Кибербезопасность: технические и организационные аспекты

Как специалист, в чем вы видите главные особенности недавней кибератаки?

Главная особенность - это первый крупный случай на территории Украины проникновения вредоносного ПО через легитимное программное обеспечение. Как правило, это возможно, если злоумышленники обнаружили в какой-то популярной программе "дыру" (ошибку в программном коде) и использовали ее. Здесь же "дыра" (Backdoor-компонента) была внедрена хакерами в легитимную программу путем получения доступа к персональным компьютерам компании-разработчика.

Утверждается, что атака стала возможной из-за того, что программа представления электронной отчетности, через которую произошло заражение, требовала для работы права администратора. Но такие же права требуют и многие другие программы, например, клиент-банк. Как пользователям быть с этим?

Многие программные комплексы действительно используют административные или системные права. Если мы говорим о системах первичного заражения, то, к сожалению, разграничением прав доступа проблему решить не удалось бы.

Однако множество систем также пострадало по той причине, что на операционные системы не был установлен необходимый патч ("заплатка"), который Microsoft выпустила еще после похожей атаки весной 2017 года, связанной с деятельностью вредоносного ПО WannaCry. Или же первично был заражен контроллер домена локальной сети.

В данном случае пользователям помогли бы следующие шаги:

- своевременная установка обновлений операционной системы;

- разграничение ролей серверов. Так, контроллер домена или система администратора домена ни в коем случае не должны использоваться для других целей: операционной работы, создания отчетности, установки большого количества дополнительного ПО;

- виртуализация рабочего пространства. Речь идет о создании ряда виртуальных машин, на каждой из которых установлен свой набор программного обеспечения (для разных задач). В случае пробоя вирусами одной из систем пострадают только данные конкретной виртуальной машины, а все остальное рабочее пространство и документы не будут затронуты.

Невозможно гарантировать защищенность любого ПО от зловредов. Но если говорить о ПО, критически важном для бизнеса, то что поставщик может обещать потребителю, а потребитель - должен потребовать от него?

В настоящее время мы наблюдаем новые технологии проникновения в критически важные вычислительные системы путем компрометации легального ПО. Поэтому теперь нужно говорить не только о том, что периметр предприятия-клиента должен быть защищен, но и о том, что клиент должен быть уверен, что периметр компании-разработчика используемого им ПО также защищен. Для этого поставщик ПО должен предоставить потребителю все возможные гарантии, сертификаты и т. п., что убедить клиента в том, что поставляемое ПО не станет платформой для атаки на его системы.

На сегодняшний день в законодательстве Украины говорится только о том, что компании, хранящие и обрабатывающие личные данные пользователей, обязаны принять все возможные меры, чтобы уберечь эту информацию от кражи, в противном случае будут юридические последствия. Теперь же необходимо двигаться дальше.

Как Вы относитесь к идее обязательной сертификации некоторых категорий ПО?

Я думаю, что при текущей организации процесса сертификации этот шаг будет малоэффективен. Причин много. Это и цели такой сертификации, и уровень подготовки специалистов, выполняющих эта работу, и количество выделяемых ресурсов для анализа сертифицируемого ПО (следовательно, и стоимость такой сертификации). Кроме того, все современное ПО постоянно развивается, выходят новые версии, следовательно, центрам сертификации придется на регулярной основе проверять все сборки (версии) сертифицируемых программ, а это увеличит стоимость на порядок.

Добровольная сертификация ПО: это больше маркетинг или в ней есть рациональное зерно с точки зрения защищенности?

На данном этапе это, скорее, демонстрация того, что разработчик конкретного ПО - реально существующая компания (в случае если программа окажется вредоносной, то соответствующие органы точно будут знать, где искать ее поставщиков и разработчиков), что поставщик готов заявлять о чистоте своего программного обеспечения, а значит, уже в какой-то мере заботится о безопасности пользователей своих продуктов.

Лет 20 назад НБУ лицензировал деятельность разработчиков банковского ПО, потом от этой практики отказались. На Ваш взгляд, будет ли полезным, если НБУ, ГФС введут сейчас подобное лицензирование?

Лицензирование - это достаточно дорогое удовольствие. Боюсь, что в условиях нашей страны это приведет к монополям в разных сегментах ПО и не решит проблемы. Хорошо, когда мы знаем, где искать (в каком продукте, каком его модуле и т. п.). А когда этих продуктов десятки, постоянно выходят новые версии?

В общем случае защищенность облачного ПО отличается от инсталлируемого на компьютерах пользователя? Если да, то чем это определяется?

Определенно отличается. При этом облачные сервисы одновременно и более безопасны, и в то же время могут оказаться чрезвычайно опасными для пользователей.

Безопасны, потому что облачный сервис никак не влияет на данные на пользовательском ПК. Также у пользователей нет возможности устанавливать на облачные сервисы собственное ПО. Максимум, что мы можем делать, - загружать туда свои данные и обрабатывать их программами, поставляемыми облачным сервисом.

Опасны же, потому что к такому роду сервисам предъявляются колоссальные требования по защищенности. Ведь обнаружение любой уязвимости в системе даст возможность злоумышленникам получать доступ к огромному количеству данных, пользователь об этом даже не будет подозревать (тут уж вы не сможете просто выключить свой компьютер, это не поможет, поскольку все данные там, на сервере). Поэтому все серьезные провайдеры "облаков" вопросам безопасности уделяют очень большое внимание, у них есть для этого и средства, и необходимые специалисты.

Стратегия антивирусной защиты компании должна включать технические и организационные меры. На Ваш взгляд, каков минимальный их набор?

В данном случае говорить о минимальном и максимальном уровне не приходится, поскольку защита или есть, или ее нет.

В первую очередь это, конечно, персонал, специалисты, относящиеся к системе кибербезопасности со всей серьезностью. Они должны следить за современными тенденциями в сфере безопасности данных, вовремя совершать необходимые действия, которые советуют эксперты, осуществлять контроль за использованием ПК, сетей и ресурсов компании.

Обязательным условием построения киберзащиты компании является наличие антивирусного ПО. Это в разы повышает безопасность в сравнении с ситуацией, когда оно отсутствует.

К организационным мерам стоит отнести и обязательное обучение всего персонала основам кибербезопасности, и строгий контроль за их соблюдением. Разумеется, необходимо организовать создание на регулярной основе резервных копий и их правильное хранение.