[1]
Сегодня ни у кого нет сомнений, что вопрос информационной безопасности требует повышенного внимания. Так, по результатам исследования PWC, средний ущерб крупных организаций от кибератак составляет около $5 млн. В связи с этим обеспечение защиты информации становится особо приоритетной задачей, в которую бизнес инвестирует все больше ресурсов. Согласно прогнозам компании Gartner, в 2014 году расходы корпораций на IT-безопасность увеличатся на 7,9% и достигнут $71,1 млрд. В 2015 году рост составит еще 8,2% — до $76,9 млрд.
Виртуальная война затрагивает не только корпоративные, но и государственные интересы. В 2014 году кибератаки широко применяются против Украины во время конфликта на востоке страны. Несанкционированная «прослушка» и слив переговоров, атаки на сайты государственных институтов, мобильный спам во время выборов, заглушка телевизионных сигналов, радиоперехваты — все это Украина успела ощутить в этом году.
В Украине больше всего от кибератак страдают влиятельные медиа, финансовые институты и государственные учреждения. При этом сейчас возрастает не только количество атак на информационную инфраструктуру, но и их сложность. Злоумышленники используют разные виды атак: физические (атаки на телевизионные вышки, из-за которых прекращалась трансляция ТВ или радио в зоне АТО), DDoS-атаки (на сайты Центризбиркома, Верховной Рады и ключевых СМИ), взломы информационных ресурсов (сайта ЦИК во время президентских выборов, электронных ящиков политиков и журналистов), атаки на мобильные сети (перехват переговоров по сотовой связи, распространение вирусов через SMS-сообщения, сообщения протестующим на ул. Грушевского во время Майдана).
Крупные компании и финансовые учреждения нашей страны готовы инвестировать значительные ресурсы в защиту данных. На государственном уровне подготовлено несколько законопроектов, которые поменяют подходы к информационной безопасности Украины. Нам только предстоит построить новую систему, которая сможет своевременно выявлять риски информационной безопасности и адекватно на них реагировать. Какие проблемы должны быть решены в первую очередь?
5 ключевых проблем в сфере информационной безопасности:
- Отсутствие единого государственного органа, который бы в масштабах страны координировал связанные с информационной безопасностью и IT вопросы в целом. К чему это приводит? Во-первых, нет единой государственной стратегии развития в сфере информационной безопасности. Это не позволяет выстроить эффективную систему защиты информации и сдерживает развитие системы управления IT и электронного правительства. В результате законопроекты и программы, инициированные разными госорганами, как правило, не скоординированы. Во-вторых, деньги могут быть израсходованы неэффективно. В-третьих, отсутствуют ответы на базовые вопросы. Например, почему нет единой концепции использования электронной подписи? Какие стандарты для электронной подписи будут использовать в Украине — национальные либо международные?
- Система национальных стандартов защиты информации безнадежно устарела. Она оторвана от бизнес-практики, не гарантирует финансово обоснованных и надежных мер защиты. В Украине для технической защиты информации применяется так называемая «Комплексная система защиты информации», согласно которой систему нужно один раз построить, потом специальные организации проверяют ее и выдают сертификат о безопасности. Предполагается, что после этого система остается неизменной. Однако на практике это не работает. В других странах есть специальные отраслевые стандарты по защите бизнеса в области информационной безопасности, в том числе для энергетических предприятий, финансовых учреждений, СМИ. Руководства по обеспечению непрерывности вещания СМИ при чрезвычайных ситуациях являются стандартной мировой практикой. В Украине таких стандартов нет, исключение — банковский сектор, в котором идеология безопасности «спущена» Национальным банком. В США, Канаде, Великобритании и ряде других странах есть отдельные руководства для малого бизнеса, которые определяют, как предпринимателю правильно выстроить кибербезопасность бизнеса.
- Отсутствие обмена деталями кибератак на государственные организации и частный бизнес. В результате — невозможность их детального исследования. У нас практически никто не обменивается информацией об атаках. Никто не говорит друг другу: нас атаковали с этого сервера, давайте посмотрим, что там происходит, внесем его в черный список. Только в рамках международных платежных систем начинается обмен информацией о том, с какого сервера осуществлялась атака на интернет-банкинг, откуда производятся DDoS-атаки. Недавно на базе Государственной службы специальной связи и защиты информации Украины была создана команда реагирования на киберугрозы (CERT). Был организован координационный центр для предупреждения случаев нарушения информационной безопасности, однако этого недостаточно. Нужны отраслевые центры, которые будут реагировать на кибератаки, специфические для разных отраслей — медиа, энергетика, телекоммуникации и пр. Нужны CERT для армии и МВД.
- Использование нелицензированного программного обеспечения. Высокое количество зараженных вирусами и неправильно сконфигурированных систем, с помощью которых проводятся DDOS-атаки. По оценкам экспертов, в Украине есть тысячи зараженных и неправильно сконфигурированных систем, которые используются при атаках на другие компании.
- Отсутствие процесса эффективного публичного обсуждения государственных инициатив в области информационной безопасности среди экспертов отрасли. Это проблема, потому что специалисты в государственных органах не всегда имеют достаточно компетенций и знаний для реализации мер по обеспечению кибербезопасности.
Построение эффективной системы управления информационной безопасностью в масштабах страны — это не вопрос одного дня, недели или месяца. Тем не менее, нужно с чего-то начинать. Я бы выделил четыре первоочередные задачи.
Во-первых, необходимо создать единый координирующий орган в сфере информационной безопасности и ІТ. Во-вторых, нужно создать нормативную базу, отвечающую требования мировых стандартов. Быстрого эффекта можно достичь, используя документы, которые уже есть на украинском языке и готовы к применению — это стандарт обеспечения информационной безопасности ISO-27001/ISO-27002, переведенный Национальным Банком Украины, и стандарт IT-управления Cobit, разработанный международной ассоциацией IT-управления ISACA.
В-третьих, следует создать отраслевые центры реагирования на угрозы в сфере IT-безопасности. Эти центры реагирования должны проводить обмен деталями об атаках на корпоративные и государственные ресурсы, должны поддерживать «черный список» серверов, с которых производятся атаки.
Наконец, необходимо наладить процесс образования и профессиональной подготовки специалистов в области управления ІТ и информационной безопасностью, которых все еще не хватает в Украине.
Новые подходы помогут бизнесу и государству эффективно реагировать на новые вызовы сегодняшнего дня. В долгосрочной перспективе улучшение информационной и IT-безопасности государства сделает его более сильным и в геополитических противостояниях.