2016-й стал годом противоречий. Большая часть значимых государственных и коммерческих инициатив в области кибербезопасности были противоречивы по своей сути и не выдерживали минимальной проверки на здравый смысл. Ландшафт кибербезопасности не просто усложнился, но стал перенасыщенным разного рода фейками и лозунгами ради лозунгов, авторами которых становились даже солидные государственные институции. Отдельная проблема — отсутствие полноценной возможности отличить внешнюю кибератаку (например, трояна-шифровальщика) от прикрытия внутреннего хищения — например, со склада, которому уничтожение учетной базы ой как на руку.

В кибербезопасности стало очень просто запутаться — оценить уровень угроз и реальность обсуждаемых требований, спланировать адекватные меры и уложить их в стройную дорожную карту стало сложно даже для представленных в России гигантов нефтегазового и промышленного секторов мировой экономики с десятками и сотнями специалистов по кибербезопасности.

Отдельная проблема — проявившаяся в самом конце 2016-го зона рисков Интернета вещей, масштаб будущих проблем с которым пока невозможно профессионально оценить даже в первом приближении.

Государство

Государство в 2016 г. выпустило большое количество еще не внедренных толком документов (например, Доктрину информационной безопасности), показало «кузькину мать» не реализовавшему 242-ФЗ LinkedIn и продолжило разработку ГосСОПКИ — Государственной системы мониторинга кибератак.

Персональные данные — 242-ФЗ и блокировки. Закон 242-ФЗ был призван вернуть контроль за персональными данными граждан России. Получалось это у него с переменным успехом, часть организаций «взяла под козырек», часть успешно игнорирует закон и по сей день, благо ресурсов Роскомнадзора еле-еле хватает, чтобы проверять дочерние компании и представительства иностранных корпораций. Стоит отметить, что в Турции и Пакистане функционируют аналогичные законы.

Кстати, в 2016 г. PayPal ушел из Турции вследствие ужесточения требований местного финансового регулятора, который потребовал, чтобы все базы данных о клиентах PayPal располагались на национальной территории и чтобы при хранении и обработке этих данных использовались исключительно турецкие информационные технологии.

Учитывая первую в России крупную блокировку доступа к ресурсу из-за несоответствия требованиям по персональным данным (LinkedIn), международным ИТ-гигантам стоит задуматься о перестройке своих архитектур в децентрализованном стиле, так чтобы персональные данные клиентов хранились в странах присутствия, а централизованно (для аналитики) — лишь обезличенные данные. Кстати, модная нынче технология блокчейн работает как раз по децентрализованному принципу.

На этом фоне создание Национальной системы платежных карт (НСПК) видится априори полезным и для простых граждан, ведь теперь гипотетическая блокировка Visa и MasterСard Роскомнадзором хотя бы не повлияет на операции по картам внутри России.

ГосСОПКА. За прошедший год ГосСОПКА вышла из младенческого возраста. Во-первых, появились первые публичные ласточки — Центр обнаружения, предупреждения и ликвидации последствий компьютерных атак (КЦОПЛ) госкорпорации Ростех, правительство Самарской области, тендер АФК «Система», намерение ФСО привлечь ГосСОПКУ для создания и обеспечения работы закрытой государственной сети RSNet. Во-вторых, появился первый хоть как-то похожий на путеводный документ «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА».

Однако в приватных беседах участники рынка признаются, что ГосСОПКА в ряде проектов выступает просто зонтичным брендом, что с одной стороны понятно (бренд сильный, постоянно продвигается ФСБ и иногда даже президентом), с другой — как бы этому бренду не повторить судьбу окрика «Волки! Волки!» из всем известной байки.

Впрочем, бурного развития рынка кибербезопасности за счет ГосСОПКИ так и не произошло, и вряд ли это произойдет раньше 2018 г. — государственный бюджет год от года секвестируется в реальном выражении, а экономика подает довольно слабые признаки роста. Кстати, в приватных беседах участники рынка признают, что ГосСОПКА (центральный сегмент) не только не готова к полноценной работе, но и начнет реализовываться в полной мере только после принятия законодательной базы по критическим информационным инфраструктурам (КИИ). Соответствующий закон, проходя инстанции, изрядно «похудел», и теперь, например, пищевая промышленность не входит в КИИ. Возможно, немедленный эффект от проблем с пищепромом и не будет заметен, но все же — в случае масштабных проблем есть-то что будем, коллеги? Тем более что географически ближайшие и мощнейшие поставщики агропродукции из ЕС отрезаны от российского потребителя российскими санкциями.

Лишь весной планируется и утверждение президентом РФ Положения о ГосСОПКЕ, вероятно наконец-то утвердят и вышеупомянутые Методические рекомендации, а значит рачительным ведомствам вполне можно подождать — и реализовывать свои центры мониторинга кибератак по уже утвержденным нормативным документам.

Видимо схожие соображения посетили и принимающих решения лиц, раз руководитель одного из известнейших в стране центров мониторинга атак публично агитировал: «дорогу осилит идущий» и «главное начать». Очевидно, несмотря на наличие серьезной компетенции и сильный бренд, очередь к нему не стоит.

Импортозамещение и куда бежать дальше

Тренд импортозамещения в 2016-м показал свою полную силу. Перспективные архитектуры кибербезопасности государственных организаций резко перекрасились в триколор, а утверждение «у нас единственное отечественное решение в этом классе» стало если не гарантией, то поводом попадания продукта на пилот в те топовые организации, в которые азиатские и ноу-нейм бренды, а также стартапы раньше и на порог-то не пускали. Впрочем, остались единицы понятных ниш в кибербезопасности со всего одним российским продуктом, ведь осознавая тренд российские разработчики начали активно выводить на рынок продукты, а иногда и приобретать исходный код заграницей. Не отстают и западные вендоры, которые иногда не прочь передать код и права в Россию доверенным партнерам.

В итоге избалованные качественными глобальными технологиями заказчики не дают спуска импортозамещателям, для которых данная история пока не принесла больших прибылей — приходится постоянно дорабатывать продукт и получать негативную обратную связь от заказчиков. Реальными бенефициарами импортозамещения стали давно известные отечественные продукты, получившие возможность увеличить рыночную долю без существенных вложений, а также стартапы и новые бизнесы, которые благодаря Реестру российского ПО и тектоническим изменениям на рынке хотя бы получили шанс вклиниться в старую нишу или застолбить новую.

Отдельно отмечу сформировавшуюся в том числе из-за импортозамещения особенность олигополистических сегментов рынка ИБ. В этих сегментах разработчики иногда всем своим видом показывают, что «они давно на рынке», «есть в реестре», «нас все знают» и «если вас что-то не устраивает, то это ваши проблемы — выбора особо нет». В итоге разработчики недополучают доходы и прибыль, так как заказчики отвечают на подобный подход массовой заменой технических мер организационными — процедурами, политиками и перекладыванием обязанностей решать технические вопросы на сервис-провайдеров. В конце концов все наоборот — это у вендоров по кибербезопасности «выбора нет» — нет других клиентов, особенно у тех, кто работает на выполнение гостребований, а клиенты всегда могут придумать, как передать выполнение определенных требований на сторону, сделать угрозу неактуальной в модели угроз, закрыть риски проверок с помощью политического влияния или написать все-таки качественное обоснование использования западного решения, благо технологических отличий хватает. Другое дело, что большинство клиентов де факто не используют большинство возможностей продуктов — но это уже другая история.

Политические атаки

Как и ожидал автор, в 2016-м было несколько атак турецких хакеров против российских организаций — в частности взломаны сайты посольства РФ в Израиле, саратовского «Экономбанка». Однако разрешение конфликта с Турцией сгладило остроту угрозы, а известная арабская группировка Syrian Electronic Army (что взломала твиттер Обамы в 2013-м) была не столь активна — видимо, масштаб разрушений в Сирии и большое количество присутствующих там акторов не позволили ей сфокусироваться на российских информационных ресурсах.

В марте 2016-го был создан волонтерский альянс украинских хакеров Ukrainian Cyber Alliance. В него объединились группы FalconsFlame, Trinity, RUH8, «КиберХунта». Вместе с группой Ukrainian Cyber Army члены альянса провели десятки взломов веб-порталов ДНР/ЛНР. Атаки против российских ресурсов отмечены не были, однако налицо публикации о взломе электронной почты и ПК помощника президента РФ Владислава Суркова, а также учетных записей ВКонтакте 15 лиц, которых RUH8 считает сотрудничающими с ДНР/ЛНР. По-видимому, любые формы сотрудничества с ДНР/ЛНР повышают виктимность организаций в отношении таких волонтерских киберопераций. Впрочем, в случае усиления конфликта хакерские группы могут переключиться на российские информационные ресурсы.

Киберсанкции

Возможность киберсанкций против России реализовалась гораздо жестче, чем предполагал автор — в самом конце 2016-го сразу целый ряд российских юридических и физических лиц были помещены в санкционные списки «из-за вмешательства в политический процесс США». Позже представленные компетентными органами США индикаторы компрометации (IoC) оказались спорного качества, по ним под «российских военных хакеров» можно забрить минимум процентов 10 всей многотысячной русскоязычной киберпреступности (значительная часть которой не из России, т. е. вряд ли согласятся атаковать политические партии США по заказу Министерства обороны РФ). Интересно, что под санкции попала и известная в узких кругах компания ООО «Цифровое оружие и защита» (ЦОР, или ZORsecurity).

Основательница компании Алиса Шевченко опровергла свое сотрудничество с государственными организациями в принципе, с другой стороны — Forbes в 2014 г. писал о том, что в числе ее клиентов Министерство обороны РФ. Зная практики редакционной работы ведущих деловых изданий, можно утверждать, что издание вряд ли привело бы какие-либо факты без согласования с объектом статьи. Вне зависимости от реальной связи ЦОР с Минобороны, неоднократных упоминаний работы на известные ИБ-компании «Диалог Наука» и «Информзащита» (среди клиентов которых есть организации как систем МО РФ, так и ФСБ), оригинального для рынка откровенного названия «Цифровое оружие и защита», слогана «Агрессивная защита информации» и многочисленных заявлений на сайте и в прессе продвинутых способностей по поиску уязвимостей и разработке эксплойтов в наше нервное санкционное время вполне достаточно, чтобы загреметь под санкции. В связи с этим игрокам рынка кибербезопасности разумно определиться — они работают с российскими силовиками или с западными организациями. Похоже, иметь бизнес и с теми, и с другими одновременно будет сложно, ведь все западные банки как минимум будут очень осторожно и медленно осуществлять платежи «санкционным» компаниям и лицам.

Среди членов «группы риска» упомянутые в том же издании «Информзащита», «Инфорус», Group-IB, а также известные продажами систем безопасности за рубежом «Лаборатория Касперского», Dr. Web, Positive Technologies, Infowatch, Zecurion, «Инфотекс», Qrator. Этим компаниям лучше не особенно распространяться, как они хорошо умеют искать уязвимости или разрабатывать эксплойты — как минимум, до момента идентификации драйверов риска и выработки мер по управлению санкционным риском.

В 2016 г. по России прошел «губернаторопад». Сразу целый ряд губернаторов и их заместителей потеряли свои посты по разным причинам — от уголовных дел до недостатков в финансовой дисциплине и социально-экономическом развитии. Отключение региона от света (уже имели место из-за кибератак в Ивано-Франковской и Киевской областях Украины), направление поддельных пресс-релизов в региональные и федеральные СМИ, публикация частных подробностей жизни губернатора — только малая часть риск-кейсов пренебрежения региональными властями тематикой кибербезопасности. Региональные власти в 2017 г. отдадут больше предпочтения прагматичной безопасности, возможной на основе существующих технологий и Open Source, частично деприоритезировав инвестиции в соответствие нормативным требованиям регуляторов (комплаенс) — ведь социально-экономическое развитие и электоральная стабильность всегда будут важнее комплаенса.

Бизнес

В 2016 г. целевые атаки на бизнес «прорвались» в медиа, еще в начале года сразу с пяток банков показали инциденты с прямым финансовыми ущербом в десятки и сотни миллионов рублей. В сочетании с атаками на личные устройства VIP-пользователей сложилась мотивация акционеров и менеджмента предприятий увеличить инвестиции в кибербезопасность. Если раньше ею в основном занимались топовые холдинги крупных отраслей, банки, телекомы и государственные предприятия, то сегодня ей серьезно занялись лидеры всех секторов, даже традиционно консервативных в отношении к кибербезопасности ритейла и агропрома.

Массовые кибератаки. Королем-2016 массовых кибератак на бизнес стали шифровальщики, а под конец года напомнили о себе и DDoS-атаки (обе разновидности можно отнести к категории разрушительных атак). Шифровальщики нацеливались как на ПК так и на бизнес-системы, например базы «1С». А ведь посредством решений «1С» производится и учет на складах, где все, что не учтено — потеряно. Автору известен именно такой инцидент, где один из складов производственной компании полностью потерял свою учетную базу, так как CEO отказался платить вымогателям («Я не веду переговоров с террористами»).

Шифровальщики будут расти как угроза, так как ввиду использования биткоина перед киберкриминалом намного менее остро стоит проблема отмывания денег. Обычно сервис отмывания денег (т. н. «грязи») стоит десятки процентов от похищенного (в зависимости от поставщика услуг по отмыванию). Но, биткоин во многом решает ключевую проблему киберкриминала — вывод денежных средств. Киберкриминал может теперь рассчитываться как напрямую биткоином, так и с помощью различных платежных карт, в том числе с помощью распространенных международных платежных систем (таких, как Visa в одном из проектов). Ситуация чем-то напоминает эпидемию блокировщиков в 2009-2011 гг., которая была остановлена только после ужесточения мобильными операторами и правоохранительными органами контроля канала вывода средств (премиум-сервисы мобильных операторов). А пока досталось даже МВД в лице ГУВД Казани, в котором в конце 2016-го была зашифрована база расчёта зарплат «1С».

Целевые атаки. Основными публичными жертвами целевых атак в России в 2016-м стали банки. В начале года совокупный ущерб превысил полмиллиарда рублей, но актуальность целевых атак на банки несколько снизилась после активных действий компетентных органов. Увы, компетентные органы имеют возможность проявлять себе во всем своем блеске только после потерь на миллионы и десятки миллионов рублей, в других случаях у них просто не хватает ресурсов.

Кроме банков страдали все бизнесы — в первую очередь от целевого фишинга (Business Email Compromise, BEC). Злоумышленники формируют легитимно выглядящее письмо от руководителя организации на бухгалтера, и тот высылает им деньги на указанный счет. Проблема такой атаки в отсутствии вредоносного кода или атаки на инфраструктуру, с которыми привыкли бороться подразделения кибербезопасности. В теории надо было бы инвестировать в повышение осведомленности пользователей (security awareness), но это длинный и сложный процесс, а целевой фишинг наносит урон уже сейчас. Более эффективной мерой будет восприятие этой проблемы в свете внутреннего контроля — если в организации принято отправлять деньги просто по письмам от руководителя, значит процесс надо менять, если не принято — надо менять бухгалтера, который даже не уточнил столь щекотливый вопрос напрямую у руководителя. Также может помочь компенсация потерянной суммы из премиального фонда бухгалтерии, что автоматически включит в головах бухгалтеров «коллективный разум» — никто не захочет подставлять коллектив и каждое такое письмо неизбежно пройдет анализ далеко не одного человека.

Критическая инфраструктура. Безопасность киберфизических систем (АСУ ТП) похожа на неуловимого Джо — вроде есть определенное количество инцидентов, но конкретных бизнес-эффектов не видно ни в России, ни в мире. Нет ни подтвержденных цифр ущерба, ни упоминаний в биржевых отчетах промышленных компаний (несколько лет назад именно так рынок узнал об крупном инциденте в Qiwi), ни понимания как инциденты повлияли на долю рынка, экологическую либо промышленную безопасность предприятия, региона или страны. Вероятно поэтому тема продвигается в первую очередь требованиями правительств. Столь неопределенные, но очевидно существенные риски, интересны именно им, так как у правительства в целом более длинный горизонт планирования, чем у бизнеса. Те же корпорации, что все таки подошли «к снаряду», столкнулись в проблемами «зоопарка» систем и сопротивления производителей АСУ ТП. Например, по данным FireEye (отчет Security Predictions 2017), порядка 30% уязвимостей в системах АСУ ТП не имеют устраняющих их обновлений в принципе. Такая ситуация требует применения компенсирующих мер, а значит системного подхода к идентификации, оценке и управлению проблемами кибербезопасности АСУ ТП. Вероятно, в кибербезопасности АСУ ТП расцветут разного рода итеративные либо методологически проработанные подходы — с тем, чтобы снизить риски ошибок и выработать компенсирующие меры по очереди. В 2017-м правительства продолжат драйвить тематику, так как для них она актуальна ввиду сложной геополитической обстановки, в которой именно кибератаки могут стать оружием победы («той самой соломинкой, что переломит хребет верблюду»). В отсутствие публичного и всем понятного крупного инцидента (человеческие жертвы, экологическая катастрофа, разрушение оборудования) бизнес вряд ли массово будет заниматься безопасностью киберфизических систем. Впрочем, с точки зрения рынка кибербезопасности тематика будет существенно расти — в первую очередь за счет эффекта низкой базы.

Комплаенс. 2017-й в том числе будет годом подготовки к соответствию требованиям европейской директивы по защите персональных данных (GDPR), которым нужно будет соответствовать уже в мае 2018 г. Директива распространяется и на российские организации, обрабатывающие персональные данные граждан. По идее, в том числе и на государственные организации (например, налоговую и миграционную службы). Но в отличие от бизнесов у таких госорганизаций в ЕС нет активов, операций и долговых обязательств — а значит принудить их исполнять GDPR будет проблематично. В силу весьма свободного характера требований по безопасности GDPR — если кратко, «данные должны быть адекватно защищены, а в случае инцидента соответствующее уведомление должно быть подано» — увеличится спрос на консультантов и архитекторов по безопасности, которые должны будут ответить на вопросы, что такое «адекватно» и как этот уровень безопасности спроектировать, реализовать и продемонстрировать в случае пост-инцидентного расследования. GPDR начинает создавать давление и на российский рынок труда в кибербезопасности через «разогрев» европейского. Хотя явление пока не приобрело характер массового, люди уже уезжают (в Польшу, Францию, Нидерланды) и несколько компаний уже открыли экспортные ИБ-вакансии в тематиках identity&access management, application security, управление безопасностью.

На 2017-й выпадет и 80% времени для выработки национальных законодательств странами-членами ЕС в рамках имплементации директивы по кибербезопасности ЕС (NIS Directive). А значит по ходу года можно ожидать локальных всплесков требований, что может выразиться в новых требованиях европейских компаний к своим «дочкам» и контрагентам в России, а также усиления давления на рынок труда в кибербезопасности.

Инциденты и угрозы бизнесу. Кибератаки на бизнес в 2016-м были направлены в первую очередь на финансовые организации, взломы «Рапиды» и ОРС в 2015-м получили продолжение в России (Металлинвестбанк, Алтынбанк) и за рубежом — атаки на систему Swift (банки Бангладеша, Вьетнама и Эквадора). В итоге в сентябре 2016 г. SWIFT даже выпустила свои требования по кибербезопасности, применимые ко всем участникам платежной системы, включая тех, кто подключен не напрямую, а через сервисные бюро.

Среди атак индустриальной направленности в 2017 г. вероятны атаки на телекоммуникационные сети, ведь используя их можно собрать много интересной для дальнейшей монетизации информации, а уязвимость распространенной технологии SS7 практически общеизвестна.

Среди кросс-индустриальных атак развитие получат разрушительные атаки. Уже упомянутые шифровальщики расширили охват до такой степени, что существующая зрелость процессов резервного копирования и восстановления уже недостаточна. В одном из известных автору инцидентов резервные копии оказались на том же сервере, что и основная база, и были зашифрованы вместе с ней.

Кроме шифровальщиков под конец 2016-го выросла проблема DDoS-атак, когда IoT-ботнет Mirai провел рекордную 1-Тбит/с атаку. Киберкриминалу так понравились предоставляемые IoT возможности, что они выложили в открытый доступ исходные коды Mirai. В 2017-м IoT освоят и шифровальщики, в том числе атакам подвергнутся относительно традиционные устройства типа банкоматов и PoS-терминалов. Питательная для киберпреступности IoT-среда в сочетании с питательной для любой преступности финансовой биткоин-экосистемой создают идеальный шторм, или «бродячие IoT-риски», в любой момент готовые нанести существенный ущерб мировой экономике. В последний раз подобная ситуация наблюдалась в начале 2000-х, когда уязвимые Windows-среды страдали от огромных червей, реализующих DDoS-атаки на сайт Microsoft.

Потребители

Потребители теперь страдают не только от угроз хищения финансовых активов (средств), но и от угрозы потери данных (троянов-шифровальщиков). Понимая тренд, вендоры ИБ в 2016-м начали в целом двигаться в сторону резервирования и восстановления данных, в частности «Лаборатория Касперского» анонсировала фримиум-сервис FFForget, миссия которого сохранить Facebook-контент несмотря ни на что (взлом аккаунта, его блокировку и т. п.). Похожие возможности в свой продукт для домашних пользователей добавила и Acronis.

Настоящая кибер-боль для пользователей в 2016-м — мобильные угрозы. В первую очередь Android-трояны, от которых страдают все — от учителей до акционеров и CEO крупных компаний. В Android много проблем: фрагментированность платформы — распространенность старых версий ОС с более слабой системой безопасности, разнобой в модельных рядах устройств — под некоторые модели обновлений просто не существует, посредственная безопасность маркетплейса — за год не раз находились фальшивые и зараженные приложений в Google Play, а сторонние маркетплейсы вообще полны черт знает чего (например, поддельных мобильных банков). Пользователям остается лишь использовать мобильные устройства и приложения от известных брендов — скачивать софт из доверенных мест, а также подумать об установке SMS-антиспама (благо есть и бесплатные варианты) и во всяком случае быть бдительными: SMS и звонки от неизвестных номеров несут не только возможности (предложения о сотрудничестве, новые проекты и работу), но и опасность, поскольку киберпреступники уже создали выделенные колл-центры для массового прозвона и «окучивания» пользователей.

Вторая существенная проблема — трояны-шифровальщики. Теперь даже те пользователи, что не используют финансовые интернет-сервисы, — под угрозой потери данных. Так что без резервного копирования уже не обойтись.

Тренд атак на VIP-персоны временно притормозил — целевые атаки выгоднее проводить на слабозащищенные мелкие банки, а в политической сфере сегодня активнее используется пропаганда. Впрочем, учитывая подготовку к выборам-2018, не исключено усиление политических противоречий и использование кибератак как инструмента в межвидовой борьбе внутри политической элиты России.

Стратегии

В заключение хотелось бы сформулировать три актуальные стратегии для обеспечения безопасности бизнеса.

Киберразведка. Усложняющийся ландшафт кибербезопасности усложняет разработку актуального стратегического плана по кибербезопасности. Чтобы максимизировать отдачу от инвестиций в кибербезопасность, необходимо наладить систему раннего оповещения о киберугрозах и рисках (threat/cyber intelligence) — принимать решения, основанные на анализе угроз. Проактивное понимание угроз позволит контролировать риски до нанесения ущерба, разворачивать средства безопасности до того, как они подорожают из-за бума их внедрений, строить масштабируемые и устойчивые ИТ- и бизнес-продукты со встроенной на этапе дизайна поддержкой безопасности.

Раннее планирование восстановления. Наиболее очевидно проблемные для бизнеса разрушительные атаки можно сдержать только тотальным и методичным резервированием информации и мощностей. В крупных корпорациях такие вопросы рассматриваются уже на этапе разработки технического задания на внедрение информационной системы, а актуальность проблемы для всего бизнес-сообщества подчеркивает вышедший под Новый год стандарт Национального института стандартов и технологий США NIST SP 800-184 Guide for Cybersecurity Event Recovery. За океаном уже поняли, что кибератаки невозможно ни полностью предотвратить, ни вовремя выявить, поэтому полноценная безопасность без раннего адресования пост-инцидентного восстановления уже невозможна.

Open Source. Стагнирующие в реальном выражении доходы компаний требуют бережного отношения к средствам. Помочь инвестировать в фокусные области больше, при этом существенно не увеличивая бюджеты по кибербезопасности, может свободное ПО. Благо сейчас по целому ряду продуктовых категорий кибербезопасности свободное ПО решает до 80% задач с существенно меньшей стоимостью владения. Однако, меньшая стоимость владения может быть достигнута только за счет правильной организации выбора, внедрения и эксплуатации технических мер безопасности, так что без определенного роста инвестиций в процессы и компетенции все же не обойтись.