Аналитики Positive Technologies выяснили, что контроль над критически важной информацией компаний, среди которых находятся банки, телекоммуникационные операторы и учреждения госорганов, могут получить злоумышленники с минимальными знаниями. Это объясняется тем, что компании используют устаревшее ПО, повышающее риск возникновения уязвимостей.
Как результат, в 20% случаев ИТ-системы структур содержат опасные уязвимости. Зачастую такие проблемы с программным обеспечением игнорируются долгие годы.
В ходе исследования выяснилось, что главные проблемы – уязвимости веб-приложений, использование словарных паролей, пишет «Ъ». Тем временем, в 2016 году объекты критической инфраструктуры подверглись семидесяти млн кибератак, сообщили в ФСБ.
По Вашему мнению, с чем связан высокий процент компаний, которые не обновляют ПО? Как их можно стимулировать делать ИТ-системы безопасными?
Проблема «необновляемости» программного обеспечения сегодня носит комплексный характер: у компаний находится немало причин, чтобы не заниматься этим. Времена, когда распространенность пиратского ПО была колоссальна, а механизмы его обновления сознательно отключались администраторами, уже давно прошли. Сегодня превалируют иные причины такой ситуации с (не)обновлениями, среди которых можно выделить основные:
1. Обновление ПО в крупных инфраструктурах без должного тестирования вносимых изменений может привести к остановке многих ИТ-систем и бизнес-процессов, которые на эти системы завязаны. Это, в свою очередь, приведет к существенным потерям для бизнеса компаний.
2. Многие образцы ПО, применяемых в различных ИТ-системах, уже не поддерживаются производителем (например, нашумевший случай с аэропортом Париж-Орли, где до сих пор использовалась Windows 3.11). Однако по каким-либо причинам это ПО не может быть заменено на более современное: нет аналогов, дороговизна обновления, нарушение функционирования объектов инфраструктуры и т. п.
3. Ошибки конфигурации систем обновления ПО, когда неверно выставлена приоритезация установки групп обновлений, интервалы и частота установки обновлений; отсутствует мониторинг состояния обновленности компонентов ИТ-систем.
Как следствие, становится очевидной необходимость внедрения полноценной системы управления обновлениями и конфигурациями ПО, что, в свою очередь, ведет к развитию и повышению уровня зрелости ИТ-процессов компаний и организаций. Невозможно реализовать отдельно систему управления обновлениями и при этом не увязать ее с системами защиты периметра сети организации, системами мониторинга событий безопасности, системой антивирусной защиты и т. д. Такая взаимоувязка систем и процессов друг с другом позволит построить оптимальную по защищенности и бизнес-эффективности ИТ-среду организации и снизить ущерб от простоев ИТ-систем, что само по себе становится огромным стимулом для реализации подобных концепций. Вместе с тем, здесь кроется четвертая причина плачевной ситуации с обновлением ПО: системный, концептуальный подход к выстраиванию ИТ- и ИБ-процессов в организации — сложный и кропотливый проект, требующий экспертного подхода и определенных затрат. Далеко не все организации готовы и способны реализовать подобный проект, поэтому и оставляют ситуацию с обновлениями в критическом состоянии.
По Вашему мнению, с чем связан высокий процент компаний, которые не обновляют ПО? Как их можно стимулировать делать ИТ-системы безопасными?
Одной из фундаментальных причин, на мой взгляд, является общее состояние экономики. Ситуация меняется каждый день, и что будет дальше – никто не знает. И в таких сложно прогнозируемых условиях многим компаниям в буквальном смысле приходится выживать. Как следствие – происходит сокращение функций, которые не относятся к прямому зарабатыванию денег. Под этот «срез» попадают и ИТ в целом, и безопасность в частности, которые зачастую воспринимаются руководством бизнеса как обеспечивающие направления, некие «расходные статьи» бюджета.
Иногда подход «экономить на всем» может привести к масштабным последствиям, которые мы наблюдаем чуть ли не каждый день. Например, когда крупная финансовая организация экономит на том, чтобы развернуть «горячий» резерв основной банковской системы. Понятно, что в случае сбоя все банковские процессы могут встать на несколько дней, что в современных условиях уже грозит потерей бизнеса. То же самое – с вирусами-шифровальщиками. Для своевременного обновления конфигураций и их поддержки в актуальном состоянии нужно постоянно следить за выпуском обновлений и инициировать их, что опять же упирается в финансовые и человеческие ресурсы. И здесь вопрос не столько в повышении ИБ-грамотности топ-менеджмента и сотрудников корпораций, хотя это всегда дает положительный эффект, сколько – в управлении рисками. А это тоже процесс, который постоянно надо поддерживать.
Считаю, что разомкнуть этот «порочный круг» можно двумя способами. Первый – на законодательном уровне, как в случае с 152-ФЗ. При этом нужно иметь ввиду, что жесткие административные меры иногда оказываются не эффективны, при желании везде можно найти «лазейки». Второй и наиболее надежный вариант – создание условий для общего оздоровления экономики и повышения инвестиционной привлекательности ее субъектов. Приведу пример. До кризиса 2008 года, когда наша страна была интересна для иностранных инвесторов, в российских компаниях получали широкое распространение методологии CobiT и ITIL. Они как раз содержат рекомендации и примеры лучших практик по построению ИТ-процессов для основных функций бизнеса. В целом, соответствие международным нормам и требованиям, увеличивает шанс получить инвестиционные ресурсы. И такая стимуляция хорошо работает. Но, к сожалению, рецессия дала о себе знать, и большинство компаний перешло на ручное управление.
По Вашему мнению, с чем связан высокий процент компаний, которые не обновляют ПО? Как их можно стимулировать делать ИТ-системы безопасными?
1. Высокий процент компаний, не обновляющих ПО, связан с экономией денежных средств. Несколько видов экономии приводит к подобным результатам:
1) экономия на расходах сервисной поддержки используемой в компании ПО. Зачастую обновления программного обеспечения предоставляются, только в рамках действующих соглашений (при соответствующей оплате) о сервисной поддержке. Компании частенько на этом экономят;
2) экономия на персонале. Компании сокращают финансирование ИТ и в первую очередь постоянные расходы. К сожалению, заработная плата входит в эту категорию расходов. Почти всегда в средних и крупных компаниях не хватает ресурсов ИТ-персонала. Перегрузка персонала и низкая квалификация «недорогих» ИТ-сотрудников выливается в игнорирование базовых принципов поддержки жизненного цикла ИТ-систем. Все это, в конечном счете, приводит к плачевному состоянию вопросов безопасности;
3) менталитет руководства подобных компаний. Безопасность ИТ неосязаема для многих людей, не связанных с ИТ-технологиями. Выделять существенные денежные средства ввиду этого достаточно сложно, психологически.
Однако следует отметить, что «перегрев» темы обязательности обновлений приводит к отсутствию понимания вопросов информационной безопасности в целом. Выполнение обновлений является «одной из тысяч» задач, на которые необходимо обращать пристальное внимание при защите ИТ-систем.
2. Стимуляция компаний, игнорирующих вопросы безопасности, - «вопрос» весьма абстрактный. Все дело в том, что существует прямая связь между зависимостью бизнеса от ИТ и желанием бизнеса заниматься вопросами безопасности. Другими словами, чем больше компания зависит от своих компьютерных систем, тем вероятнее, что эта компания будет заниматься вопросами ИТ-безопасности. Весьма заметный рост доли «ИТ-зависимых» компаний за последние 10 лет является тем самым естественным, стимулирующим фактором.
Попытки искусственной/насильственной стимуляции приводят к обесцениванию самой темы информационной безопасности. Выполнение формальных требований различных стандартов по ИБ приводит в «формальному» выполнению этих требований. Реальная защита от актуальных киберугроз выходит далеко за рамки стимулирующих воздействий. Мотивация приходит от знаний или в результате приобретения собственного «печального» опыта.