Кто виноват и что делать

Участвовала я во вторник в конференции Positive Technologies на круглом столе, посвященном, чему бы вы думали? Правильно, угрозам информационной безопасности.

Наталья Касперская об участии на конференции Positive Hack Days

Обсуждали два вопроса:

  1. Почему ситуация с угрозами ИБ ухудшается год от года?
  2. Что надо сделать, чтобы улучшить ситуацию? 

В результате дискуссии удалось получить довольно нетривиальные выводы, которые мне бы хотелось суммировать.

Начну с первого вопроса. Почему ситуация ухудшается?

  1. Борис Симис (РТ) начал с тезиса о том, что корпоративные ИБ-шники замалчивают инциденты. Вот от этого они у нас и развиваются. Я к этому добавила еще 3 нижеследующих фактора.
  2. ИКТ всегда идут впереди защиты, а средства защиты традиционно отстают от них на шаг, а то и на два. Пока еще пользователи разберутся в новых системах, пока поймут, какие там есть угрозы, пока вендоры придумают, как от этих угроз защищать – всё это требует времени.
  3. Одновременно с этим давление новых ИКТ возрастает. Мир ускоряется, и внедрение новых систем происходит всё быстрее, да и сами системы выходят не очень-то оттестированными (не говоря уже о случаях, когда в них специально встраиваются закладки). Это усугубляет проблему №2.
  4. Защита традиционно дороже нападения. Как ни строй защиту, а всё равно останется хоть маленькая дырочка. Поэтому корпоративные системы дороги, громоздки, требуют много людей для обслуживания, а взломать их может хакер-одиночка, не окончивший школу.
  5. Добавлю сюда тезис, который мне не пришёл в голову сразу. Нарушителей этих ловить сложно, ловят их единицы, а это способствует появлению всё новых взломщиков. Опять же интересная деятельность.

Коллеги добавили к этим тезисам:

  1. Героизацию хакеров со стороны СМИ (спорный тезис, на мой взгляд).
  2. Разную мотивацию со стороны ИБ-шника организации, её топ-менеджера, интегратора и регулятора. Получается, что защитникам трудно сконсолидировать свои усилия, и они тянут в разные стороны.
  3. Еще один участник привел аналогию с болезнями и лекарствами и заметил, что средства защиты отвечают на вызовы вчерашнего дня, т.е. лечат вчерашние болезни.
  4. Сергей Рыжиков (1С-Битрикс) заметил, что средний и малый бизнес вообще не думает о безопасности. У них нет людей, денег и возможностей для этого. С таким гуру трудно не согласиться.
  5. Разработчики ИБ – коммерческие организации, они разрабатывают те средства, которые принесут больше денег. А это оставляет ниши для хакеров и новых узких угроз, которыми просто невыгодно заниматься в силу их редкой распространённости. 
     

Естественно, следующим вопросом идет вопрос «Что с этим делать и как улучшить ситуацию?» Я для себя выбрала следующие наиболее релевантные ответы. Начали с очевидных:

  1. Сделать так, чтобы как можно больше механизмов защиты стали общепринятыми, вроде парольной защиты, которую научились использовать уже почти все.
  2. У корпоративного ИБ-шника должен быть конкретный показатель эффективности его работы, от которого должна зависеть премия.
  3. ФСТЭК предложил вести совместную работу исследователей угроз и организаций, которые занимаются ИБ (вендоров, интеграторов). Хорошая идея, только пока непонятно, зачем это нужно всем троим сторонам.

После этого заявления фантазия участников разыгралась.

Рыжиков предложил поисковикам индексировать только безопасные сайты. Смелое заявление. Получение галочки «безопасный сайт» может стать оружием в конкурентной борьбе. Правда, вряд ли это снизит риски или реально улучшит ИБ.

Лютиков опять же предложил заставлять разработчиков делать безопасный софт. Трогательное требование, если не учитывать двух моментов. Первый. Любой разработчик и так старается делать хорошо, а не плохо. Второй. Если же он оставляет намеренные закладки, то вряд ли эти намерения можно изменить благими призывами.

В заключении я предложила совершенствовать оргмеры по недопущению внутренних инцидентов в компаниях. Делаться это должно по принципу «принуждающего дизайна» - знаете, как в аэропортах делают неудобные сиденья, чтоб не спали. Или как у троутаров ставят заборчики, чтоб не парковали машины. Так и меры внутри компании должны мягко, но убедительно ограничивать сотрудников от совершения плохих действий. Это проще, чем агитировать и обучать. Хотя и то, и другое, конечно, тоже нужно.

P.S. Хотите быть в курсе происходящего в жизни Натальи Касперской и получать информацию из первых уст? Подписывайтесь на ее страницу в facebook!

 

Подпишитесь на рассылку INFOWATCH