kardakov

Если не пользуетесь ремнями безопасности – вы под угрозой. С кибератаками так же

Александр Кардаков – известный бизнесмен-инноватор, один из самых успешных лидеров страны. В 2013 г. стал единственным представителем IТ-отрасли, кто вошел в сотню самых  влиятельных людей Украины. Председатель  наблюдательного совета компании «Октава Капитал», основатель компаний «Инком» и «Дата груп». А полтора года назад он создал еще одно направление бизнеса – оператор кибербезопасности «Октава Кіберзахист».

В интервью для Strategic Business Review Александр рассказал, какие выводы сделал большой бизнес после кибератаки Petya, когда предположительно ожидать следующих цифровых войн, и как защитить свои данные от кибермошенников.

Что такое кибербезопасность и как она регулируется в правовом поле Украины?

До недавнего времени о кибербезопасности говорили катастрофически мало. Вернее, почти не говорили – пока не грянул гром. Июньская кибератака 2017 г. показала, что кибербезопасность – это серьезный аспект в жизни украинского общества. Вирус Petya пробил брешь в и без того слабой системе защиты киберсреды, парализовав на несколько дней треть экономики страны. Простыми словами, кибербезопасность – это защита информации и персональных данных от всевозможных угроз и атак. Насколько требуется здесь регулирование? Ели речь идет о госресурсах и критически важной инфраструктуре, то спору нет. С остальными – давайте поговорим.

Каковы последствия, если бизнес не будет уделять должного внимания защите информационных данных?

Никого же не удивляют фразы: «мойте руки перед едой», «не заплывайте за буйки», «пристегивайте ремни безопасности», «страхуйте имущество». В принципе, можно игнорировать эти предупреждения, ведь чаще всего, ничего не происходит. Однако может произойти, и большинство людей уже понимают, что лучше не рисковать. То же  и с кибербезопасностью. Сегодня, когда большинство бизнесов зависят от IT, кибербезопасность начинает относиться к защите от таких рисков. Ведь до массового появления СПИДа никто не рекламировал средства защиты – это считалось личным делом. Сейчас кибербезопасность из интимного дела превратилась в дело общественное.

Возможно ли повторение вирусных атак, таких как Petya и более масштабных?

Атака Petya была удачная, но она не представляла собой ничего экстраординарного. Здесь стояла задача – заявить о себе. Да, атака была массовой, четко подготовленной, направленной на бизнес-сектор, так как поражалась через систему отчетности коммерческих организаций. Повторения такой вирусной атаки не будет. Будет другая – более серьезная и масштабная. На своей странице в Facebook я уже размышлял о том, как это может быть. «Кибер-Армагеддон в Украине» – это атака на «Облэнерго»,  операторов сотовой связи, сети АЗС, погранслужбу, таможню,  сети продуктовых супермаркетов по всей стране, а также насосные станции, канализации и корневые DNS-сервера интернета. «Веселое» сочетание…

Как, по-вашему, кому они выгодны, и зачем это делается? Как может быть использована информация, полученная кибермошенниками?

Тут можно провести аналогию с повседневной жизнью. Есть обычные воры, которые воруют ради наживы. А есть террористы. Так и в киберсреде: есть кибермошенники и кибертеррористы. Задача последних заключается в том, чтобы их теракт был масштабным и заметным. Если точечные кибератаки проводятся по чисто экономическим причинам – украсть пароли, получить доступ к счетам, деньгам или к информации, то у кибертеррористов стоит задача – нанести максимальный финансовый и психологический ущерб предполагаемым жертвам. Сегодня все большие кибератаки – политические. Они становятся средством геополитики отдельных государств наравне с обычным терроризмом.

Какова доля предприятий в Украине, которые обеспечили кибербезопасность в своих компаниях?

Бизнес разделился на две категории: первые очень серьезно к этому подошли –проводят последовательную организационную и техническую работу, выделяют бюджеты. Это примерно 15-20% компаний в стране. Вторые ведут себя как страусы, прячущие голову в бетонный пол. Они надеются, что если спрятались, то их не заметят. К моему удивлению, даже не все финансовые учреждения серьезно относятся к вопросу кибербезопасности. Думаю, что все зависит от квалификации людей (не только технических специалистов, но и топ-менеджеров), от грамотной оценки рисков. В нашей стране отношение к рискам на уровне «пронесет – не пронесет». Скажу так: тот, кто не пользуется ремнем безопасности – первый станет жертвой аварии.

Возможно ли защититься от кибератак?

Конечно. Даже сейчас, в случае возникновения вируса, подобного Petya,потери были бы уже гораздо меньше. Не потому, что все вдруг стали умнее, а потому, что даже самые ленивые провели минимальный анализ, осознали риски и что-то предприняли. Например, теперь айтишники могут в случае обнаружения начала атаки отключать систему, чего раньше они делать не имели права. Повторюсь, последствия при обнаружении аналогичной атаки будут уже примерно в 2-3 раза  меньше. Но это при аналогичной атаке. Другая атака – другой механизм. Никто не знает, что сейчас нас ждет. Единственное, что может защитить от регулярных атак – создание нормальной системы кибербезопасноти.

Как скоро, по вашему прогнозу, ожидать следующей атаки?

Скоро. Любая террористическая атака должна быть подготовлена. В кибератаке тоже самое – нужно поставить цель, разработать механизм, набрать исполнителей и выбрать самый подходящий момент. Как и в любом проекте – срок подготовки не менее полугода. С момента предыдущей атаки прошло 8 месяцев. Наверняка у тех, кто это делал, уже есть новые инструменты. Они просто ждут подходящего момента.

Специалисты могут определить, когда ждать беды?

Вычислить это сложно. По логике, кибератака должна была произойти, когда были морозы, метели и газовый конфликт с Россией. Если бы в этот период она случилась, наверное, могли бы даже перебои поставок газа объяснить  незащищенностью и развалом нашей газотранспортной системы, коррупцией и «зрадой». Устроить перебои с поставками электроэнергии и неполадки в газотранспортной системе – было бы очень эффектно… К счастью, этого не произошло. Надо вычислять следующий момент. Ближайшие 1-2 месяца я не вижу удачного стечения обстоятельств для новой атаки. Кстати, осенью были обнаружены новые серьезные уязвимости, на этот раз уже в архитектуре подавляющего большинства современных процессоров –Meltdown и Spectre.А от обнаружения уязвимости до ее фактического использования проходит по классике до 9 месяцев. Соответственно, следующие атаки стоит ожидать к началу лета.

Как вы пришли к идее создания оператора услуг кибербезопасности?

Я начал думать об этом 1,5 года назад. Мы попали на интересный технологический прорыв. Раньше классическая система киберзащиты состояла в том, чтобы следить, анализировать, находить угрозы и потом только на них реагировать. И люди реагировали. Сегодня появилось новое поколение систем кибербезопасности, когда стали финансово доступны системы автоматического реагирования по достаточно сложному алгоритму. Удалось исключить человеческий фактор. Это работает так: если система обнаруживает «неправильное поведение» в сети, она автоматически изолирует отдельный зараженный компьютер, сервер, сегмент или сервис сети, и после этого уже операторы разбираются, что это за угроза. Если это было ложное срабатывание, они быстро включают систему обратно и постепенно «обучают» ее, чтобы ложных срабатываний было как можно меньше. Сегодня уже все пришли к тому, что временное отключение подозрительно ведущей себя отдельной системы гораздо лучше, чем разрушение всей IТ-инфраструктуры организации. И техника к этому пришла, и Petya показал, что лучше полчаса подождать, чем несколько дней восстанавливаться.

Суть моего проекта в создании сервиса кибербезопасности для среднего в дальнейшем – малого бизнеса. Так я стал стартапером. Кстати, недавно с восторгом прочитал, что лучшие стартаперы – люди в возрасте от 45 до 60 лет. А я как раз нахожусь в этой возрастной категории. Так что я получаю удовольствие от этого.

Что нового вы планируете предложить рынку?

Мы предлагаем рынку две базовые услуги. Первая – клиент может купить оборудование и программное обеспечение для защиты (основное это защита периметра и ядра сети) и передать нам его на дистанционное круглосуточное обслуживание. Вторая – клиент может взять такое оборудование и ПО у нас в аренду, поставить у себя на площадке для защиты периметра и ядра сети и мы тоже будем его обслуживать. Отмечу, сегодня для этих целей мы используем оборудование и программное обеспечение компании Cisco.

В обоих случаях специалисты в нашем Security Operations Сenter круглосуточно следят за работой систем кибербезопасности – за всеми аномалиями и инцидентами, если надо – реагируют. Удаленно производится контроль и осуществляется мониторинг. Мы даем всю отчетность, что происходит с организацией в киберпространстве: какие были попытки атак, инциденты, что нужно дальше сделать, чтобы уменьшить угрозу. А если все же произошел какой-то инцидент, то содействуем максимально быстрому восстановлению. Мы ориентируемся на средний бизнес, которому выгоднее брать в аренду, а не покупать дорогостояще железо, и потом просто продлевать подписку – как на антивирус. При этом очень важно, что доступа к собственной информации клиента мы технически не имеем.

Сколько в среднем бизнес должен тратить на кибербезопасность?

Если приобрести на $15-30 тыс. оборудования и нанять в штат несколько квалифицированных специалистов, которые все это обслуживают и поддерживают, – это очень дорого. Наши услуги обойдутся гораздо дешевле. Это особенно выгодно тем организациям, у которых нет экономической целесообразности создавать свой отдел кибербезопасности.

Насколько реальна утечка информации от сотрудников?

С нашей стороны она невозможна, поскольку мы технически получаем доступ только к системе управления, а не к трафику наших клиентов. А от сотрудников самих клиентов – это огромная, отдельная тема совсем другого интервью.