Проникновение информационных технологий во все производственные процессы в 2017 г. обернулось крайне неприятной стороной - уязвимостью с точки зрения безопасности. Как с этим бороться?

Клоков ИгорьФактически в стратегии развития своих предприятий руководители поставлены перед очень трудным выбором. Причем некоторые даже не осознают этого. Этот выбор - между следованием надежным и годами проверенным схемам управления и автоматизации на уровне телефонного контроля, с одной стороны,  и включением в процессы Четвертой промышленной революции, с неизбежной цифровизацией и роботизацией - с другой. Казалось бы, выбор очевиден, ведь прогресс не остановить. Но именно сейчас обратная сторона этого процесса обнаружила себя с пугающей очевидностью. Глобальные хакерские атаки с вирусами-шифровальщиками Wanna Cry и Петя нанесли ущерб не только зарубежным компаниям, но и многим нашим предприятиям. А истерия вокруг американских выборов, на которые якобы оказали решающее влияние российские хакеры, не только не утихает, но уже привела к колоссальным сдвигам в международных политических и экономических отношениях.

Как считают эксперты, если даже эти события не заставят общество обратить самое пристальное внимание на вопросы ИТ-безопасности, то коллапс мировой экономики и даже цивилизации неизбежен.

Простые вопросы

В июне 2017 г. в Киеве прошел Форум по информационной и кибербезопасности, который был объявлен крупнейшим событием в этой сфере в Европе. На Украине внимание к безопасности обострилось не случайно. ИТ-эксперты и госслужащие практически всех уровней считают очевидным, что кибервойна для Украины - уже реальность. Блэкаут в Прикарпатье в 2015 г., еще раньше - «странная картинка» о победе Д. Яроша в ходе президентских выборов 2014 г. - все это связывают исключительно с хакерскими атаками. А атака на сервер госказначейства в 2016 г., по словам замминистра экономического развития и торговли Украины Михаила Титарчука, потребовала экстренно выделить 80 млн долл. из резервного фонда для обновления инфосистемы государственных учреждений.

При этом украинские специалисты ИТ-сферы не сводят все к «руке Москвы». Как заметил бывший гендиректор Microsoft Украина, заместитель главы Администрации президента Украины Дмитрий Шинкив, «сегодня мир более уязвимый, чем ранее, поскольку критическая инфраструктура находится в руках частных компаний. И все персональные данные, которые собираются для вашего блага, могут быть использованы против вас - с не меньшим успехом». Украинский ИТ-гуру называет три вещи, которые необходимы для современного безопасного кибермира: ИТ-образование возможно большего числа людей; кооперация; законодательная поддержка. Эти рекомендации для Беларуси имеют даже большее значение, чем для Украины, где уже вынужденно принимаются меры. На наших предприятиях, ввиду отсутствия громких инцидентов, пока еще царит благодушное настроение. Александр Курбацкий, доктор технических наук, профессор, заведующий кафедрой технологии программирования БГУ и председатель Госсовета по информатике, информатизации и космическим технологиям, отмечает:

- Многие пока еще не понимают новых проблем, которые их ожидают. Все еще происходит много банальных нарушений, например - нет антивируса. И самые большие потери случаются в первую очередь из-за банальных вещей. В ряде случаев, когда начинаешь разбираться, оказывается, даже не сохраняются копии критически важной информации, она «хранится» только в корпоративной сети!

Экс-заместитель секретаря по вопросам национальной обороны и директор программ Департамента национальной безопасности США Сюзан Сполдинг (Suzanne Spaulding) обращает внимание на опасности, исходящие от «интернета вещей», который у нас пока экзотика. В США еще пару лет назад были популярны бытовые устройства с доступом в интернет. Но эта мода значительно спала после серии атак с использованием ботнета и вируса Mirai. «Червь» использовал тот факт, что на большинстве устройств с выходом в интернет производителем устанавливается простой пароль, который пользователь, как правило, не меняет и который легко подобрать.

Когда появятся ИТ-ЧОПы?

Частные охранные предприятия (ЧОП) в 1990-х росли как грибы, поскольку были востребованы бизнесом. Никого не смущало, что их сотрудники не входили в штат предприятий, которые они охраняли. Но почему-то в отношении ИТ-безопасности такой механизм не срабатывает. Как можно судить по рынку ИТ-услуг, «безопасников» извне никто не торопится приглашать для защиты ИТ-инфраструктуры. Хотя в мире подобная практика распространена, и ИТ-безопасность - одно из популярных направлений аутсорсинга. Эксперты отмечают, что наш бизнес, и особенно госсектор, со стойким недоверием относится к аутсорсингу, даже вопреки здравому смыслу. А. Курбацкий подчеркивает:

-  Все зависит от объекта безопасности, но в ряде случае другого пути просто нет. Свой отдел ИТ-безопасности создать довольно сложно - нелегко найти специалистов, обеспечить оплату. Аутсорсинг существенно дешевле. Но наши компании все еще недостаточно хорошо осознали проблему. Крупные компании обеспечивают свою безопасность сами, поскольку у них хорошие ИТ-бюджеты. Но небольшие компании не могут себе этого позволить.

Цифровой мир

Тем не менее, пока нет спроса - нет и предложения. На рынке нет компаний, которые могли бы предложить услуги ИТ-безопасности на заказ. Единичные случаи связаны со специализированными отделами больших компаний, которые готовы предоставить такую услугу своим клиентам «в пакете». В этом смысле интересен опыт российского «Сбербанка». Презентуя свой банк на Санкт-Петербургском экономическом форуме в июне 2017 г., его глава Герман Греф подчеркнул:

- В последние 6 лет мы инвестировали в кибербезопасность много усилий и средств. И сегодня достигли показателя в 98% защиты наших клиентов от различных рисков кибермошенничества, включая так называемую социальную инженерию. Выше показателя в мире нет.

Позицию главы крупнейшего российского банка высоко оценивают в руководстве крупнейшего белорусского банка - «Беларусбанка». Ставку на цифровизацию здесь подтвердили, введя в состав Наблюдательного совета Владимира Басько - крупнейшего эксперта ИТ-сферы, генерального директора ассоциации «Инфопарк». С июля этого года он - председатель Комитета по цифровой трансформации при Наблюдательном совете «Беларусбанка» и член Комитета по стратегии.

Можно ожидать, что и в «Беларусбанке», а вслед за ним и в других банковских учреждениях произойдут сдвиги в сторону цифровизации, а значит, и в сторону укрепления информационной безопасности.

Перековать орала на мечи?

В Беларуси издавна сформировалась хорошая школа подготовки ИТ-специалистов. Однако с «безопасниками» ситуация хуже. А. Курбацкий поясняет:

- У нас подготовка идет более 20 лет - в БГУ, БГУИРе, БНТУ, Гродненском, Полоцком, Брестском университетах... Специалистов готовим, а внутренняя потребность в них до сих пор была невелика. Учитывая, что их обучение включает и математическую, и инженерную подготовку, квалификацию в области программирования - выпускникам выгоднее уходить в программисты. Оплата труда этих специалистов невысокая. У программистов - гораздо выше. Это одна из серьезных проблем. Сейчас ситуация может измениться. В государственном управлении растет понимание того, что мы входим в цифровой мир, а ИТ-безопасность - часть этого мира.

Вместо резюме

Сейчас свод правил ИТ-безопасности в большинстве компаний даже не обозначен. Хотя эти правила могут сберечь огромные средства, потому что они, как и ПДД, написаны кровью (не в буквальном значении, конечно).

Вот главные из них, по мнению экспертов:

- использовать надежный, регулярно обновляемый антивирус;

- регулярно обновлять операционную систему и версии программ, используемых в информационной системе предприятия, поскольку разработчики стараются быстро устранять уязвимости;

- регулярно сохранять и обновлять копии важнейших корпоративных данных;

- регулярно менять пароли на доступ в инфосистему предприятия, уничтожать доступ для уволенных сотрудников;

- никогда не использовать личную электронную почту для корпоративных нужд и наоборот. А также - соблюдать «интернет-гигиену», например, не открывать письма с вложениями от незнакомых отправителей.

Плюс - специальная рекомендация директора программ Департамента национальной безопасности США Сюзан Сполдинг: если вы используете «интернет вещей» - убедитесь, что эти «вещи» (например, видеокамеры) могут быть обновлены и перепрошиты после продажи.

Игорь КЛОКОВ