Мнения 23 апреля 2019

«Нехватка специалистов в области кибербезопасности исчисляется миллионами», — Роман Чаплыгин, PwC в России

Далее

Согласно исследованию PwC, 97% российских респондентов не доверяют компаниям в вопросах защиты своей персональной информации, то есть практически каждый россиянин сомневается в том, как будут использованы его данные. При этом инциденты, когда злоумышленникам удается завладеть ими, старательно скрываются — как раз из страха потерять это доверие. Получается замкнутый круг. «Хайтек» поговорил с Романом Чаплыгиным, директором отдела анализа и контроля рисков в PwC, о том, как компании и государство работают над решением вопросов кибербезопасности и почему в России это происходит не так, как во всем мире.


PwC — международная сеть фирм, предлагающих услуги в области консалтинга и аудита. Бренд существует на протяжении более 160 лет и входит в так называемую большую четверку аудиторских компаний. Штаб-квартира сети находится в Лондоне.


«Один эксперт не в состоянии выстраивать все процессы информационной безопасности»

— Насколько вырос спрос на услуги по кибербезопасности за последние годы?

— Практика кибербезопасности в PwC в России была сформирована в начале 2010 годов. За последние пять лет бизнес вырос более чем в пять раз в финансовых показателях и более чем в 3 раза в количестве проектов, сейчас мы выполняем около 30 уникальных проектов в год. Я работаю в компании с 2014 года, за это время мы прошли путь от маленькой команды из пяти человек, занимающейся базовыми сервисами вроде комплаенс-аудита, до команды из 30 профильных специалистов плюс более 50 специалистов по смежным направлениям, с которыми мы работаем единой командой на комплексных, стратегически важных для наших клиентов проектах. Мы разрабатываем стратегии по кибербезопасности и создающей операционные центры по кибербезопасности для крупных, в том числе международных компаний из разных сфер.


Комплаенс — от англ. compliance — «согласие, соответствие» — действие в соответствии с запросом или указанием, соответствие каким-либо внутренним или внешним требованиям или нормам.

В банковской сфере комплаенс — это система контроля и управления рисками, возникающими из-за несоблюдения законодательства, предписаний регуляторов, контролирующих организаций, правил саморегулируемых организаций и других форм объединения предприятий, внутренних документов.


— У ИТ-бизнеса больше понимания опасности киберугроз по сравнению с промышленностью?

— Понимания больше, но степень внимания ниже: как и у любых других специалистов, у них часто «замыливается глаз». Риски скрываются под количеством изменений и инноваций. Для производственных департаментов каждый элемент цифровизации — сильное изменение, они более пристально его рассматривают как с точки зрения рисков, так и возможностей. ИТ-руководители обычно в наших проектах — стейкхолдеры, а производственные департаменты или руководство компании — конечные получатели сервиса.

Фото: Антон Карлинер / «Хайтек»

— А зачем ИТ-компании отдают вам эту функцию, самим не хватает экспертизы?

— Это большая проблема сегодня как в России, так и по всему миру. Нехватка специалистов в области кибербезопасности колоссальна, она измеряется миллионами человек. Кроме того, вместо универсального специалиста по кибербезопасности выделяются эксперты в области облачных технологий, в области АСУ ТП, технологических процессов и другие. Из-за усложнения технологий один сотрудник не в состоянии выстраивать все процессы информационной безопасности в компании. Специалисты, работающие в консалтинговых компаниях, имеют более обширный опыт и практику реализации проектов в разных индустриях и в разных компаниях одной индустрии, соответственно, владеют более полной картиной рисков.

— Что дальше будет происходить с такой острой нехваткой специалистов?

— Проблема образования очевидна, про нее много пишут, говорят, и прикладывают усилия, чтобы улучшить или изменить ситуацию. Частично задачу обеспечения информационной безопасности может решить автоматизация. Так же, как компании автоматизируют свои процессы для улучшения бизнеса, мы, со своей стороны, смотрим, где можем применить современные технологии, чтобы услуги по информационной безопасности предоставлялись в более короткий срок и в больших масштабах.

«Большинство киберинцидентов скрывается из-за страха потерять доверие»

— Какой сейчас главный вызов в области кибербезопасности?

— Для бизнеса это, конечно, киберпреступность во всех ее аспектах — как организованные группировки, так и хактивисты. Внедрение новых технологий постоянно увеличивает масштаб рисков. Особенно в области защиты интеллектуальной собственности, так называемого периметра компании, который постепенно размывается, а также в области защиты клиентов, потребителей услуг.

— А есть какие-то цифры, подтверждающие эти риски?

— Большинство киберинцидентов скрывается из-за страха потерять доверие клиентов. По нашим данным, более половины крупных российских компаний подверглись кибератакам. Из них 32% понесли реальный финансовый ущерб — пострадали от простоя инфраструктура или производства. Согласно нашему исследованию, около 80% респондентов считают, что вопросы кибербезопасности, защиты ключевых данных играют решающую роль при выборе провайдера услуг или сервиса. В случае взлома или другого инцидента потребители быстро переключаются на другого поставщика. Для возврата им требуется как минимум четкое объяснение того, что произошло, а в половине случаев — какая-то материальная компенсация: платные сервисы или что-то еще. Недостаток доверия в цифровом мире высок: в Давосе, например, вопрос доверия освещался как один из ключевых, а риски кибербезопасности вошли в топ-5 мировых рисков.

Фото: Антон Карлинер / «Хайтек»

— А как часто атакуют заводы?

— По промышленности статистики еще меньше, потому что она более качественно скрывается. В США есть исследование, как мне кажется, проведенное спецслужбами. Там говорится, что в случае масштабной кибератаки может пострадать более 60 компаний критичной инфраструктуры, а ущерб составит $50 млрд. Но самая пугающая цифра — количество потенциальных случаев летального исхода в случае кибератаки — около 2 500. То есть угрозы цифрового мира могут реализоваться в реальном мире и оказать влияние на здоровье и жизни людей. Все мы видели, что произошло летом 2017 года с вирусами-шифровальщиками WannaCry и Petya — они привели к остановке железнодорожного транспорта, аэропортов, заправочных станций. В большинстве случаев это была невозможность приема платежей, но что если это перевозка пассажиров или оказание медицинской помощи? Человек может не получить результаты анализов или не долететь на какое-то важное мероприятие. Менее заметные атаки стали повседневной реальностью: каждый день атакуют транспортную отрасль, розничную торговлю. Производство также атакуют регулярно: это либо кража данных, либо кража денег, либо нарушение деятельности.

— Может ли повториться атака, подобная Petya и WannaCry?

— В теории управления рисками есть понятие «черного лебедя»: это событие, которое никто не предсказал, но когда оно случилось, то выглядело вполне логичным. Темпы цифровизации, недостаток специалистов и избыток злоумышленников подсказывают, что такие события будут повторяться и в будущем, с какой частотой — сказать сложно.

— В целом, и степень нервозности у публики очень высока.

— Да, общая паранойя нарастает — с учетом геополитических факторов и подогревания этой темы в СМИ. Самое сложное — никто не знает, в какой отрасли, с каким масштабом и с применением какой технологии случится следующая атака.

«Ведущие отрасли российской экономики организуют сообщества для обмена знаниями»

— А как вы получаете инсайдерскую информацию? Посещаете какие-то конференции белых или черных хакеров?

— Возможностей для обмена знаниями становится все больше. Да, существуют зарубежные конференции белых и черных хакеров. Но также создаются индустриальные и профильные сообщества в России, которые активно делятся наработками в области защиты от кибератак. Из моего опыта самые яркие — в банковской сфере. Наша компания — член ассоциации банков «Россия»: в ее рамках минимум раз в месяц проходят заседания, где руководители служб безопасности банков обмениваются опытом и сообща решают вызовы в области нового законодательства и рисков кибербезопасности. В индустрии добычи и переработки металла и нефтегазовой отрасли такой обмен знаниями тоже набирает популярность.

Ведущие отрасли российской экономики, не дожидаясь особого приглашения, организуют сообщества для обмена знаний. Государство выпустило закон о критической информационной инфраструктуре и создает систему, к которой должны подключиться компании, относящиеся к объектам этой инфраструктуры, — по сути, все крупные производственные, технологические и финансовые компании. Система призвана обеспечить оперативный сбор данных о зарождающихся кибератаках и подготовить бизнес к их быстрому отражению.

Фото: Антон Карлинер / «Хайтек»

— И на какой стадии эта система?

— Компании приводят себя в соответствие с требованиями закона, подключаются к центрам ГоСОПКа, строят собственные системы мониторинга и обнаружения кибератак, информационные центры кибербезопасности. Все пытаются решить по-разному: кто-то с большим фокусом на организационные моменты и выстраивание взаимодействия, кто-то на технологическую составляющую и подготовку к борьбе на цифровом уровне.

— С какого размера бизнесу нужно задумываться о своей безопасности в киберпространстве?

— Как только он начал зарабатывать и приносить собственнику деньги. Точнее, с того момента, когда бизнес начинает соблюдать налоговое и другое законодательство. Если этого не сделать, можно в какой-то момент из-за крошечного прокола в кибербезопасности потерять его в одну секунду.

— Сейчас это может случиться с любым бизнесом.

— Особенно с современным малым бизнесом, который активно использует облачные продукты, технологии, аналитические данные, выстраивает коммуникации онлайн и хранит историю своей деятельности в цифровом пространстве. Любая утечка может разрушить бизнес.

— А насколько, по вашему мнению, хорошо защищены государственные структуры и объекты в России?

— Государство на всех уровнях уделяет существенное внимание вопросам кибербезопасности. Это отражается на повседневной жизни граждан: проходят мероприятия, посвященные безопасности, для школьников, студентов, потребителей госуслуг и пенсионеров в том числе. Компании с социальной с нагрузкой, такие как Сбербанк, например, тоже инвестируют в просвещение сообщества. Наши знаковые мероприятия — Олимпиада, чемпионат мира — прошли без трагических историй, связанных с кибербезопасностью. Это дает нам уверенность в том, что государство не только осознает, но и принимает необходимые меры для защиты. В то же время, как специалисту в области кибербезопасности, мне хотелось бы больше прозрачности в действиях государства. Хотелось бы большей проработки и более активного использования международного опыта при внедрении новых инициатив. То, что в России только начинается, — защита критической инфраструктуры, персональных данных — уже существует в том или ином виде в других странах, у них уже появились опыт и практика применения этого законодательства.


«Защити меня» — исследование, проведенное PwC в 2018 году в 12 крупных российских городах

  • 97% респондентов не доверяют компаниям в вопросах защиты своей персональной информации;
  • 93% респондентов считают, что компании уязвимы к хакерским атакам;
  • 88% респондентов уверены, что они не контролируют объем персональных данных, которые компании собирают о них;
  • 60% респондентов не станут больше иметь дело с компанией, если в результате утечки будет похищена их конфиденциальная информация.

— Как в других государствах происходит этот процесс?

— Сейчас регуляторы практикуют активное вовлечение индустрии в разработку новых законов, решении практических задач в области кибербезопасности. Они идут поступательно — от четкой верификации проблемы через выработку согласованного подхода к решениям, только потом появляются фиксированные рекомендации. Правило рождается только на третьей стадии. В России, кажется, все наоборот — сначала появляется правило, потом получаем отзыв от индустрии, бизнеса, получаем уроки, возможно, потом что-то корректируем, но недостаточно быстро и прозрачно.

— А не движется ли все это на уровень создания какого-то международного комитета по кибербезопасности?

— Такое движение, определенно, есть. В рамках открытых мероприятий при обмене знаниями в более приватных кругах представители разных индустрий, компаний, стран пытаются выстроить противодействие международному кибертерроризму. В то же время геополитическая ситуация, недоверие как между различными компаниями, так и между государствами делает этот процесс очень медленным и недостаточно эффективным. Сейчас компании, помогающие выстроить кибербезопасность, расследующие кибератаки, играют важную связующую роль между бизнесом и государствами.

— Какие новые инструменты появились у киберпреступников?

— В течение последнего года основной тренд — использование человеческого фактора, слабостей и ошибок для реализации кибератак. Большое количество сложных атак реализуется через социальную инженерию, воздействие на пользователей, а уже потом — на информационную инфраструктуру компании. Есть большой риск использования злоумышленниками современных технологий, искусственного интеллекта, машинного обучения, больших данных для создания сложных атак. Продолжают использоваться уязвимости нулевого дня (ранее не эксплуатируемые уязвимости), разрабатываются эксплоиты и инструменты атак с этими уязвимостями.