Все больше сайтов российских компаний подвергаются взломам. В ответ бизнес и государство поддерживают «специалистов по информационной безопасности» и пытаются заместить зарубежный софт. На митапе Factory Talks мы поговорили с экспертами по кибербезопасности — о том, как сфера развивается в кризис и какие специалисты нужны на рынке. Публикуем главные тезисы встречи.
Что сейчас меняется в сфере кибербезопасности?
Антон Ведерников, руководитель группы разработки сервисов информационной безопасности и соответствия требованиям компании Selectel: На то, как индустрия развивается сейчас, повлияла в том числе пандемия. Локдаун заставил компании перейти в онлайн. У любой организации стало больше информационных систем, сервисов для удаленных сотрудников. А значит, и больше векторов атак.
Максим Хараск, руководитель отдела отраслевой экспертизы информационной безопасности из Softline: Я считаю, что в большей опасности — бизнес. Но все зависит от компании. Например, если производителю труб «обрушат» сайт и он два часа не будет работать, это обернется небольшими убытками. А для компаний в банковской или туристической сферах безопасность важнее.
Госструктуры, особенно энергетика, нефтегазовый сектор, довольно хорошо защищены.
В последнее время появились новые цели атак. Сейчас многие хакеры стремятся не только заработать (например украсть данные чужих карточек или счетов), но и обрушить сервер или публично рассказать, что слили базу данных.
Самый популярный вид атак — когда сервис останавливает работу и пользователям отказывают в обслуживании. О таком взломе сразу становится известно, и для СМИ это красивая история. В даркнете самая простая DDoS-атака стоит недорого — около 50 тыс. рублей. Но она эффективна.
Денис Макрушин, независимый эксперт в области информационной безопасности: Сейчас именно индустрия кибербезопасности развивается очень активно, возможно даже быстрее IT. В кризис все понимают, что важно защитить свои ресурсы.
Расскажу про виды атак. До сих пор есть хакеры, которые ищут простые способы заработать денег. Но есть и взломы с геополитическими целями. Сейчас эти две задачи часто смешиваются, и мы получаем троянов-вымогателей, которые могут преследовать сразу несколько целей. Зловреды нарушают доступ к данным пользователей, хакеры крадут ценные данные и монетизируют их, зачастую помогая участникам гибридных конфликтов.
Так что сегодняшний кризис — новый вызов для специалистов по кибербезопасности. Нам нужно научиться работать с высокой степенью неопределенности, распознавать ранее неизвестные атаки и уметь объяснить бизнесу, что нужна дополнительная поддержка наших инициатив.
Как на сферу повлиял уход международных компаний?
Антон Ведерников: В государственных структурах и крупном банковском бизнесе и так почти везде отечественный софт. Другим компаниям тоже нет смысла ждать возвращения иностранных сервисов, потому что доверие к ним вряд ли вернется.
Можно предположить два тренда.
Первый — развитие импортозамещения. Если для традиционной IT-инфраструктуры в России уже есть хорошие решения, то сегмент рынка средств защиты для относительно новых технологий — облака, контейнеры — будет развиваться, потому что IT-специалисты вряд ли готовы от них отказываться.
Второй тренд — бизнес, для которого нет жестких регуляторных требований, будет двигаться в сторону Open Source (открытое ПО) и более активного использования встроенных возможностей используемого программного обеспечения и операционных систем.
Денис Макрушин: Россия — конкурентоспособный поставщик софта, связанного с информационной безопасностью. У нашей страны такое ПО есть, и оно превосходит по многим показателям своих конкурентов из других стран. Безопасники в объектах критической инфраструктуры уже давно были готовы поставить отечественное ПО.
Я думаю, что импортозамещение важнее в классической IT-инфраструктуре. Сейчас мы не можем заменить все системы контейнеризации, виртуализации. Тогда приходится идти на компромиссы, использовать доступный зарубежный софт. Но с надеждой, что отечественный мы разработаем в короткие сроки.
Приживется ли в России «белый» хакинг?
Минцифры предлагает финансировать пилотные проекты по проведению пентестов (имитаций кибератак) и баг-баунти (вознаграждений за нахождение уязвимостей на сайте) на российских IT-ресурсах. Будет ли это эффективно?
Денис Макрушин: Это хорошая инициатива, она поможет нам развить культуру этичного хакинга. Например, если начинающий IT-специалист увидит такое предложение, то поймет, что хорошие деньги можно заработать этичным способом, помогая делать системы безопаснее.
Такие решения позитивно скажутся на отрасли. Если раньше за обнаружение уязвимости на российских сайтах обещали чуть ли не уголовное преследование, то сейчас готовы награждать.
Но есть и проблема — недостаток образования у специалистов. Например, я как владелец большой компании никогда не доверил бы неопытным специалистам заниматься пентестом. Это опасно: в попытках найти проблему они могут разрушить часть нашей инфраструктуры.
Допустим, у меня бизнес в сфере металлургии. На производстве есть доменная печь. Она связана с определенным ПО, и, если на него совершат атаку, печь потом может и не запуститься. Придется выбросить миллионы долларов на улицу — а «белому» хакеру надо заплатить всего 50 тыс. рублей.
Так что нам нужно больше именно квалифицированных специалистов по информационной безопасности, чтобы мы могли доверять им серьезные задачи.
Какие специалисты нужны рынку?
Максим Хараск: Рынку нужны базовые специалисты — люди, которые умеют работать с анализаторами кода, понимают, чем отличается статический код от динамического. Требуются специалисты, которые знают, как выстроен процесс DevOps (синхронизация всех этапов создания ПО) и как в него включить информационную безопасность. Нужны люди, которые будут настраивать и поддерживать в компании программы по межсетевым экранам, прокси.
Любой специалист, даже начинающий, сейчас нужен. Мы знаем, что айтишники любят и умеют обучаться. Какого бы специалиста мы ни взяли, через два-три года он станет значительно дороже.
Антон Ведерников: Не хватает кадров во всех сферах. Потому что безопасность стала обширной и сложной с точки зрения технологий.
Нужны специалисты уже на этапе безопасной разработки, обучения разработчиков. Чаще всего это сами бывшие разработчики, которые углубляются в безопасность.
Нужны комплаенс-специалисты, которые хорошо разбираются в регуляторных требованиях и имеют сильную техническую базу, чтобы правильно их интерпретировать и поставить инженеру конкретную, четкую задачу, которая позволит то или иное требование закрыть.
Не хватает инженеров, которые могут настраивать и поддерживать как традиционную инфраструктуру, так и инфраструктуру облачных систем, CI/CD.
И в сфере мониторинга нужно огромное количество специалистов: от сервис-менеджеров, которые выстраивают работу, до аналитиков всех линий, которые могут базово реагировать на атаки, проводить расследования и давать рекомендации.
Читайте историю Егора Зайцева, выпускника SkillFactory: «За день до трудоустройства я провел кибератаку на ресурсы работодателя».
Есть ли сейчас шансы у джуниор-специалистов?
Максим Хараск: Нанимать бесконечное количество джунов невыгодно для бизнеса: взамен можно взять одного миддла или сеньора. Нам нужны квалифицированные кадры здесь и сейчас.
Но есть производства, которые готовы обучать новых специалистов. Я тоже когда-то был начинающим безопасником и полгода обучался азам в Security Operation Center. Моя компания не побоялась в меня вложиться.
Антон Ведерников: Действительно, нанимать и обучать джунов может быть трудозатратно и дорого. Но без них не обойтись. На рынке экспертизы мало, а потребностей много.
На простые задачи есть смысл брать начинающих и растить их до уверенных специалистов.
Смотрите запись митапа по ссылке.
