О том, к чему в 2018 году пришла отрасль информационной безопасности, куда в первую очередь направлены кибератаки, как веерные, так и целевые, и как от них защититься, читателям «Континента Сибирь» рассказывает управляющий директор «Лаборатории Касперского» в России и СНГ СЕРГЕЙ ЗЕМКОВ.
— Как вы оцениваете динамику рынка информационной безопасности в вашей зоне ответственности – на фоне тех же Европы, Китая, Северной и Южной Америки?
— Если оценивать результаты на фоне глобальных среднерыночных показателей, финансовые итоги 2017 года для «Лаборатории Касперского» оказываются выше среднего по рынку. Рост продаж в долларах по России и СНГ составил 34%; рублевый прирост получился несколько меньше, поскольку рубль в том году укреплялся относительно американской валюты. Прирост консолидированной выручки за 2017 год – 8%, объем – 698 млн долларов.
Если сравнить регионы по объемам продаж, лидеры с прошлого года не изменились – это Европа, Северная Америка, Россия и СНГ, именно в таком порядке. Но динамика такова, что Россия и СНГ постепенно перемещаются с третьего места на второе: в нашем регионе продажи растут, а в США и Канаде напротив, сокращаются.
— Какое направление можно назвать флагманом прошедшего года?
— Наибольший рост по итогам 2017 года показал сегмент Non-endpoint. Это специализированные решения и услуги, выходящие за рамки базовой защиты рабочих станций и устройств – сюда входит, например, защита от DDoS-атак, защита от целевых атак, расширенная техническая поддержка и так далее. За год это направление выросло на 61%.
— Насколько хорошо себя чувствовал корпоративный сегмент рынка?
— В корпоративном сегменте, в первую очередь, в сегменте крупного бизнеса, прирост по выручке получился выше, чем в среднем по всем клиентским направлениям. В корпоративном сегменте в целом выручка выросла на 13% за год, в крупном бизнесе – на 30%. Крупный бизнес – основной потребитель персональных продуктов в сфере ИБ, свыше половины продаж приходится именно на большие компании.
— А какое место в списке заказчиков занимает государство?
— Государственные заказы мы также относим к корпоративным, ведь по сути государство – тоже корпорация, которой нужен кастомизированный продукт. Между прочим, на государственные структуры атаки идут даже интенсивнее, чем на корпоративные – и не только с целью наживы. Часто мотивом служит обычный вандализм, нанесение ущерба. В целом государство – очень активный участник процесса цифровизации услуг для населения и бизнеса и занимает хороший кусок рынка ИБ-систем. Как минимум половина корпоративного сегмента «Лаборатории Касперского» в России приходится на государственные структуры.
— Насколько бизнес, в первую очередь крупный, сегодня подвержен угрозам из киберпространства и чем ему это грозит?
— Если оценивать совокупный ущерб от атаки, куда входит не только кража денег и информации, но и репутационные потери, простои и так далее, то в сегменте СМБ средняя потеря, по нашим оценкам, составляет 4,3 млн рублей, в крупном бизнесе – 14,3 млн. Что касается того, насколько вероятен риск попасть под атаку – по нашим оценкам, в 2017 году каждая компания в России пережила хотя бы один инцидент в области ИБ. Именно этот год стал наиболее разрушительным: один зловред WannaCry сжег не меньше миллиарда долларов, пострадали такие гиганты, как Renault, Nissan, и другие крупные компании, в том числе российские.
Сейчас одним из главных слабых мест в защите стало постепенное стирание грани между корпоративной сетью, устройствами, хранилищами данных и т.д., и личными гаджетами сотрудников и другими «внешними» каналами связи (в т.ч. облачными). И если корпоративную инфраструктуру владельцы бизнеса стараются защитить, то про личные устройства сотрудников часто забывают и это становится для злоумышленников открытой дверью. Только сейчас бизнес приходит к пониманию того, что система безопасности должна быть комплексной и включать в свой периметр все устройства и среды, которые так или иначе имеет доступ к корпоративным данным. Это видно в том числе и по тому, как меняется спрос на наши продукты.
— Если атака целенаправленная и бьет точно по слабому месту, от нее можно защититься?
— Современная система ИБ может противостоять целевым атакам, но это очень сложная работа. Если судить по данным последних 5-7 лет, каждая пятая (или даже каждая четвертая) атака на корпоративную сеть – целевая. То есть злоумышленники знают, какая используется защита, где есть слабые места, скорее всего, кто-то из них работает в самой компании.
— Каждая пятая атака – это по России?
— Да, данные российские, но тренд глобальный: доля целевых атак в разных странах примерно одинакова. Но их сложность с каждым годом растет. Можно сделать однозначный вывод: простой защиты, которую обеспечивает сетевой антивирус, уже недостаточно. Сегодня характер угроз и их качество настолько изменились, что мы, как производители ИБ-решений, должны предлагать более широкий ассортимент как программ, так и сервисов – в том числе консультационных.
— Выделяет ли «Лаборатория Касперского» борьбу с целевыми атаками в отдельное направление?
— Безусловно, эта ниша уже существует, но ее нельзя в полной мере назвать «защитой от целевых атак». Потому что защититься от них в принципе невозможно и этого не гарантирует ни один производитель. Задача наших продуктов – как и всех остальных – первым делом, обнаружить саму атаку. А она случается не сразу, подготовительные этапы некоторых атак могут длиться неделями и месяцами. Затем – определить уязвимости, через которые злоумышленник пытается проникнуть. А таких уязвимостей очень много. Несколько лет назад на долю целевых атак приходились считанные проценты, сейчас в среднем по России – 22%. Серьезная прогрессия. И самое печальное, что борьба с целевыми атаками становится с каждым годом все более сложной, а их проведение – все более простым. Злоумышленники разыскивают и копят незакрытые уязвимости в программах и устройствах, делятся своими находками в Даркнете, заказывают конкретные атаки на конкретную организации. Однако методы противодействия всему этому постоянно совершенствуются. Например, среди наших сервисов, есть своего рода разведка «в тылу врага»: наши эксперты по кибербезопасности выясняют, не ведется ли разработка и подготовка атаки в отношении наших клиентов.
— Если вы обнаруживаете, что идет атака на пользователя – что дальше?
— Наша задача – предупредить о том, что атака идет или готовится, сообщить подробности и дать рекомендации. Окончательное решение о принятии каких-либо мер остается за клиентом.
В топ-3 уязвимых отраслей я бы выделил промышленность, ритейл и медицину — здесь внедрение систем инфобезопасности только начинается
Основной принцип нашей работы – сделать так, чтобы затраты злоумышленников на организацию целевой атаки были, как минимум, соизмеримы с результатами, которых они хотят добиться. Проще говоря, чтобы преступнику было попросту невыгодно это делать. Это как квартирный вор перед двумя дверьми – одну нужно вскрывать полдня, рискуя попасться, а вторую можно открыть шпилькой за полминуты. Кого он с большей вероятностью решит обокрасть?
— Какое звено в информационной защите чаще всего оказывается самым слабым?
— В 90% случаев это человеческий фактор. Даже если не считать спланированных акций по взлому, чаще всего дверь злоумышленникам открывают фишинговые ссылки, по которым переходят невнимательные сотрудники, пренебрежение в информационной гигиене (например, при общении в соцсетях). Ликбез по информационной безопасности значительно снижает риск атаки на корпоративных клиентов. Еще очень важный момент – научить сотрудников правильно реагировать на компьютерные инциденты. Их ни в коем случае нельзя скрывать: для успешного расследования и минимизации негативных последствий нужно как можно быстрее понять, где образовалась брешь в защите и что преступники успели украсть.
— Какие отрасли вы бы назвали самыми уязвимыми?
— Я думаю, многие назовут, в первую очередь, банки – и окажутся неправы. Да, действительно, финансовая отрасль была и остается самой «вкусной», с точки зрения злоумышленников, целью. Но финансовые компании прекрасно это осознают, а значит, стараются выстроить максимально устойчивую систему безопасности. Поэтому в топ-3 уязвимых отраслей я бы выделил промышленность, ритейл и медицину – здесь процесс внедрения систем информационной безопасности только начинает выходить на релевантный уровень, поэтому и страдают эти компании сильнее, чем банки. Если для банка, например, нормально выделить на защиту 25% всего ИТ-бюджета, то ритейл сегодня на такое вряд ли пойдет.
— Многие считают, что промышленная сеть не связана с интернетом, поэтому угрожать ей нельзя…
— Это в корне ошибочное мнение. WannaCry уже дал понять, что в промышленную сеть проникнуть очень даже можно. Мы сами регулярно проводим аудиты, тесты на проникновения – и владельцы предприятий с удивлением узнают, как много устройств на самом деле имеют выход в интернет. Это обязывают делать сами производители электронных устройств, чтобы иметь возможность обновлять прошивку и контролировать качество оборудования. По нашим данным, в 2017 году на каждом втором промышленном предприятии случилось от одного до пяти киберинцидентов. Причина проста – выстроенной и хорошо функционирующей структуры информационной безопасности в этой сфере часто нет вообще и компании теряют на этом в среднем по полмиллиона долларов в год. Между тем, доля целевых атак в промышленности выше, чем в среднем по рынку – 36%.
— А финансовую отрасль напротив, считают одной из самых рискованных…
— Именно потому, что банки живут в условиях постоянных атак на свою инфраструктуру и клиентов и вынуждены при этом соответствовать высоким требованиям со стороны регулятора – они хорошо защищены. Для ритейла, например, таких требований нет: они сами определяют, какой уровень защиты им нужен и сколько денег на это тратить. И самое печальное, что в некоторых отраслях, в частности, медицине, нет заявленного ущерба от кражи данных, хотя нарушения ФЗ-152 «О персональных данных» налицо. Сколько раз мы видели, как личные данные пациентов утекают в интернет, как валяются на свалке кипы выброшенных медкарт – но заявления нет, а значит, нет и ущерба. А если бы пользователи обратились с исками в Минздрав – может, дело и сдвинулось бы с мертвой точки. А пока им просто незачем вкладываться в инфобезопасность, если «сверху» никто этого не требует.
— Если рассматривать не в плане уязвимостей, а в плане внимания злоумышленников – кого можно включить в топ-3?
— Про финансовую сферу можно и не говорить – это цель номер один. Номером два можно назвать госсектор, а третьим – пожалуй, топливно-энергетический комплекс. Лично мы видели несколько крупных атак на нефтяную отрасль. Еще телекоммуникации – инфраструктура, критичная для функционирования государства. Именно те отрасли, которые можно отнести к критически важным, чаще всего и атакуются.
Финансовая отрасль была и остается самой «вкусной» с точки зрения злоумышленников целью
— Может ли злоумышленнику помочь наличие в корпоративной сети личных гаджетов?
— Тут снова вступает психологический фактор: для многих пользователей смартфон по-прежнему ассоциируется, в первую очередь, с устройством связи, а не с компьютером, которым, в сущности, он сегодня является. Если защита ПК для них – это обязательное условие для работы в интернете, особенно если на нем хранятся рабочие данные, то защитой смартфона они часто пренебрегают. Пользователи пока не понимают, что это такое же устройство с данными, которые можно скомпроментировать, перехватить, продать. Более того, там важных данных может быть даже больше, чем на ПК: это и привязанные банковские карты, и личная информация, и много чего еще. Мы стараемся убедить наших пользователей, что данные надо защищать, где бы они ни хранились: на жестком диске, смартфоне или в облаке.
— В Сибири, по вашим данным, в большинстве сегментов угрозы ниже среднероссийских, пусть всего на 1-2%, но ниже. С чем это может быть связано: мы лучше защищены или попросту неинтересны взломщикам?
— С одной стороны, конечно, можно говорить о том, что пользователи в Сибири лучше защищены. С другой, я предполагаю, что уровень подготовленности пользователей должен быть выше. К сожалению, стопроцентной ясности здесь достичь невозможно.
WPBuild.Ru