и Госуслуг делает очень большую работу для повышения безопасности своих цифровых сервисов. За последние годы уровень их защищенности значительно вырос. В целом команды специалистов по безопасности в России сильные, но от инцидентов, от утечек никто не застрахован. Поэтому безопасность – это процесс, и он должен быть непрерывным.
