Алексей Мартынцев
Киберугрозы будущего: предотвращать или готовиться?
Взгляд из промышленности
Директор Департамента защиты информации и IT-инфраструктуры «Норникель»
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
В этом году наша компания «Норникель» отмечает 90-летие. Основное предназначение бизнеса компании за почти вековую ее историю не поменялось — «Норникель» снабжает мировое производство редкими металлами. Изменились ли за это время угрозы, с которыми сталкивается компания? Безусловно, да. И большая роль в этом принадлежит цифровизации производственных и бизнеспроцессов, а также внедрению новых технологий. Вызовы, с которыми компания сталкивается сегодня, вряд ли кардинально изменятся за предстоящие 1−3-5 лет, все-таки традиционность наших подходов дает одновременно некоторую стабильность и предсказуемость прогнозов.
Однако мы не можем не принимать во внимание те тренды, которые формируются и развиваются в настоящий момент в области информационной безопасности. Анализируя их, можно спрогнозировать и те угрозы, с которыми, вероятно, предстоит столкнуться, и необходимость корректировки наших подходов к построению системы информационной безопасности промышленного гиганта.
Развитие ИБ через угрозы
Крупные промышленные компании, как правило, уделяют достаточное внимание своей цифровой защищенности, планомерно и последовательно выстраивая систему информационной безопасности, вкладывая в нее большие ресурсы. На этом фоне сформировался и укоренился тренд атак через подрядчиков, которые в меньшей степени защищены, при этом имеют доступ в системы «крупняков».
Думаю, эта угроза останется актуальной ближайшие 1−3 года, пока на законодательном уровне, со стороны регуляторов и самих компаний-заказчиков не сформируются требования к подрядчикам обеспечивать безопасность и защищать своих партнеров. На этом фоне будет развиваться предложение «кибербезопасность как услуга» или «кибербезопасность под ключ» для небольших компаний, которые не могут инвестировать заметные ресурсы в это направление.
Информационная безопасность нередко становится разменной монетой на пути к видимому прогрессу.
Также выделил бы группу угроз, которая обусловлена продолжающимся ростом предложения на рынке ИТ-продуктов, размытой конкуренцией и гонкой за новинками — это атаки на цепочки поставок, эксплуатация уязвимостей ПО и атаки на облачные инфраструктуры. К сожалению, пока не наблюдается предпосылок к изменению ситуации, вероятно, этот тренд будет актуален для обозримого будущего и промышленные компании от такого рода угроз не застрахованы. Много рассуждений сегодня о том, как изменится информационная безопасность с дальнейшим развитием технологий искусственного интеллекта (ИИ). То, что повсеместное распространение ИИ сослужит хорошую службу злоумышленникам, сомнений нет: они смогут справляться со своими задачами быстрее, эффективнее, с бОльшим охватом.
Много рассуждений сегодня о том, как изменится информационная безопасность с дальнейшим развитием технологий искусственного интеллекта (ИИ). То, что повсеместное распространение ИИ сослужит хорошую службу злоумышленникам, сомнений нет: они смогут справляться со своими задачами быстрее, эффективнее, с бОльшим охватом. Кроме того, сам ИИ все чаще будет становиться объектом атак. Как при этом защитники смогут использовать ИИ для своих целей — неочевидно. Вероятно, пройдет немало времени, прежде чем на эту технологию можно будет положиться. Однако далее попробуем порассуждать на эту тему.
“
Как следствие вышесказанного, продолжится рост объема утечек персональных данных, даже несмотря на ужесточение требований законодательства в этой сфере. В результате ожидаем рост количества атак на личные аккаунты и сервисы пользователей
Руководство компаний, которое придерживается позиции «нам выгоднее заплатить выкуп, нежели вкладывать такие ресурсы в ИБ», скорее всего, будет выну ждено изменить свою позицию в ближайшем будущем: суммы выкупа будут расти. Случаи, когда преступники не возвращают ключи шифрования после получения выкупа, уже не редкость, а суммы штрафов за утечки уже сейчас выглядят хорошим стимулом для того, чтобы позаботиться о предотвращении утечки, нежели разбираться с ее последствиями.
В ближайшие три года все перечисленные угрозы — в том числе для промышленности — сохранят свою актуальность. Как с ними бороться? Здесь тоже не помешает некоторый прогноз относительно способа реагирования на вызовы времени и вызовы будущего.
Развитие ИБ через изменение подходов и технологии
Осмелюсь предположить, что в ближайшие годы кибер безопасность будет становиться все более прикладной, проактивной и превентивной. Ее конечной целью будет стремление к полному кибериммунитету — в среднесрочной и долгосрочной перспективе. Давайте разберем по порядку на примере теперь уже некоторых трендов по защите.
Многие компании, в том числе промышленные, внедрили или внедряют практику проведения киберучений для отработки возможных инцидентов ИБ. В недалеком будущем киберучения станут непрерывными — их сценарии будут интегрированы в операционную деятель ность компаний (например, в DevSecOps). Через какое то время такой практики сотруднику уже невозможно будет отличить реальное событие от синтетического. Предупрежден — значит вооружен.
Полноценные киберучения, в свою очередь, тренд относительно новый, но мы видим его потенциал и намерены поставить их на поток.
Мы в компании сейчас приходим к тому, чтобы сделать киберучения частью нашей повседневной рутины. Сотрудники уже привыкли к тому, что их регулярно тестируют на фишинг — эта практика показывает свои результаты, но остается по-прежнему эффективной. Что касается содержательной части киберучений — они станут более реалистичными, будут основаны на реальных кейсах. Использование технологий виртуальной реальности (VR) и дополненной реальности (AR) обеспечит захватывающий опыт обучения, в ходе которого сотрудники смогут практиковаться в реагировании на киберинциденты в реалистичных условиях, повышая свою готовность к ситуациям в реальном мире.
Цифровая гигиена будет планомерно встраиваться в ежедневную рутину сотрудников. Для этого необходимые подсказки и инструменты будут эргономично внедряться в системы, с которыми взаимодействует пользователь. Компании откажутся от подхода, который предполагал повышение осведомленности и пла номерное обучение, на смену этому придет киберкультура — умение эффективно и безопасно «существовать и действовать» в цифровом пространстве, новое миро воззрение пользователя. Этому будет способствовать и постепенная смена поколений работников.
“
В развитие этой темы можно предположить, что не за горами практика формирования цифровых профилей сотрудников, в которых в том числе будет отражаться их устойчивость к различного вида цифровым угрозам и их «ценность» для злоумышленников
На основании этих профилей будет выстраиваться работа с различными группами сотрудников, в том числе тренинги, посвященные психо логическим аспектам кибербезопасности, помогающие справляться со стрессом во время инцидентов и принимать взвешенные решения под давлением.
Системы искусственного интеллекта, с одной сто роны, станут ценными помощниками, которые обеспечат быстрый и удобный доступ пользователей к необходимой им информации по кибербезопасности, с другой — будут анализировать эффективность работы сотрудников в режиме реального времени и динамично подсвечивать необходимость принятия тех или иных мер по защите сотрудника, в том числе с точки зрения пробелов в знаниях. Здесь следует сделать оговорку. С учетом тех угроз от ИИ, о которых речь шла выше, важно отметить, что полагаться в полной мере можно будет только на кастомизированные и доверенные ИИ. Использование ставших популярными ИИ-сервисов для решения важных и чувствительных задач бизнеса по-прежнему будет сопряжено с рисками утечек информации.
Отдельно хочется сказать про такой инструмент ИБ, как киберполигоны. Они, вероятно, преобразятся, став более реалистичными, динамичными и интегрированными с реальными системами. Не исключено, что в какой-то момент в будущем исчезнет сам термин «киберполигон» в текущем его понимании, в связи с тем, что они либо трансформируются во внутренние лаборатории ИБ для решения точечных, узконаправленных задач, а также для подготовки сотрудников ИБ, либо преобразуются в услуги, базирующиеся на облачных приложениях и симуляторах, цифровых двойниках, озерах данных и других внешних решениях.
Особенно важным этот инструмент является для промышленности, где любое тестирование или профилактические работы в системах чреваты остановкой производства и сопряжены с множеством неудобств.
Так или иначе в отношении киберполигонов можно будет наблюдать следующие изменения: интеграция с реальными ИБ-системами (SOC/SIEM/SOAR), а также с системами оповещения и реагирования, переход на симуляционные платформы с использованием масштабируемой виртуализации с поддержкой автоматизации и эмуляции цифровых двойников, использование возможностей ИИ и машинного обучения для автоматизации процессов. Такая «прокачка» киберполигонов сделает их действительно эффективным инструментом в защите, позволяющим, с одной стороны, отрабатывать подходы без влияния на производственные процессы, с другой — обучать сотрудников на ситуациях, приближенных к реальным, тем самым прокачивая навыки на случай атаки.
Однако говорить о скором достижении такого рода результатов в ближайшие 1−3 года не приходится. Раз витие киберполигона требует немалых инвестиций, понимания бизнесом важности данного направления работы, а сложная ситуация на рынке и политика ad hoc в ИБ, которой все же придерживаются большинство современных компаний, вносят свои коррективы.
Тем не менее развитие кибреполигонов рано или поздно станет одним из факторов, которые позволят сместить фокус в ИБ с реагирования на инциденты на управление кризисными ситуациями. И здесь работает еще один тренд — выход ИБ за привычные рамки. Для того чтобы быть эффективной, информационной безопасности придется выстраивать взаимодействие с бизнесом. К сожалению, пока не все компании к этому пришли, но этот пусть оправдывает себя. Во-первых, ИБ должна отвечать запросу бизнеса, во-вторых, она обязана деликатно встраиваться в существующие процессы, а в-третьих, залог успеха — в синергии усилий ИБ и бизнеса, когда речь идет о предотвращении рисков или реагировании на киберинциденты.
Это именно то, что предстоит сделать в краткосрочной перспективе. От специалистов или как минимум от руководства ИБ-функций будет требоваться прокачка «мягких навыков» (soft skills), таких как общение, работа в команде и решение проблем. В свою очередь бизнес должен понимать, хотя бы поверхностно, как устроена ИБ и какая реакция и действия требуются от бизнеса в случае инцидента.
Однако мало эффективно отрабатывать кризисные ситуации внутри одной компании, важно делиться опытом. То, что сегодня произошло у соседа, завтра может стать твоей реальностью. Вероятно, в скором времени начнут создаваться программы сертификации и аккредитации, подтверждающие навыки и знания участников в области кибер безопасности, приобретенные в рамках тренировок на киберполигонах.
“
Перспектива совместных учений различных компаний на базе киберполигонов — это еще один практический подход, который получит развитие в ближайшем будущем
Еще одна тенденция, которая получит развитие в бли жайшем будущем, — киберустойчивость или кибериммунность. В этой сфере намечается переход к проактивным автоматизированным действиям, основанным на данных, с фокусировкой внимания на операционной устойчиво сти. Больший упор будет сделан на средства защиты, конвергентность технологий, в основе всего будет заложен принцип «secure by design»
Такой подход позволит выявлять, сдерживать и устранять угрозы быстрее, чем команды людей, сводя к минимуму ущерб и время простоя.
Думаю, что в недалекой перспективе приоритетом для компаний, в том числе промышленных, станет авто матизированное реагирование на инциденты: этому будет способствовать интеграция искусственного интеллекта и машинного обучения. Организации будут внедрять комплексные системы оценки устойчивости, которые учитывают не только технические средства защиты, но и организационную культуру, обучение сотрудников и возможности реагирования на инциденты.
Стратегии киберустойчивости будут все больше фокусироваться на обеспечении безопасности цепочки поставок. Будет выполнен переход к сценарному планированию. Предприятия разработают подробные сценарии возможных сбоев, включая разные типы кибератак, стихийные бедствия и перебои в работе цепочек поставок, чтобы быть уверенным в поддержании работоспособно сти компании на приемлемом уровне. Киберустойчивость будет полностью интегрирована в планы по обеспечению непрерывности бизнеса и аварийного восстановления.
Отдельный вектор усилий в рамках достижения киберустойчивости — работа с людьми. Здесь потребуется не только повышение осведомленности об угрозах, важно прорабатывать и психологическую устойчивость пользователей/сотрудников к атакам с использованием социального инжиниринга, а также скорость их реагирования на критические ситуации и инциденты.
“
Только при определенной степени зрелости культуры информационной безопасности можно говорить о достаточном уровне кибериммунитета компании
Киберустойчивость продолжит развиваться, за этим последует правомерная заинтересованность и дополни тельное регламентирование со стороны регулирующих государственных структур. Как на страновом, так и на международном уровне будут разрабатываться и внедряться стандарты киберустойчивости и требования к ней, что заставит компании уделять этому больше внимания. Лидеры рынка начнут переход к адаптивным архитектурам безопасности, в рамках которых возможно корректировать работу средств защиты в зависимости от извлекаемых уроков и появления новых угроз. Появится отдельное направление ИБ — resilience-инженерия, специалисты этого профиля будут управлять автоматизацией восстановления и принимать ключевые решения на основании полученных данных от AI-моделей.
Если резюмировать в контексте промышленного сектора, то я бы зафиксировал следующие прогнозы на ближайшие 1−3 года и с удовольствием понаблюдал бы за тем, насколько они реализуются:
- Изменения, в том числе развитие, будут продиктованы внешними факторами — тем «полем» киберугроз, на котором мы ведем игру, и результатами рынка — появлением и развитием новых технологий и решений ИБ, изменением подходов и взглядов;
- Любые изменения в промышленной ИБ не будут кардинальными и резкими, скорее планомерными и поступательными;
- Перемены в подходах и стратегии промышленных компаний в любом случае будут, с одной стороны, направлены на отработку более четкого и оперативного реагирования на кризисные ситуации, с другой — на стремление к устойчивости к различного рода кибератакам;
- Акцент в защите будет меняться: от технологий к людям, именно люди принимают решения, люди зачастую выступают самым слабым звеном, людей нельзя запрограммировать, чтобы быть уверенными в том, что они всегда будут «отрабатывать» ситуацию по определенному шаблону.
Пока это выглядит утопичным. Но если мы когда-то придем к кибериммунитету и все технологии будут secure by design, то именно реакция людей будет определять уровень защищенности компании.
