Rambler's Top100
Статьи
Николай НОСОВ  23 мая 2023

Вассалы моего вассала, или Проблемы безопасности кибердорог

На фестивале Positive Hack Days 12 прозвучали призывы к сертификации работающих в интернете компаний с точки зрения соблюдения стандартов и требований кибербезопасности.

От аварий на дороге не застрахован никто. Не помогут ни осторожность, ни опыт. Ведь не даром говорят: «Не ты, так тебя». Безопасность можно обеспечить только комплексно, заставив всех участников движения ездить по правилам, сдавать экзамены на право вождения и периодически проходить техосмотр.

Сходная ситуация и в киберпространстве. Можно обучать персонал, проводить тесты на проникновение, ставить мощные средства защиты, а потом получить удар от контрагента, который сам и не виноват: в него тоже «въехала машина» и передала зловред или уязвимость. И путь решения сходный — сертифицировать всех участников «движения» на знание правил, проводить «техосмотр» их «машин» -- проверять системы информационной безопасности и контролировать своевременную установку устраняющих уязвимости обновлений.
Так в популярном виде можно изложить тезисы, прозвучавшие на круглом столе «Атаки на цепочку поставок: доверие к сервисам и технологиям в новом мире», прошедшем на фестивале Positive Hack Days 12. Два дня выступлений на нескольких сценах, площадка в центре Москвы в Парке Горького, встречавший гостей огромный троянский конь с бестиарием киберугроз во чреве, ИИ «Маяковский», комментировавший выступления на центральной площадке у музыкального фонтана, толпы народа на регистрацию в день открытия. Все сделано для максимального охвата самой разнообразной публики — с таким размахом мероприятия по кибербезопасности в стране еще не проводились.

Профессиональная часть тоже не подкачала. Причем если для физических лиц, как для «пешеходов», упор делался на разъяснительную работу — какие есть риски и как от них защищаться, то в отношении компаний звучали предложения по стандартизации и регулированию, повышающие безопасность киберсреды в целом.

«Cитуация изменилась: нападения стали целенаправленными. Хакеры изучают жертву, пробуют разный инструментарий и техники, чтобы достичь желаемого результата. Контрагенты потенциальной жертвы неизбежно попадут в поле зрения злоумышленников, а следовательно, тренд на атаки на цепочки поставок усилится», — сделал неутешительный прогноз директор экспертного центра безопасности Positive Technologies Алексей Новиков.

Самостоятельно защититься от угроз цепочки поставок компании сложно. Отвечая на вопрос нашего издания о возможности предоставления таких услуг профессионалами по сервисной модели, А. Новиков пояснил, что это сейчас невозможно из-за юридических проблем и пробелов в законодательстве. Поэтому пока придется обходиться своими силами — тщательно подбирать контрагентов и изучать безопасность всей цепочки поставок, возвращаясь к феодальной формулировке «вассал моего вассала — мой вассал» и соответствующему распределению ответственности.
Но уже все чаще звучат призывы к введению единых правил, регулирующих работу компаний в киберпространстве. «Необходимо сформировать общие стандарты и сформулировать стандартизированные требования кибербезопасности, которые компании могли бы соблюдать. Например, при принятии решения о сотрудничестве с той или иной организацией можно будет запросить документы и убедиться, что поставщик соблюдает единые требования рынка. Интернет-среда должна регулироваться с точки зрения кибербезопасности. Пока для проверки уровня зрелости ИБ у нас нет ни законодательной базы, ни ресурсов», — заявил директор по кибербезопасности Rambler&Co Евгений Руденко.

На кибердорогах можно установить и «видеокамеры», фиксирующие нарушения требований и стандартов безопасности. Например, сделанный по заказу Минцифры и представленный на фестивале компанией СyberOK сканер сетевого сканирования Rooster может всего за сутки просканировать все TCP-порты всего адресного пространства IPv4 и выявить на сайтах реальные уязвимости. Технических проблем нет, дело за законодателями, и можно будет заставлять работать в киберпространстве безопасно, не подвергая опасности себя и других. А нарушителям посылать «письма счастья».
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!