ИТОГИ ГОДА В РАКУРСЕ ИНФОРМАЦИИ БЕЗОПАСНОСТИ

За прошедший 2012 год ситуация с информационной безопасностью как для компаний, так и для частных пользователей значительно ухудшилась. Рынок вирусов окончательно криминализировался, а компании при этом так и не научились включать вопросы безопасности в список рисков для бизнеса. О том, почему целые структуры и рядовые пользователи пренебрегают безопасностью, и к чему это может привести – старший аналитик компании «Доктор Веб» в итоговой колонке на «Полит.ру».

Конец года – традиционное время подводить итоги. Что было, что будет, о чем мечтается… Традиции, как известно, нарушать нельзя, поэтому займемся итогами и мы.

Год прошел, и для ИТ-компаний прошел, прямо скажем, неплохо. Государство и крупный бизнес не только щедро анонсировали новые проекты, но и выделяли деньги на их реализацию. Пользователи стали активнее покупать продукты безопасности. Рынок средств безопасности рос, те, кто работал на нем, хотя и жаловались (а куда без этого), но имели шанс заработать и остаться с прибылью. Что же не так в этом светлом и пушистом счастье?

К сожалению, на фоне всеобщей умиротворенности и уверенности в защите существенно ухудшилась ситуация с безопасностью как для компаний, так и для простых пользователей.

Рынок вредоносных программ окончательно криминализовался — при том, что пользователи, наоборот, утвердились во мнении, что все вирусы пишутся антивирусным компаниями. На этом рынке делаются очень большие деньги: по данным за 2011 год средняя сумма кражи средств со счетов составляла чуть меньше полумиллиона рублей, при том, что вероятность удачного хищения составляла порядка 50%. В результате вирусы стали писать криминальные структуры, построенные по принципу коммерческой организации, — со своими менеджерами проектов, разработчиками, тестировщиками, внедренцами, продажниками. Да, эти структуры имеют партнерские программы и даже борются с нелицензионным использованием своего ПО!

К чему это привело? Во-первых, это позволило злоумышленникам резко нарастить поток выпускаемых вредоносных программ. Только за период с октября по декабрь статистика live.drweb.com показывает двойной рост количества инфицированных файлов на входе в антивирусную лабораторию. В начале декабря в один из дней пришло 60 миллионов инфицированных файлов.

Во-вторых, окончательно оказался «похоронен» эвристический анализ, с помощью которого антивирусы должны определять ранее неизвестные вирусы на основе имеющихся записей в вирусных базах. Криминальные структуры имеют возможность тестировать свои «произведения» на актуальных версиях антивирусов — и при таком подходе выпущенный «продукт» не обнаруживается до того момента, пока не выйдет очередное обновление с соответствующей записью в базах. А ведь большинство пользователей при покупке продуктов по-прежнему ориентируется на результаты тестов.

В-третьих, под напором статистики развеялся миф о том, что компании мелкого и среднего бизнеса не интересны хакерам. Раньше не были интересны. Когда нужно было вручную взламывать каждую локальную сеть, естественно, выгодно было «ломать» компании, имеющие большие деньги. Но теперь на дворе век Интернета. Все ходят за информацией в Сеть. Каждому бухгалтеру нужно знать новости законодательства. И достаточно взломать сайт с этими новостями для заражения ВСЕХ тех, кто зайдет на этот сайт, — напомним, что новейшие вирусы не сразу обнаруживаются имеющимся антивирусом. Но при этом большинство сотрудников компаний все так же ходят по сайтам с рабочего компьютера, на котором хранятся все логины и пароли.

В-четвертых, должен был измениться подход к системе защиты от вирусов. Антивирус теперь не должен ограничиваться только лечением поступающего и еще не активного ПО — он должен иметь систему самозащиты, чтобы вирус не смог его удалить до получения обновления. Также необходима система лечения уже запустившихся вирусов, активно противодействующих своему уничтожению. Антивирус нужен теперь хотя бы потому, что только он может удалить всю «заразу», оказавшуюся в системе. В век миниатюризации и дешевизны электроники, когда собственные процессоры и память имеются уже далеко не только на материнской плате и в видеокарте, а вирус может оказаться и в BIOS, лечение методом форматирования винчестера уже не спасет. А выкидывать в результате заражения весь компьютер на свалку — как-то не очень…

Корпоративный антивирус должен теперь стоять на всех потенциально уязвимых узлах сети, на личных мобильных устройствах и домашних компьютерах, с которых заходят в сеть, а не только на рабочих станциях. Еще неизвестный антивирусу вирус, распространяется как эпидемия, и инфицированные серверы становятся вечным источником заразы. Но большинство компаний все так же покупают только антивирус для рабочих станций, не заботятся о паролях, а их сотрудники работают под правами администратора. Проблемы личных устройств тем более традиционно считаются проблемами самих сотрудников. К сожалению, в России риски безопасности, считаются пренебрежимыми по отношению к рискам бизнеса, и их не берут в расчет.

На одной из недавних конференций была сказана страшная фраза — о том, что многие широко разрекламированные проекты, как правило, не имеют критериев качества. И, к сожалению, это действительно так. Достаточно часто проект продвигается под модным брендом. Нанотехнологии до информационной безопасности еще не добрались, но зато бал правят технологии облачные (http://www.polit.ru/article/2012/11/30/clouds/). Каждый причастный может вспомнить кучку глобальных планов перевода всего и вся в «облака».

При этом единственным критерием обоснования проекта считается его дешевизна. Безопасность пользователей этих облачных проектов «великого и удобного будущего» не рассматривается. Миф о том, что «облака» — это безопасно, за прошедший год окончательно внедрился в массы. Не будем говорить о качестве доступа к облачным сервисам. Живущие за пределами Москвы многое могут об этом рассказать. Поговорим о безопасности. Безопасное хранение данных в «облаке» не равно безопасной и удобной работе с ними. Перевод в «облако» не может уменьшить затраты на безопасность. Если данные расположены внутри компании, то безопасностью их передачи можно пренебречь (хотя и не всегда — встречаются инсайдеры, подключающиеся к сети компании), но если данные передаются в «облако» и из него, то перехватить и модифицировать их, — святое дело для киберпреступников. Значит, нужно щифрование и защищенный канал. А это — затраты, которых ранее не было. А если доступ к облаку пропал, трактор переехал провода? Неделю ждать и ничего не делать всем офисом? Значит, на случай отказа нужно организовать резервные файловый и почтовый серверы внутри компании. Еще затраты! Список можно продолжать долго. Но где проекты, все это предусматривающие?

Одна из главных проблем — неосведомленность потенциальных жертв хакеров и рекламы современных технологий об уровне угроз. Причастные специалисты, естественно, в курсе. Но как донести это до всех? Интернет не выход — слишком он разделен по группам интересов, и рассказать всем о действительно важном нереально. Зачастую это еще и считается рекламой вендоров. А в то же время кому как не производителям ПО знать проблематику! Но Кассандре по-прежнему никто не верит.

Однако здесь хотя бы есть луч света в темном царстве. За год ФСТЭК выпустила профили защиты антивирусных средств, достаточно здраво описывающие жизненный цикл программного обеспечения, и приказ по защите компьютерных сетей государственных органов. Последний можно смело считать прорывом, но он заслуживает отдельного рассказа, и очень жаль, что его действие не было распространено на защиту персональных данных (в этой области теперь правит бал Постановление Правительства РФ 1119 — его мы уже разбирали. Еще бы здравую модель угроз…

Под занавес года «порадовало» внесение Евгения Касперского в список 15 самых опасных персон мира. Наши компании теснят американские, и Касперский оказался в одном перечне с президентом Сирии Башаром Асадом и мексиканским наркобароном Хоакином Гусманом. Бизнес есть бизнес, ничего личного. Но интересна причина опасности Касперского для общества — по версии издания некоторое время назад американские спецслужбы провели виртуальную атаку на центры ядерных разработок Ирана. В ход были пущены вирусы Stuxnet, Flame и Duqu. Однако атака захлебнулась, и, по мнению американцев, причиной этого стала деятельность «Лаборатории Касперского».

Обратим внимание и задумаемся – а почему на эти вирусы не обратили внимание гранды западной антивирусологии? По мнению Wired, Касперский занимается обучением специалистов в области компьютерных расследований. Чем это так опасно? Задумаемся. Ведь многие по-прежнему хранят данные на Google Docs, пользуются почтовыми сервисами Google, используют услуги американских хостинговых центров. А между тем для получения доступа заинтересованных органов к данным тех же чиновников, использующих Google.Mail, достаточно того факта, что доступ к ним осуществлялся по защищенному каналу. А как передавать данные иначе?

На фоне противостояния с США все более опасным становится тот факт, что у нас практически вся страна использует одну операционную систему, один текстовый редактор и один почтовый клиент — и все они совсем не российского производства. К ним выпускаются обновления. Не устанавливать обновления безопасности — все равно что оставлять дверь квартиры открытой. Но кто поручится, что в один нужный момент под видом обновления не придет что-то совсем иное? За год разговоры о внедрении российской операционной системы смолкли. Хотя (без смеха) это дело не только государственной безопасности, но и безопасности бизнеса, — все больше наших компаний наступает на пятки зарубежным конкурентам. А ведь только в конце года были выпущены замечательные продукты от AstraLinux, продолжалась разработка в AltLinux и других компаниях…

Год прошел, и год прошел не зря. За год сформировалась активная позиция многих специалистов по безопасности, в то же время и государство стало активнее работать с ними. Разъяснения Роскомнадзора по персональным данным и обсуждения проектов приказов ФСТЭК — отличные примеры сотрудничества. Будем надеяться, что время шедевров, подобных ПП 1119 и закону о черных списках, уходит в прошлое.
Ну что, поднимем бокалы за будущее?

ИсточникИсточник: