Михаил Стюгин: «Кибербезопасность в России должна быть с реальным результатом»

Количество кибератак в финансовом секторе растет год от года. Хакеры меняют свою стратегию и выстраивают более сложные методы взлома. В то же время непрерывно развиваются и технологии в сфере кибербезопасности. Уже сейчас на российском рынке компаниям доступны комплексные продукты для обеспечения собственной защиты.

В интервью изданию «Ведомости Северо-Запад» руководитель направления автоматизации информационной безопасности Positive Technologies Михаил Стюгин рассказал о построении результативной кибербезопасности, почему хакеры атакуют чаще, и как уход с российского рынка западных ИТ-решений сказался на уровне информационной безопасности отечественных компаний.

– Компания Positive Technologies на форуме «Цифротех» в Санкт-Петербурге представила итоги исследования актуальных киберугроз финансовой отрасли. Какие выводы и тренды они продемонстрировали?

– Первое, на что можно обратить внимание, – это ежегодный рост атак на финансовые компании. Среди последствий атак выделяются утечки данных (64%), остановка работы отдельных сервисов или ключевых бизнес-процессов (40%). Подобные выводы мы делали и в прошлогоднем исследовании, тогда доля утечек составляла 51%, а нарушение основной деятельности компании возникало в результате 42% инцидентов.  

По данным Центрального банка России, в первой половине года злоумышленники украли с банковских счетов и карт россиян порядка 4,5 млрд руб. Объем похищенных средств непрерывно растет не первый год, а в 2023 г. увеличился почти на 30% по сравнению со средними показателями 2022 г.

Атаки становятся все более продуманными и подготовленными. Информационные системы есть у любой компании, и с каждым годом они усложняются. Квалифицированность атак приводит к их экспоненциальному росту, а средства защиты информации и количество специалистов не могут обеспечить должную безопасность.

Например, в прошлом году можно было наблюдать тенденцию на использование социальной инженерии в качестве метода атаки на компании. В этом году злоумышленники активнее пытаются найти уязвимости на периметре с использованием шифровальщиков. Уязвимым звеном в этих атаках становятся цепочки поставок, когда злоумышленник может получить контроль над ИТ-инфраструктурой организации через менее защищенных сторонних поставщиков. Несколько лет назад количество таких атак исчислялось единицами, а в этом уже 22% от всех кибернападений приходится именно на цепочки поставок конкретных компаний.

– На площадках форумов «Цифротех» и «ИТ-Диалог» вы участвовали в различных панельных дискуссиях и сессиях. Какие вопросы встают перед сферой наиболее остро? Что больше всего беспокоит рынок кибербезопасности России в этом году?

– Если судить по тематике мероприятий за этот год, то можно говорить о большей ориентации компаний на практическую безопасность. Например, раньше темой обсуждения была бумажная безопасность. Тогда компании по-настоящему еще не оценивали риски, связанные с кибербезопасностью. Однако продолжающийся рост атак привел к тому, что в этом году обсуждают именно безопасность с практическим результатом. За последние два года многие компании столкнулись с целенаправленными атаками на свою инфраструктуру. Поэтому сейчас наибольшая часть дискуссий посвящается именно реальным кейсам и практике защиты.  

– Как противостоять киберугрозам в различных отраслях экономики и есть ли какие-то принципиальные отличия для сферы финансов?

– Отдельную специфику по отраслям сложно выделить. Во всех компаниях пользуются электронной почтой, однотипными операционными системами – неважно идет речь о производстве или финансовых организациях. Разница с точки зрения механизмов и способов атак почти не заметна.

Однако угрозы, с которыми сталкиваются компании, разные. В частности, в финансовом секторе кибератака сосредоточена на получении конфиденциальной информации, поэтому можно наблюдать большую утечку персональных данных. В промышленности и производственном секторе речь идет о доступе к технологическим сетям, например, чтобы остановить производственные процессы или скомпрометировать внутренние системы и т. д.

– Один из ключевых трендов последнего года – импортозамещение, в том числе и продуктов информационной безопасности. Насколько готов оказался к нему рынок? Смогли ли отечественные разработчики оперативно отреагировать на поставленные рынком и государством задачи?

– Сегодня мы позитивно рассматриваем ситуацию на рынке, потому что вопросам кибербезопасности уделяется много внимания. Сегмент продуктов в области кибербезопасности готов к импортозамещению: в России 90% типов средств защиты уже отечественные. Если рассматривать каждую нишу, то за редким исключением можно найти отечественную разработку. Импортозамещение в отрасли ИБ – не погоня за технологиями вчерашнего дня, это тренды и инновации, которые сегодня задают российские вендоры.

Регулятор, со своей стороны, разрабатывает новые законы и показывает собственным примером, как выстраивать практическую кибербезопасность. Например, Минцифры объявило о старте второго этапа проекта по поиску уязвимостей в инфраструктуре электронного правительства. Одной из платформ выбрана Standoff 365 Bug Bounty. При этом пожеланий и требований к крупным госкорпорациям в части закупок по кибербезопасности стало еще больше, что позитивно отражается на рынке.

– Возможно ли информационную безопасность сделать автопилотом и насколько это эффективно?

– Тема автопилотирования процессов в ИБ появилась не так давно. Всего два года назад на рынок вышел новый класс решений – метапродукты. Их основное отличие в том, что они направлены на результативное противодействие атаке хакера и ее остановке до того, как злоумышленник сможет реализовать недопустимое для компании событие. По своей сути, метапродукты позволяют поставить на автопилот работу специалистов информационной безопасности. Речь идет о сотрудниках, кто занимается мониторингом расследуемых инцидентов и общей корректностью работы всех систем информационной безопасности. Используя такой автопилот в области ИБ, компании получают экономию времени сотрудников, которые занимаются обработкой различных случаев воздействия незаконной активности хакеров. Например, на пилотных испытаниях MaxPatrol O2 показал экономию времени работы двух аналитиков центра противодействия киберугрозам с 35 часов до 30 минут в сутки. Благодаря метапродукту можно убрать рутинные действия, а рабочее время персонала перераспределить на выполнение более творческих и стратегических задач.

– А на каком принципе действия основаны такие метапродукты?

– Процессы, которые автоматизируют метапродукты, можно условно разделить на две составляющие. К первой относятся контроль инфраструктуры. Например, готовящийся к выходу на рынок метапродукт MaxPatrol Carbon, помогает выстроить из инфраструктуры компании неприступную крепость для хакера. Вторая составляющая – поиск и остановка хакера, если он все-таки смог проникнуть внутрь компании. Эту функцию берет на себя MaxPatrol O2, который выявляет атаку и останавливает ее до причинения непоправимого ущерба. В совокупности метапродукты позволяют гарантировать безопасность инфраструктуры и свести к минимуму возможности хакеров.

Основное преимущество метапродуктов заключается в том, что они позволяют дать клиенту готовую технологию. Тогда у компании появляется выбор – самому внедрять и выстраивать процессы либо использовать метапродукты и получить эффективный результат – гарантию, что недопустимые для бизнеса события никогда не реализуются.

Текст подготовлен в рамках проекта «Ведомости & Северо-Запад».