Максим Хараск, Innostage: «ИТ-интеграторам необходимы кибериспытания»

Сегодня кибербезопасность — один из ключевых факторов развития и непрерывного функционирования бизнеса. Директор департамента развития технических продаж Innostage Максим Хараск раскрывает основные угрозы в сфере кибербезопасности, а также способы их диагностики и устранения.

Путь от «бумажной» к реальной кибербезопасности

Какие угрозы в сфере кибербезопасности сегодня больше всего волнуют генеральных директоров и собственников компаний? 

О том, что волнует генеральных директоров и собственников компаний могу судить по тем запросам, которые поступают к нам и нашим бизнес-партнерам. Думаю, это довольно точно описывает реальную картину, за исключением некоторых погрешностей. 

Итак, исходя из нашей аналитики, больше всего высший менеджмент пытается минимизировать, во-первых, кибератаки на критически важные ИТ-активы, корпоративные сети, облачные сервисы и бизнес-процессы, сбой и остановка которых фатальна для бизнеса. Например, сервисы заказа и оплаты услуг, движения финансовых средств и т.д. Например, это невозможность регистрации пассажиров на авиарейс или осуществление операций через пользовательское приложение банка.

Во-вторых, это инциденты, связанные с утечками конфиденциальных данных, таких как персональная информация клиентов, финансовые данные или интеллектуальная собственность.

В числе рисков также кибершпионаж, заражения шифровальщиками и другими вредоносными программами, иные действия, связанные с нарушением целостности и доступности данных. 

Все перечисленные угрозы могут привести к серьезному финансовому ущербу, потере репутации и доверия клиентов и даже прекращению ее деятельности компании. Кроме того, с 2022 года они грозят большими штрафами за несоответствие нормативным требованиям и регулятивным стандартам в области кибербезопасности, а в отдельных случаях — уголовным наказанием за случайно или намеренно допущенные управленческие ошибки.

В последние годы внимание к вопросам обеспечения кибербезопасности со стороны СЕО и собственников компаний заметно выросло. Это выражается не только в увеличении бюджетов на ИТ и ИБ, или административном контроле за направлением, но и в более детальном погружении в стратегии и методологии достижения киберустойчивости.

Вы упомянули, что CEO стали больше внимания уделять кибербезопасности. Почему это произошло, и в чем выражается?

Предпосылкой можно считать рост цифровизации бизнес-процессов и увеличения объема цифровых данных, на фоне которых информационная безопасность стала неотъемлемой частью бизнеса.

В то же время интерес и включенность директоров в процессы кибербезопасности практически напрямую связаны с увеличением числа и мощности кибератак, повышения значимости защиты персональных данных и ужесточения требований регуляторов в этой сфере.

В чем это выражается — поясню на примере, который знаю изнутри. Наша компания — системный интегратор и киберархитектор, то есть мы специализируемся на кибербезопасности, но даже наш СЕО сейчас гораздо больше погружен в процессы ИБ, чем, скажем, еще год назад. 

В сентябре прошлого года Innostage запланировала выход на багбаунти в режиме кибериспытаний, чтобы объективно проверить свою цифровую устойчивость и подкрепить доверие к нам, как поставщикам услуг ИБ реальными результатами. Основательная подготовка заняла 9 месяцев, хотя мы всегда уделяли внимание вопросам собственной кибербезопасности, но после того, как внутри компании начались разговоры о выходе на BB, наша команда по ИТ неожиданно сказала: «Стоп, нам надо сперва подготовиться к этому».

И вот с этого момента гендиректор стал интересовать вопросом гораздо активнее. С его слов, после этого он перестал спать спокойно. Потому что на себе прочувствовал, что переход от бумажной к реальной безопасности — достаточно серьезный вопрос даже для профессионалов.

Но ведь в кибербезопасности существует довольно много регламентов, разве их недостаточно, чтобы успокоить генерального директора? 

Существующие регламенты в области кибербезопасности являются важными шагами для обеспечения безопасности информации. Однако, ни один регламент не может обеспечить полную защиту от киберугроз, а значит и подкрепить уверенность генерального директора в вопросе цифровой устойчивости бизнеса. И вот почему:

• Регламенты и стандарты могут быть общими и не учитывают специфику каждой отдельной компании.
• Киберпреступники постоянно развиваются и находят новые способы обхода существующих мер безопасности.
• Генеральные директора понимают, что даже полное соблюдение всех регламентов не гарантирует полной защиты от кибератак.
• Требуется постоянное обновление и совершенствование мер безопасности, чтобы идти в ногу с развивающимися угрозами.

На фоне цифровой трансформации и на ранних этапах импортозамещения роль ИБ в основном сводились к «бумажной безопасности». То есть правильное оформление документации и журналов мониторинга, соблюдение ИБ стандартов, аудит, регулярное актуализацию документов и прочие рутинные задачи. Бесспорно, это важная часть работы ИБ-подразделения. Важная, но не единственная. Сейчас гораздо важнее перестраиваться на результативный кибербез, действовать проактивно и опережать хакеров как в инструментах, так и в технической подготовке.

А есть ли тогда какой-то способ достичь этой реальной киберустойчивости? 

Достижение реальной киберустойчивости требует комплексного подхода. Это включает в себя грамотное проектирование ИТ-инфраструктуры, регулярное обновление систем безопасности, мониторинг сетевого трафика, резервное копирование данных, проведение багбаунти и других форматов проверок защищенности.

Отдельный большой пласт составляет обучение сотрудников основам кибербезопасности, а также системное повышение квалификации эксплуатационного персонала — то есть специалистов, которые осуществляют управление и обслуживание системы защиты информации (СЗИ), отвечают за мониторинг и реагирование на возможные угрозы и инциденты безопасности.

Это если прям широкими мазками. На самом деле, для обеспечения киберустойчивости нужно выстроить и контролировать сотни процессов, связанных с ИТ, ИБ и смежными подразделениями.

Мы разработали универсальную методологию киберустойчивости CyberYool, в которой структурировали все процессы в виде 5 последовательных шагов. Фактически, мы упаковали многолетний опыт по импортозамещению ПО и перепроектированию архитектуры, а также экспертизу по предотвращению и расследованию кибератак в емкий и эффективный формат. Подход был проверен на инфраструктуре компании и уже используется для первых внешних заказчиков.

Методология от Innostage гибко настраивается под потребности и возможности компании и создает оптимальные условия для цифровой устойчивости бизнеса независимо от того, формирует ли он ИТ и ИБ-инфраструктуру с нуля или трансформирует действующую.

Видеоинтервью эксперта по теме киберспытаний для подкаста РБК.Мероприятия

Проверка «белыми» хакерами

На одном из шагов возникает программа багбаунти. Сейчас об этой теме говорят все больше. Расскажете, в чем польза для бизнеса?

Программа багбаунти полезна для бизнеса тем, что она стимулирует поиск и устранение уязвимостей в продуктах и сервисах, повышает осведомленность сотрудников о кибербезопасности и снижает вероятность успешных хакерских атак.

Программа багбаунти стимулирует, подстегивает независимых исследователей цифровой безопасности находить уязвимости в отдельных ИТ-решениях, системах или ИТ-инфраструктуре компании в целом. Это позволяет обнаружить и устранить уязвимости до того, как злоумышленники воспользуются ими проведения для кибератак.

Можно сказать, что багбаунти представляет собой конкурс, в котором участникам  — «белым» хакерам — предлагается первыми найти уязвимости в системе или приложении и описать свои «находки» в специальном отчете. За выполнение условий программы предусмотрено высокое вознаграждение. 

Помимо нейтрализации потенциальных угроз существуют и другие преимущества багбаунти для бизнеса. В частности, это получение объективной оценки безопасности от независимых экспертов, а также экономия времени и ресурсов за счет привлечения неограниченного количества исследователей и оплаты только за результат.

Запуская программу багбаунти или, что еще эффективнее — объявляя открытые кибериспытания, компания демонстрирует открытость и готовность работать над улучшением своей безопасности, что положительно сказывается на репутации. Кроме того, привлечение талантливых специалистов по безопасности и подталкивание их профессиональному росту в целом влияет на повышение уровня цифровой устойчивости отрасли.

А вы сами уже провели багбаунти или кибериспытания? 

Официально наша программа проверки стартовала 26 мая на киберфестивале Positive Hack Days-2. Компании Innostage, которая выполняет сложные проекты по системной интеграции и отвечает не только за собственную безопасность, но и за своих заказчиков, нужна более продвинутая версия проверки, т.е. надстройка над классическим багбаунти. Поэтому мы стали первым системным интегратором, запустившим багбаунти в режиме кибериспытаний. К изобретению открытых кибериспытаний — формату, в котором сочетаются преимущества багбаунти, пентестов и прогоном цифровых двойников через киберполигоны мы пришли совместно с другими ведущими экспертами отрасли. Планируется, что в дальнейшем такой формат проверок станет золотым стандартом в сфере кибербезопасности.

Кибериспытания Innostage предлагают за успешную реализацию заранее оговоренных недопустимых событий высокое вознаграждение, которое стартует с 5 млн рублей.

Мы размещаем целевую систему на платформе багбаунти и приглашаем участников выполнить комплекс условий. А именно: найти слабые звенья цепи, воспользоваться ими для проведения заранее оговоренного недопустимого события, затем выдать отчет о его реализации и получить заслуженное вознаграждение.

Периодически будет проводиться анализ промежуточных результатов. Если хакеры выполнили условия — им выплачивается вознаграждение, а техническая служба проводит разбор полетов и оперативно заделывает обнаруженные «бреши» и запускает проверки на наличие других уязвимостей.

Компания Innostage в противовес хакерскому напору будет совершенствовать процессы, влияющие на обеспечение киберустойчивости. А анализ векторов, техник и инструментов атак помогут экспертам посмотреть на бизнес глазами хакеров и прогнозировать их дальнейшие действия.

Кибериспытания позволят компании начать действовать на опережение, то есть непрерывно апдейтить свою защищенность, не дожидаясь реальных атак, а стимулируя этичных хакеров к реализации внешних угроз в рамках BB-программы.

Нам потребовалось проделать большую подготовку, прежде чем запустить такой инструмент постоянной проверки как багбаунти в режиме кибериспытаний. Здесь заложены огромные бизнес-риски, но мы все же выбрали этот путь.

Своим примером мы хотим доказать, что повышенная киберустойчивость — фактор сохранения и развития бизнеса, а также важное конкурентное преимущество, показывающее надежность компании и ее заботу о клиентах.

О подготовке кадров

А готовить новых специалистов по ИБ, которых сейчас не хватает на рынке, на таких кибериспытаниях можно?

Идти в кибериспытания нужно только с заранее и основательно подготовленными специалистами ИБ. Высокопрофессиональная команда киберзащитников — один из важнейших факторов киберустойчивости. Это должна быть хорошо подготовленная и регулярно тренирующаяся армия. Есть специальные киберполигоны для того, чтобы быть в форме и постоянно ее совершенствовать.

Но, безусловно, в ходе кибериспытаний «белыми» хакерами команда супергероев становится еще на несколько уровней профессиональнее.

Если же говорить о базовой подготовке, то существуют специальные программы, позволяющие набирать и тренировать скиллы в сфере ИБ. Первый практический опыт сегодня можно приобретать еще в вузе. Например, мы совместно с десятком профильных вузов России реализуем проект «Студенческий SOC», где студенты учатся отражать реальные хакерские атаки на свои университеты. Также мы регулярно организуем Всероссийскую студенческую кибербитву, где команды атакующих и защитников оттачивают мастерство и получают возможность выиграть денежный приз. 

Чем раньше молодые кадры начнут привлекаться к практическим задачам, тем стремительнее будет их карьера. Конечно, полностью решить кадровую проблему такими проектами пока не получается, но в этом вопросе однозначно намечается позитивная динамика.