Вопросы кибербезопасности обсудили в ходе специализированного форума, прошедшего в Кирове на днях
Форум собрал несколько сотен участников из государственных организаций и крупных предприятий.
Информационная безопасность — уникальная дисциплина, находящаяся на стыке гуманитарных и технических наук. Вопреки распространенному заблуждению, обеспечение информационной безопасности включает в себя не только создание на предприятии защищенного периметра, недоступного для злоумышленников — чтобы хакеры не смогли для получения выкупа зашифровать данные, хранящиеся на серверах предприятия, или украсть базы данных, которые затем перепродадут конкурентам. В задачи информационной безопасности входит также защита вообще любой потенциально опасной или негативной информации, которая может негативно сказаться на репутации предприятия. Например, утечка переписки сотрудника, который называет клиентов нехорошими словами, или неприглядное видео генерального директора с корпоратива могут нанести предприятию вреда не меньше, чем самая масштабная кибератака. А то, что многие ошибочно считают информационной безопасностью — это ее раздел под названием Кибербезопасность. Именно в задачи кибербезопасности входит защита цифровых данных при помощи цифровых решений.
В последние пару лет именно кибербезопасность стала наиболее актуальной темой не только среди профессионалов в сфере IT, но и на государственном уровне. В России регулярно происходят кибератаки, причем направленные не только на извлечение выгоды, но и просто на то, чтобы парализовать деятельность правительственных и коммерческих информационных систем. Обсудить вопросы, связанные с обеспечением кибербезопасности, а также принять участие в специальных киберучениях, направленных на нейтрализацию потенциальных угроз, собрались ведущие специалисты Кировской области 26 сентября 2024 года в космоцентре музея Циолковского.
Своеобразной традицией для уже третьего по счету форума «Информационная безопасность на Вятке» является то, что каждый раз он проходит в новом месте. В этом году форум принял у себя Детский космический центр — инновационная площадка, которая позволила айтишникам из крупных предприятий и государственных организаций приобщиться не только к миру современных решений в сфере кибербезопасности, но и к космосу на сеансах в планетарии.
Форум традиционно проходит под эгидой регионального министерства ИТ и связи, при поддержке Вятской торгово-промышленной палаты и местной компании «Аспект-Сети». Генеральным партнером форума уже во второй раз стала компания ИнфоТеКС. Также в форуме приняли участие в качестве партнеров компании «Ред Софт», «АйТи Бастион», «Актив», «Группа Астра», «Конфидент».
Открыл форум заместитель министра ИТ и связи Кировской области Евгений Бологов. В приветственной речи он рассказал, что министерство старается держать руку на пульсе и быть в курсе всех современных веяний в сфере кибербезопасности, а также пожелал собравшимся удачной работы на форуме. Посетителей форума также поприветствовал президент Вятской ТПП Андрей Усенко. Он напомнил, что первым тематическим мероприятием в нашем регионе была выставка «Мир компьютеров и связи», которую палата начала проводить в 90-х годах.
Первыми на форуме выступили представители Управления ФСТЭК по Приволжскому федеральному округу — ведомства, которое курирует вопросы безопасности на предприятиях и в организациях, относящихся к так называемой критической информационной инфраструктуре, то есть работают в стратегически важных для государства областях. Защита такой инфраструктуры является приоритетом для государства, а меры, которые должны приниматься для ее защиты, регулируются правовыми актами. Требования эти, как оказалось, выполняются предприятиями ПФО не в полной мере. Так, в 2024 году только одно предприятие смогло пройти проверку УФСТЭК без каких-либо нареканий, у других были найдены те или иные проблемы. Обычно выявленные проблемы ведут к наложению штрафов, однако приоритетной целью ведомства является не наложение штрафов, а обеспечение реальной информационной безопасности наиболее важных объектов. Именно поэтому многие замечания ложатся в основу административных дел только после повторного выявления нарушений.
Много вопросов у участников форума было к начальнику отдела по защите прав субъектов персональных данных управления Роскомнадзора по Кировской области Елене Коровкиной. Она рассказала о том, какую ответственность несут предприятия и организации в случае нарушения правил сбора и обработки персональных данных. Однако в законодательстве на данный момент не учтены многие аспекты, связанные с персональными данными, и существует масса случаев, которые в явном виде не прописаны, создавая простор для толкования. Например, подключение модуля Google Analytics на сайте подпадает под трансграничную передачу персональных данных, и администратор в особом порядке должен уведомлять об этом Роскомнадзор. В случае, если это не было сделано, администратору может грозить серьезный штраф. По словам Елены Сергеевны, администратору следует изучить, что декларирует поставщик сервиса в плане хранения персональных данных, и принимать решение исходя из этого. Например, Google Analytics открыто сообщает о хранении данных за рубежом, что и приводит к проблеме с трансграничной передачей персданных. Чтобы не получить штраф, администратору следует внимательно читать документацию используемых сервисов.
Иван Лихацких, вице-президент компании «ИнфоТеКС», которая разрабатывает ИБ-продукты под брендом ViPNet, в ходе своего выступления рассказал, что столпом кибербезопасности для любой компании на сегодняшний день является грамотно настроенный и грамотно подобранный файрвол. Современные файрволы уже давно эволюционировали из простого приложения, закрывающего доступ для пользователей из публичных сетей на ресурсы, которые должны быть доступны только из внутренних сетей, в настоящий инфобез-комбайн. Сейчас файрволы способны производить дешифровку SSL-соединений и анализировать проходящий через него трафик, чтобы своевременно обнаруживать переходы на фишинговые сайты, пересылку сотрудниками чувствительной информации, а также отлавливать вирусы и зловредные программы, которые злоумышленники могут попытаться доставить во внутренний периметр предприятия.
Кроме того, Иван обратил внимание на несовершенство многих используемых в настоящее время средств защиты информации. Например, ограничение доступа по GeoIP, которое позволяет перекрыть доступ жителям других стран на основании списка IP-адресов. Эта технология, кстати, применяется для защиты от DDoS-атак сайтов государственных органов. В настоящее время GeoIP использует списки, которые формируются иностранными лицами и, следовательно, с точки зрения информационной безопасности, не могут быть доверенными. Исключение третьей стороной из списка российских IP адреса важного сервера может негативно сказаться на связности сети, а добавление иностранного IP в список российских адресов может стать базой для направленной кибератаки. То же самое касается и сигнатур для антивируса. В настоящее время идет работа над созданием отечественных списков, но пока она не завершилась, доверенных баз сигнатур и российских IP-адресов просто не существует. Именно поэтому, считает Иван Лихацких, на переднем крае защиты должны стоять именно файрволы, позволяющие отлавливать попытки проникновения во внутренний периметр и попытки передать информацию из него наружу.
Однако и тут есть загвоздка. Расшифровка SSL-трафика — трудоемкая задача, и в случае, если на предприятии одновременно работает несколько сотен сотрудников, объем генерируемого ими трафика может быть очень большим, поэтому справиться с ним сможет не любой сервер. Рассчитать нагрузку можно только после пилотирования решения, то есть его эксплуатации в тестовом режиме. Как рассказал Иван Лихацких, у Infotecs есть программа пилотирования их решений, в рамках которого они предоставляют предприятию собственную инфраструктуру на определенный срок и после этого предоставляют метрики, которым должны соответствовать сервера, обеспечивающие анализ трафика на предприятии.
Astra Linux и РЕД ОС — отечественные операционные системы на базе GNU/Linux, на которые в настоящее время активно переходят государственные организации и предприятия оборонного комплекса. Репозитории для этих операционных систем составляются отечественными специалистами, что гарантирует суверенитет данных, то есть что данные не передаются на сторону, а сами операционные системы не содержат так называемые «закладки», через которые третьи лица могут просматривать, изменять или даже удалять данные. Дистрибутивы этих операционных систем регулярно проходят сертификацию в различных ведомствах, в том числе силовых.
Инженер компании Astra Александр Зайцев представил операционную систему Astra Linux Special Edition, которая в том числе подходит для работы с государственной тайной. На данный момент Astra Linux предлагает целый спектр решений, которые могут быть объединены в единую экосистему. Это и замена Active Directory от Microsoft в виде ALDPro, и замена почтового сервера Microsoft Exchange в виде RuPost, и многое другое.
Владимир Богачев, представитель компании Ред Софт, рассказал о появившейся в РЕД ОС возможности централизованного управления рабочими станциями из удобного интерфейса, что позволяет сократить время, которое администратор затрачивает на выполнение рутинных задач, а также сократить скорость реакции на инциденты кибербезопасности в случаях компрометации рабочих машин сотрудников. Например, в случае заражения машины вирусом администратор может оперативно изолировать ее от локальной сети, не допустив распространения вируса на другие компьютеры. Еще одной новинкой стала мобильная операционная система РЕД Mobile на базе AOSP — свободной версии Android, полностью совместимой с приложениями для этой ОС. Данная операционная система устанавливается по заказу на корпоративные устройства. В настоящее время централизованное управление не включает в себя возможность управления мобильными устройствами, однако в будущем планируется реализовать и эту возможность.
Представитель компании «АйТи Бастион» Дмитрий Симак рассказал о решении компании, позволяющем снять риски атаки со стороны доверенных лиц. Значительная часть успешных кибератак в последнее время проходит через подрядчиков, чей уровень киберзащиты значительно ниже, чем у реальной цели хакерской атаки, и которые имеют привилегированный доступ к инфраструктуре цели. Взломав подрядчика, злоумышленники через него попадают во внутреннюю сеть основной цели, после чего и происходит кража или шифрование данных. Система СКДПУ НТ позволяет обеспечивать мониторинг действий, совершаемых подрядчиком, и в случае нарушения протоколов, например при несанкционированном вводе подозрительной команды, либо принимать соответствующие меры, либо открывать инцидент безопасности, сообщая о произошедшем администратору.
Компания «Конфидент» известна своей линейкой продуктов Dallas Lock, которая обеспечивает надежное хранение информации, предотвращая доступ к ней неавторизованных пользователей. Как рассказал представитель компании Иван Дятлов, существуют отдельные версии Dallas Lock для машин на Windows и на Linux, для которых ранее администраторам приходилось приобретать отдельные лицензии. Сейчас же, в связи с активным переходом с Windows на Linux, появились универсальные лицензии, которые позволяют после миграции данных с одного сервера на другой не приобретать новую лицензию, а продолжать использовать уже имеющуюся. Это гораздо дешевле, чем приобретение отдельной лицензии.
Весьма зажигательным выдалось выступление представителя компании «Актив» Владимира Иванова. Его компания выпускает продукты «Рутокен» — физические устройства для двухфакторной аутентификации. В рамках своего выступления он посвятил всех собравшихся в свою «секту знающих», рассказав, в чем заключаются различия между идентификацией, аутентификацией и авторизацией. Как оказалось, большинство администраторов не знает, в чем заключается разница между этими тремя процессами.
Токены для аутентификации, которые производит «Рутокен», очень полезны в компаниях, где работают удаленные сотрудники, и способны обеспечить безопасность рабочего процесса, исключив использование оборудования третьими лицами. Кстати, некоторые модели устройств для аутентификации могут использоваться со смартфонами и планшетами.
Владимир Иванов рассказал пример из жизни, когда к нему обратилась редакция одного из петербургских СМИ. Однажды на сайте была опубликована фейковая новость, за которую на издание подали в суд и отсудили приличную сумму. Но журналисты публиковали новости под одной учетной записью, и в результате выяснить, кто же из них опубликовал роковую статью, не удалось. Электронные устройства от Рутокен позволяют за счет необходимости физического устройства для входа в учетную запись однозначно устанавливать авторство публикуемых материалов и избежать публикации фейков даже в случае взлома учетной записи журналистов.
Представлена была на форуме и продукция вятской компании «Аспект-Сети». Имея большую экспертизу в сфере IP-телефонии и строительства корпоративных АТС, ее инженеры разработали собственную корпоративную АТС Corbuild PBX AST на базе Asterisk — мощного решения для организации корпоративной телефонии с открытым исходным кодом. Инженер компании Александр Градобоев рассказал, что с необходимостью создания собственного решения они столкнулись после тотального ухода всех производителей из России. Не имея возможности легально поставлять импортные программные и аппаратные устройства, решили создать собственную систему, совместимую с телефонной аппаратурой из Китая. В настоящее время АТС обеспечивает полный набор современных услуг IP-телефонии, в том числе ведение учета звонков и ведение записи звонков. При этом выверенный диалплан и набор внешних скриптов собственной разработки контролируют правильность действий администратора системы, что снижает вероятность ошибок из-за человеческого фактора. Как оказалось, такое реализовано далеко не во всех системах корпоративной связи.
Отдельным ярким элементом форума «Информационная безопасность на Вятке» традиционно становятся учения на киберполигоне Ampire. Это возможность для специалистов ИБ-отрасли в режиме реального времени отработать навыки оперативного обнаружения киберугроз и адекватного реагирования на них. Шестнадцать специалистов разделились на две команды мониторинга и реагирования и попытались обнаружить причины и устранить последствия учебно-тренировочного взлома файлового сервера.
В завершении форума у участников была возможность обменяться мнениями о форуме, ИБ-продуктах, представленных в его рамках, а также обсудить актуальные проблемы отрасли. Приятным завершением мероприятия стало награждение участников, проявивших в ходе форума наибольшую активность, призами и подарками от партнеров форума.
Фото: Артём Кузнецовский