В Москве завершила работу CyberCrimeCon/18 — главная конференция года в России посвященная последним тенденциям развития технологий киберпреступлений и защиты данных. Традиционно на форуме обсудили самые важные проблемы IT-индустрии, которые касаются безопасности программных и аппаратных решений. О новых угрозах и стандартах безопасной разработки нам рассказал участник форума, директор по качеству софтверной компании Artezio Андрей Шагалов.
Посвященные информационной безопасности мероприятия и конференции проводятся каждый год десятками организаций и государственных органов. Есть ли эффект от масштабного и длительного обсуждения проблем защиты данных?
Андрей Шагалов
Решение проблемы защиты данных лежит не только на разработчиках программного обеспечения и устройств, но и на их пользователях. Поэтому чем шире информационных охват, чем чаще говорят о проблемах утечки данных и последствиях — тем эффективнее решается задача. Можно говорить, что некоторых опасных уязвимостей, которые раньше считались критическими — теперь просто не существует. Благодаря информированности и технологическому развитию ПО и аппаратной части устройств. Например, не так давно были «популярными» банковские вирусы-трояны, которые «крали» деньги с карточек пользователей, сейчас они исчезают и в РФ, и в мире. В том числе из-за того, что повысилась защита в операционных системах для стационарных и мобильных устройств. Но радоваться рано, ведь на смену одним инструментам для хакерских атак приходят новые, это эволюционный процесс. Об этом сейчас много говорится, в том числе и на прошедшей конференции. Если раньше главной лазейкой для хакеров было вредоносное по, распространяемые в спаме, то следующим местом атак судя по трендам будет сетевое оборудование, маршрутизаторы, особенно домашние, которые годами не обновляются и обладают, как правило, устаревшим базовым ПО. Не стоит забывать и о возможности получить доступ в сеть компании через домашнее оборудование сотрудников, которые все чаще и чаще работают удаленно.
Но проблема с образованностью пользователей все равно сохраняется?
Да, несмотря на повышение защиты ПО и устройств, проблема беспечности пользователей никуда не исчезла. Люди учатся, но всеобщего понимания важности вопросов обеспечения безопасности данных пока нет. Многие до сих пор готовы бездумно открыть аттач в письме от незнакомого отправителя или загрузить сомнительный файл.
Должны ли разработчики ПО учитывать появления у злоумышленников новых инструментов для взлома сетей и получения данных?
В мире, где даже небольшие устройства подключены к глобальной сети, а информация является одним из главных ресурсов в разработке ПО очень важно уделять вопросам безопасности данных особое место. Существуют стандарты, которые описывают процесс создания защищенного ПО, регламентируют применение различных схем и методик. Лучшие практики написания кода. Современная разработка, как правило, строится на основе готовых фреймворков, вопрос безопасности в которых отрабатывался годами практики, и, тем не менее, каждый месяц обнаруживаются новые уязвимости не только в ПО но и в железе. Речь идет об опубликованных уязвимостях, а ведь есть уязвимости известные хакерам, но пока еще не доступные широкой общественности. Компании, специализирующиеся на вопросах информационной безопасности, такие, как Group-IB, утверждают, что уровень защищенности ПО далек от идеального. Например, больше 80 процентов веб ресурсов требующих аутентификации имеют как минимум одну критическую уязвимость. Причиной может стать как не обновленный своевременно framework в связи с отсутствием сервисной поддержки у уже разработанного приложения, ошибка администраторов системы, так и неудачное решение разработчиков. Кстати, далеко не все приложения в мире создаются профессиональными разработчиками. Другое дело, что не всегда заказчик конкретного решения акцентирует на безопасности данных внимание и готов тратить деньги на создание серьезной защиты. Это актуально, когда мы говорим о заказной разработке ПО, где девелоперы — это исполнители решений заказчика, который предъявляет к процессу создания продукта и конечному результату свои особые требования.
Готовы ли клиенты софтверных компаний экономить на безопасности данных?
Вряд ли найдется клиент, который скажет делайте, как хотите – мне все равно. Мы работаем с крупными корпоративными заказчиками, для которых защита данных очень критична. В случае проблем с безопасностью ущерб может исчисляться астрономическими суммами, не говоря уже о репутационных рисках. У любого банка или крупной компании есть своя политика информационной безопасности. В то же время все должно быть логично, продумано и в идеале спроектировано заранее. Еще на стадии разработки требований необходимо понимать, какую информацию надо защищать, насколько критична утечка различных типов данных. Исходя из этих знаний дорабатывать политику безопасности предприятия, архитектуру инфраструктуры, архитектуру ПО. Часть корпоративной информации вполне может быть публичной – например, никто не скрывает адреса своих магазинов или банкоматов. Есть ли смысл тратить деньги на разработку специального защищённого приложения для хранения таких данных, если пользователей вполне устроит Excel таблица в общем доступе? В целом нет, вполне можно сэкономить. Но эта же информация, опубликованная до открытия магазина и попавшая в руки конкурентов, может нанести финансовый ущерб ритейлеру.
А если заказчик не настаивает на безопасности своего решения?
Разработчики обязательно обращают внимание на необходимость такой защиты, если она видится нам, как критическая часть проекта. Существуют мировые лучшие практики разработки ПО, касающиеся в том числе и безопасности, у команды должны быть очень веские причины чтобы от них отступать. Скажем, переход на новую версию платформы часто связан с дополнительными затратами, которые редко кто закладывает в свои бюджеты. При этом донести до заказчика неприятную новость о необходимости такого перехода (если мы уверены в этой необходимости), о рисках которым он подвергается – часть нашей работы.
Все понимают риски?
Если говорить о бизнесе — практически все крупные компании уже столкнулись с утечкой данных, так что да. Для бизнеса риск потерять информацию грозит финансовыми и репутационными издержками. Пользователи еще могут халатно относиться к своей безопасности, но бизнес каждый раз рискует деньгами и своим положением на рынке. Кроме этого, не стоит забывать, что идет работа и на законодательном уровне, устанавливается ответственность за халатное отношение к персональным данным и секретной информации.
Имеет ли смысл вводить новые стандарты для разработчиков, которые бы учитывали требования к обеспечению безопасности данных?
Лучшие практики безопасного программирования существуют уже много лет, и разработчики их придерживаются. Особенно, когда идет речь о создании решений для организаций, которые работают с чувствительной информацией. Это могут быть банки, государственные организации и коммерческие компании. Есть даже возможность стандартизировать бизнес-процессы по разработке безопасных решений в соответствии с международными или государственными требованиями. Это актуально для разработчиков, которые специализируются на выпуске защищенных решений. Безусловно, развивать эти практики и стандарты необходимо. Однако важно понимать, что разработка, как правило, базируется на существующих программных решениях и инструментах. И безопасность решений, во многом зависит от того, защищена ли операционная система, есть ли возможность проникнуть в сеть предприятия через слабые места инфраструктуры, например, устаревшее сетевое оборудование а главное, будут ли сотрудники компании достаточно образованы в области безопасности, чтобы не пойти на поводу у мошенников в очередной раз уговаривающих их тем или иным способом запустить malware.
- Like
- Digg
- Del
- Tumblr
- VKontakte
- Buffer
- Love This
- Odnoklassniki
- Meneame
- Blogger
- Amazon
- Yahoo Mail
- Gmail
- AOL
- Newsvine
- HackerNews
- Evernote
- MySpace
- Mail.ru
- Viadeo
- Line
- Comments
- Yummly
- SMS
- Viber
- Telegram
- Subscribe
- Skype
- Facebook Messenger
- Kakao
- LiveJournal
- Yammer
- Edgar
- Fintel
- Mix
- Instapaper
- Copy Link
