Виртуальная реалия
13 мая 2023Если раньше самыми распространенными были DDos-атаки, цель которых — «положить» какой-либо сервис, то с началом СВО им на смену пришли закладки с вредоносным кодом, зашитые в обновленное ПО. Они работают как мины замедленного действия и способны выводить из строя сетевую инфраструктуру (в том числе критическую) на долгий срок. В часть кода внедряется «вредонос», который в спящем режиме ждет момента активации. Закладка может сработать, например, по территориальному признаку, поэтому одна и та же программа будет безопасна для пользователей из Таиланда, но представлять угрозу для российских. Из-за этого многие компании запретили обновление зарубежного ПО.
Еще одна угроза — утечка данных, от нее не застрахован даже крупный бизнес. Так, недавно в открытом доступе оказалась база пользователей «СберСпасибо» с 47 млн телефонных номеров. Главная опасность в том, что разрозненные слитые данные из разных сервисов могут склеиваться преступниками в единую базу. В результате можно сформировать цифровой профиль человека с детальной информацией (адрес, телефон, место работы, наличие детей и так далее). Использование такого профиля в рекламных целях — еще полбеды. Куда страшнее, когда он попадает в руки преступников.
В конце 2022 года серьезной угрозой стал искусственный интеллект (ИИ). Программы, основанные на OpenAI, например, Chat GPT, быстро освоили не только студенты, пишущие дипломные работы, но и киберпреступники. Теперь злоумышленнику достаточно составить правильный запрос, а ИИ легко напишет вредоносный код на любом языке программирования.
Часто причиной утечки становятся сотрудники компаний, как ненамеренно, так и умышленно. В первом случае работники либо не владеют основами цифровой безопасности, либо поддаются на манипуляции преступников из методов социальной инженерии. Они используют набор психологических приемов с целью заставить жертву сделать то, что хочет злоумышленник. Например, в феврале в Telegram массово взламывали аккаунты пользователей и просили их знакомых проголосовать за вымышленную племянницу по ссылке, которая вела на фишинговый сайт.
Пресечением намеренного вредительства в компаниях занимается служба информационной безопасности (ИБ), специалисты которой должны разъяснять сотрудникам основы правильного поведения в интернете и корпоративной сети. А главный регулятор в вопросе обеспечения ИБ — конечно, государство. К слову, в последние несколько лет законодательство в сфере ИБ всерьез ужесточают. Так, за утечку персональных данных компании будут наказываться не фиксированными суммами, а оборотными штрафами (1%, если в организации самостоятельно уведомили об утечках и приняли меры для ликвидации последствий, и 3% — если умолчали об инциденте). Пока законопроект на стадии обсуждения, но поскольку создается он по поручению президента, можно предполагать, что он будет принят. А значит, компаниям придется серьезнее подходить к охране конфиденциальной информации.
27 июля 2022 года внесены поправки в закон № 152-ФЗ «О персональных данных», ужесточается и обработка биометрических данных, 29 декабря — принята новая редакция закона № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных». Теперь граждане имеют право не предоставлять биометрию (фотоизображения лица и записи голоса) и не подписывать согласие на обработку персональных данных, а компании при этом не могут отказать им в обслуживании.
А главное, 1 мая прошлого года президент подписал указ № 250, который затронул все крупные российские организации. Теперь госкомпании, стратегические и системообразующие предприятия, а также субъекты критической информационной инфраструктуры (КИИ) должны создать подразделения по ИБ. Кроме того, с 1 января 2025-го им запрещено использовать любые средства защиты информации, созданные в недружественных странах. Так, если в компании использовали, например, антивирусные продукты Norton (американский бренд), их придется заменить.
Создание подразделений по информбезопасности на важных предприятиях — разумная и своевременная мера, но это требование ставит перед руководителями сложную задачу, потому что 54% компаний испытывают дефицит квалифицированных кадров в ИБ. Но что еще печальнее, недостаток специалистов ощущает почти половина (48%) организаций из сферы КИИ. Чтобы решить проблему, государственные и частные предприятия обращаются в компании, предоставляющие услуги в сфере ИБ. Согласно исследованию «Лаборатории Касперского», помощь внешних экспертов потребовалась 42% представителей бизнеса. Но и специализированным организациям неоткуда брать новые кадры.
Особенно велик спрос на комплаенс-менеджеров, техников по защите информации, пентестеров, а также аналитиков и компьютерных криминалистов. Комплаенс-менеджеры отвечают за работу с документацией. От их квалификации зависит, насколько эффективно выстроена система цифровой безопасности, на их плечи ложится ответственность за проверки со стороны регулятора. Техники настраивают компоненты системы, а пентестеры проверяют уровень защиты. В обязанности аналитиков и компьютерных криминалистов входит анализ инцидентов, чтобы не допускать их в дальнейшем.
Можно ли закрыть потребность в этих специалистах? Безусловно. Прежде всего экспертам по ИБ не составит труда освоить другие навыки в своей сфере, если потребует ситуация. Кроме того, есть потенциал для привлечения специалистов из смежных отраслей. И это не только IT, например, юристы после недолгого обучения могут стать комплаенс-менеджерами. Освоить эту профессию человеку кардинально из другой сферы немного сложнее, придется ознакомиться и с требованиями законодательства, и с техническими тонкостями работы, а для этого понадобится чуть больше времени и упорства. В любом случае с помощью переквалификации можно закрыть острую необходимость в кадрах, а долгосрочные образовательные программы помогут подготовить безопасников на будущее. Главное при этом — обеспечить студентам возможность получать практические знания в процессе обучения.
Автор — эксперт курса «Специалист по информационной безопасности» в «Нетологии» Ирина Подборская
«Известия», 13.05.2023: https://iz.ru/1511836/irina-podborskaia/virtualnaia-realiia