17 июня 2020 г.

Сергей Войнов

Ежегодно на рынке инфобезопасности появляются новые решения. Со временем одни технологии (например, антивирусы) становятся неотъемлемой частью жизни пользователей, другие же уступают место новым трендам. Как менялась отрасль ИБ за последние десятилетия? Что ждет ее в будущем? Об этом — в материале Сергея Войнова, генерального директора компании EveryTag.

По оценкам Fortune Business Insights, общий объем мирового рынка инфобезопасности в 2019 году составил 112 млрд долларов, и в ближайшем будущем он будет расти в среднем на 12,6% в год. Данные Accenture еще более впечатляющие — компания прогнозирует, что уже к 2021 году объем мирового рынка ИБ увеличится на 66% и составит 202 млрд долларов.

Столь стремительный рост спроса на защитные IT-решения продиктован развитием технологий и многократным повышением финансового и репутационного ущерба от потенциальной утечки данных. Но так было далеко не всегда. Еще 20 лет назад об ИБ задумывалось не так уж много компаний. И вот почему.

2000-2010

Начало этого периода характеризовалось тем, что ИБ, по сути, еще не была сформирована как цельное направление в кибербезопасности. В то время я работал на позиции консультанта в Robertson&Blums Corporation и проджект-менеджера в «Микротест». Как и другие специалисты, мы считали, что основная угроза для компаний исходила от внешних источников. Поэтому приоритет во внедрении отдавался антивирусному ПО и системным настройкам, которые могли бы защитить локальные сети от хакерских атак (к примеру, DDoS-атак или взломов серверов).

Все стало меняться с постепенным переводом все большего количества информации из аналогового в цифровой формат, причиной которому стал выбранный бизнесом курс на автоматизацию бизнес-процессов. Критически важные корпоративные данные теперь размещались на CRM-платформах и в системах электронного документооборота. Однако недостатком технического прогресса было то, что в новых реалиях доступ к чувствительной информации получало множество сотрудников компаний. В результате данные нужно было беречь уже от утечек изнутри.

Это побудило IT-специалистов на создание первых DLP-систем (Data Leaks Protection). Они контролировали перемещение документов внутри периметра организации, входящий и исходящий трафик. При попытке сотрудника «слить» конфиденциальные данные через электронную почту или съемное устройство система блокировала действие и оповещала о нарушении службу безопасности. В российских перечнях рекомендаций гос. регуляторов сведения об этой технологии появились еще в 2005 году. Еще одним распространенным решением стали IRM-системы (Information Rights Management) c функцией управления правами доступа к файлам.

Подобные IT-системы значительно сократили риски утечки информации, но не исключили их полностью. Слабым местом всех решений в то время стала их неспособность уберечь данные от утечки, если их переводили из цифрового в аналоговый формат (например, выводили текст/изображение на экран монитора или распечатывали на бумаге). Затем злоумышленник мог просто воспользоваться цифровым фотоаппаратом, продать фото документов и остаться безнаказанным. Еще тогда я обратил внимание на эту незакрытую боль, но в то время количество инцидентов, связанных с утечками корпоративных данных, было небольшим, а уровень технологий не позволял решить эту проблему.

2010-2020

В начале 2010-х я возглавлял IT-направление в крупной телеком-компании и внимательно следил за переменами на рынке ИБ. Эти изменения провоцировало стремительное развитие технологий, в том числе используемых в смартфонах. Камеры в этих устройствах довольно быстро стали превосходить в качестве и функционале цифровые фотоаппараты, у смартфонов также появилась возможность сделать скриншот экрана и добавилась масса других полезных для инсайдеров функций. При этом количество переводимой корпоративной информации из аналогового формата в цифровой также продолжало увеличиваться.

Все это привело к тому, что инсайдеры стали одной из главных угроз для безопасности данных компаний (по статистике EY, 56% всех утечек в мире сейчас происходит по вине сотрудников, а в России этот показатель и вовсе доходит до 88%). Возможность сливов информации через фото экрана, распечатанных документов или скриншоты, которую по-прежнему не могли закрыть действующие IT-системы, ударила по отрасли с новой силой.

Особенностью такого способа стала ранее невозможная для методов похищения данных простота использования — с задачей мог справиться даже неискушенный в IT-технологиях сотрудник. Больше не нужно было писать специальную программу/ вирус для взлома системы или применять методы стеганографии, достаточно было сделать скриншот или фото и переслать его заказчику, задействуя личные, не привязанные к корпоративной сети, аккаунты. При этом инсайдер оставался совершенно безнаказанным, так как защитные IT-решения на тот момент были неспособны вычислять таких нарушителей.

Запреты на использование личной техники или введение систем строгого мониторинга работы сотрудников для многих компаний были контрпродуктивными решениями, поэтому на рынке ИБ созрела необходимость в новых IT-системах. Наша организация также столкнулась с подобными инцидентами. Поэтому я постоянно находился в поиске новых решений, способных справиться с инсайдерскими утечками данных.

Одним из них стала ILD-система (Information Leaks Detection). Она позволяет вычислять источник утечки данных при помощи специального алгоритма. Каждый раз, когда сотрудник открывает какой-либо документ, алгоритм автоматически подменяет оригинал файла на уникальную копию, наделенную индивидуальными метками. По этим меткам можно точно определить, кто и когда работал с документом, а в случае утечки — установить виновника.

Эта технология, как и многие другие, не может полностью исключить вероятность слива данных, но обладает довольно мощным превентивным эффектом. Ведь зная, что инсайдер в любом случае будет найден и привлечен к ответственности, персонал реже решается на такие действия. Практика также показывает, что при введении таких защитных систем постоянные нарушители нередко прекращают компрометирующую деятельность — желание подзаработать быстро уступает место страху разоблачения.

2020 и дальше

Сейчас на рынке инфобезопасности окончательно сформировалась концепция Zero Trust, в основе которой — недоверие как ко внешним, так и к внутренним каналам передачи информации. По-прежнему сохраняется необходимость совершенствования защиты от внешних атак — по оценкам экспертов, в среднем каждые 14 секунд в мире появляется новое вредоносное ПО. При этом продолжает расти число утечек по вине сотрудников — по данным отчета Ponemon Institute, за последние два года количество таких инцидентов выросло на 47%. Это стимулировало компании увеличить расходы на нейтрализацию угрозы инсайдеров на 31%.

Здесь нужно отметить, что сотрудники могут становиться инсайдерами и поневоле, сливая информацию случайно, например, используя ненадежные пароли или поддаваясь соблазну перехода по фишинговым ссылкам. На сегодняшний день халатность персонала компаний — причина утечки данных в 62% случаев. В этом контексте также становится важным обучение сотрудников правилам инфобезопасности — трудно считать, что корпоративная информация полностью защищена от кражи, если самым популярным паролем ежегодно становится комбинация «123456». От IT-компаний в этом случае можно ожидать как переосмысление подхода к разработке рекомендаций по обучению сотрудников правилам «цифровой гигиены», так и создание технологий, предотвращающих случайные утечки.

При этом специфика новых угроз для бизнеса также заключается в том, что все больше данных компании предпочитают хранить в облачных хранилищах. В связи с этим увеличивается количество инцидентов, связанными с виртуальными серверами — уже в 2018 году более 70% утечек ценной информации произошло именно через популярные облачные системы, и по прогнозам эти цифры в будущем будут только расти. Поэтому все большее распространение, скорее всего, будут получать защитные системы, способные без помех интегрироваться в интерфейс виртуальных хранилищ данных.

Еще одно перспективное направление — разработка решений, способных эффективно бороться с набирающими популярность дипфейками. Да, пока уровень технологий злоумышленников не позволяет создавать почти неотличимый от оригинала контент, но в ближайшем будущем это может измениться. Вопреки расхожему мнению, от дипфейков страдают не только звезды шоу-бизнеса и политики. Компании уже несут потери — так в октябре 2019 года босс неназванной британской энергетической фирмы по ошибке перевел 200 тысяч фунтов преступникам в ходе аудиозвонка. Он был убежден, что разговаривает с главой другой немецкой компании, поэтому когда собеседник срочно попросил его оплатить счета общего поставщика, потерпевший моментально согласился. Где мошенники получили образцы голоса — неизвестно. В теории они могли использовать видео с YouTube, интервью, подкасты и даже записи живых выступлений для создания базы данных образцов. Нетрудно предположить, что схожими способами можно похитить не только деньги, но и другие ценные для компании ресурсы. И тогда бизнесу потребуются решения, способные распознавать дипфейки со 100% точностью, в режиме «здесь и сейчас», ведь потенциал финансовой и репутационной угрозы, которую таит в себе эта технология, огромен.

В целом можно отметить, что как и прежде, для компаний самым эффективным способом защиты остается комплексный подход. Ведь не существует идеального IT-решения — любая технология в ИБ защищает бизнес только от конкретных видов угроз. Сочетание нескольких IT-систем, дополняющих друг друга в комплексе — наиболее безопасная стратегия, хотя и довольно затратная и непростая в интеграции. На мой взгляд, компания, которая в будущем сможет создать единый продукт, максимально защищающий бизнес как от внешних, так и от внутренних угроз в многофункциональном исполнении, может сорвать «большой куш» на рынке ИБ.

Источник: Сергей Войнов, генеральный директор компании EveryTag