Олжас Сатиев, президент первого негосударственного CERT в Казахстане – Центра анализа и расследования кибератак (ЦАРКА) – во второй части интервью Digital.Report рассказывает о практиках ИБ в секторе бизнеса, а также ставит задачи на ближайшую перспективу правительству и профессиональному сообществу.
Digital.Report: Вы описали ситуацию в сфере государственных информационных систем. А как обстоят дела в бизнес-сегменте?
Олжас Сатиев: За информационную безопасность в Казахстане сегодня готов платить только финансовый сектор. Наибольшую заинтересованность и понимание в проведении профессиональных аудитов по информационной безопасности можно встретить со стороны банков, что легко объяснить — ведь при взломе систем они несут реальные финансовые и репутационные потери. Государственный орган не теряет ничего, кроме бюджетных средств и данных граждан, а репутационные убытки при взломе государственных сайтов в Казахстане, к сожалению, считать еще не принято.
Читать далее:
I. Почему Казахстан подключил к интернету незащищенные госресурсы с огромными массивами данных
Однако в финансовом секторе все еще сохраняются негативные тенденции — зачастую тот же аудит PCI DSS сертификации (международный стандарт безопасности данных в индустрии платежных карт) проводят российские компании, демпингующие европейских аудиторов своими ценовыми предложениями. Но здесь проблема еще и в том, что в отличие от зарубежных коллег, они не дают гарантийных обязательств и страхования своих услуг. Если был совершен взлом банка через сервисы, проверенные на соответствие PCI DSS европейскими компаниями, то они выплачивают банку страховую компенсацию. Российские компании этого не делают.
Кроме того, некоторые организации прикрываются различными сертификатами PCI DSS и ISO-27001 (международный стандарт по информационной безопасности), но на деле не соответствуют этим требованиям. Например, мы часто видим, что должным образом не соблюдаются даже парольные политики. Очевидно, речь идет о халатном проведении процедур сертификации – что называется, «для галочки».
Насколько внимательно к вопросам кибербезопасности относятся в стартапах и ИТ-компаниях страны?
Стартапы пока не готовы платить за качественный аудит. Как ни иронично, но даже состоявшиеся, достаточно крупные ИТ-компании тоже не готовы вкладываться в реальную информационную защиту. По сути, каждый пользователь, регистрируясь на большинстве казахстанских ресурсов для покупки товара, услуги или чтения новостей, сильно рискует потерять свои данные (пароли, email, данные кредитных карт, адреса). Дело в том, что владельцы ресурсов экономят на сохранности данных своих клиентов и не выделяют деньги на проведение независимых аудитов или наличие в штате сотрудника ИБ. Есть, к сожалению, примеры такого отношения к клиентам и среди компаний, выходящих в ближайшее время на IPO.
KZ-CERT в интервью Digital.Report описал алгоритм действий, который должен помочь силовикам выявить и задержать киберпреступников…
В руки правоохранительных органов Казахстана за преступления с использованием ИКТ, в основном, попадаются дилетанты. Силовики все еще не готовы противостоять организованным хакерским группировкам – не хватает человеческого ресурса с нужными компетенциями, а привлечь таких специалистов себе в штат не позволяет низкая зарплата госслужащих.
В августе прошлого года имела место фишинговая атака на один из крупнейших банков страны. За несколько часов нами были получены адреса и установочные данные преступников. Однако, как выяснилось, в выходные дни невозможно дозвониться до ИТ-персонала и безопасников банка (именно поэтому часто атаки проводят в выходные дни, когда все сотрудники банка отдыхают). Кроме того, процедура взаимодействия в случае кибератак совершенно не отработана – на согласование действий ушло еще два дня. Наконец, органы внутренних дел не могут начать расследование по факту кибератаки, пока от нее кто-нибудь не пострадает и не выступит заявителем. Прошло уже более года, но злоумышленники по-прежнему не понесли наказания и продолжают заниматься своей деятельностью.
В прошлом году сообщалось о том, что Генеральная прокуратура Казахстана перенимает опыт южнокорейских коллег по защите баз данных и занимается поиском специалистов по интернет-взлому. Мы направили официальное обращение по данному вопросу с предложением своей профессиональной помощи, но ответа не последовало.
Дело в том, что в Казахстане до сих пор нет отработанного механизма по реагированию на компьютерные инциденты. Для их расследования компаниям и пользователям требуется самим собрать информацию для анализа – и нет никаких гарантий, что злоумышленники будут наказаны.
Какие решения проблемы вы предлагаете?
Необходимо систематизировать работу по обеспечению ИБ, перейдя от формального подхода к реальным действиям, и от автоматизированного сканирования уязвимостей к полноценным пен-тестам и использованию социальной инженерии.
Еще одна проблема заключается в слабом профильном образовании. В Казахстане ведется подготовка специалистов по информационной безопасности, однако зачастую методы и логика хакеров для них остаются неизвестными. Дипломированные специалисты по ИБ не всегда могут проанализировать атаку и устранить уязвимость. Обучение базируется на устаревших учебниках и методических материалах, тогда как сфера информационной безопасности подвержена очень быстрым изменениям – про новые уязвимости, новые методы атак и способы борьбы с ними мы слышим ежедневно.
Недавно образованному в Казахстане Министерству аэрокосмической и оборонной промышленности даны полномочия по обеспечению кибербезопасности. Какой фронт работы перед ним стоит?
Перед структурами, ответственными за ИБ, по-прежнему стоит много нерешенных задач. Проведенный нами детальный анализ последних компьютерных инцидентов на портале электронного правительства Казахстана, сайтах министерств и ряда местных администраций на уровне городов и областей, показывает, что в эксплуатируемых уже много лет информационных системах не реализованы даже минимально необходимые технические меры по защите информации.
На наш взгляд, это говорит не о единичных упущениях отдельных ответственных лиц, а о наличии системных проблем при обеспечении ИБ как на государственных информационных системах (ГИС), так и на других национальных инфокоммуникационных ресурсах. Настала пора от простых деклараций о необходимости усиления их защиты от угроз ИБ переходить к практическим шагам.
Первым практическим шагом должно стать определение структуры, которая на государственном уровне будет ответственной за противодействие (именно «действие», а не «протоколирование») кибератакам на национальные информационные и телекоммуникационные ресурсы. Если нынешние принципы обеспечения государством своей информационной безопасности не позволяют качественно исполнять данные обязанности, то их надо однозначно менять.
В первой части интервью эксперт рассказывает, почему Казахстан подключил к интернету незащищенные госресурсы с огромными массивами данных.
- Like
- Digg
- Del
- Tumblr
- VKontakte
- Buffer
- Love This
- Odnoklassniki
- Meneame
- Blogger
- Amazon
- Yahoo Mail
- Gmail
- AOL
- Newsvine
- HackerNews
- Evernote
- MySpace
- Mail.ru
- Viadeo
- Line
- Comments
- Yummly
- SMS
- Viber
- Telegram
- Subscribe
- Skype
- Facebook Messenger
- Kakao
- LiveJournal
- Yammer
- Edgar
- Fintel
- Mix
- Instapaper
- Copy Link
