BIS Journal №3(50)2023

11 августа, 2023

Positive Hack Days 12. Кибербезопасность вышла в массы

Впервые за 12 лет форум по кибербезопасности Positive Hack Days 12 преобразился в открытый киберфестиваль. Он с шумом и гамом прошёл в парке Горького — с отдельными зонами для профессионалов и широкой аудитории. Любой желающий смог узнать, как устроен цифровой мир, принять участие в квестах и повысить уровень грамотности и защищённости. 

 

ГОРОД ВЗЯТ!

— Бабушка, посмотри, там Standoff написано. Это игра такая, надо обязательно туда зайти! — в автобусе на Крымском мосту девочка лет десяти показывает пальцем на один из десятков павильонов, выросших вдоль набережной в парке Горького. Её внимание привлекла яркая неоновая надпись Standoff.

Разочаровывать ребёнка, что Standoff — не стрелялка, а кибербитва профессионалов за цифровое Государство F, мне не хотелось. Хотя зрелище при близком знакомстве и оказалось захватывающим. В открытой для публики части соревнований 22 команды «красных» атаковали семь критически важных объектов, которые защищали семь команд «синих». Каждый раз, когда я проходила по залу, больше напоминавшему навороченную 3D-арену в разгар виртуальной битвы, звучало роковое «Реализовано недопустимое событие!», реже сообщалось об успешном завершении расследования кибератаки на какой-то объект.

Впрочем, итоговая статистика показала, что среди red teams были не только профи, реализовавшие максимум событий, но и любители, которые «зашли посмотреть — попробовать» и ушли с нулевым результатом. Итоговый счёт — 63 атаки «красных» и 37 завершённых расследований «синих». Самыми уязвимыми оказались банковский сектор, промышленный объект и транспортно-логистическая компания, однако, не менее значительными стали и инциденты на АЭС и объектах электроэнергетики.

В конечном итоге жить в прекрасном Государстве F, на которое нападают такие изощрённые киберпреступники, мне как-то не захотелось.

Помимо кибербитвы — самой зрелищной части этого грандиозного мероприятия, объединившего экспертов по ИБ и этичных хакеров со всего мира, за два дня прошли также и деловые сессии, и круглые столы, и лекции. Впервые в истории Форум из закрытого «междусобойчика» превратился в открытый киберфестиваль. Любой гуляющий по парку Горького смог узнать, как устроен цифровой мир, послушать лекции о цифровых личностях и гигиене, конфиденциальности финансовой информации или принять участие в квестах и повысить уровень своей защищённости. В этом ему помогали профессионалы из различных компаний и отраслей экономики — от кибербеза, маркетплейсов и соцсетей до художников и операторов по утилизации отходов. 

 

А ТЫ ИМЕЕШЬ ЦИФРОВУЮ ЛИЧНОСТЬ?

«Цифровая личность — это совокупность информации, которую можно собрать о личности из открытых источников: соцсети, БД — всё, на чём можно построить портрет человека, начиная с полного имени и даты рождения», — считает Ф. Чунижеков (Positive Technologies), обсуждавший с коллегами на одной из площадок PHDays проблему «Атаки на личность в соцсетях и воровство аккаунтов». 

По мнению А. Швеца («ВКонтакте»), зная полное имя и некий более широкий идентификатор, можно узнать достаточно полную картину жизни человека. Этот факт подтвердил А. Борисов (Innostage), который, имея только исходные данные (имя и номер телефона), нашёл о себе несколько гигабайт информации, включая распорядок дня и число пройденных шагов. 

Однако главное — не что можно узнать о человеке, а для чего нужна такая информация, считает О. Седов («Ростелеком-Солар»). Он обратил внимание собравшихся в парке, что за последнее время в социальных сетях появилось много заброшенных аккаунтов, пароли на которых не менялись годами. Эти данные могут попасть на биржу по продаже аккаунтов. Дальше всё зависит от целей мошенников: создание поддельных личностей или двойников, построение ботнетов, воровство смежных аккаунтов, сбор денег... 

Главная цель кибермошенников — обогащение, отметили все участвовавшие в дискуссии. Злоумышленникам важно вывести человека из состояния равновесия и вынудить его перевести денежные средства на указанные счета, сообщить данные банковских карт, включая CVV. И неважно, будет ли это помощь старому другу, с которым жертва не виделась десять лет, звонок «следователя» или помощь голодающим на другом конце планеты. 

Последствия взлома чужого аккаунта могут оказаться и более серьёзными, если хакерам стала доступна чувствительная информация, например данные паспорта, ИНН или медицинская карта, а также адреса, где живёт или бывает человек, — в этом случае могут пострадать его близкие. Взломанный аккаунт может стать лазейкой для проникновения в закрытые компьютерные системы организаций, так как пользователи часто сидят в соцсетях на рабочих местах. 

Что может сделать человек в случае, если у него внезапно просят денег или сообщают о переводе средств с банковского счёта? Взять паузу и проверить информацию. Позвонить старому другу, с которым не виделся годами, или в банк, чтобы уточнить данные о состоянии счёта или конкретном сотруднике. Проверить ссылку, которую прислали для голосования за любимого племянника. 

Ещё один способ избежать попадания в такие ситуации — регулярное обучение и повышение киберграмотности. По словам А. Швеца, компания «ВКонтакте» регулярно публикует такую информацию и учит пользователей на конкретных примерах, как понять, что ситуация выходит из-под контроля. А можно поговорить об этом вечером в кругу семьи, считает О. Седов. 

 

В ЗАКРЫТОЙ ЗОНЕ

Закрытая от широкой публики часть PHDays проходила в стороне от основных потоков гуляющих, но в первый же день собрала тысячи участников: море специалистов по ИБ заполнило проходы между стендами партнёров мероприятия на набережной. Казалось, никогда ещё столько безопасников не собиралось одномоментно, чтобы послушать мнения регуляторов и руководителей отрасли. Те, кому «говорильня» на тему перспектив регуляторной политики или прогноз на будущее были неинтересны, слушали доклады о блокчейне и метавселенных, знакомились с техническими аспектами реализации kill chain, обсуждали построение SOC и доверенного VNP, искусственный интеллект и т. д. Быть одновременно всюду было физически невозможно. Как невозможно было и протолкнуться в залы — количество желающих намного превышало возможности аудиторий. 

В рамках деловой части много говорилось о повышении вовлечённости руководства компаний в вопросы кибербезопасности, а не формальном выполнении требований Указа № 250 и перекладывании ответственности на одного из замов по ИБ. За повышение уровня компетенции высших руководителей высказались Максут Шадаев (Минцифры) и Виталий Лютиков (ФСТЭК). Последний заметил, что согласно Федеральному закону № 44-ФЗ сегодня ценятся умение не столько правильно поставить задачу и принять работу, сколько выгодно заключить договор. Вот тогда будет результат, считает представитель регулятора. 

Глава Минцифры, в свою очередь, сказал, что рассматривает бизнес-подход как побудительный мотив для компании. И если она не выполняет требования регуляторов, то наказание — единственный стимул повышения защищённости. 

О тенденциях выполнения регуляторных требований только после того, как произошла просрочка и компании пришло предписание регулятора, говорил и Владимир Бенгин (Минцифры), отвечая на вопросы о сдвиге сроков перехода на отечественное ПО и оборудование с января 2025 г. на более поздние даты. 

В этом же ключе обсуждались требования к межсетевым экранам нового поколения (NGFW), презентацию прототипов и базовых моделей которых за последнее время представили сразу несколько компаний: PT, UserGate, РТК-Солар, «Код безопасности». В. Лютиков (ФСТЭК) отметил, что производителями NGFW называют себя многие. Поэтому ФСТЭК подготовила требования к межсетевым экранам, в настоящее время они согласовываются с Минюстом и вскоре будут опубликованы. Если требования к программно-аппаратным комплексам не соблюдаются, то компании не смогут называть себя производителями межсетевых экранов нового поколения. При подготовке требований регулятор изучил западный опыт и наработки российских разработчиков. Пока в документе не прописаны требования к пропускной способности и скорости задержки обработки пакетов. Этих цифр пока нет, но со временем они будут включены в документ с учётом развития аппаратной базы. 

Новая проблема, вставшая перед регулятором, — проверка и тестирование оборудования на соответствие требованиям к методикам и оборудованию для нагрузочного тестирования. Создание лабораторий — ещё одна задача. «Год назад об этом не думали, сегодня обсуждаем, как тестировать», — подчеркнул В. Лютиков. 

Он пояснил, что сегодня возможно использование зарубежного NGFW в КИИ при условии формирования компенсирующих мер, выработки сигнатур. Если при проверке выяснится, что незакрытые уязвимости были компенсированы соответствующими мерами, то санкций не будет. Также готовятся поправки в приказ о снятии обязательств по техподдержке западного оборудования с учётом текущего момента. 

В. Бенгин приветствовал усилия ФСТЭК по нормализации требований к NGFW. Он отметил, что по каждому классу продуктов есть неплохие решения. И это — заслуга регуляторов. Сформировался рынок, но он не касался NGFW. Российские вендоры массово заявляют, что решения есть, но заказчиков эти предложения не удовлетворяют. Необходима синхронизация подходов и готовность пожертвовать чем-то, например временем на обслуживание. В. Бенгин отметил, что Минцифры работает с производителями, рассылает письма и технологические карты с тем, чтобы выработать реальные подходы и решения. «Не видим краеугольной проблемы. Но должны справиться», — считает представитель регулятора. 

 

ПРЕКРАСНОЕ ДАЛЁКО

Обсуждали не только настоящее, но и будущее во всех его вариациях: будущее ИБ глазами футурологов, регуляторов и представителей отрасли, будущее хайтек-индустрии устами потребителей и производителей. 

По мнению тех, кто обсуждал «Мир киберугроз 2030», ситуация изменится незначительно. Число кибератак и возможности хакеров будут расти. Насколько эффективны будут средства защиты, зависит от самих компаний. По мнению С. Голованова (Лаборатория Касперского), волна хактивизма спадёт, если изменится геополитическая ситуация. О зависимости от внешнеполитической обстановки говорил и А. Шойтов, он отметил важность взятого сегодня курса на технологическую независимость и информационную безопасность. «Это тренд до 2030 года, в этом жить», — считает заместитель главы Минцифры, подчёркивая, что акценты сместились с просто цифровизации экономики на кибербезопасность. 

В идеале надо иметь защищённую систему и придерживаться принципа zero trust, считают эксперты. Использование новых технологий, ИИ и машинного обучения, особенно в госсекторе, создаст два новых аспекта угроз: программное и аппаратное. Осознание опасности этих угроз сегодня, развитие работы с данными и моделями обучения в будущем поможет избежать проблем, считает В. Лютиков. Эффект достигается повышением доверия к дата-сетам, надо выделить области, где этим стоит заниматься, а где — неэффективно. При этом методы и подходы ИБ к системам ИИ будут такими же, как к традиционным системам, потребуется адаптация к действиям атакующих. 

Среди ключевых аспектов ближайших лет эксперты выделили кадровые проблемы, тренд на импортозамещение и технологические вызовы, которые встанут перед отраслью. Чтобы успевать за развитием технологий, у нас ещё есть время на внедрение принципов Secure by design и нахождения баланса между скоростью развития ИТ и ИБ-направлений. 

О будущем хайтек-индустрии говорили представители компаний: разработчиков ПО, вендоров, провайдеров. На круглом столе много говорили о решениях ушедших западных компаний, которые унесли с собой многочисленные приложения по всем направлениям: баз данных, ERP, CAD, CAM, CAE, облачные решения и программно-аппаратные комплексы. Эксперты отметили, что сегодня создались отличные условия для разработки правильных экосистемных решений и есть все возможности для постройки собственной индустрии. 

К тому же запросы потребителей и ситуация требуют оперативного решения многих вопросов, на которые в другой ситуации ушло бы значительно больше времени. 

Для выхода из сложившегося положения представители отрасли предлагают брать доверенные open source-решения и решения с открытой архитектурой. А для закрытия всех проблем отрасли требуются свежие кадры, подготовку которых стоит активизировать, и конкурентный рынок. 

 

 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.03.2024
Банки будут строже следить за криптотранзакциями, связанными с дропперами
01.03.2024
Холода прошли, но голос берегите — скамеры усиленно собирают слепки
01.03.2024
Лишение банковской лицензии — это ещё не всё
01.03.2024
«Они подобны смартфонам на колёсах». В США проверят «умные» авто из Китая
01.03.2024
Набиуллина: Дважды «красные» клиенты будут исключаться из реестра
01.03.2024
Банк России усовершенствует платформу цифрового рубля
01.03.2024
Организации здравоохранения США стали жертвами массовых кибератак
29.02.2024
«ИнфоТеКС» — о проблемах стандартизации ИБ
29.02.2024
Почему нормативные акты выполняются формально
29.02.2024
Почему затянулся переход на российские решения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных