Журнал "Information Security/ Информационная безопасность" #6, 2022

Технологическая независимость в финсекторе Дмитрий Гадарь, директор депар- тамента ИБ Тинькофф Банка, отметил, что большая часть шквала атак послед- него года состояла из массовых угроз, включая фишинг. Это связано, помимо прочего, с уходом иностранных средств защиты с российского рынка. В резуль- тате для компаний, не имеющих сильной эшелонированной защиты, вырос риск заражения. А через них уже может про- исходить проникновение в более защи- щенные организации, например финан- совые, если интеграции с партнерами и подрядчиками недостаточно защище- ны. Если партнер раз в месяц присылает лиды, то эту интеграцию достаточно просто контролировать, анализируя вхо- дящий пакет. Но если хакеры атакуют компанию, которая поставляет критиче- ски важные продукт или услугу, и при этом шифруют ее данные вирусом-вымо- гателем, что может нарушить доступ- ность сервиса, тогда за такой интегра- цией надо внимательно присматривать. Достаточно вспомнить атаку на Colonial Pipeline, в результате которой постра- дали многие организации. Артем Сычев, советник генераль- ного директора Positive Technologies, отметил, что доля отечественных средств безопасности в финансовой отрасли доходит до 80%, но на уровне опера- ционных систем, баз данных и железа ситуация не лучше, чем в других отрас- лях экономики. Впрочем, у финансовых организаций есть запас в два-три года для проведения изменений, но все равно замена всего стека, от железа до при- кладного ПО, потребует заметных уси- лий. По словам Артема Сычева, хорошей альтернативой для небольших банков может стать использование аутсорсин- говых услуг, переход к облачным реше- ниям и совместное использование сер- висов. А в первую очередь надо сфоку- сироваться на программно-аппаратных решениях, которым нет замены, – на средствах криптографической защиты (или ХСМ-модулях); они должны появить- ся к 2025 г., но нужны уже сейчас. По сути, вся отрасль обслуживается двумя иностранными компаниями, и, если они одномоментно уйдут из России, у роз- ничного бизнеса могут начаться про- блемы. Про переход на российские ОС Александр Гутин, директор по мар- кетингу ГК "Астра", отметил, что сегодня на глобальном рынке операционных систем порядка 90% занимает Windows и около 3–4% – macOS. Но Microsoft постепенно теряет свою долю, и причина кроется в вопросах информационной безопасности. На Западе подобная тен- денция выражена пока не слишком силь- но, но в развивающихся странах разво- рачивается конкурентная борьба вендо- ров альтернативных ОС со всего мира. Исключением является Китай, который перешел на свои операционные системы и ПО как в государственных структурах, так и в коммерческих. Представители крупного, среднего и даже мелкого китайского бизнеса сегодня внедряют операционные системы на базе Linux Debian со своей оболочкой, выглядящие не хуже macOS по продуманности и являющиеся в использовании не более сложными, чем Windows. В этом плане Китай показывает пример успешного импортозамещения. Александр Гутин отметил, что и раз- работчики российских ОС добились успехов. Несколько лет назад их опера- ционные системы могли вызвать неприя- тие у многих пользователей, но сегодня эти продукты уже готовы к работе если не со всеми российскими программными экосистемами, то как минимум с 60%. А это означает, что уже можно перево- дить инфраструктуру отечественных организаций и компаний на российские программные рельсы, для этого есть практически все необходимое. В 2021 г. крупные компании, так или иначе свя- занные с государством, и государствен- ные организации купили больше рос- сийских операционных систем, нежели зарубежных. Может ли Bug Bounty стать гарантией киберустойчивости бизнеса? Технический директор "Азбуки вкуса" Дмитрий Кузеванов считает, что Bug Bounty – это проявление ответственного подхода к информационной безопасно- сти со стороны бизнеса. Ведь запуская открытую программу для поиска уязви- мостей, компания говорит, что готова публично признавать и исправлять свои ошибки. К тому же Bug Bounty позволяет привлечь большое количество каче- ственных исследователей со всего мира. Илья Сафронов , директор депар- тамента защиты инфраструктуры ИБ в VK, подчеркнул, что багхантеры доро- жат своей репутацией и станут исполь- зовать найденные уязвимости не во вред, а только для повышения защи- щенности компании. Вероятность слу- чаев мошенничества с их стороны крайне мала. В условиях отсутствия правопримени- тельной практики в области багхантига платформы для Bug Bounty, по мнению Евгения Руденко , директора по кибербезопасности Rambler&Co, могут способствовать легализации этого рынка. Но в любом случае ответствен- ность за свою инфраструктуру должны нести сами компании. Если багхантер строго следовал правилам конкретной программы Bug Bounty и нанес ущерб, то запустившая эту программу компания должна брать ответственность на себя. Организация должна понимать, зачем ей Bug Bounty, и прописать, что дозво- лено в ее рамках делать. Со своей стороны бизнес-лидер Stand- off Дмитрий Ким оценил, что сумма в 3–5 млн руб. более или менее доста- точна, чтобы попробовать Bug Bounty и получить первоначальный профит, причем в эту историю можно входить поэтапно. Первый этап – пентест, кото- 24 • СПЕЦПРОЕКТ Standoff 10: о технологической незави- симости, переходе на отечественные ОС и опасности цифрового следа а Standoff 10, который прошел в конце ноября, эксперты в сфере ИБ рассказали, как были атакованы российские компании в 2022 г., выделили ключевые тенденции отрасли и дали прогнозы на следующий год. Одними из главных трендов года названы атаки на цепочку поставок (Supply Chain Attack) и взломы через внешние зависимости, в том числе в опенсорсных инструментах. В 2023 г. эксперты прогнозируют вторую волну кибератак на российский сегмент Интернета, которые будут уже не массовыми, а целенаправленными, сложными и хорошо подготовленными. Выступающие обсуждали и другие острые проблемы отрасли: замену ПО иностранных вендоров, развитие отечественного опенсорса, атаки шифровальщиков, при которых невозможно заплатить выкуп. Н