Positive Hack Days 12. Кибербезопасность вышла в массы

Positive Hack Days 12. Кибербезопасность вышла в массы

Впервые за 12 лет форум по кибербезопасности Positive Hack Days 12 преобразился в открытый киберфестиваль. Он с шумом и гамом прошёл в парке Горького — с отдельными зонами для профессионалов и широкой аудитории. Любой желающий смог узнать, как устроен цифровой мир, принять участие в квестах и повысить уровень грамотности и защищённости. 

ГОРОД ВЗЯТ!

— Бабушка, посмотри, там Standoff написано. Это игра такая, надо обязательно туда зайти! — в автобусе на Крымском мосту девочка лет десяти показывает пальцем на один из десятков павильонов, выросших вдоль набережной в парке Горького. Её внимание привлекла яркая неоновая надпись Standoff.

Разочаровывать ребёнка, что Standoff — не стрелялка, а кибербитва профессионалов за цифровое Государство F, мне не хотелось. Хотя зрелище при близком знакомстве и оказалось захватывающим. В открытой для публики части соревнований 22 команды «красных» атаковали семь критически важных объектов, которые защищали семь команд «синих». Каждый раз, когда я проходила по залу, больше напоминавшему навороченную 3D-арену в разгар виртуальной битвы, звучало роковое «Реализовано недопустимое событие!», реже сообщалось об успешном завершении расследования кибератаки на какой-то объект.

Впрочем, итоговая статистика показала, что среди red teams были не только профи, реализовавшие максимум событий, но и любители, которые «зашли посмотреть — попробовать» и ушли с нулевым результатом. Итоговый счёт — 63 атаки «красных» и 37 завершённых расследований «синих». Самыми уязвимыми оказались банковский сектор, промышленный объект и транспортно-логистическая компания, однако, не менее значительными стали и инциденты на АЭС и объектах электроэнергетики.

В конечном итоге жить в прекрасном Государстве F, на которое нападают такие изощрённые киберпреступники, мне как-то не захотелось.

Помимо кибербитвы — самой зрелищной части этого грандиозного мероприятия, объединившего экспертов по ИБ и этичных хакеров со всего мира, за два дня прошли также и деловые сессии, и круглые столы, и лекции. Впервые в истории Форум из закрытого «междусобойчика» превратился в открытый киберфестиваль. Любой гуляющий по парку Горького смог узнать, как устроен цифровой мир, послушать лекции о цифровых личностях и гигиене, конфиденциальности финансовой информации или принять участие в квестах и повысить уровень своей защищённости. В этом ему помогали профессионалы из различных компаний и отраслей экономики — от кибербеза, маркетплейсов и соцсетей до художников и операторов по утилизации отходов. 

А ТЫ ИМЕЕШЬ ЦИФРОВУЮ ЛИЧНОСТЬ?

«Цифровая личность — это совокупность информации, которую можно собрать о личности из открытых источников: соцсети, БД — всё, на чём можно построить портрет человека, начиная с полного имени и даты рождения», — считает Ф. Чунижеков (Positive Technologies), обсуждавший с коллегами на одной из площадок PHDays проблему «Атаки на личность в соцсетях и воровство аккаунтов». 

По мнению А. Швеца («ВКонтакте»), зная полное имя и некий более широкий идентификатор, можно узнать достаточно полную картину жизни человека. Этот факт подтвердил А. Борисов (Innostage), который, имея только исходные данные (имя и номер телефона), нашёл о себе несколько гигабайт информации, включая распорядок дня и число пройденных шагов. 

Однако главное — не что можно узнать о человеке, а для чего нужна такая информация, считает О. Седов («Ростелеком-Солар»). Он обратил внимание собравшихся в парке, что за последнее время в социальных сетях появилось много заброшенных аккаунтов, пароли на которых не менялись годами. Эти данные могут попасть на биржу по продаже аккаунтов. Дальше всё зависит от целей мошенников: создание поддельных личностей или двойников, построение ботнетов, воровство смежных аккаунтов, сбор денег... 

Главная цель кибермошенников — обогащение, отметили все участвовавшие в дискуссии. Злоумышленникам важно вывести человека из состояния равновесия и вынудить его перевести денежные средства на указанные счета, сообщить данные банковских карт, включая CVV. И неважно, будет ли это помощь старому другу, с которым жертва не виделась десять лет, звонок «следователя» или помощь голодающим на другом конце планеты. 

Последствия взлома чужого аккаунта могут оказаться и более серьёзными, если хакерам стала доступна чувствительная информация, например данные паспорта, ИНН или медицинская карта, а также адреса, где живёт или бывает человек, — в этом случае могут пострадать его близкие. Взломанный аккаунт может стать лазейкой для проникновения в закрытые компьютерные системы организаций, так как пользователи часто сидят в соцсетях на рабочих местах. 

Что может сделать человек в случае, если у него внезапно просят денег или сообщают о переводе средств с банковского счёта? Взять паузу и проверить информацию. Позвонить старому другу, с которым не виделся годами, или в банк, чтобы уточнить данные о состоянии счёта или конкретном сотруднике. Проверить ссылку, которую прислали для голосования за любимого племянника. 

Ещё один способ избежать попадания в такие ситуации — регулярное обучение и повышение киберграмотности. По словам А. Швеца, компания «ВКонтакте» регулярно публикует такую информацию и учит пользователей на конкретных примерах, как понять, что ситуация выходит из-под контроля. А можно поговорить об этом вечером в кругу семьи, считает О. Седов. 

В ЗАКРЫТОЙ ЗОНЕ

Закрытая от широкой публики часть PHDays проходила в стороне от основных потоков гуляющих, но в первый же день собрала тысячи участников: море специалистов по ИБ заполнило проходы между стендами партнёров мероприятия на набережной. Казалось, никогда ещё столько безопасников не собиралось одномоментно, чтобы послушать мнения регуляторов и руководителей отрасли. Те, кому «говорильня» на тему перспектив регуляторной политики или прогноз на будущее были неинтересны, слушали доклады о блокчейне и метавселенных, знакомились с техническими аспектами реализации kill chain, обсуждали построение SOC и доверенного VNP, искусственный интеллект и т. д. Быть одновременно всюду было физически невозможно. Как невозможно было и протолкнуться в залы — количество желающих намного превышало возможности аудиторий. 

В рамках деловой части много говорилось о повышении вовлечённости руководства компаний в вопросы кибербезопасности, а не формальном выполнении требований Указа № 250 и перекладывании ответственности на одного из замов по ИБ. За повышение уровня компетенции высших руководителей высказались Максут Шадаев (Минцифры) и Виталий Лютиков (ФСТЭК). Последний заметил, что согласно Федеральному закону № 44-ФЗ сегодня ценятся умение не столько правильно поставить задачу и принять работу, сколько выгодно заключить договор. Вот тогда будет результат, считает представитель регулятора. 

Глава Минцифры, в свою очередь, сказал, что рассматривает бизнес-подход как побудительный мотив для компании. И если она не выполняет требования регуляторов, то наказание — единственный стимул повышения защищённости. 

О тенденциях выполнения регуляторных требований только после того, как произошла просрочка и компании пришло предписание регулятора, говорил и Владимир Бенгин (Минцифры), отвечая на вопросы о сдвиге сроков перехода на отечественное ПО и оборудование с января 2025 г. на более поздние даты. 

В этом же ключе обсуждались требования к межсетевым экранам нового поколения (NGFW), презентацию прототипов и базовых моделей которых за последнее время представили сразу несколько компаний: PT, UserGate, РТК-Солар, «Код безопасности». В. Лютиков (ФСТЭК) отметил, что производителями NGFW называют себя многие. Поэтому ФСТЭК подготовила требования к межсетевым экранам, в настоящее время они согласовываются с Минюстом и вскоре будут опубликованы. Если требования к программно-аппаратным комплексам не соблюдаются, то компании не смогут называть себя производителями межсетевых экранов нового поколения. При подготовке требований регулятор изучил западный опыт и наработки российских разработчиков. Пока в документе не прописаны требования к пропускной способности и скорости задержки обработки пакетов. Этих цифр пока нет, но со временем они будут включены в документ с учётом развития аппаратной базы. 

Новая проблема, вставшая перед регулятором, — проверка и тестирование оборудования на соответствие требованиям к методикам и оборудованию для нагрузочного тестирования. Создание лабораторий — ещё одна задача. «Год назад об этом не думали, сегодня обсуждаем, как тестировать», — подчеркнул В. Лютиков. 

Он пояснил, что сегодня возможно использование зарубежного NGFW в КИИ при условии формирования компенсирующих мер, выработки сигнатур. Если при проверке выяснится, что незакрытые уязвимости были компенсированы соответствующими мерами, то санкций не будет. Также готовятся поправки в приказ о снятии обязательств по техподдержке западного оборудования с учётом текущего момента. 

В. Бенгин приветствовал усилия ФСТЭК по нормализации требований к NGFW. Он отметил, что по каждому классу продуктов есть неплохие решения. И это — заслуга регуляторов. Сформировался рынок, но он не касался NGFW. Российские вендоры массово заявляют, что решения есть, но заказчиков эти предложения не удовлетворяют. Необходима синхронизация подходов и готовность пожертвовать чем-то, например временем на обслуживание. В. Бенгин отметил, что Минцифры работает с производителями, рассылает письма и технологические карты с тем, чтобы выработать реальные подходы и решения. «Не видим краеугольной проблемы. Но должны справиться», — считает представитель регулятора. 

ПРЕКРАСНОЕ ДАЛЁКО

Обсуждали не только настоящее, но и будущее во всех его вариациях: будущее ИБ глазами футурологов, регуляторов и представителей отрасли, будущее хайтек-индустрии устами потребителей и производителей. 

По мнению тех, кто обсуждал «Мир киберугроз 2030», ситуация изменится незначительно. Число кибератак и возможности хакеров будут расти. Насколько эффективны будут средства защиты, зависит от самих компаний. По мнению С. Голованова (Лаборатория Касперского), волна хактивизма спадёт, если изменится геополитическая ситуация. О зависимости от внешнеполитической обстановки говорил и А. Шойтов, он отметил важность взятого сегодня курса на технологическую независимость и информационную безопасность. «Это тренд до 2030 года, в этом жить», — считает заместитель главы Минцифры, подчёркивая, что акценты сместились с просто цифровизации экономики на кибербезопасность. 

В идеале надо иметь защищённую систему и придерживаться принципа zero trust, считают эксперты. Использование новых технологий, ИИ и машинного обучения, особенно в госсекторе, создаст два новых аспекта угроз: программное и аппаратное. Осознание опасности этих угроз сегодня, развитие работы с данными и моделями обучения в будущем поможет избежать проблем, считает В. Лютиков. Эффект достигается повышением доверия к дата-сетам, надо выделить области, где этим стоит заниматься, а где — неэффективно. При этом методы и подходы ИБ к системам ИИ будут такими же, как к традиционным системам, потребуется адаптация к действиям атакующих. 

Среди ключевых аспектов ближайших лет эксперты выделили кадровые проблемы, тренд на импортозамещение и технологические вызовы, которые встанут перед отраслью. Чтобы успевать за развитием технологий, у нас ещё есть время на внедрение принципов Secure by design и нахождения баланса между скоростью развития ИТ и ИБ-направлений. 

О будущем хайтек-индустрии говорили представители компаний: разработчиков ПО, вендоров, провайдеров. На круглом столе много говорили о решениях ушедших западных компаний, которые унесли с собой многочисленные приложения по всем направлениям: баз данных, ERP, CAD, CAM, CAE, облачные решения и программно-аппаратные комплексы. Эксперты отметили, что сегодня создались отличные условия для разработки правильных экосистемных решений и есть все возможности для постройки собственной индустрии. 

К тому же запросы потребителей и ситуация требуют оперативного решения многих вопросов, на которые в другой ситуации ушло бы значительно больше времени. 

Для выхода из сложившегося положения представители отрасли предлагают брать доверенные open source-решения и решения с открытой архитектурой. А для закрытия всех проблем отрасли требуются свежие кадры, подготовку которых стоит активизировать, и конкурентный рынок.