В интервью Digital.Report грузинский эксперт по кибербезопасности Давид Инанеишвили рассказал о том, насколько хорошо в Грузии защищены объекты критической инфраструктуры, как изменились киберугрозы и какие появились новые профессии с развитием высоких технологий.
Давид Инанеишвили долгие годы жил и работал в Финляндии. Несколько лет назад он вернулся в Грузию. Теперь руководит направлением информационной безопасности в крупнейшей региональной ИТ-компании — UGT. Основные сферы деятельности – разработка цифровой безопасности на основе международных стандартов в соответствии с законодательством и требованиями конфиденциальности, управление и оценка рисков информационной безопасности, развитие ИТ-инфраструктуры, внедрение политики кибербезопасности, реагирование на инциденты и расследование кибермошенничества. За 20 лет работы в сфере кибербезопасности Давид занимался ИТ-интеграцией и консультированием в самых разных сферах – от банковского дела и промышленного сектора до военных ведомств и государственных структур. Преподает информационную безопасность и выступает с лекциями.
Digital.Report: Технологии так стремительно меняются, что за ними порой сложно угнаться. Меняются ли вслед за ними киберугрозы?
Давид Инанеишвили: Конечно, киберугрозы тоже меняются. Самое главное изменение в том, что киберпреступники поняли – если в киберкриминал вложить деньги, можно много заработать. А те сферы, где есть деньги – торговля оружием, порнография, наркотики – как правило, развиваются. Раньше в Грузии было как? Локальная страна – локальные проблемы. Но как только ты включился в интернет, глобальные проблемы стали актуальны и для тебя. Люди стали осознавать, что надо объединяться в борьбе против кибермошенников. Ситуация такова: представьте, на одной стороне – одна организация, против нее – миллион киберпреступников. Кто сильнее? Конечно, криминал. Все больше организаций сейчас предпочитают сотрудничать: «давайте обмениваться данными, давайте вместе защищаться». Так что понимание того, что «я – один, их – много, и они всегда впереди», приходит, но, к сожалению, медленно.
Киберпространство – это новое, четвертое измерение, которого раньше не было. В нем, также как в остальных трех – воздухе, земле, море – свои правила. В киберпространстве, как и на земле, идут войны, идет шпионаж. Вам надо выбрать, кем вы хотите быть – пешкой или ферзем? Хотите только защищаться, чтобы вас не трогали, или хотите устанавливать свои правила игры и контролировать киберпространство? А может, хотите контролировать только свое, а чужого не касаться – как, например, сделали в Китае, где поставили великий китайский Firewall? Сегодня любая война будет включать киберэлемент. Поэтому опасность гибридных войн должна отобразиться в стратегии. Надо научиться правильно оценивать угрозы, но прежде надо понять, что мы живем в новой реальности, и киберпространство – ее неотъемлемая часть.
Государственные сервисы все больше автоматизируются. Не является ли этот сегмент дополнительным «лакомым куском» для киберпреступников?
Конечно. Чем больше вы автоматизируете государство и переходите на технологии, тем больше вероятность появления новых угроз. Автоматизация процессов, с одной стороны, облегчает жизнь людей, с другой – делает госсектор уязвимым для самых разных видов кибератак. В США был интересный случай. Однажды сотрудники госпиталя, придя на работу, обнаружили, что рабочие компьютеры, в которых хранится информация о пациентах, историях болезни и операциях, зашифрованы. Работа, конечно, остановилась. Киберпреступники поставили условие, что включат оборудование в обмен на 18 000 долларов. Делать было нечего, госпиталю пришлось заплатить. Это пример того, что киберкриминал понял, как зарабатывать деньги.
К сожалению, отражать кибератаки мы пока только учимся – и, надо сказать, учимся медленнее, чем криминал или некоторые государства, имеющие свои киберармии. То, что ведущие страны сегодня сотрудничают с хакерами, не секрет. Одна из самых громких историй была с вирусом Stuxnet – его специально для Ирана создали совместно Израиль и Америка. Цель была заразить компьютерную систему ядерной программы Ирана. Создатели запустили в киберпространство зараженную вирусом флешку, работающую по следующему принципу: если, к примеру, вы включите ее в свой компьютер, ничего не случится. Но вирус продолжит искать, и как только поймет, что находится в Иране и именно в том оборудовании, для которого запрограммирован, поменяет показатели датчиков. Так Stuxnet приостановил иранскую ядерную программу, отбросив ее на несколько лет назад, а Тегерану пришлось переделывать все компьютерное оборудование, включенное в систему.
Уделяют ли внимание вопросам кибербезопасности грузинские компании-объекты критической инфраструктуры? Насколько они защищены?
Есть список критических организаций – в нем около 40 компаний, которые обязаны выполнять закон. Все они более или менее успешно работают в этом направлении. Особенно можно выделить Национальный банк Грузии, регулирующий банковскую деятельность и отвечающий за то, чтобы наш банковский сектор уделял внимание кибербезопасности – он отлично работает. Есть и другие лидеры – Агентство развития государственных сервисов при Минюсте (Public Service Development Agency – PSDA, прим.DR), наша компания, железные дороги Грузии. Но есть сферы, как, например, телекоммуникации или энергетика, которые, по некоторым причинам, не хотят внедрять новые регуляции. Например, у телекома – одного из критических объектов – нет регуляций по безопасности. Это не означает, что у них плохая безопасность – просто невозможно проверить и удостовериться в этом. К сожалению, закон не подразумевает санкций, а когда люди чувствуют, что тебя за нарушение не штрафуют, мало кто соблюдает закон.
Есть концепция безопасности, называемая GRC – в ее основе лежит три принципа: governance, risk, compliance. Это управление с трех точек зрения: высшего руководства (governance), управления рисками (risk management) и соответствие требованиям, которые должно разработать руководство (compliance). Если не выполняешь эти требования – тебя закроют или оштрафуют. Вот этого третьего компонента – compliance – в телеком-секторе и энергетике нет. Если эти два сектора подтянутся, тема кибербезопасности в Грузии выйдет на совершенно другой уровень.
Во всем мире говорят о нехватке ИТ-специалистов. Испытывает ли грузинская ИТ-индустрия дефицит профессиональных кадров?
Да, ИТ-специалисты сегодня востребованы везде. Сейчас в Грузии достаточно много профессионалов, которые могут решать задачи – только надо их поддерживать, обеспечивать образование и условия работы. Мы растем вместе с рынком – на данный момент мы покрываем рынок своими силами. Если организации, которых закон обязывает иметь специалистов по безопасности, начнут набирать штат, тогда рынок вырастет, и понадобятся новые специалисты.
В некоторых темах надо придерживаться гибкого подхода и смотреть комплексно. Существуют разные модели сотрудничества – тот же аутсорсинг, например, который в Грузии пока не очень развит, а, тем временем, за границей он занимает 25-50% объема бизнеса. Вы находите компанию, которая будет выполнять часть вашей работы – так помогаете развиться малому бизнесу. Когда будет группа молодых security-профессионалов, которые будут предоставлять услуги, у рекрутеров будет база специалистов. Если это хорошо наладить, то и нехватка покроется, и индустрия будет развиваться. Да, многие организации предпочтут иметь своих специалистов. Вообще, профессионалов никогда не будет достаточно. Но иногда, когда у тебя нет кадра, надо знать, что ты не один. Главное – иметь желание и уметь координировать темы. Если все правильно настроить, мы не хуже других стран. По интернет-банкингу, к слову, мы одни из лидеров в мире – наши банки очень хорошо работают. Так что у нас есть сферы, в которых мы можем научить других.
Насчет утечки данных… Исследования показывают, что в большинстве случаев причина утечки – уволенные сотрудники, которые «уносят с собой» информацию. Как можно решить эту проблему? И можно ли вообще?
Это действительно актуальная тема. Кто-то очень хорошо сказал: «Есть два типа компаний – те, у которых была утечка данных, и те, которые не знают, что была утечка данных». Тут работает так называемый менеджментский менталитет, при чем не только в Грузии – во всем мире. Компании начинают паниковать, когда что-то происходит, а через неделю-две забывают. Утекла информация – все забегали, засуетились. Потом выяснилось, что надо менять систему, внедрять новую политику – а это тормозится. То есть проблема в том, что нет систематического подхода. Но, должен сказать, много грузинских организаций серьезно занимаются этим вопросом – устанавливают системы против утечки данных, проводят инвентаризацию активов, устраивают тренинги для сотрудников. Дело еще в том, что у нас нет закона, который обязывает организации публично объявлять об утечке данных – по типу американского data breach notification, который есть в некоторых штатах США, который обязывает организацию сообщить об утечке. Поэтому нужен какой-то драйвер, чтобы это перешло в образ жизни, в культуру.
Тут нужен тонкий подход. Если я переборщу с контролем, могу ущемить ваше право на частную жизнь. Значит, необходимо найти баланс, чтобы не превратиться в «большого брата». Например, правильно ли, когда организация следит за своими сотрудниками – на какие сайты они заходят и зачем? Я считаю, что, заботясь о безопасности, надо учитывать культуру организации, ее экосистему – чтобы не навредить. Вообще репрессивные методы – не мой стиль. Я не сторонник тотального контроля – он уведет нас в другую сторону. Мы – свободолюбивый, достаточно образованный и понятливый народ. Нам лучше правильно объяснить – и тогда 99% сотрудников будут на твоей стороне, а этот 1% когда-нибудь тоже поменяет свое мнение. И потом – из-за этого одного процента ущемлять права остальных неправильно. Хотя речь может идти о разных угрозах. Одно – когда мы не доверяем сотрудникам, и другое – когда пытаемся защититься от вирусов. Но тогда давайте конкретно скажем, что это вирус и будем защищаться от него, а не от сотрудников. Правильно оценив угрозы, можно подобрать адекватный контроль.
Государство, решая проблему безопасности, нередко прибегает к фильтрации интернет-контента. Как вы считаете, насколько оправданы блокировки сайтов?
Я лично против блокировок. Нельзя рассматривать безопасность сквозь призму блокировки. Мы не должны все блокировать только потому, что это может быть опасно. Но это при условии, что я, как государство, хочу, чтобы вы могли нормально жить и развиваться – путешествовать, спокойно включать компьютер, общаться в соцсетях, или чтобы организации и государственные сервисы нормально функционировали, транспорт работал без перебоев и так далее. Поэтому сначала я должен понять, какие сервисы государство хочет развивать, затем – выяснить, что может им угрожать, и уже потом, определив риски, предлагать защиту.
Насколько грузинское законодательство, касающееся информационной безопасности, отвечает современным требованиям?
Наш закон базируется на принципе best practices. Он, скорее, ориентирован на внедрение культуры безопасности и процессы управления ею. По-английски это называется «governance management compliance audit». Создать закон не достаточно. Главное – внедрить базовые правила гигиены, которые надо постоянно соблюдать, чтобы выработать хороший иммунитет. Есть такое выражение «security by design» – чтобы безопасность была нормой жизни.
Новая реальность, о которой вы говорили, привела к появлению новых профессий. Сегодня все чаще появляются вакансии «офицера информационной безопасности». Что это за профессия? Что входит в обязанности офицера?
Офицер информационной безопасности – общее название профессии, которая объединяет несколько специальностей. Как, например, врачи – есть хирурги, терапевты, кардиологи, и все они нужны. Также и в ИТ-сфере – нужны аналитики, инженеры, аудиторы… У одного хорошо получается вести тренинги, у другого – писать код, у третьего – искать вирусы или проводить аналитику. Нужны также sequrity-менеджеры, которые могли бы на министериалах обсуждать с руководством С-level вопросы кибербезопасности и продвигать актуальные темы.
Эти новые специальности развиваются и разветвляются. Было бы хорошо, если бы грузинский эстаблишмент понял, что в Грузии достаточно профессионалов в ИТ-сфере, и чтоб к работе над вопросами безопасности привлекали грузинских специалистов, а не только экспертов со стороны. Вообще, это то, чего я не видел в Европе. У нас не совсем понимaют, что безопасность – крайне сенситивная область, в которой надеяться надо как минимум на своих граждан. Во многих странах есть security clearance – это типа некой проверки. Она нужна, потому что безопасность – сфера, в которой надо доверять. А чтобы доверять, надо соответствовать несколько критериям: а) быть гражданином, б) отвечать за доступ к сенситивной информации, в) не иметь криминального прошлого и другие. Тут даже не вопрос доверия-недоверия – просто так должно быть. Когда речь о безопасности страны, моя обязанность, как гражданина, сделать все, чтобы ее обеспечить. Поэтому дайте мне возможность выполнить мою обязанность.
На ваш взгляд, оправдано ли усиление контроля за интернетом с целью защиты от терактов?
От терактов никто не защищен. Есть такой термин – predictive analytics, когда, анализируя большие данные, можно строить прогнозы. Потому что иметь технологии недостаточно – нужна еще глубокая аналитика и координация. Единственная возможность – больше координации и больше аналитики. С другой стороны, в Грузии, к сожалению, не развит incident response – принцип срочного реагирования. Мы элементарно не знаем, как вести себя во время землетрясений или пожара – этому не учат в школах. У нас нет готовности к инцидентам, а теракт – один из примеров кризиса. Как эвакуировать людей во время теракта, как разговаривать с террористами, как обеспечить работу emergency– это надо проработать до того, как что-то произойдет, а не после. Эту культуру внедрять надо сейчас. Когда это все будет продумано заранее, улучшится оценка угроз, и вырастет иммунитет. Вовлечение экспертов, гибкая стратегия, четкие «роуд-мапы», активная работа по предотвращению кризисов – все это, кроме того, что поможет при глобальных катастрофах, пригодится и в повседневной жизни страны при решении более мелких проблем.
- Like
- Digg
- Del
- Tumblr
- VKontakte
- Buffer
- Love This
- Odnoklassniki
- Meneame
- Blogger
- Amazon
- Yahoo Mail
- Gmail
- AOL
- Newsvine
- HackerNews
- Evernote
- MySpace
- Mail.ru
- Viadeo
- Line
- Comments
- Yummly
- SMS
- Viber
- Telegram
- Subscribe
- Skype
- Facebook Messenger
- Kakao
- LiveJournal
- Yammer
- Edgar
- Fintel
- Mix
- Instapaper
- Copy Link
