Цена информационной безопасности
Мир становится всё более зависим от технологий, которые сегодня вовлечены в большинство сфер деятельности человека, включая государственное управление, промышленность и сельское хозяйство, образование и культуру. С ростом кризисных явлений в экономике компании всё больше инвестируют в информационные технологии, обеспечивающие конкурентоспособность: такие, как перевод процессов привлечения и обслуживания клиентов в Интернет, объединение разрозненных информационных систем в единую платформу, автоматизация процессов принятия решений на базе искусственного интеллекта и другие. Современные технологии, принося очевидную пользу, делают компании зависимыми от их работоспособности и корректности работы, поэтому инвестиции в информационную безопасность растут теми же, если не опережающими, темпами, что и информационные технологии.
Развиваются не только решения в области информационной безопасности, но и способы атак — совсем недавно мы видели мощные DDoS-атаки, сгенерированные ботсетями из видеокамер и других устройств, относящихся к IoT. Две волны вируса-шифровальщика, заразившие сотни тысяч компьютеров в государственных органах, медицинских учреждениях, энергетике и других чувствительных отраслях, показали, что системы крупных компаний, построенные на удобных операционных системах «для домашнего использования», легко подвержены угрозам, о которых раньше говорили только законченные параноики. Атаки на критическую инфраструктуру, хищение персональных данных миллионов человек, компрометация сотен миллионов учётных записей к популярным сервисам — всё это расплата человечества за построение информационных систем с учётом, в первую очередь, удобства и дешевизны, без учёта требований безопасности в архитектуре и пользовательских сценариях приложений.
Не отстают и атакующие — они используют все достижения современных технологий для достижения своих целей, комбинируют множественные векторы атак с методами социальной инженерии, пользуясь доверием или неосведомлённостью рядовых пользователей. К техническим атакам присоединяются атаки в соцсетях: распространяется дезинформация, поднимается паника, собираются деньги «на помощь больным детям». Для того, чтобы противостоять таким атакам, требуется консолидация усилий служб защиты, причём не задним числом, а онлайн, во время атаки, а ещё лучше – на этапе подготовки к атаке.
Боюсь, что теперь нас ждёт движение маятника в другую сторону. К сожалению, информационные системы станут менее удобными. Это уже видно по интернет-банкингу, в котором с благой целью защиты ваших собственных средств антифрод-служба делает пользование банковским приложением всё менее удобным. Элементарный перевод денег, отличающийся от стандартного профиля «получил зарплату —потратил её в супермаркете», требует подтверждения голосом, которое невозможно без предварительной авторизации, ответов на разные контрольные вопросы и т.п. Да и популярные сервисы теперь требуют при авторизации на новом устройстве или при выходе в Сеть из необычного места (например, из зарубежного Интернет-кафе в отпуске) ряда неочевидных действий — довольно часто двухфакторная аутентификация с ответами на контрольные вопросы дополняется неочевидной капчей и т.п. Так будет происходить до тех пор, пока существующие системы, созданные по принципу «давайте быстро сделаем функционал, а потом отдадим его безопасникам, пусть они его защищают, это же их работа», уступят место системам, изначально спроектированным безопасно, с встроенным «иммунитетом» к опасным действиям.
Какие же отрасли безопасности будут расти опережающими темпами?
Мы видим рост спроса на услуги и продукты по защите приложений. Большой спрос на тестирование на проникновение как готовых систем, так и систем во время приёмки. Поскольку функционал большинства систем меняется всё чаще (многие компании стали использовать agile-подход к разработке), то ручной пентест часто комбинируется с автоматизированным: мажорные релизы тестируют специалисты, а небольшие еженедельные и ежедневные изменения — настроенные ими автоматизированные средства.
Всплеск заражений шифровальщиками вызвал волну интереса к комплексной защите конечных точек, так как стандартные системы патч-менеджмента и антивирусы не смогли защитить поражённые компьютеры. Однако этот всплеск не выглядит стабильным — новые «маркетинговые» улучшения вряд ли помогут «навесными» средствами защитить системы, изначально спроектированные как небезопасные.
С усилением цифровизации, при которой практически все бизнес-процессы протекают в информационных системах, повышается возможность противодействия к внутренним угрозам. Компании, занимающиеся разработкой систем защиты от внутренних угроз: DLP, анти-фрод, защита от действий привилегированных пользователей и других, уже предлагают решения, выходящие за рамки функционала классических решений — возможность определения поведенческих паттернов на основе «больших данных», вплоть до «клавиатурного почерка», открывает новые возможности вычисления инсайдерских и других противоправных действий сотрудников на ранних этапах.
После принятия закона, ужесточающего ответственность за ненадлежащую защиту и инциденты в критической информационной инфраструктуре, наметился уже несколько лет ожидаемый всплеск интереса к решениям в области защиты элементов АСУ ТП. Многие компании уже имеют в своём портфолио решения в области такой защиты, однако специфика АСУ ТП не предполагает наличия «навесных» решений, поэтому, скорее, заказчиками таких систем защиты станут производители или интеграторы систем АСУ ТП, которые смогут обеспечить совместимость компонентов и гарантию на всю систему.
Также тренд на создание защищённых систем появился не только в АСУ ТП системах. Заказчик уже не согласен покупать информационную систему отдельно, а систему её защиты — отдельно. Сегодня есть потребность заказчиков покупать информационные системы сразу защищёнными, и многие вновь проектируемые системы включают встроенные механизмы и компоненты безопасности уже на этапе проектирования.