В Украине еще сохраняется угроза кибератак, но потери будут в 3-4 раза ниже — Кардаков
Последствия широкого распространения вируса Petya среди украинских компаний, банков, государственных структур в 2017 году показали, как мало в Украине уделяется внимания информационной безопасности. В том же году Александр Кардаков решил создать оператора кибербезопасности, который бы обеспечивал защиту даже малого бизнеса. adventus-tour.ru решило пообщаться с бизнесменом о том, насколько компания выросла за это время, представлен ли уже готовый продукт для МСБ, и готовы ли предприниматели уже платить за защиту.
После атаки вируса "Петя" в 2017 году вы заметили, что компании приняли меры по кибербезопасности?
Большое количество компаний запустили процесс по защите данных, но только 10-15% из них более-менее нормально выстроили систему кибербезопасности. Основная причина — самонадеянность — авось пронесет. Но также у владельцев нет понимания, почему на систему защиты требуется такая сумма инвестиций. Нет в компаниях и такого человека, как CISO, руководителя информационной безопасности, который подчиняется генеральному директору или владельцу. Именно этот человек может и должен оценить потенциальные убытки, сумму инвестиций и сказать на языке бизнеса, почему это надо сделать.
Когда на весы кладешь риски и потенциальные затраты, владельцу становится понятно, на что он тратит свои деньги. Как мне кажется, когда дошло до реального выделения денег, никто не смог это объяснить...
В компаниях, которые выстроили свою защиту, был CISO?
Да, либо CISO, либо айтишники, или безопасники взяли на себя эту функцию. Примерно в 5% организаций сегодня есть в штате такой человек. Это человек соответствующего уровня, который может говорить с генеральным директором, с акционером на понятном для бизнеса языке.
Это компании западные или украинские?
Украинские. В международных компаниях существует политика безопасности, которая много лет выстраивалась главным офисом, и которую "спустили" на дочерние предприятия.
Вы сказали, что все упирается в бюджет. Можете описать сумму от и до, сколько потребует затрат информационная защита?
Для среднего бизнеса — это десятки тысяч долларов, для крупного — это, возможно, от $500 тыс. и до $1 млн. Стоимость безопасности прямо пропорциональна прямым и косвенным убыткам, которые может понести бизнес в результате успешной кибератаки.
Вопрос, что защищать очень сильно, — зависит от конкретной организации. Например, у Интернет-магазина это может быть сайт, у ритейла — автоматизированная система логистики, у промышленного предприятия — система автоматизации производства.
Какие сейчас существуют реальные и потенциальные угрозы для бизнеса?
Самыми массовыми являются три источника заражения. Первый — классический фишинг через электронные письма. Стоит отметить, что находящиеся в открытых источниках данные о компании и её сотрудниках дают возможность хакерам гораздо лучше подготовиться к фишинговой атаке: от кого должны поступать письма, чтобы они были правдоподобными и чтобы их открыли. Второе — это так называемый водопой: для заражения используются взломанные легальные сайты, бесплатные утилиты и развлекательные программки типа "какого цвета вы кошечка". Их человек сам использует или посещает и по своей воле раскрывает личные данные и пароли. Третий источник — проникновение в сеть целевой компании через компрометацию ее поставщиков, например, программного обеспечения или каких-либо других услуг.
Эти векторы проникновения продолжают оставаться наиболее актуальными.
По результату воздействия — киберпреступники сегодня чаще всего занимаются шифрованием с дальнейшим требованием выкупа. Они проникают в сеть, находят наиболее ценную информационную систему и ее бэкапы и зашифровывают их. К сожалению, у большинства организаций, бекапы находятся там же, где и основная информация.... За определенную сумму — от 0,6 биткоина до десятков биткоинов предлагают расшифровать. Расшифровывают данные после уплаты выкупа редко. Второй по частоте результат воздействия — кража компрометирующей или просто конфиденциальной информации. И далее по аналогичной схеме — "Мы огласим компрометирующую вас информацию, если вы до понедельника нам не заплатите"...
Есть статистика, какой процент компаний подвергается таким атакам ежегодно?
Статистики нет. Но по опыту скажу, что практически каждая компания подвергается нескольким эффективным, уже с результатами, атакам.
Как от них защищаться?
Первое — найти или подготовить ответственного директора по информационной и кибербезопасности — CISO (Chief Information Security Officer). Второе — этот человек должен организовать анализ рисков кибербезопасности для бизнеса и построение базовой защиты, адекватной этим рискам. Третье — обучить пользователей кибергигиене. Это очень важно, потому что пользователь — самое слабое звено практически любой системы. Эти базовые шаги решают 70-80% задач.
И последнее — то, что сам не можешь сделать — передать на аутсорсинг.
Предоставить такие услуги может коммерческий центр управления кибербезопасностью — SOC, Security Operation Center. Главная ценность услуг SOC в том, что события в сети организации, даже на первый взгляд не связанные друг с другом, постоянно анализируются командой операторов и аналитиков для выявления неочевидных связей. Так можно обнаруживать длительные целенаправленные кибератаки.
За какой период времени анализируются события?
Любая кибератака — это тоже процесс, и происходит он в несколько этапов: разведка, заражение, распространение и "результат" (например, как уже говорили выше — шифрование данных с требованием выкупа). Поэтому важно иметь максимально полную информацию за длительный промежуток времени, чтобы вовремя обнаружить угрозу на самых ее ранних стадиях — разведке и попытке заражения. Наш SOC построен так, что оператор может быстро выявить аномалию, и аналитики могут оперативно отреагировать.
Откуда в основном идут атаки, грубо говоря — из соседнего офиса или другого континента?
Есть три уровня, которые я классифицирую. Первый — это кибертерроризм, который происходит на уровне государства, либо крупной промышленной/финансовой группы. В нашем случае основной источник кибератак — это Россия, хотя много разведывательных активностей есть из Китая. Второй — это кибер-рэкет. Это уровень бизнеса. Чем больше компания, тем больше интерес к ней. И последний — это кибермошенничество, это уровень нас с вами. К примеру, воровство номеров платежных карт и другие мошенничества в Интернете. В первом и втором случае кибератаками занимаются организации со штатными сотрудниками и солидными бюджетами, это политическая и коммерческая деятельность, и она более-менее привязана к территории страны. В последнем случае мошенники могут находиться где угодно. В том числе этим грешат и наши соотечественники.
Достаточно ли в Украине специалистов по защите? Как вы подбираете команду?
Мы берем айтишников и сисадминов, которых потом доучиваем по безопасности. Есть идея сделать школу CISO. Узкоспециализированные курсы обучения по конкретному оборудованию и программному обеспечению есть в избытке, но нужно, чтобы люди могли видеть общую картину.
В целом CISO как специалиста по кибербезопасности можно обучить за полгода, но он должен еще иметь бизнес-образование, чтобы разговаривать на одном языке со своим бизнесом, иметь возможность четко поставить задачи, найти и потом проконтролировать подрядчиков и многое другое.
Кто сейчас ваши клиенты и какие ниши вы еще не закрыли?
Сегодня мы строим вместе с другими компаниями нашей Группы киберзащиту крупных и средних организаций. Информация в наш SOC поступает от выносных сенсоров и анализируется. Эту систему мы планируем промасштабировать для обслуживания тысяч компаний. Однако сейчас для того, чтобы увеличить в пять раз количество клиентов, мне в три раза необходимо увеличить персонал. Это неэффективно. Поэтому сейчас мы внедряем более эффективные системы автоматизации, чтобы персонала надо было намного меньше. Когда мы это реализуем, мы выйдем в нишу малого и среднего бизнеса, чего в нашей стране не делал никто.
Какой будет средний чек обслуживания для них?
Мы хотим защищать всё, вплоть до отдельного рабочего места. В этом случае ценник будет не более $10 за одно рабочее место. Это не самый полный пакет, но с достаточно высокой степенью защиты, потому что в него будет входить подключение к нашему SOC, в котором есть операторы и аналитики с опытом. Ни одно программное средство само по себе не заменит грамотных специалистов, которые знают свое дело и умело используют свои инструменты.
Это ваша концепция — быть оператором киберзащиты в Украине?
Да, но прежде чем услуга киберзащиты может начать предоставляться, необходимо пройти несколько обязательных шагов. Первое — у клиента всё равно базовую защиту надо или построить, или убедиться, что она уже есть и работает. Второе — подключить критичные компоненты информационной системы клиента к нашему SOC. Третье — это уже непосредственно оказание услуг: мониторинг инцидентов, аналитика, расследования и многое другое. Но и на этом всё не заканчивается. По результатам какого-то периода оказания услуг мы будем давать рекомендации — какие надо провести изменения у клиента, чтобы повысить его безопасность и снизить риски для его бизнеса. Это классический круг: Plan — Do — Check — Act.
Есть такие примеры операторов кибербезопасности в мире?
Принцип работы оператора киберзащиты в мире уже формализован. Есть описания и задокументированы базовые бизнес-процессы такого рода оператора. Этим преимущественно занимаются крупные игроки на рынке кибербезопасности, например: IBM, CISCO, Hewlett Packard. Они проводят различные тренинги, обучения, дают рекомендации. Но если бы всё было так просто, то на рынке уже было бы очень много операторов по кибербезопасности. Поэтому тут есть определенный нюанс — каждый бизнес имеет свою маленькую изюминку. Мы свою изюминку готовим. Как только мы ее запустим — сможем выходить и на внешние рынки. Через пару лет 50% бизнеса должны генерироваться как раз на внешних рынках. И мы будем на них конкурировать. Сейчас задача — сделать массовый работающий продукт.
Вы оценили рынок кибербезопасности в Украине в $20-30 млн. Как вы его считали?
Согласно аналитическим отчетам за последние 2-3 года, около 3% от общих затрат на ИТ в мире приходится на кибербезопасность. Общий рынок ИТ в Украине на 2019 год оценивается около 4 млрд долл. Мы посчитали, что от 4 млрд долл. 3% — это 120 млн долл. Эту цифру мы поделили на пять, учитывая наш менталитет. Для проверки мы из своего опыта просчитали по количеству организаций, сколько готова каждая платить в Украине. Этот расчет также нам дал подобную цифру.
Вы не рассматриваете возможность, что на украинский рынок скоро придет зарубежный оператор, или почему они до сих пор не пришли?
Любому внешнему оператору надо будет вникнуть в специфику нашего рынка, адаптировать существующие у него системы, продумать условия подключения и так далее. Да и ценовая составляющая будет играть большую роль. У них все дороже.
Какие следующие рынки после Украины в вашем фокусе?
Рынки, на которых готовы платить. Это европейские страны. Там есть зрелость рынка, когда люди понимают, для чего им кибербезопасность и что за качественные услуги нужно платить. И для этого мы должны научиться качественно работать.
Технологически мы хотим выйти на рынок именно малого и среднего бизнеса. Задача — в этом бизнесе найти свою нишу и свою изюминку, чем мы будем лучше других. А выходить с безликим продуктом и играть только ценой — для этого есть китайцы.
Вы рассчитываете — это будет через 2-3 года?
Два. Хотелось бы раньше, но я вижу это в два этапа. Мы запускаем вторую очередь нашего SOC, и у нас появится возможность массово обслужить сотни и тысячи клиентов. Но для выхода на внешний рынок нужно уже обслуживать тысячи и сотни тысяч клиентов. И поэтому необходимо стать лучшими в этой сфере.
Если вернуться к началу разговора, что сейчас только до 15% компаний внедрили кибербезопасность, получается, что в Украине потенциально существует угроза такой же вирусной атаки?
Такая угроза существует всегда, атака "Пети" в 2017 году была столь успешной из-за полной безалаберности в системах безопасности. Сегодня при попытке повторения аналогичной по масштабам атаки потери будут в 3-4 раза меньше, всё-таки выводы сделали даже самые ленивые.