В Москве 20-21 мая состоялся международный форум по информационной безопасности Positive Hack Days 10: Origin. Здесь за два дня прошло около 70 мероприятий, включая как бизнес-доклады, где представители индустрии рассказывали о новых проблемах и рассуждали о перспективах развития информационной безопасности, так и практические треки по кибербезопасности. Будущее открытого кода, создание центров противодействия киберугрозам, кейсы по выявлению и закрытию уязвимостей, промышленная безопасность - лишь часть тем, поднятых на форуме. Подробнее о том, как прошел Positive Hack Days 10: Origin, - в материале Волга Ньюс.
The Standoff: город в опасности
В прошлом году форум Positive Hack Days проходил в онлайн-формате. В этом году, как раз юбилейном, PHDays решил громко напомнить о себе. В Международном центре торговли в Москве была организована масштабная встреча "пиджаков" и "футболок" по привычным принципам конференции: как можно меньше рекламы и как можно больше реальных кейсов и задач.
Центральным событием стала работа самого большого в мире киберполигона The Standoff, где проходило сражение за город между атакующими - теми, кто ищет уязвимости в системе, и защитниками - теми, кто пытается предотвратить атаку. Для этой битвы был спроектирован цифровой двойник - прототип реального города, где работали магазин, парк развлечений, железная дорога, аэропорт, светофорная сеть, деловой центр, промышленные предприятия, электрогенерирующие конструкции, нефтедобывающие компании, банки и т.д.
Битва началась 18 мая и шла четыре дня в круглосуточном режиме. За это время атакам подверглись все системы города. Например, хакеры сумели оставить город без электроснабжения, взломать систему магазина и "купить алкоголь" со 100% скидкой, украсть личные данные сотрудников, изменить систему продажи проездных билетов, обрушить акции нефтяной компании, спровоцировать аварию в порту, снизить нефтедобычу - всего 33 уникальных бизнес-риска.
Защитники подали жюри информацию о 328 случаях выявленных рисков, при этом было расследовано 18 инцидентов, на каждый из которых ушло в среднем пять часов. Всю эту историю можно было видеть на прототипе города: колесо обозрения мигало, нефтяные станки-качалки остановились, здание банка стояло без света.
За битвой в онлайн-формате наблюдало более чем 20 тысяч человек. И хотя все это выглядело лишь сложной игрой, ситуации и бизнес-риски, заложенные в систему, реальны для любого государства и бизнеса: количество кибератак с каждым годом растет, суммы, запрашиваемые хакерами, могут исчисляться уже десятками миллионов. Иллюстрацией к этим тезисам может быть недавняя кибератака на крупнейший трубопровод США Colonial Pipeline, в результате которой компания не могла прийти в себя несколько дней и, по слухам, была вынуждена заплатить выкуп.
Директор по анализу защищенности Positive Technologies Дмитрий Серебрянников рассказал, что далеко не все компании могут быстро закрыть даже выявленные бизнес-риски в установленные негласным правилом 90 дней. И даже простой терминал в магазине может быть взломан и запрограммирован на "воровство". Среди разработчиков распространено убеждение, что если вам продают продукт и говорят, что там не может быть никаких уязвимостей, то его не стоит брать, так как риски есть абсолютно везде и их просто скрывают.
Сегодня главными задачами в сфере информационной безопасности считаются минимизация рисков, удержание контроля над системой, сдерживание потерь при кибератаках, составление реестра недопустимых событий.
На форуме Positive Hack Days 10: Origin как раз и обсуждались стратегии для предотвращения большого урона при кибератаках, актуальные продукты информационной безопасности, участие государства в поддержке отечественных компаний.
Вектор задач
Ни для кого не секрет, что пандемия ускорила темпы цифровизации и в онлайн были вынуждены выйти многие компании и организации, которые при этом оказались не готовы к киберугрозам. В связи с этим количество реализованных рисков значительно выросло. Для хакеров стала привычной схема двойной оплаты - сначала за возможность контроля над сервисом, потом за неразглашение информации о взломе.
Потребность в комплексных продуктах информационной безопасности также возросла, но отношение к киберугрозам со стороны многих компаний остается достаточно поверхностным. Хотя истории с громкими взломами (того же нефтяного трубопровода США) заставляют включаться в игру и государство.
В заключительный день работы Positive Hack Days 10: Origin состоялось пленарное заседание с участием министра цифрового развития РФ Максута Шадаева. Также в обсуждении приняли участие заместитель директора ФСТЭК России Виталий Лютиков, заместитель председателя правления Газпромбанка Александр Муранов, генеральный директор Innostage Айдар Гузаиров, глава Skolkovo Ventures Владимир Сакович. Модерировал беседу генеральный директор Positive Technologies Юрий Максимов.
"Бурное проникновение цифровизации кардинально обостряет все риски кибербезопасности. Сейчас идут дискуссии и в правительстве, и в администрации, и в Совбезе, и их основной смысл сводится к тому, что новые вызовы требуют новых решений по защите. Председатель правительства любит говорить, что нельзя рассчитывать на новый результат, используя старые способы. Я думаю, что уже летом набор мер мобилизации и стимулирования будет выработан для того, чтобы отвечать на новые риски, " - рассказал в самом начале встречи Максут Шадаев.
При этом участники мероприятия признали, что российский рынок информационных технологий сильно зависим от государственных решений и находится в режиме ожидания стимуляции и поддержки от правительства. Среди факторов, сдерживающих развитие отечественного рынка инфобеза, также назвали увлеченность зарубежными продуктами.
Виталий Лютиков отметил три момента: обучение в вузах проходит в основном на зарубежных продуктах (молодые специалисты просто не привыкли работать с отечественными решениями), отношение к кибербезопасности во многих компаниях остается лишь бюрократической рутиной и формальным выполнением предписаний, в отечественных ПО не уделяется должного внимания эргономике и удобству интерфейса.
Юрий Максимов и Айдар Гузаиров согласились, что пристальное внимание необходимо уделять подготовке молодых кадров, а также призвали не забывать о проблеме удержания специалистов. Их коллеги также подтверждают: пандемия показала мировому информационному сообществу, что программиста можно спокойно держать на удаленной работе. Это привело к возросшему запросу на российские кадры из-за рубежа. А конкурировать в уровне зарплат отечественным компаниям пока тяжело. Один из экспертов RBKMoney в беседе на форуме отметил, что за 2020 год средняя зарплата специалистов IT-индустрии удвоилась.
Не обошлось и без вопроса к министру о ситуации вокруг создания аппаратной части для отечественных IT-решений. Максут Шадаев уверил присутствующих, что этой теме уделяется особо пристальное внимание и ее лично контролирует председатель правительства.
Отдельной темой на форуме стояла безопасность банковских систем. Уже на пленарном заседании представитель индустрии Александр Муранов отметил, что банковская сфера кибербеза значительно изменилась за два года.
"У всех крупных банков есть свои команды, которые круглосуточно пишут коды, в удаленном или в других форматах. За два года индустрия банковской розницы с точки зрения софта полностью изменилась. Из банков ушли импортные системы - индийские или американские - и остались только отечественные. Да, многие такие продукты работают на открытом коде, но в России создалась своя индустрия розничных продуктов", - утверждает Александр Муранов.
Тему открытого информационного кода обсуждали и на пресс-брифинге о кибербезопасности в финансовых организациях. Представители RBKMoney и Positive Technologies уверены, что будущее программного обеспечения - в открытом коде (это обеспечивает прозрачность коммерческого предложения и потребитель понимает, что он приобретает). По словам специалистов, такой формат позволяет контролировать больший процент бизнес-рисков, тем самым делая ПО безопаснее.
Организаторы форума из компании Positive Technologies в этом году дополнили название мероприятия словом Origin, знаменуя начало нового времени, новой эпохи. Сейчас одна из самых больших компаний России, с региональными представительствами в том числе и в Самаре, начинает работать над новым подходом к теме кибербезопасности. На форуме состоялась презентация их нового метапродукта - maxPatrol O2, который позволяет автоматически "следить и останавливать" хакера, при этом требуя внимания лишь одного специалиста отдела информационной безопасности, не обладающего какими-то сверхъестественными навыками в работе.
Этот метапродукт отличает комплексность подхода к защите, что сейчас наиболее ценится на рынке безопасности. С этим продуктом, подстроив его под себя, могут работать в том числе большие промышленные предприятия, от которых сегодня и российское законодательство требует соблюдения определенных мер кибербезопасности (№187-ФЗ РФ).
На будущее
Слово "будущее" при разговоре о кибербезопасности звучит часто. Надо отметить, что многие модели, совсем недавно казавшиеся футуристическими (например, хакеры, способные влиять на экономику ведущих стран, или искусственный интеллект, которому можно поручать будничные дела), - уже сегодняшняя рутина. И при этом далеко не все готовы к вызовам настоящего.
Взять хотя бы распространенную схему мошенничества по телефону, когда злоумышленники пытаются выманить деньги у граждан в формате "звонок из банка или МВД". На форуме проговаривалась тема, что операторы теоретически могли бы остановить это безобразие и в других странах именно операторов делают ответственными за устранение подобных проблем, но это, возможно, лишит их большого объема трафика и потребует новых технологических решений.
"Мы тратим много ресурсов на аварнесс, - рассказал Дмитрий Гадарь, вице-президент и директор департамента информационной безопасности Тинькофф. - Например, в сторис в журнале "Тинькофф" публикуется много материалов о мошенникоах, они есть даже в нашем ТикТоке. Помимо этого, моя команда читает лекции в вузах, а я сам выступаю с лекциями в школе, рассказывая об опасности в Интернете. Надо начинать это со школьного возраста и помогать взрослым, которые не готовы к новым угрозам. Однако тема не настолько проста. Если бы я работал в компании - операторе связи, руководство вряд ли разрешило бы отстрелить 30% трафика, генерируемого, возможно, мошенниками, только потому, что мы за мир во всем мире".
В любом случае одна из главных тем для простого пользователя в информационном пространстве - это элементарные правила "кибергигиены", которые необходимо соблюдать с детского возраста. Специально для детей организаторы Positive Hack Days 10: Origin провели в нулевой день конференции The Standoff kids, где в игровой форме обсуждались темы кибербезопасности.
В тот же день при участии директора образовательных программ и проектов Positive Technologies Марии Сигаевой, руководителя направления сервисов киберзащиты CyberART (Innostage) Владимира Дмитриева, руководителя направления по работе с молодежью компании "Ростелеком" Юлии Куклиной, начальника управления по работе с абитуриентами РТУ МИРЭА Веры Роговой и руководителя проектного офиса "ИТ-класс в московской школе" (МЦКО) Петра Зобкова провели пресс-конференцию "Цифровая грамотность детей: кто за нее в ответе". Все спикеры сошлись во мнении, что правилами пользования Интернетом необходимо учить детей с самого юного возраста: помимо того, что ребенок может сам стать жертвой злоумышленников, он также может быть проводником к информации о его родителях. Также спикеры отметили, что ответственность за воспитание грамотного пользователя информационными технологиями лежит и на родителях, и на школе, и на государстве. Не раз во время беседы было подчеркнуто, что необходимо формировать культуру поведения в киберпространстве как у детей, так и у их родителей.
В этом году PHDays посетило более чем 2 тыс. человек. Для более чем 70 мероприятий были организованы студии, лаунж-зоны, переговорные, technical village и hardware village. Здесь обсуждались как теоритические вопросы, так и решались практические задачи. Среди партнеров проекта: соорганизаторы Innostage, компании Kaspersky, "Ростелеком-Солар", R-Vision, Security Vision, ICL, Axoft и другие. После форума осталось более 80 часов записи полезных встреч и практических мероприятий, которые можно посмотреть на сайте standoff365.com.