Отечественные эксперты оценили рынок сервисов кибербезопасности, а также рассказали о ситуации с информационной безопасностью в Казахстане.
Технологический прогресс породил много IT-компаний - прекрасных, но уязвимых к хакерским атакам, компьютерным вирусам и человеческому фактору. Потому что любая утечка информации может привести к большим проблемам: от незначительных финансовых убытков до ликвидации компании. Поэтому технологические предприниматели не жалеют средств на обеспечение информационной и финансовой безопасности.
По оценке консалтинговой компании Accenture, рынок сервисов кибербезопасности растет темпами, аналогичными росту на рынках digital и IT. Accenture прогнозирует, что к 2021 году объем мирового рынка информационной безопасности (ИБ) составит $202 млрд.
Что касается казахстанского рынка, то, по данным службы реагирования на компьютерные инциденты KZ-CERT, в 2020 году число случаев создания и распространения вредоносного программного обеспечения (ПО) по сравнению с 2019 годом увеличилось в 6 раз. Только к июлю 2021 года совершено 3928 атак – на 1428 больше, чем за весь 2020 год. В связи с этим в республиканском бюджете на ближайшие три года – с 2021 по 2023 – на сферу цифровизации, инноваций, аэрокосмической и электронной промышленности, информационной безопасности, топографо-геодезии и картографии выделено 6,7 млрд тенге.
Как и во сколько обходится обеспечение кибербезопасности IT-компании, рассказали эксперты казахстанского рынка.
Александр Бондаренко, директор финтех-компании Wooppay:
- Про кибератаки в масштабах страны говорить не возьмусь, могу лишь судить о количестве атак на наши системы – их число выросло многократно. Вряд ли это связано с коронакризисом. Скорее всего это вызвано утечками данных из социальных сетей, которые пытаются проверить в наших системах, так как на разных интернет-ресурсах люди часто используют одни и те же пароли.
На кибербезопасность компании мы тратим сотни тысяч долларов в год. Считаем в долларах, потому что с международными аудиторами и поставщиками услуг приходится расплачиваться в иностранной валюте. Основными затратами всегда был и остается фонд оплаты труда.
Вопрос «достаточности» специалистов в сфере ИБ всегда граничит с возможностями оплачивать услуги таких специалистов. При хорошем бюджете специалист найдётся. На текущий момент я бы не называл рынок обеспечения кибербезопасности насыщенным и доступным.
Чтобы рассуждать о проблемах в обеспечении Казахстана киберзащитой, необходимо знать текущее положение дел, в том числе и тех, что за закрытыми дверями. Где необходимо, все под контролем у государства. Я бы больше исходил из фактов, что мы немного слышим об утечках данных с государственных ресурсов и ресурсов финансовых институтов страны, и это, на мой взгляд, крайне важно. Значит, государство хорошо работает в этом направлении. Проблемы кибербезопасности небольших компаний всегда будут актуальны, потому что оплачивать дорогостоящие услуги на постоянной основе не каждому по карману.
Вопрос рекомендаций по предотвращению целевых атак довольно обширный. Нового ничего не скажу, так как самим порой приходится очень трудно. У каждой системы есть свои слабые места, и, как правило, по ним и бьют. Могу посоветовать придерживаться Security Development Lifecycle, и, если не хватает ресурсов на обеспечение безопасности у собственных сервисов, можно найти им замену в SaaS-решениях.
Батыржан Тютеев, технический директор компании Nitro Team:
- За время пандемии число обращений к нам за помощью стало значительно больше, чем когда-либо ранее. Сюда я включаю не только обращения обычных граждан, но и компаний. Атаки вирусов-шифровальщиков – новый тренд среди хакеров, а звонки из банка, получал, наверное, каждый казахстанец. Век цифровизации пришел к нам слишком быстро, люди еще не успели адаптироваться, чем активно пользуются злоумышленники.
Основной источник расходов в нашей компании, помимо зарплат сотрудникам, это непрерывный профессиональный рост за счет получения различных международных сертификатов. В этом году мы выделили чуть меньше 10 млн тенге на группу из 4 специалистов на прохождение курсов и получение соответствующих международных сертификатов. Это очень важно, потому что затраты на предотвращение последствий взлома всегда в разы выше.
К сожалению, специалистов в сфере ИБ недостаточно, что вызывает кадровый голод. На данный момент многие первоклассные специалисты предпочитают уехать из страны и зарабатывать на порядок больше, нежели остаться тут и перебирать бумаги. В основном для наших специалистов нет людей, которые могли бы грамотно организовать рабочий процесс, поэтому лучшие умы занимаются обычной техподдержкой. Я знаю о чем говорю, потому что сам когда-то работал программистом в «Казахтелекоме». Сейчас мы работаем с несколькими студентами из казахстанских вузов, и они показывают превосходные результаты. По большей части это заслуга самих ребят. Они занимались самообразованием и учились вне программы, что дало свои плоды. В будущем, благодаря выпускникам этих вузов, вопрос кадров будет частично решен, по крайней мере в нашей компании.
Еще один немаловажный фактор, почему люди не хотят работать в области ИБ в нашей стране, это обязательное лицензирование. Дело в том, что сейчас деятельность в области ИБ лицензируется, и каким бы крутым специалистом ты ни был, ты должен пройти сертификацию, чтобы предоставлять услуги в этой области. Это душит рынок.
Если говорить о проблемах в обеспечении Казахстана киберзащитой, во-первых, люди слишком сильно надеются на софт. Очень часто, когда мы приходим к заказчику и рассказываем о его проблемах с безопасностью, в ответ слышим: «Просто скажите, какую железку или софт надо купить, чтобы было нормально». Но основная проблема не в этом, а в людях. Даже если купить софт и «железо», нет людей, кто сможет им пользоваться в итоге. Это будет бесполезная трата денег, которые можно было бы пустить на образование сотрудников. Большая часть проблем решается правильной конфигурацией того, что уже есть, а не покупкой чего-то нового. Во-вторых, проблема заключается в тех, кто принимает решения, – в руководстве. Они родились в мире кассетных компьютеров, в то время как на дворе мир гаджетов, когда даже у холодильника есть доступ в сеть. Соответственно, старые методы работы неприменимы в текущих реалиях.
Мой опыт показывает, что если ваша компания стала целью атаки, то так или иначе вас взломают. Это вопрос времени и терпения атакующих. Если вы не обновили свой софт, вас взломают через него. Если же вы проводите патч-менеджмент и у вас нет ни одного устаревшего ПО, то вас атакуют через социальную инженерию. Вас все равно взломают. В особенности это актуально для Казахстана, когда для госсектора ПО пишет подрядчик, который после окончания работы закрывается. И, конечно же, никто не будет вносить изменения в код, чтобы исправить найденные уязвимости. Это приводит к тому, что дыры, которые были найдены пару лет назад, до сих пор остаются открытыми. На них просто закрывают глаза.
В частном секторе ситуация значительно лучше. Мы работаем с одним оператором связи, и вот уже на протяжении двух лет, по предварительному согласию, имитируем с ними атаки хакеров. То есть мы, используя хакерские методы и софт, атакуем их инфраструктуру и сотрудников. Это делается для того, чтобы сотрудники компании были знакомы с методами работы хакеров и знали, как нужно действовать в таких ситуациях. Возможно, если применить этот опыт в госсекторе, наша страна была бы готова к любым ситуациям.
Олжас Сатиев, президент Центра анализа и расследования кибератак (ОЮЛ «ЦАРКА»):
- Однозначно количество киберинцидентов возросло. Это связано с тем, что сотрудники компаний зачастую используют личную технику, которая не всегда соответствует требованиям безопасности. Также стоит обратить внимание на распечатку и сканирование документов, которые на удаленке зачастую делались в непроверенных местах. Отдельный вопрос – это ситуации, когда бизнес-встречи и обсуждение конфиденциальных вопросов проводились в присутствии членов семей, которые могут потом случайно что-нибудь рассказать.
Для любой компании обеспечение ИБ – это комбинация инвестиций в технические, программные и человеческие ресурсы. Хорошей практикой является выделение бюджета на ИБ в размере до 10% от общего бюджета на IT. Большинство затрат на ИБ – это затраты на повышение знаний у сотрудников. Более 50 млн тенге в год мы тратим только на обучение своих сотрудников как в нашей собственной ЦАРКА Академии, так и на получение международных сертификатов - OSCP, OSWE, CISA и т.д. У нас 70 сотрудников, и практически все прошли курсы по ISO 27001, «Безопасность веб-приложений», «Безопасность АСУ ТП-систем» и т.д. На данный момент у нас в Казахстане самая большая и сертифицированный команда практических специалистов в области кибербезопасности.
У нас в стране ощущается острая нехватка специалистов в сфере ИБ. Связано это со многими факторами, один из ключевых – это низкая заинтересованность бизнеса в обеспечении безопасности и конфиденциальности данных сотрудников и клиентов. Нередки случаи, когда представители компаний среднего бизнеса экономят на приобретении лицензионного софта и установки систем ИБ, не говоря уже о содержании специалистов. Основная причина такой «экономии» – слабый контроль со стороны государства в этом направлении. Есть законы о персональных данных, но вот безопасно ли хранятся данные клиентов и сотрудников на условной мебельной фабрике или в пекарне, по сути никто не проверяет.
Основная проблема в обеспечении Казахстана киберзащитой – низкий уровень осведомленности граждан. Непонимание того, что каждый человек должен принимать все меры, чтобы защитить своих данные. Сейчас очень часто граждане сами предоставляют свои данные мошенникам. Или в надежде на легкую наживу переходят на нежелательные сайты, которые им обещают «миллионы». Неосведомленность граждан также проявляется в ситуациях, когда человек открывает свой бизнес, работает и не придает значения вопросу обеспечения безопасности персональных данных своих клиентов. Вы купили цветы через веб-сайт, вам их доставили. При этом компания, которой принадлежит этот веб-сайт, по факту никем не проверяется с точки зрения обеспечения ИБ. И, может быть, завтра мошенники смогут получить ваши данные из базы клиентов этого сайта. Руководители крупных компаний и госучреждений – тоже обычные граждане, которые также не сильно осведомлены в вопросах безопасности.
Принципы обеспечения безопасности едины для всего мира. Наша страна подвержена тем же угрозам, что и США или Россия, поэтому обеспечение ИБ IT-компаний Казахстана абсолютно идентично любой IT-компании, например, в Германии.
Мои рекомендации по предотвращению сложных целевых атак:
- исключительное соблюдение законов, норм и стандартов вне зависимости от того, проверяют их или нет;
- инвестиции в осведомленность сотрудников;
- использование лицензионного ПО и регулярное обновление;
- использование специального ПО, например антивирусов;
- проведение аудитов ИБ.
Нургуль Сейлова, заведующая кафедрой «Кибербезопасность, обработка и хранение информации» КазНИТУ им К. И. Сатпаева:
- Безусловно, пандемия повлияла на количество совершаемых кибератак. Не всегда специалистам ИБ удается с первого раза убедить руководство в требуемых финансовых затратах, но сегодня любая организация, в зависимости от сферы деятельности и масштаба, заботится о своей безопасности.
Специалистов не хватает. Так, в рамках концепции кибербезопасности «Киберщит Казахстана» запланировано ежегодное увеличение грантов на подготовку кадров в области ИБ. Число выпускников через два года в разы увеличится. Нехватка кадров также связана и с квалификацией специалиста. Кандидат должен иметь обширные знания в области информационной безопасности. Хороший кандидат должен знать стандарты и нормативно-законодательную базу, постоянно развиваться, уметь разговаривать на одном языке со специалистами IT-подразделений, бизнес-подразделений и разработчиками.
Нужно понимать, что сложные целевые атаки совершаются людьми с сильной технической базой, у которых есть определенный интерес и мотивация. Поэтому в любой компании, которой есть что защищать, должны быть не менее квалифицированные специалисты. У подразделений ИБ должна быть четкая стратегия по построению многоуровневой защиты от атак.
Источник forbes.kz