КиберЗОЖ: как работает информационная безопасность для компаний и граждан
Цифровая революция (массовый отказ от аналоговых технологий и переход к цифровым), начавшаяся в 1980-х годах, заложила основы глобализации мировой экономики и возникновения постиндустриального общества, в котором мы сегодня живем. Экономика в таком обществе отличается высоким уровнем инноваций и производительности, а ее ключевой драйвер — успешное применение цифровых технологий. В России этому способствует национальный проект «Цифровая экономика», запущенный в 2019 году по решению президента. Он предполагает комплексную поддержку IT-отрасли и создает условия для развития высокотехнологичного бизнеса, что также подразумевает и гарантии кибербезопасности.
В планах нацпроекта — протестировать свыше 400 государственных информационных систем на защищенность от утечек и воздействия хакеров и усовершенствовать механизмы блокировки фишинговых сайтов, которые имитируют ресурсы государственных органов. Специалисты по кибербезопасности также отслеживают работу подозрительных сайтов и предупреждают телефонное и онлайн-мошенничество, а специальный сервис проверки тестирует мобильные приложения на уязвимость.
Не менее важна подготовка квалифицированных кадров для отрасли кибербезопасности. В 2019 году для практического обучения ИБ-специалистов из различных отраслей по нацпроекту «Цифровая экономика» ПАО «Ростелеком» и Министерство цифрового развития и массовых коммуникаций при участии ГК «Солар» создали Национальный киберполигон на основе платформы «Solar Кибермир». На платформе были развернуты цифровые двойники инфраструктур ключевых отраслей экономики: банковской, нефтегазовой, энергетической, телекоммуникационной и др. Сегодня на платформе проводятся масштабные киберучения по развитию практических навыков кибербезопасности для различных коммерческих компаний, государственных организаций и вузов.
«Безопасность промышленных предприятий — тема, значимость которой остается недооцененной. Ее сложность связана с необходимостью очень специфических компетенций от защитников, будь то внутренний ИБ-департамент или сервис-провайдер, особенностями функционирования технологических сегментов и одновременно максимально недопустимыми рисками от успешной хакерской атаки», — поясняет генеральный директор ГК «Солар» и вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов.
Работа на киберполигонах выглядит так: опорные центры на базе профильных вузов страны (ИТМО, «Сириус» и другие) готовят будущих и нынешних IT-специалистов отражать кибератаки, тестировать программные продукты для поисков уязвимостей в коде. Вузы имеют полный доступ к инфраструктуре полигона, что позволяет проводить учения для отработки навыков. Кибератаки на таких тренировках близки к реальным. За один только 2022 год на Национальном киберполигоне прошло 78 киберучений, а всего за время реализации проекта он подготовил более 3 тыс. специалистов по информационной безопасности.
Одними из первых пройти масштабные кросс-отраслевые корпоративные учения на базе Национального киберполигона смогли сотрудники Трубной металлургической компании (ТМК) и группы «Синара». В рамках трехдневных киберучений команды должны были провести полную инвентаризацию инфраструктуры киберполигона, выявить уязвимости и настроить систему мониторинга событий. На втором дне команды столкнулись с целенаправленными атаками, оценивая свою скорость реагирования и предоставляя отчеты о принятых мерах. В заключительный день были подведены итоги и проведен разбор сценариев нападений на инфраструктуру полигона. Полученный практический опыт помог командам повысить уровень готовности к отражению кибератак и укрепить безопасность рассматриваемой инфраструктуры.
Насколько защищен российский бизнес
Проведенный этой осенью аналитиками ГК «Солар» (компания совместно с Минцифры в рамках нацпроекта реализует программу кибергигиены. — РБК) опрос представителей бизнеса показал яркий контраст между подходом бизнеса к обеспечению кибербезопасности компаний и тем, что действительно способствует их киберустойчивости. Если раньше борьба с киберпреступностью в России строилась следующим образом — на каждый новый вид угроз докупался и устанавливался соответствующий продукт, то сегодня кибербезопасность требует комплексного подхода, говорится в ключевых итогах опроса.
Обеспечение устойчивости бизнеса к киберугрозам, по версии аналитиков ГК «Солар», должно стать частью общей стратегии компании. Рабочие процессы компании, ее деятельности и структура — все должно быть в зоне видимости специалистов по информационной безопасности.
По результатам исследования сегменты b2e («бизнес для корпораций / крупнейших организаций») и верхний b2b чувствуют себя наиболее защищенными — 50% уверены в своем высоком уровне кибербезопасности. Наиболее уязвимыми видят себя представители малого и среднего бизнеса: только 13% говорят, что они отлично защищены.
Совершенно зрелыми себя считают 3% верхнего b2b-сегмента и 2% старшего b2b. 71% старшего b2b и 59% среднего b2b считают, что «много сделано, но есть над чем работать». Из тех, кто низко оценивает собственный уровень защиты, почти половина (47%) ссылается на то, что имеющиеся инструменты не покрывают все их потребности, 45% отмечают отсутствие бюджета, треть — непонимание руководством ценности информационной безопасности.
Каковы, по мнению бизнеса, признаки компании с налаженными процессами защиты:
- Функция информационной безопасности выделена в самостоятельное подразделение.
В крупном бизнесе это реализовано уже у 62% компаний. У 44% компаний, которые относятся к среднему бизнесу, задачи по информационной безопасности растворены в IT-отделе. Это затрудняет как решение конкретных задач, например защиту бюджета, так и развитие направления в целом.
- Наличие модели угроз для оценки рисков.
При этом лишь в трети компаний сегмента среднего b2b имеется модель угроз.
- Включенность CEO в процессы формирования кибербезопасности.
Такую включенность по результатам опроса отмечают 66% респондентов из числа крупных компаний.
Ознакомившись с исследованием, можно сделать вывод, что компании с высоким уровнем кибербезопасности отличает наличие самостоятельного подразделения по информационной безопасности и модели угроз для оценки рисков.
Специалисты также считают, что компании со зрелой системой ИБ отличают следующие факторы:
- ИБ вписана в систему ответственности на уровне топ-менеджмента компании, т.е. в корпоративной политике прописано, за что отвечает генеральный директор, бизнес-руководитель, директор по IT, директор по ИБ;
- компания работает в парадигме формирования киберустойчивости — правильной архитектуры IT, так называемая идеология security by design (интеграция свойств безопасности в будущий продукт наравне с функциональными требованиями);
- ИБ скоррелирована с планом IT-развития компании; интегрирована в IT-процессы, процессы управления изменениями, процессы предоставления доступа и т.д.;
- компания осуществляет постоянный мониторинг и реагирование и создает достаточное количество барьеров на пути киберугроз, чтобы остановить злоумышленника до того, как он нанесет ущерб компании.
Найди уязвимость на «Госуслугах» — получи вознаграждение
Не менее важно обеспечивать защищенность от кибератак государственных инфраструктур, таких как портал госуслуг. В 2023 году Минцифры запустило проект по поиску уязвимостей на портале — так называемый багбаунти (от англ. bug bounty, «поиск ошибок за награду»). Первый этап багбаунти проходил с февраля по май 2023 года. Тогда более 8 тыс. человек проверяли на прочность сайт «Госуслуги» и Единую систему идентификации и аутентификации (ЕСИА). Было выявлено и устранено 37 уязвимостей, а общая сумма вознаграждений пользователям составила 1,95 млн руб.
Сейчас проект расширен на все ресурсы и системы электронного правительства, второй этап будет идти уже 12 месяцев. Кроме сайта госуслуг участники смогут искать уязвимости в Единой биометрической системе, Единой информационной системе управления кадровым составом государственной гражданской службы и других сервисах. Размер награды напрямую зависит от найденной уязвимости — можно заработать 30 тыс. руб. за небольшие баги, но можно и получить до 1 млн руб. за обнаружение серьезных уязвимостей.
Как защитить себя в интернете обычному россиянину
Несмотря на то что вопрос защиты информации и данных становится приоритетным для бизнеса и государства, его стоит рассматривать и на бытовом уровне. Эксперты сходятся во мнении, что ключевым фактором является образование и воспитание правильных навыков кибербезопасности среди населения. Для этого в 2022 году по национальному проекту «Цифровая экономика» стартовала всероссийская программа кибергигиены. Ее цель — привлечь внимание к вопросам кибербезопасности и сформировать у граждан навыки безопасного поведения в интернете.
В рамках проекта Минцифры, ГК «Солар» и СПбГУТ запустили программы:
- КиберЗОЖ. Эксперты рекомендуют подключить двухфакторную аутентификацию в социальных сетях и на портале «Госуслуги». Также быть внимательными к письмам со ссылками и файлами, именам сайтов, не скачивать файлы из непроверенных источников, минимизировать использование открытого Wi-Fi.
- Кибербуллинг. Авторы программы рекомендуют не отвечать на провокации и травлю, сообщить об этом в техподдержку соцсети, поговорить с психологом. Предостерегают эксперты и от того, чтобы выплескивать негатив в интернет — ведь по ту сторону экрана находится такой же человек.
- Прокачай скилл защиты. Разработчики представляют типичные ситуации, в которых злоумышленники могут получить доступ к личным данным. Это может произойти из-за слабых паролей, продажи или обмена аккаунта, перехода по небезопасным ссылкам, которые могут заразить компьютер вирусами.
Также на портале «Госуслуги» появился новый раздел, который посвящен правилам цифровой безопасности — «Кибербезопасность — это просто!», где можно ознакомиться с основными правилами осознанного потребления информации и пользования технологиями и интернетом.
Соблюдение всего нескольких простых правил позволит предотвратить значительную часть кибератак на пользователей и существенно снизит объем финансового ущерба как для каждого отдельного гражданина, так и государства в целом, поскольку в борьбе с киберпреступностью необходимо сочетать усилия бизнеса, государства и граждан, резюмируют эксперты по кибербезопасности.