«Кібербезпека стане більш залежною від людського фактору»

12 Января, 2015 00:27
Олег Николаев
Владислав Шапіро, директор американської компанії Immersion Technology Services та експерт з кібербезпеки, в минулому – випускник однієї з київських шкіл, висловив свою думку щодо стану інформаційної безпеки в Україні, описав основні тренди в цій галузі та поділився прогнозами стосовно її подальшого розвитку.

Channel4IT: Чим можна пояснити велику кількість кібератак, що були здійснені проти українських компаній та державних органів протягом 2014 року? Адже число кібернападів значно збільшилося в порівнянні з 2013 роком.

Владислав Шапіро: Західна Європа, Північна Америка та Азія завжди сприймали Україну як таку собі частину Росії або ж як сферу впливу РФ. Схоже сприйняття стосувалося Білорусі і Казахстану. Саме тому хакерські групи, зайняті не зовсім легальною діяльністю, майже не звертали уваги на Україну. Вісті з України опинилися на перших шпальтах газет, що викликало збільшення імовірності атак. Це пов’язано з тим, що сьогодні будь-яка фізична війна породжує кібервійну. От саме до неї Україна не була готова ні морально, ні технічно, а одними з найбільш вразливих до нападів виявилися державні організації.

C4IT: Згідно зі звітом кіберкоманди CERT-UA, що проаналізувала останні DDoS-атаки, які були проведені на сайт президента, ЦВК та Кабміну, IP-адреси нападників свідчать про те, що атаки проводилися з таких країн, як США, Німеччина, Польща, Китай та РФ. Але в США приділяють велику увагу кібербезпеці. Як можна пояснити таку велику кількість ботнетів у цій країні?

В. Ш.: Я можу знайти цьому три пояснення. По-перше, якщо атакуючий ботнет знаходиться в США, це ще не свідчить про американську атаку. Це лише означає, що на території Америки знаходяться комп’ютери-боти, які були зламані невідомими за допомогою, наприклад, троянів. І тому ми не знаємо, звідки насправді велася атака. Як не дивно, але зовсім не всі комп’ютери в США мають хороший захист. Існує дуже багато маленьких фірм, які навіть не здогадуються про те, що їхні комп’ютери зламані. Аналітики з’ясували, що найчастіше атакують та перетворюють в ботнети комп’ютери стоматологічних клінік, маленьких медичних офісів, невеликих бухгалтерських фірм. Отже, йдеться про ненадійно захищені комп’ютери, які знаходяться в онлайні.

По-друге, зараз, на жаль, дуже просто створити хмарний сервіс і з його допомогою вийти на комп’ютер у будь-якій країні. З моєї точки зору, велика кількість атак – це наслідок діяльності роботів. Є термін «significance», який означає «вагомість, значимість». Значення significance як певний коефіцієнт змінюється щодня. Декотрі роботи працюють за таким принципом: аналізують у новинах та в інтернеті частоту вживання назви країни, і якщо ця назва вживається дуже часто, тоді ця країна і всі IP-адреси, які належать їй, починають підніматися в рейтингу, отримують оцінку High Significants, таким чином стають більш вагомими. Як результат, усі ботнети, що раніше атакували цілі, наприклад у Європі й Америці, тепер атакують комп’ютерні мережі в Україні саме тому, що наша країна дуже часто присутня в новинах.

По-третє, Україна почала виконувати військові замовлення, розробляти танки, безпілотники та інше. Це значить, що фірми, які цікавляться технологіями, наймають професіональних хакерів, котрі намагаються «зайти» в ці компанії та викрасти інформацію.

C4IT: У великих американських компаніях є служби, що займаються технологічним шпіонажем. Водночас, з Ваших слів, компанії SMB-сегмента не дуже переймаються безпекою і при тому співпрацюють з великими корпораціями. Але ж великі організації не повинні працювати з малими, поки ті не виконають певний перелік дій з безпеки.

В. Ш.: В SMB-сегменті є різні компанії. Ви праві, великі компанії не працюють з малими лікарськими закладами. Взагалі-то співпраця можлива, але як співпраця із цілою мережею закладів, котрі належать великій корпорації. Ця корпорація дозволяє комп’ютерам малих компаній заходити на свій центральний сервер. У результаті сервер може бути атакований ботнетом.

Наприклад, у мене є друг – зубний лікар, який має власний лікарський офіс. У офісі стоїть комп’ютер, який працює 24 години на добу і має доступ до "хмарки", що містить дані про пацієнтів. Обслуговує цей комп’ютер певна фірма, з котрою лікар має контракт. Одним з пунктів контракту може бути автоматичне розсилання повідомлень пацієнтам. Я, наприклад, отримую електронною поштою повідомлення, що через тиждень мені бажано поміняти зубну щітку. Зауважу, що цей комп’ютер лікареві не належить і лікар його лише орендує, навіть не ставлячи собі питань щодо програм, які працюють на ньому. Якось я запитав друга: «Ти знаєш, що в тебе на комп’ютері? Подивімося». Відкрили і виявилось, що там працює з півдесятка програм, про які він нічого не знав. Коли звернулися до відповідного фахівця, то з’ясувалося, що одна із цих програм виконувала дуже підозрілі дії. Отже, цілком імовірно, що цей комп’ютер могли використовувати хакери як один із ботів, через який проходить атака. Важливо, що за таких умов лікарський бізнес не постраждав. Тому лікар навіть не здогадувався про труднощі з кібербезпекою. Додам, що і домашні комп’ютери можуть бути атаковані схожим чином. 

C4IT: Кібербезпека країни починається з кожної окремої людини. Що в таких умовах має зробити держава?

В. Ш.: Кожен з нас, особливо сьогодні, повинен розуміти: те, що ми робимо вдома або на роботі на комп’ютері, може сприяти або шкодити захищеності компанії, в якій ми працюємо, або ж навіть захищеності усієї країни. Не виключено, що навіть ті з нас, хто не має доступу до певних важливих даних, можуть стати причиною APT-атаки чи крадіжки даних.

C4IT: Бюджет рішень для захисту весь час зростає. Років 20 тому було достатньо лише антивірусу, потім з’явились пакети Internet Security, DLP, IPS та інше. Цей список не може розширюватися безкінечно. Рано чи пізно ІТ-директор компанії дійде висновку, щонього дані не коштують так дорого, щоб витрачати мільйони на інформаційний захист.

В. Ш.: Ви маєте рацію. Ця проблема існує в усьому світі. Саме для її вирішення виникли такі консалтингові компанії, як наша. Експерти Immersion Technology Services аналізують наявні у клієнта рішення для забезпечення інформаційної безпеки. Потім наші фахівці дають поради щодо оптимізації структури захисту. Нашою метою є забезпечення більш раціонального використання наявних у компанії засобів. На перший план виходить зміна самого процесу забезпечення інформаційної безпеки компанії та зміна ставлення до цього процесу.

C4IT: Що означає «зміна ставлення до процесу»?

В. Ш.: Найперше йдеться про автоматизацію керування доступом. Наприклад, до мене звертаються щодо підтвердження доступу до бази даних. Я маю дати відповідь по телефону чи електронною поштою. Якщо відбувається 100 запитів на день – я маю 100 разів надати відповідь. Такий процес можна й потрібно автоматизувати таким чином: якщо в певному випадку ризик доступу до даних менше деякого рівня, то дозвіл може надаватися автоматично. У випадку, якщо ризик виявляється більшим від допустимого – доступ не надається.

На сьогодні для підтвердження надання права доступу до бази даних певному працівникові це право повинні утвердити три особи: менеджер цього працівника, відповідальна за зміст даних особа та технічний адміністратор бази даних. А якщо поміняти процес, то необхідним стає утвердження з боку лише однієї особи – особи, відповідальної за зміст даних.

Крім того, кожна база даних потребує своєї системи права на доступ. Для трьох задач ми можемо мати три бази даних. Одним зі шляхів оптимізації стає об’єднання цих баз даних в одну, впорядкування їх у вигляді таблиць і тоді уможливлення доступу до певних даних із цих таблиць.

C4IT: Тобто оптимізація процесів, оптимізація рішень і таким чином оптимізація бюджетів?

В. Ш.: Так. А головне – оптимізація стратегій. Якщо існує стратегія на 5–10 років, тоді легше модульно нарощувати захист. Це краще, ніж упроваджувати протягом року одну систему, а потім щоразу пристосовуватися до новішого. Ми ж знаємо, що людині часто притаманно шукати вирішення проблеми, яка щойно виникла, і ставитися більш легковажно до можливих проблем, які виникнуть у майбутньому. Доречно згадати класичну американську історію з помилкою 2000. Адже коли створювали перші комп’ютери, то вважали, що двох цифр для позначення року буде достатньо. Ніхто тоді навіть не думав про настання 2000 року. Про те, що буде далі, треба думати вже сьогодні.   

C4IT: Ваш прогноз, як буде далі розвиватись галузь кібербезпеки?

В. Ш.: Кібербезпека стане більш залежною від людського чинника. Технологія відійде на другий план. А на першому буде психологія людини. 

C4IT: Що значить «людський чинник»? Тонкощі психології, що дозволять видурити необхідну інформацію або підкупити інсайдера?

В. Ш.:  Я маю на увазі те, що кіберзлочинці будуть звертати значно більше уваги на людину як на користувача комп’ютера, аніж на мережеві протоколи, на апаратне та програмне забезпечення. Тому на перші позиції вийдуть компанії, що будуть пропонувати такі рішення, які б ураховували людський чинник. Сьогодні увага приділяється найперше технологіям і тільки потім людям та бізнесу.

Оскільки людина відіграє вирішальну роль, стратегії будуть повернуті на 180 градусів. А та людина, що приймає рішення, повинна мати можливість бачити, що вона робить, та контролювати свої дії. Тоді вона зможе за них відповідати.

C4IT: Ви маєте на увазі сполучення бізнесу і технічних спеціалістів, щоб бізнес міг розмовляти мовою «техніків»?

В. Ш.: Це важлива проблема. Метою роботи нашої компанії є забезпечення такої ситуації, коли бізнес зможе сам без «технарів» конфігурувати те, що йому потрібно. Наприклад, бізнес-менеджер зможе сам розставити вимоги до існуючих рішень. Роботою ж технічного менеджера стане реалізування побажання колеги. За цим – майбутнє.

C4IT: Це створює нові вимоги до спеціалістів з кібербезпеки чи, навпаки, нові вимоги до бізнес-менеджерів?

В. Ш.: Це нові вимоги до спеціалістів у галузі кібербезпеки. Адже ці фахівці вже будуть не лише технічними експертами, але й спеціалістами із соціальної інженерії та психології. Вони зможуть розуміти не тільки технічну сторону, але й враховувати те, як працюють рядові користувачі та як функціонують бізнес-процеси. Тільки кіберспеціаліст, що знає, у який спосіб побудований бізнес-процес, зможе зрозуміти, як зробити цей процес безпечним.

Материалы по теме:

Комментарии: