Цифровая крепость: 15 вопросов ИБ-специалисту

Сегодня информация – это ключевой актив для любого бизнеса. Вместе с тем растёт профессионализм мошенников, у хакеров появляются все новые инструменты для взлома, включая ИИ. На фоне растущих угроз на первый план выходят эксперты по информационной безопасности. О том, за что отвечают специалисты по ИБ, как к ним относятся в организациях и почему крупному бизнесу лучше инвестировать в безопасность, чем бороться с последствиями взломов, мы поговорили с Максимом Фокиным, директором департамента сертификации и безопасной разработки ОС «МСВСфера». За плечами эксперта направления «Инферит ОС» российского вендора «Инферит» – более 10 лет опыта в сфере защиты информации, сертификации и внедрения программных и программно-аппаратных средств защиты информации, авторство утвержденной ФСТЭК России образовательной программы «Информационная безопасность для руководителей», научные публикации и преподавательство в МГТУ им. Н.Э. Баумана.

Специалист по ИБ – кто это? Можно его считать киберполицейским?

Это специалист, который в компании занимается вопросами обеспечения целостности, конфиденциальности и доступности информации. Речь идет о любой  информации — текстовой, речевой, визуальной и так далее. Такой специалист  вне зависимости от направления, в котором он работает, выполняет функции по защите того или иного вида информации. 

Для примера возьмем человека, который создает регламент работы с конфиденциальными бумажными документами, внедряет его и контролирует его выполнение. По сути, он  взаимодействует с компьютером только для разработки и печати документов, не внедряет программно-технических средств защиты и не защищает данные, обрабатываемые в информационной системе. Можно ли назвать его безопасником? Да, так как благодаря его работе в организации создается процесс по работе с конфиденциальными документами, а контроль за этим процессом дает организации уверенность в том, что информация не покинет пределы обозначенного контура компании. 

Другой пример – сотрудник, который занимается поиском уязвимостей программного обеспечения. Он не пишет регламентов по защите информации, не внедряет СЗИ для обеспечения безопасности информации, обрабатываемой в информационной системе компании. Он занимается исследованием ПО, помогает продуктовым командам выявлять уязвимости и контролирует процесс по их устранению. И его тоже можно отнести к безопасникам – благодаря его работе создаются более безопасные программные продукты, которые будет труднее взломать мотивированным злоумышленникам.

Можно ли назвать  специалистов по ИБ киберполицейскими? Наверное, можно. Деятельность каждого из них контролирует те или иные аспекты по защите информации, также как и деятельность наших полицейских контролирует различные аспекты по защите прав и свобод населения нашей страны.

Какие направления в ИБ существуют?

В ИБ существует множество разных направлений. Я их подразделяю на 3 основных глобальных направления:

1. Защита информации в компаниях — направление, отвечающее за исследование безопасности ИТ-инфраструктуры (RedTeam), внедрение различных средств защиты информации в ИТ-инфраструктуре компании (инженеры по ИБ), разработку внутренней нормативной и организационной документации по вопросам защиты информации, а также контроль состояния защищенности информации в ИТ-инфраструктуре и реагирование на инциденты ИБ (BlueTeam).
2. Обеспечение безопасности программных и программно-аппаратных решений компании — направление, отвечающее за реализацию требований по разработке безопасного ПО (DevSecOps), исследования продукта, моделирование угроз для продукта, поиск и устранение в нем уязвимостей (AppSec).
3. Обеспечение информационной безопасности продуктов и процессов компании в соответствии с требованиями регулятора — направление, отвечающее за сертификацию СЗИ, лицензирование видов деятельности компаний в сфере ИБ, аттестацию объектов информатизации и прочую деятельность, связанную с реализацией требований регуляторов в сфере ИБ. Каждое из этих направлений имеет достаточно широкий функционал – начиная от разработки необходимой документации и заканчивая техническими проверками исследуемых объектов. Перечень выполняемых работ в определенных местах может пересекаться с работами, озвученными в прошлых пунктах, с одной только разницей — работа здесь проводится для реализации требований регулятора в области ИБ, а в предыдущих пунктах она проводится для покрытия потребности в защите информации самой организации.

Роль специалиста ИБ в компаниях, которые разрабатывают ПО?

В компаниях, которые разрабатывают ПО, основными задачами для ИБ-специалистов являются:

1. Получение лицензий на деятельность (если разрабатываемое ПО относится к СЗИ). ИБ-специалисты собирают определенные свидетельства для регулятора и сопровождают процесс по получению от регулятора необходимых лицензий для дальнейшего проведения работ по разработке ПО.
2. Обеспечение защиты сборочной инфраструктуры. Для этого обычно нанимают DevSecOps специалиста, который оценивает метрики защищенности текущей сборочной системы и переделывает систему так, чтобы в процессе разработки создавались безопасные продукты, воздействие на которые нарушителем не приносило бы последнему желаемого эффекта.
3. Обеспечение защиты разрабатываемого программного обеспечения. Для реализации данной задачи обычно нанимают AppSec специалистов – они выявляют и устраняют максимальное количество недостатков и уязвимостей программного обеспечения.
4. Сертификация разработанного ПО (если разрабатываемое ПО относится к СЗИ). Для реализации данной задачи обычно нанимают специалистов, ориентирующихся в требованиях регулятора и способных донести эти требования до продуктовых команд, а затем проконтролировать процесс реализации данных требований в разрабатываемом продукте. Они оформляют необходимую документацию для сертификации продукции, проверяют соответствие продукта заявленным требованиям, настраивают внутренние процессы компании по разработке, производству и поддержке ПО в соответствии с требованиями регулятора, передают продукт в испытательную лабораторию и сопровождают всю необходимую организационно-техническую работу по сертификации продукта. 

В последнее время компании вынуждены менять инфраструктуру и переходить на отечественные или Open Source решения. Если говорить об Open Source, то на что должен обратить внимание специалист по ИБ?

При выборе таких решений для своей организации специалист по ИБ должен обратить внимание на следующие вещи:

1. как часто устраняются уязвимости в продукте;
2. как часто выпускаются обновления продукта;
3. есть ли у продукта поддержка, или же придется выполнять устранение обнаруженных недостатков своими силами в случае, если это Open Source решение;
4. совместим ли продукт с системным ПО, которое функционирует в организации.

Какие опасности подстерегают компании, которые не уделяют внимание ИБ? Чем это грозит?

Любым компаниям, которые не уделяют внимания вопросам ИБ, грозит как минимум хищение ценной информации, а как максимум – ее недоступность.

Но бывают случаи, когда потеря или недоступность информации — не самая страшная проблема. Например, представим ИТ-компанию, которая занимается разработкой ПО и внедряет его во все сферы экономики нашей страны. Не так страшно, если у этой компании украдут код продукта или же документацию, связанную с данным продуктом и другими внутренними процессами компании. Не страшно даже, если код продукта будет зашифрован и доступ к нему будет отсутствовать. Страшно, если злоумышленник внедрится в процессы разработки и сборки данного продукта и сможет оставить в коде продукта какую-то недекларированную возможность. 

Представляете что будет, если эта возможность в итоге реализуется в организациях заказчика по всей стране – например на военных объектах или на объектах государственного управления?

Поэтому всем ИТ-вендорам необходимо уделять вопросам ИБ должное внимание, иначе есть вероятность попасть в очень интересные истории с плачевными последствиями.

Какой самый глупый случай нарушения ИБ вы наблюдали на своей практике?

Была одна интересная история. Разработчики компании N подняли сервера для тестирования программного продукта. На этих серверах развернули несколько виртуальных машин. Для доступа к гипервизору и к самой виртуальной машине они создали логин «U» и пароль «1». Как вы думаете, легко ли подобрать такие данные для аутентификации? Конечно легко. Этим и воспользовался злоумышленник. В результате вся информация, хранимая на данных серверах, успешно попала в руки злоумышленника. Благо там были только машины для тестирования и ничего ценного злоумышленник извлечь не смог.

Или вот еще одна интересная история. Скорее это даже не история, а мои наблюдения человеческой глупости и беспечности. Во многих компаниях сотрудники ИБ очень серьезно подходят к вопросам защиты информации. Иногда даже чересчур серьезно. Все знают, что слабые пароли для учетных записей — это угроза любой информационной системы. В некоторых компаниях эту угрозу пытаются нивелировать установкой сложных паролей. Задумка вроде бы хорошая, но реализация обычно оставляет желать лучшего. Сотрудники ИБ зачастую генерируют для пользователей сложные пароли и запрещают пользователям их менять. Естественно пользователи, которым служба ИБ выдает пароль из 16 труднозапоминающихся символов в лучшем случае записывают этот пароль на листочек и убирают его в верхний ящик рабочего стола, а в худшем случае, что я не раз наблюдал в разных крупных и солидных компаниях, пользователи записывают пароль на листочек и крепят его к экрану монитора.

Вот здесь и начинаешь видеть настоящую проблему ИБ. Специалисты ИБ пытались наладить процесс и устранить угрозу использования слабых паролей, а в итоге получилось так, что теперь любая уборщица может зайти на большинство компьютеров в компании, при этом не используя вообще никаких средств автоматизации и взлома и не обладая какими-либо серьезными компетенциями.

Какая наиболее частая проблема с ИБ возникает в компаниях?

Я бы выделил 2 самые очевидные проблемы:

1. слабые пароли;
2. отсутствие необходимых компетенций по ИБ у штатного специалиста компании.

Благодаря первой проблеме злоумышленник имеет возможность довольно быстро подбирать пароли для атакуемой системы. А вторая открывает злоумышленнику возможность проводить успешные фишинговые атаки, которые при правильном применении позволят ему получить доступ в атакуемую систему и (или) завладеть защищаемой в данной системе информацией.

В последнее время в различных сферах наблюдается бум использования нейросетей. Применимы ли чаты GPT в ИБ? Может ли в будущем ИИ заменить специалиста ИБ?

Некоторые направления в ИБ мог бы заменить ИИ. Но это по большей части относится к направлениям, в которых выполняются заведомо понятные цикличные действия.

Например, ИИ мог бы заменить сотрудников как минимум 1-й линии SOC, а возможно и 2-й. В тех же направлениях ИБ, где необходимо творчески подходить к делу, ИИ пока не способен заменить человека. Например, ИИ не сможет заменить хорошего пентестера, так как действия последнего нельзя сделать шаблонными. Каждое его решение или действие — это креатив в том или ином смысле, и чем больше креативности проявляет данный специалист, тем больше он выявляет уязвимостей.    

Чего вы больше всего хотели бы достичь в своей профессии?

Создать собственный продукт, который помогал бы специалистам ИБ делать свои системы более защищенными.

Специалист по ИБ – душа компании или тот человек, которого все бояться?

Все зависит от компании, в которой функционирует данный специалист, а также от особенностей самого специалиста. ИБ-специалист обычно молчалив и угрюм, но это не из-за того, что на эту позицию ищут таких людей, а из-за отношения к ним в компании – их часто недолюбливают. Сотрудникам кажется, что ИБ-специалист — это тот, кто постоянно что-то запрещает, постоянно что-то контролирует и  штрафует, если выявляет недостатки. Это заведомо что-то плохое и злое для обычных сотрудников компании. 

Результат – негатив и черствость сотрудников при общении с ИБ-специалистами и угрюмое и молчаливое поведение ИБ-специалистов.

Не все ИБ-специалисты такие изначально, многие становятся такими после нескольких лет работы. Каждый выбирает для себя сам: ты можешь быть хорошим полицейским, нравиться сотрудникам компании, но плохо выполнять свою работу, либо – ты можешь никому не нравиться и все будут тебя бояться, зато свою работу ты будешь выполнять хорошо. 

В редких компаниях можно встретить понимание реальной ценности ИБ-специалистов в глазах обычных сотрудников. Чаще это компании, в которых большинство штата специалистов сами так или иначе являются ИБ-шниками.

Когда специалист по ИБ может спать спокойно? 

Всегда, если он знает, что выполнил работу с максимальной отдачей. Достаточны ли были его усилия – пусть решает руководитель. Сам же специалист может быть спокоен. 

Почему становятся хакерами?

Достаточно сложный вопрос. Есть несколько типов хакеров: белые, серые и черные. Каждый из них выбирает это дело по своим причинам. Если вы спрашиваете про черных хакеров, то скорее всего, мотивы данных людей достаточно банальны:

1. быстрый заработок;
2. возможность оказывать влияние на целые сектора экономики разных стран;
3. оставить память о себе.

В чем разница между белыми, серыми и черными хакерами?

Черные хакеры – это злоумышленники, которые намерено взламывают различные не принадлежащие им информационные системы с целью нарушения одного или нескольких свойств безопасности информации – конфиденциальности, целостности и доступности, для дальнейшего извлечения прибыли или достижения своих корыстных мотивов.

Белые хакеры – это законопослушные граждане, которые обычно выполняет ту же работу, что и черные хакеры, только делают они это по договору с владельцем информационной системы за заранее оговоренную сумму. Их цель – обнаружить недостатки и уязвимости исследуемых объектов для их дальнейшего устранения.

Серые хакеры – это что-то среднее между белыми и черными хакерами. Они атакуют различные информационные системы просто из любопытства или пытаясь доказать миру, что данные системы можно взломать. После взлома таких систем они не злоупотребляют достигнутым положением, а чаще делятся информацией с общественностью относительно слабых мест. С одной стороны, они не крадут информацию и не создают деструктивных воздействий на взламываемую систему; однако, с другой стороны, свою деятельность они ведут незаконно, так как  не получили разрешение на исследование данной системы от ее владельца.

Какими знаниями и качествами должен обладать хороший специалист по ИБ?

Хороший специалист по ИБ должен:

• быть исполнительным;
• быть внимательным к деталям;
• обладать риск-ориентированным мышлением;
• иметь соответствующее образование;
• разбираться в ИТ;
• уметь программировать хотя бы на одном языке программирования;
• знать основные уязвимости системного и прикладного ПО, а также недостатки и уязвимости сетевых устройств и технологий;
• знать законодательную базу РФ в области защиты информации. 

Как относятся в коммерческих организациях к специалистам по ИБ?

Это больной вопрос для многих ИБ-шников. В целом есть направления деятельности, которые понятны владельцам компании и ее сотрудникам. К таким направлениям можно отнести направление сертификации СЗИ и обеспечение продуктовой безопасности. К специалистам из этих направлений относятся нормально, хотя для многих сотрудников компании остается загадкой «чем они там занимаются?». По крайней мере в данной области человек может показать результата своего труда – более безопасный продукт, сертификат соответствия и тому подобное. И этот результат компания может обернуть в прибыль. Например, получив сертификат соответствия одного из регуляторов, в нашей стране можно открыть новые рынки для сбыта своей продукции – соответственно увеличить штат заказчиков и прибыль. В таком случае сотрудники компании смотрят на таких специалистов с непониманием, но они видят, что компания от их деятельности получает деньги. Значит, что бы они ни делали — это важно.

Хуже приходится сотрудникам ИБ, которые обеспечивают безопасность корпоративных систем. Проблема этого направления заключается в том, что никто, включая владельцев компании, не видит и не понимает результата их работы.

Коллегам данные специалисты кажутся церберами, необоснованно внедряющими различные правила и системы, которые усложняют жизнь всех сотрудников компании. Руководство же часто смотрит на таких сотрудников ИБ без понимания результатов. Как оценить уровень безопасности? Что должно произойти, чтобы я почувствовал, за что я заплатил деньги? Такое ИБ-подразделение не приносит дохода, а расходы измеряются сотнями миллионов рублей, если мы говорим о более или менее зрелой компании с штатом в 1000 и более  человек. Однако, при отсутствии таких расходов компания может потерять гораздо больше. 

Оригинал статьи в "Компьютерра"