Будущее уже наступило, но из-за неравномерного распределения плодов технологического прогресса рядовые пользователи интернета и социальных сетей, представители малого и среднего бизнеса часто не отдают себе отчета в том, с каким объемом рисков они сталкиваются каждый день, работая в облачных корпоративных системах и потребляя контент в социальных сетях. В этой статье мы расскажем о важных явлениях, связанных со взрывным ростом Big Data, а также о том, как бизнесу «обуздать» бесконтрольно растущий поток данных и защитить себя.
Чем больше цифровая экосистема, тем больше требований к ИБ
В мире идет процесс роста цифровых экосистем: это касается и машинного обучения, и роста пользовательских данных, пропускных способностей инфраструктур. Стремительно растет скорость процессоров, объем жестких дисков. Мобильные телефоны сегодня способны выполнять большее количество операций намного быстрее, чем любой компьютер десять лет назад, их камеры имеют большее разрешение, чем имели профессиональные каких-нибудь пять лет назад.
Количество данных, которое обрабатывается в сети Интернет, исчисляется огромными цифрами: к примеру, еще в начале 2022 года в минуту на Youtube отгружалось пятьсот часов контента, пользователями всего мира отправлялось более двухсот миллионов электронных писем, семьсот тысяч сториз в виде фото/видео публиковалось в популярной социальной сети, отправлялось семьдесят миллионов сообщений в WhatsApp.
Новое исследование IBM Security показало, что, поскольку люди и компании все больше полагаются на цифровое взаимодействие, предпочтение отдается удобству, а не безопасности и конфиденциальности. Глобальный опрос, проведенный Morning Consult от имени IBM Security, выявил некоторые очень интересные последствия пандемии для поведения потребителей в области безопасности. Что касается Индии, исследование показало, что во время пандемии индийцы создали около 19 новых онлайн-аккаунтов в различных категориях онлайн-сервисов и в среднем создали три новых аккаунта для социальных сетей и развлечений. Опрос показал, что во всем мире респонденты создали в среднем 15 новых онлайн-аккаунтов во время пандемии, что соответствует миллиардам новых учетных записей, созданных по всему миру. Около 44% сообщили, что они не планируют удалять или деактивировать эти новые учетные записи, что приведет к увеличению цифрового следа на ближайшие годы, что значительно расширит поверхность атаки для киберпреступников.
Аналогичную ситуацию мы можем наблюдать с Industrial IoT (IIoT): «раскидывая» датчики по заводу, мы создаем источники огромного потока данных, которые нужно хранить, обрабатывать в режиме реального времени, мониторить состояние и безопасность, управлять доступом к этим данным и так далее.
Многонаправленный рост цифровых экосистем визуально напоминает гиперкуб, этот куб равномерно увеличивается сразу во всех направлениях, его площадь при этом растет не линейно, а по экспоненте. С одной стороны, это плюс, поскольку цифровые экосистемы становятся все более функциональными и позволяют закрывать большее количество задач бизнеса или удовлетворять все больше пользовательских запросов. Минус в том, что все эти подсистемы нужно защищать. И вопрос не в том, что нам нужно внедрять все больше ИБ-систем, чтобы защитить данные. Нам нужно, чтобы внедряемые средства безопасности были способны еще и «переварить» этот объем данных в режиме реального времени.
Такие требования предъявляются уже не ИТ-департаментами компаний, а руководителем, который сегодня не хочет ждать в течение двух часов, пока данные в сыром виде выгрузятся в Excel, а требует, чтобы они отображались в реальном времени на удобном дашборде в мобильном телефоне. Одно это требование вызывает сразу несколько вопросов: как обрабатывать такой объем данных в режиме «здесь и сейчас»? Как обеспечить безопасность этой базы данных, как контролировать интеграционные слои, доступ пользователей, в том числе, привилегированных пользователей? Как мы свяжем мобильное приложение руководителя с этой базой данных так, чтобы через его IP не проникли злоумышленники?
Одновременно с ростом цифровых экосистем возникает большое количество вопросов к службам информационной безопасности.
Экосистемы растут не только у обычных пользователей или бизнес-заказчиков, они точно так же растут у злоумышленников. Существуют форумы в даркнете, облачные сервисы для хакеров – распределенная сетевая инфраструктура подбирает пароли или взламывает хэшкоды по аналогии с тем, как майнится криптовалюта. После того, как майнить крипту становится невыгодно, злоумышленники используют ту же облачную инфраструктуру для майнинга паролей. К примеру, пользователь уверен в том, что его пароль, состоящий из восьми цифр плюс знак, достаточно сложный, между тем обычная видеокарта может взломать его за четыре часа. Если же говорить о распределенной майнинговой ферме, то она взломает пятнадцатизначный пароль в течение суток, и эти факты невозможно игнорировать.
Пользователи должны быть осведомлены о том, с какой скоростью растут риски. Скажем, у вас была одна виртуальная инфраструктура – удаленные рабочие места, для которых необходимо было обеспечивать кибербезопасность, а теперь у вас сто таких инфраструктур, которые образуют единую мета-вселенную, являющуюся одним из основных каналов утечки данных.
Вскоре у компаний будут формироваться представительства в мета-вселенных так же, как сегодня у каждой компа свой веб-сайт. В этих представительствах будут копиться пользовательские данные и конфиденциальная информация, которую тоже надо будет защищать.
Объем роста защищаемых экосистем впечатляет, и средства для их защиты требуются мощные, разнонаправленные, привлекающие разнообразную экспертизу – ИБ-команда должна не просто уметь установить антивирус, но понимать, в каких реалиях живет бизнес, в каких направлениях его, в первую очередь, стоит защищать. К примеру, в онлайн-магазине может случиться простой системы оплаты, который интегрирован через авторизацию в социальной сети.
В каждой подсистеме хакеры могут запустить вирус (через облачную платформу, в том числе). Мелкий бизнес, не говоря уже об обычном человеке, просто не может уследить за всеми рисками, либо у него нет бюджета на то, чтобы защититься. Уровень недоступности полноценного сервиса кибернадежности для большинства игроков рынка становится слишком высоким.
Технологическая сингулярность — это теоретический момент, в котором человек потеряет контроль над техническим прогрессом, а тот, в свою очередь, станет необратимым. Говоря простым языком, в ближайшем будущем технологии могут настолько развиться, что человечество просто перестанет поспевать за ними и понимать их.
Один из примеров технологической сингулярности – это NFT, популярная система передачи прав пользования на цифровые объекты. Даже технически подкованные люди не успевают разобраться в этой системе. Чем дальше, тем больше подобных технологий будет возникать: люди либо их не понимают, либо они им не интересны. Возникает условие неравномерного распределения будущего: кто-то уже живет в будущем, где идет борьба за защиту высокоэффективных цифровых активов, а кто-то пользуется базовыми подручными средствами и вовремя не раскидывает патч-корды для роутера. Простейший сканнер может просканировать сетку «наивного» пользователя в течение минуты и обнаружить дыры в системе защиты. Пятнадцать секунд и вирус с вами навсегда.
Именно поэтому информационная безопасность должна учитываться в бизнес-плане ИТ-проекта на этапе его первичной защиты перед инвестором, до расчета PNL (Profit and Loss Statement – отчет о прибылях и убытках). Чем позже мы обнаруживаем недостаток ИБ-сервисов, тем дороже стоит их внедрить, то есть обеспечить защиту существующего сервиса.
Поскольку владельцы бизнесов мало осведомлены про риски ИБ, они часто могут заблуждаться, будто бы установленного антивирусного ПО достаточно для борьбы с утечкой данных или кибератаками. 41% владельцев бизнеса считают, что установленный антивирус автоматически означает наличие системы защиты. Одновременно с этим только 13% руководителей ИБ положительно отвечают на вопрос о том, есть ли у предприятия система кибернадежности.
90% владельцев бизнеса уверены в том, что регуляторика по ИБ их не коснется. При этом, 20% руководителей ИБ считают, что пересматривать систему защиты придется. Налицо расхождение в 10% в восприятии рисков с точки зрения регуляторики, иначе говоря, с точки зрения комплаенс. Руководители и владельцы бизнеса пребывают в иллюзии, что им не придется вносить изменения в систему безопасности, в то время как недостаточная защищенность объектов критической инфраструктуры может привести, в том числе, к уголовным рискам.
Еще одна проблема – это низкое качество коммуникации между бизнесом и ИБ. Часто специалисты физической безопасности ближе к бизнесу, чем специалисты безопасности информационной.
Как правильно должен вести себя владелец с точки зрения обеспечения ИБ?
- выделять достаточное количество средств на построение и поддержание системы ИБ;
- наделять высокоуровневыми полномочиями специалистов ИБ-команды способствовать их диалогу с лицами, принимающими решения (так называемыми Executive Sponsors);
- осознавать приоритет ИБ во всех внутренних проектах компании.
Большому брату не нужно смотреть за тобой – он смотрит за Биг Датой
С ростом количества данных возникают интересные сценарии в работе различных систем, например, в работе системы защиты компании от утечки данных (DLP). Эта система способна не только контролировать доступ к данным, но и создавать теневые копии документов, которые проходят через систему, анализируя их: кто обращался к тому или иному документу, копировал, менял и так далее. В итоге у системы DLP возникает система хранения, в которой лежат копии самых «интересных» документов компании. Сотни тысяч контрагентов создают сотни тысяч документов в день, таким образом эта система хранения сама по себе становится объектом Big Data, который, в свою очередь, так же нуждается в защите. Работая с Big Data как с объектом защиты, мы сами создаем большие данные, но уже в области информационной безопасности, и средства работы с этими данными должны быть соответствующими – скорость поиска информации должна исчисляться миллисекундами. Нельзя допускать ситуации, в которой Big Data работает с миллиардами записей и на высоких скоростях, а ИТ-блок создает хранилище, файловая система в котором не может содержать более десяти тысяч файлов.
Обеспечивая безопасность Big Data, мы должны использовать соответствующие средства, которые способны работать с таким объемом информации.
Правило касается и машинного обучения: один из векторов кибератаки – подделка системы визуального распознавания. Это наглядно иллюстрирует кейс о том, как в 2019 году команда Tencent показала, что может обманом заставить автопилот Tesla пересечь разделительную полосу, добавив небольшие безобидные полоски ленты на поверхность дороги.
Мы можем внедрить систему, которая на основе машинного обучения распознает паттерн поведения человека и, таким образом, принимает решение о том, кто находится за консолью. В основе технологии – система биометрической идентификации, в том числе, распознавание по движениям мышки, по камере, отпечатку пальцев и так далее. Злоумышленники же в ответ создадут систему, которая основывается на той же технологии machine learning и учится подделывать поведенческую модель другого пользователя, чтобы система распознавала злоумышленника, как «своего». Выходит, что мы будем наблюдать за битвой машин.
Песочницы – это системы виртуальных машин, которые для вируса или для злоумышленника выглядят как часть корпоративной системы, например 1С-бухгалтерия с сотней настоящих рабочих мест. Злоумышленник, попадая в эту ловушку, видит много IP-адресов, подсетей, машин, в них открыты порты, работают приложения, и буксует, изучая эту «инфраструктуру». Специалисту по ИБ это дает временное преимущество, чтобы обнаружить действия злоумышленника. Из-за упомянутого выше роста экосистем задача создания песочниц становится все более сложной, ведь безопасникам приходится симулировать все больше и больше подсистем, чтобы выглядеть правдоподобно для атакующего, приходится создавать вымышленную метавселенную для злоумышленников, в которой он должен заблудиться. Это требует огромных мощностей: представите, как в симуляции запустить хотя бы сто серверов? Среднестатистическая компания не может позволить себе такие расходы, и выходом становятся облачные провайдеры безопасности.
Оценка рисков защищенности
Важная задача ИБ состоит в построении системы приоритетов для бизнеса по защите ключевых сегментов компании. Любой бизнес можно разделить на блоки, приоритет работы которых выше, чем у других. Стоимость простоя просчитать довольно легко: сколько в год зарабатывает компания? К примеру, миллиард рублей, из них пятьсот миллионов зарабатывается на базе одного блока, двести пятьдесят на базе другого и так далее. Что будет, если остановить на сутки тот или иной блок? Нужно разделить на 365 сумму приносимого блоком дохода. Так рассчитываются и потенциальные потери при наступлении инцидента ИБ, которые затем ранжируются по степени критичности и вероятности реализации.
Эксперты Softline могут построить такую карту рисков в денежном выражении для любой компании. Такой инструмент позволит любому руководителю быстро принять решение о том, какие риски он допускает, а какие ни в коем случае, и, исходя из этого, приобрести требуемое ИБ-решение, которое нивелирует возникновение «дорогостоящих» инцидентов. Это обеспечивает непрерывность бизнеса.
Интересный факт заключается в том, что компании, которые проводят оценку рисков защищенности, вынуждены проводить и оценку бизнеса в целом. Внутренний аудит помогает оптимизировать расходы и повысить эффективность, таким образом информационная безопасность косвенно помогает бизнесу, даже на этапе оценки.
Softline может построить не только карту рисков защищенности, но и карту технического соответствия законодательству в разрезе страны, отрасли и локальных нормативных актов. Любой законодательный акт можно выразить в конечном списке требований, и у Softline есть успешные примеры составления таких документов. Высший же уровень доверия для корпоративных заказчиков – это сотрудничество с Softline в процессе составления стратегии информационной безопасности.