21–22 мая в центре Digital October компания Positive Technologies в 4-й раз провела ежегодный международный форум по информационной безопасности (ИБ) Positive Hack Days, в котором приняло участие около 2000 человек – специалисты и эксперты по ИБ, хакеры, менеджеры.

Нарастающая информатизация на базе ИТ всех отраслей современного общества и экономики создает и возможности для роста нарушений ИБ. Во время пресс-конференции организаторов заместитель генерального директора компании Positive Technologies Борис Симис представил основные результаты проведенного его компанией в апреле и мае этого года опроса руководителей служб ИБ 63 крупнейших российских компаний и государственных организаций. В опросе приняли участие предприятия банковской (42%), телекоммуникационной (17%), топливно-энергетической (13%), транспортной (4%) и других отраслей, а также государственных организаций и ведомств (12%).

С хакерскими атаками и заражением вредоносным ПО сталкивались все, и в более чем половине таких случаев это приводило к нарушению операционной деятельности, финансовым потерям, репутационным издержкам. Хотя опрашивались компании с отлаженными процессами ИБ, в каждой седьмой компании инцидент обнаруживали только тогда, когда атакующий уже проник во внутреннюю сеть.

Наиболее распространенные инциденты: DoS/DDoS-атаки (23%), хакерские атаки на внешние веб-приложения (21%), заражение вредоносным ПО (14%). В качестве источников угроз отмечены киберпреступность (31%), на втором и третьих местах – злоупотребления администраторов ИС (23%) и сотрудников компаний (17%). Причем если раньше получение контроля над критически важными ресурсами из внутренней сети было возможно в 84% исследованных систем, то в 2013 году это оказалось возможным для всех исследованных систем.

В качестве источников угроз указаны и поставщики услуг (11%), что связывают с расширением IТ-аутсорсинга. На деятельность спецслужб указали специалисты государственных организаций и ведомств, а также представители ведущего перевозчика и крупного медиа-канала.

Больше половины компаний (60%) устраняют уязвимости за несколько дней, каждая пятая тратит на это недели, а у 15% – месяцы. Наилучшие результаты в опросе показали банки, что, однако, расходится с результатами реальных проверок на уязвимость. По данным отчета Positive Technologies 37% систем ДБО не защищены от несанкционированных транзакций, и в половине этих систем присутствуют критические уязвимости.

Основными причинами, которые не позволяют эффективно обеспечивать ИБ, участники опроса назвали нехватку профессионалов, знающих и вопросы ИБ, и процессы предприятия (37%), а также несовершенство нормативно-законодательной базы (26%).

Борис Симис среди отраслей выделил как лидера банковскую отрасль. По его мнению, это объясняется тем, что банки и сами понимают значение ИБ, а также деятельностью Центробанка как регулятора в этой области. Таких сильных регуляторов в других отраслях нет.

Фото: Альберт Тахавиев, Bankir.Ru

К сожалению, в этом году не было банковской секции. Такая секция два года назад оказалась весьма интересной.

На форуме были представлены десятки докладов по конкретным вопросам: защищенность протокола NFC, инсайдерские атаки — нападение и защита, эффективность IdM-решений, специализированные решения (MDM, BYODD, …) – панацея? И т.д.

Но весьма интересными оказались и обсуждения и общих проблем ИБ. Быстро развивается информатизация инфраструктурных предприятий, при этом широко используется Интернет. А это дает основания предполагать различные катастрофические сценарии: разрушения систем водоснабжения, энергетики и транспорта, остановка торговых операций, потеря контроля над медицинским оборудованием... В секции «Безопасность критической инфраструктуры» приняли участие Андрей Курило, заместитель начальника ГУБЗИ Центробанка, Гаральд Бандурин, директор по информационным технологиям «РусГидро», Марк Фюрре (Marc Furrer), президент швейцарской компании ComCom, Ахмад Хассан, директор по управлению рисками и обеспечению соответствия стандартам du Telecom, Борис Макаров, руководитель центра кибербезопасности ОАО «РЖД», которые, в частности, выделили как одну из основных проблем в области ИБ критической инфраструктуры отсутствие практики форсайтов (работы на опережение). Гаральд Бандурин отметил, что вопросы ИБ должны отрабатываться в системах еще на этапе их проектирования, а нормативная база должна способствовать этому. Ахмад Хассан, представляя практический пример из области телекоммуникаций, подчеркнул, что работа над ИТ-проектом должна начинаться с анализа информационных рисков и разработки планов реагирования.

Об этом же говорил и Булат Гузаиров, рассказывая про создание системы ИБ Универсиады в Казани. Он подчеркнул, что разработка такой системы должна начинаться параллельно с развитием бизнес-проекта по организации крупного события, специалисты по ИБ должны подключаться к проекту как можно раньше.

Тема защищенности критической инфраструктуры была продолжена при обсуждении АСУ ТП, управляющих технологическими процессами, например, в газохранилище в Туркмении, аэропорте в Цюрихе, Большим адронным коллайдером и т.д. Заместитель генерального директора Positive Technologies Сергей Гордейчик и эксперты рассказали о новых уязвимостях в промышленных системах АСУ ТП. Компания Positive Technologies за несколько лет обнаружила более 200 уязвимостей нулевого дня в этих системах, многие из них до сих пор не устранены. К Интернету подключено почти 70 тыс. таких систем и для их обнаружения в свободном доступе есть специальные инструменты, а для использования уязвимостей уже написано множество эксплойтов. Специалист отдела анализа защищенности Positive Technologies Артем Чайкин рассказал о недостатках защиты «умных» электросетей SmartGrid – систем мониторинга и оптимизации затрат на электроснабжение, внедрение которых при текущем уровне защиты позволит в будущем отключать целый город, используя несколько строк кода.

Наверное, выступление Игоря Ашманова, генерального директора интернет-компании «Ашманов и партнеры», оказалось самым ярким на форуме. Он рассказал о ситуации с хранением и доступом к данным о поведении людей в современных социальных сетях. Например, Facebook хранит и анализирует комментарии пользователей, которые были просто написаны в мессенджере, но не были опубликованы. В целом же ситуация с данными пользователей такова, что благодаря современным системам, обрабатывающим большие данные, можно выяснить о конкретном человеке очень много – от поведения, покупок, действий в повседневной жизни до политических пристрастий. Причем это можно достичь не с применением каких-то исключительных систем, которые есть только у АНБ США и аналогичных служб. Результаты такого анализа в части политических взглядов обитателей Рунета и их эволюции Ашманов и продемонстрировал аудитории.

В рамках секции «Государство и информационная безопасность» обсуждалось в основном регулирование Интернета. Представитель МИД России Борис Васильев критически оценил так называемую Будапештскую конвенцию, в пункте Б статьи 32 которой оговаривается возможность осуществлять мониторинг информационных систем без уведомления их владельцев. По его мнению, 35 стран, подписавших эту конвенцию, фактически разрешили слежку за собой и своими гражданами. Андрей Колесников, директор Координационного центра национального домена сети Интернет, отметил такую точку, в которой техническое регулирование сталкивается с информационной безопасностью. Он задал вопрос: что произойдет с Интернетом, если судебный пристав придет с ордером на отключение, допустим, домена Ирана — к компании VeriSign, которая контролирует корневые интернет-серверы? Колесников также выразил опасения по недавним предложениям о введении для Рунета трехуровневой модели, ограничению количества трансграничных переходов и переносу DNS-серверов на территорию России. По его мнению, в этом случае Россия окажется изолирована по информационному периметру.

В России лишь 6 из 40 компаний, использующих инструменты для сбора данных о посетителях, имеют прописанную политику работы с персональными данными, отметил Леонид Филатов, глава OpenStat. Таким образом, многие не принимают на себя никаких обязательств по обеспечению сохранности персональных данных. В Европе, чтобы «прицепить к пользователю кукис», у него спрашивают на это разрешение.

На форуме обсуждались также проблемы безопасности smart-телевизоров, Интернета «умных вещей», разработки защищенных приложений, конкурентной разведки и т.д., а также был проведен ряд конкурсов, включая уже традиционный « Большой ку$h» по взлому системы ДБО. Для этого конкурса была специально разработана система ДБО PHDays iBank, содержащая уязвимости, которые встречаются в реальных банковских системах. Хакерам удалось почти полностью опустошить счета виртуального банка. Всего было «украдено» почти 17 тыс. рублей из 20 тыс. Участник под ником d4d стал победителем, он вывел из банка 9359.71 рублей.

Фото: Альберт Тахавиев, Bankir.Ru

С презентациями и телезаписями выступлений, результатами конкурсов можно ознакомиться через страницу http://www.phdays.ru/.

Москва.