«100% технологии информационной безопасности нет и не будет никогда»
Лучшие фрагменты интервью с Евгением Питолиным, директором практики кибербезопасности TerraLink.
YouTube-подкаст "Точка Роста" от "1С-Битрикс Казахстан".
Про киберпреступность тогда и сейчас
Чего греха таить, 15 лет назад злоумышленники были теплыми и ламповыми. Еще 10 лет назад запустить вирус, начать киберэпидемию — это было технологическое превосходство. Это было круто.
Я крутой, что-то придумал, весь мир встал на колени, здорово!
Но сейчас отрасль киберпреступности это про деньги, про власть, про страх. Это про кибертерроризм.
Про влияние пандемии на IT-безопасность
COVID-19 создал уникальную ситуацию для IT-компаний, для игроков рынка кибербезопасности (ИБ).
Вот появилось слово ковид-диссиденты. Так вот, даже самые IT-ИБ диссиденты за прошлый год поняли и осознали, насколько всё плохо. И насколько инфраструктура компаний стала уязвимой.
Когда ты живешь каждый день в офисе, решаешь повседневные задачи, в рамках зафиксированной инфраструктуры все как-то работает. Айтишник рядом, пришел, что-то подкрутил. Вроде как-то живем.
Как только твоя IT-инфраструктура офиса превращается резко в десятки, сотни, тысячи домов — ты понимаешь, что всё, что казалось нормальным, им не является.
Взять ту же концепцию BYOD — Bring Your Own Device. До пандемии очень мало компаний вообще для себя рассматривали эту историю — буквально 5-7%.
Что такое BYOD? Это не значит, что вы просто принесли телефон, и мы вам разрешили на нем работать. Это как раз бардак и трэш.
Нормальное BYOD означает, что вы принесли телефон, но вас:
- заставили туда поставить антивирус;
- поставили туда MDM (mobile device management);
- вам провели инструкцию, что надо делать и что не надо.
Вы понимаете и расписались, к каким активам компании получаете доступ через это устройство.
До пандемии на это реально смотрели буквально несколько процентов компаний. Большинство организаций либо это просто не волновало, либо они закрывали глаза на риски.
Сейчас у каждого домашнего гаджета есть выход в интернет — ноутбук супруги, планшет ребенка, ваши умные часы. Когда каждое устройство становится невольным гостем рабочей IT-инфраструктуры — вот это очень страшно.
И тут большинство компаний поняли: "ой ой, что что-то идет не так". Надо кардинально менять какие-то вещи.
Поэтому проблем стало больше.
Профиль атак злоумышленников, может быть, не сильно поменялся — но он сфокусировался на удаленке.
Про популярность VPN
Опять же, в разы возрос спрос на этот софт — появилось много поддельных сервисов.
Они ничего не делают, но позиционируют себя как VPN.
Про фишинг на новых привычках людей
На удаленке мало кто может работать с той же эффективностью, что и в офисе. Мы начинаем смотреть сериалы, шопиться, еще что-то делать.
Соответственно, много преступников стали "подделываться" под мультимедийный контент, под новые сериалы, музыку, фильмы, которые еще не вышли в кинотеатрах.
Люди стали потреблять мультимедийный контент в огромном количестве. А злоумышленники стали под это подстраиваться.
И все в таком духе.
Про цифровую гигиену
Я всегда во всех выступлениях говорю — вы можете инвестировать десятки, сотни миллионов долларов в инфраструктуру, закупить сервера, закупить дорогостоящие технологии.
Но все это будет бесполезно, если ваш сотрудник будет кликать на сомнительные ссылки в мессенджере, открывать зараженные письма.
А с фишингового письма начиналась каждая крупная киберэпидемия в Казахстане и мире за последние десятилетия.
Короче. Можно инвестировать все деньги, которые есть. Но это ни к чему не приведет.
В этом случае самое главное направление внутри компании — это security awareness, осведомление и повышение уровня киберграмотности.
Про психологию безопасности обычного юзера
Это одно из глобальных стратегических изменений психологии, которого надо достичь.
Не стыдно спросить. Не стыдно спросить у экспертов. Не стыдно посмотреть на рынке. Не стыдно спросить у профильных компаний, которые этим занимаются.
Спросить — как надо?
Не стыдно болеть, стыдно не лечиться. Это ровно такая же тема.
Поэтому, в первую очередь, надо воспитать в себе интерес и желание решать проблемы через знания, а не через негативный опыт.
Классическая тема — учиться на своих ошибках. Поэтому первое — надо начать спрашивать.
Про опасность Zoom и Google Disk
Если говорить конкретно про Zoom, мне кажется, больше всего несовершенство этого и подобных ему инструментов стало видно в образовательной сфере, когда все глобально сначала туда перешли, а потом поняли — всё это сложно и не работает.
По Zoom десятки примеров, десятки советов, что нужно делать, чтобы не стать жертвой преступников. Но совет всего один. Включать здравый смысл.
Делаете конференцию в зум — не надо вешать ссылку у себя на страничке в соцсети.
Особенно, если это закрытое мероприятие.
Сделайте закрытую комнату, введите пароль, включите авторизацию пользователя организатором встречи. Думайте об этом.
Не надо скачивать Zoom на "левых" сайтах, зайдите на официальный сайт. Попросите вашего IT-специалиста, чтобы он это сделал.
Злоумышленники сотнями тысяч распространяли эти поддельные файлы — со встроенными блокировщиками, шифраторами, троянами. Просто маскируясь под платформу ВКС и не только. Вот таких примеров было огромное количество во время пандемии.
Это продолжает расти. Поэтому здесь здравый смысл — узнать, спросить, почитать. И, конечно, быть бдительными, как в случае с телефонами, мессенджерами и всем остальным.
Потому что Zoom — это всего лишь инструмент. И вообще, сегодня много инструментов для совместной работы. Почти все используют тот же Google Диск или его альтернативу.
Но мало кто читает и знает о том, что, если неправильно сделать настройки или иногда просто потому, что вот так это работает — все твои условно секретные документы начинают индексироваться в поисковике.
Было огромное количество кейсов, утечек, расследований, интриг, чего-то еще. Которые были основаны на том, что Google проиндексировал документы, а они остались в публичном доступе.
Я видел много мероприятий, где организаторы просто делают для модераторов или для себя общую папочку на Google Диске. И начинают туда выкладывать копии паспортов.
Я один раз написал таким: "Ребята, вы понимаете, что вы сейчас попали?".
Я вернулся как-то с командировки, из одного отеля в Бишкеке. Там была сетевая папка в общем доступе на вайфае. С локального компьютера на ресепшене. Там было 1500 копий паспортов и 1000 заполненных форм кредитных карт. Включая копии с обеих сторон. Просто 1000 этих сканов лежали в общей папке, подключенной к серверу.
И это простые вещи, которые любой человек, не айтишник, может понять, если чуть включить здравый смысл и подумать головой.
Поэтому не стыдно не знать. Стыдно не спросить, как это сделать правильно.
Про контроль удаленных сотрудников и DLP-подход в утечках данных
Есть ли что-то плохое в том, чтобы руководитель компании желал контролировать своих сотрудников? Нет. Это осознанное легитимное бизнес-желание.
Вопрос в степени, инструментах и их законности. И в правильной организации процесса.
Большинство компаний начинают с покупки DLP (Data Loss Prevention — предотвращение потери данных). А это в корне неправильная история.
Покупку DLP надо начинать за год до самой покупки — с классификации и категоризации ваших данных. И с наведения порядка в документообороте.
Потому что, если вы купили DLP, но не понимаете, чего кому можно, чего нельзя, где какие документы лежат, как они должны выглядеть — ваш DLP будет лежать год мертвым грузом.
Либо вы просто врубите рубильник.
А на следующее утро его отключите. Потому что ваша компания перестанет работать.
Есть два классических сценария работы DLP — в разрыв и в копию.
В разрыв — это когда ничего нельзя, пока я не разрешу. И тут же у вас появляется целая служба безопасности, которая только сидит и этим занимается.
В копию — это в целом рабочий механизм, когда вам всё лениво, вы просто сидите и смотрите. Если что-то происходит — вы идете в архив.
Давайте пороемся, посмотрим, кто это сделал. Работа проведена большая, основательная, но никому не нужная.
То есть в условиях постфактум утечки данных, вам, конечно, будет приятно узнать, кто это сделал, но для бизнеса пользы практически никакой.
Про легитимность и документы в защите данных
А есть еще более интересный процесс. Это процесс легитимности.
Ну вот вы нашли, кто у вас что-то с работы скопировал, взял. Если это не субъект авторского права — дальше всё интересно.
Если у вас суровая СБ, а сотрудник условно молодой или наоборот в возрасте, боящийся всего? Ну хорошо, теоретически вы можете ему что-то сказать: "Дорогой, все у тебя будет плохо, давай ты это самое".
А теперь представим, что сотрудник молодой, дерзкий и он видел это всё далеко.
Скажет: "Да, и чё? Давайте посмотрим документы".
Где написано, "что вот так и вот так, где написано, что я не имел на это прав?".
И в 99% случаев у вас нет ни одного легитимного документа, кроме, может быть, NDA. И тот написан криво, через одно место. Скопирован из Google первой строчкой выдачи.
Это политика по защите персональных данных.
Это очень круто — когда на 95% казахстанских сайтов вы начинаете тыкать. И тот счастливец, который дочитывает документ до конца, видит ссылки на законодательство РФ.
Первая строчка Google, драфт какой-нибудь на российском консультанте. Скопировал, вставил, забыл.
Здесь тоже самое.
В большинстве компаний в принципе не готовы документальная база, чтобы сотрудника ставить в неловкую позу, если он что-то украл.
И это тоже аспект DLP, поэтому говорить о том, что плохо ставить софт — плохо.
Единственный правильный способ прийти на путь защиты своих данных, помимо человеческой работы с людьми — это привести в порядок свои документы.
Это как классическая история, когда хотите кого-то уволить.
Если человек слаб духом или ему всё надоело, он уходит сам. А человек, который не уходит сам? Он: "Ну давайте, расскажите мне, почему вы хотите меня уволить". Вы ему говорите: "…а ты вот это и вот это не делаешь".
А где это написано?
И тут вы выясняете, в первый раз за 20 лет, что у вас в компании, оказывается, нет должностных инструкций. Я эти ситуации много раз видел у клиентов. То есть это очень типичная задача.
Ровно все то же самое с темой ИБ. Прежде чем пытаться покупать ненужный софт — начните выстраивать процесс в компании.
Теперь по поводу человеческого отношения и всего остального. Это еще более важная история. С управленческой точки зрения, это заблуждение — что можно всё решить только хорошим отношением. Это, к сожалению, не так. Есть инсайдеры, нельзя всегда быть хорошим и так далее.
Но нормальное выстраивание рабочих процессов, майлстоунов, KPI, контроля за исполнением реперных точек — это многое дает.
Грубо говоря, если вы понимаете, что сотрудника надо уволить, потому что он плохо работает, то вы это слишком поздно поняли. Как правило.
В сухом остатке.
Использовать нелегитимный или легитимный софт может быть не всегда хорошо. Но куда хуже применять его, не выстроив перед этим документальную базу, не начав реально контролировать как люди работают.
Предъявлять постфактум. Предъявлять надо всегда в процессе, а лучше до.
Потому что постфактум предъявлять поздно.
Про выстраивание стратегии безопасности в компании
Давайте попробуем опереться на эту историю. Условно, средняя или небольшая компания, у которой есть директор, есть круг руководителей.
В лучшем случае, у них есть выделенный администратор, IT-специалист, IT-директор.
Либо это аутсорс. Директора по инфобезу там, как правило, нет. Если есть, это либо большой бизнес, либо крутой стартап, где технологии и люди делают как надо.
Что делать всем остальным?
Первый правильный шаг — системная история. Это правило здравого смысла и рациональности.
Представителю малого и среднего бизнеса не нужно по первости тратить миллионы или даже сотни тысяч долларов на кибербезопасность.
Есть несколько факторов, которые должны быть обязательно, программа минимум, фундамент.
Первый фактор
На каждом компьютере должно быть лицензионное, вовремя обновляющееся, антивирусное ПО. Это гигиена. Причем, если это малый бизнес, окей, это может быть персональный софт. Но начиная от 15-25 компьютеров — это должен быть продукт для СМБ.
Различные small-office версии, которые существуют у вендоров. В том числе — у "Лаборатории Касперского".
Это нужно не потому, что хочется содрать больше денег. Наоборот, СМБ-продукты стоят гораздо дешевле на круг.
Это нужно для того, чтобы вы могли дорогущее время вашей компании не тратить на настройки или на удаленных специалистов.
Чтобы удаленно настроить, сделать одинаковые политики, сделать красиво, и чтобы это могло работать с учетом облаков, которые вы используете.
Второй фактор
Это четкое и внятное наведение порядка с инструментами совместной работы.
Google — не Google. Не важно. Это файлообменники, средства удаленной коммуникации, удаленного доступа, VPN.
Что означает навести порядок?
Это значит — должны быть не обязательно супердорогие, но платные, нормальные, купленные, не скачанные с кряковых сайтов программы. С техподдержкой, которая может вас проконсультировать, если что-то идет не так.
Это лицензионные версии. И это версии, которые всем понятны. И там нет темного айти. Dark IT, серые инструменты — огромная беда среднего, малого и даже крупного бизнеса. Когда ты настроил себе 2-3 инструмента, а у тебя сотрудник все равно сам ставит четвертый, пятый, шестой.
В итоге вся компания получает заражение.
Третий фактор
Это тот самый security awareness. Необязательно это делать каждый месяц, каждую неделю. Но хотя бы раз в полгода собирать людей, рассказывать, обучать, информировать про свежие угрозы — это очень важно.
А в идеале — провести фишинговое тестирование. Посмотреть, кто купится, а кто нет. Чтобы найти слабое звено.
Вот три совершенно базовых вещи, которые должны быть еще до всего остального. Это самая базовая гигиена, которая есть.
Дальше начинается все остальное.
Но все остальное начинается с выделенным сотрудником. Либо с выделенной функцией. Если у вас в стратегии компании нет ИБ и сотрудников в штате — а это всё условное хобби — даже не начинайте этим пользоваться.
Просто три пункта, про которые я сказал и всё.
Четвертый фактор
И четвертый важный момент, который лежит фундаментом, платформой для всей этой истории — документы.
В вашей компании должны быть в порядке все основополагающие документы, которые касаются IT и цифровых технологий. Либо которые касаются сотрудников в целом.
Начиная с должностных инструкций, заканчивая правами доступа, настройками, политиками безопасности. Вот это обязательно.
Не надо делать это для галочки. Не надо делать это, чтобы скачать из интернета и просто сделать.
Пусть эта политика состоит из 5-10 заповедей.
Просто директор садится вместе с айтишником, или один, если он толковый — берёт чистый лист и пишет.
Понятным языком.
Про упрощение и политику безопасности
- Не кликай на фишинговые ссылки.
Да, причем простыми словами. Здесь не нужен канцеляризм.
- Не ходи на порносайты в рабочее время.
- Не кликай на тупые ссылки в мессенджеры.
- Не переводи тенге человеку, которого ты не видел 10 лет, и он просит срочно до зарплаты.
- Не прицепляй корпоративную или личную карточку, на которой лежат все твои накопленные средства за 10 лет, к аккаунту такси.
Не надо усложнять.
Один из ключевых тезисов, с которыми мы работаем, и лично я все время говорю его IT-директорам. Ребята, вы очень крутые, но вы слишком сложные. Вы пытаетесь сложные вещи объяснять еще сложнее. А ваша задача — продавать ваши идеи.
Вы как IT-специалист, как ИБ-специалист должны продавать вашу функцию, вашу миссию. Вы должны безопасность внутри компании — продать каждому пользователю.
Поэтому, чтобы это сделать — это надо понять.
Это как старый анекдот, про покойного Бориса Николаевича. Когда он говорит Чубайсу, я не могу экономику понять:
— Ну Борис Николаевич, сейчас сядем, чайку попьем, я вам все объясню.
— Нет, Толя, я объяснить сам могу. Я понять не могу.
Вот это ровно такая же история.
Сели, написали 10 заповедей кибербезопасности. Можете понять и объяснить? Всё.
Вот политика безопасности. Ничего больше не надо.
Эти скрижали повесьте на рабочем месте. Вы уже на 100 шагов ближе к безопасности, чем остальные 99 компаний вашего региона.
Про тренды и будущее
Первый прогноз. Лучше не будет. Будет только хуже. Поэтому оптимизма, даже сдержанного испытывать не стоит. Злоумышленники будут расти и размножаться.
Второе.
Это для представителей крупных компаний. Для объектов критической инфраструктуры, для банков. Целевые атаки будут все больше усложняться и использовать где-то "зоопарки", где-то удаленку, где-то просто несовершенство ПО и железа.
И, при этом, все это будут целевые атаки, которые будут таргетированы. Не какие-то абстрактные — из Бразилии или Штатов. Мы страна, которая интересна злоумышленникам. Мы стоим на самом переднем краю их интереса, на переднем краю борьбы, по сути. Это важно понимать.
Если говорить про средний и малый бизнес, то все больше будет драка за мобильный рынок. За устройства.
Мы видим, что уже всё можно делать со смартфона — можно будет делать еще больше.
И, конечно, в погоне за технологиями, за хайпом, за модными функциями, производители будут все меньше успевать думать о безопасности.
У меня мак или линукс, у меня вирусов под него нет. И все здорово? Нет.
Если вы купили айфон и макбук, если у вас есть Apple ID, значит у вас там карточка привязана. А там хоть копеечка присутствует. А раз так, значит злоумышленникам вы очень интересны.
Поэтому битва за мобильные устройства будет всё сильнее.
"У меня нет ничего ценного на телефоне, кому он нужен?" — вот это всё — классическое заблуждение любого бизнеса, особенно малого.
Мы никому не нужны? Это фигня. Вы всегда интересны злоумышленникам.
Неважно, кто вы, сколько зарабатываете, чем занимаетесь — они придут и заберут у вас всё самое ценное, ваши цифровые активы, ваши прекрасные документы, остатки ваших денег, ваши личные фотографии.
Поэтому будьте к этому готовы. Никому не доверяйте, проверяйте все, что приходит к вам извне. В мессенджерах, в почте, в телефоне, еще как-то.
Потом проверьте еще раз.
Если вам кажется, что что-то слишком хорошо, чтобы быть правдой, то это, как правило, мошенничество. Короче — будьте параноиками и вам воздастся.
Эпилог
Любое 100% обеспечение безопасности — не существует.
Я про это говорю последние полгода на всех крупных форумах. Это самый большой челлендж, вызов, профессиональная задача для всех людей, кто занимается кибербезопасностью.
Обычно классические безопасники — это такие типа "товарищ майор". То есть люди часто из числа бывших сотрудников органов. Они привыкли за физическую безопасность отвечать.
Это классические СБ. Рыцари плаща и кинжала.
Вот время таких людей подходит к концу. Бизнес хочет от них другого.
Он хочет, чтобы они прошли этот путь из точки "вам нельзя" в точку "как сделать, чтобы вам было удобно и безопасно работать".
И если они этого не сделают — останутся на обочине истории.
И вот задача сделать безопасно, комфортно и удобно — это задача этих людей.
И каждый из них должен найти это решение сам. Никакого универсального рецепта не существует. Волшебной таблетки не существует. И 100% безопасности тоже не существует.