Сергей Вахонин, «Киберпротект»: Утечки крупных компаний всегда на виду, а то что у мелких – это дно айсберга

В рамках конференции «БИТ Санкт-Петербург» директор направления систем информационной безопасности «Киберпротект» Сергей Вахонин рассказал порталу Cyber Media о том, зачем злоумышленники крадут персональные данные и как снизить количество утечек. 

Cyber Media: В своем докладе вы упомянули, что злоумышленники получают мало денег за кражу информации. Какова их основная мотивация?

Сергей Вахонин: Не совсем так. Вопрос в том, что мало стоит отдельная запись. Однако большие объемы в совокупности уже тянут на очень приличную сумму. Там измеряют уже не десятками и сотнями тысяч рублей, а биткоинами – это совсем другие цифры. Надо понимать, что есть разные варианты мотивации. Например, сотрудник увольняется с работы и «забирает» часть информации, чтобы использовать ее для себя или продажи конкурентам. 

Или более стандартный вариант: если предприятие создает, а не накапливает, то у него есть ноу-хау, интеллектуальная собственность, какие конструкторские разработки. Азиатские компании, например, с удовольствием все это берут. Промышленный шпионаж никто не отменял. Пытаться оценить с точки зрения злоумышленников – не совсем корректно. Ключевой вопрос тут: «А сколько это стоит потерявшим?».

Cyber Media: Мотивация, выходит, у всех разная?

Сергей Вахонин: Безусловно, вопрос мотивации всегда индивидуальный. Раньше было модно говорить «хакеры обрушили…» или «хакеры украли…». Давайте отделять «хакеров» от «хацкеров». 

Есть кулхацкеры или скрипткидди – пользователи готовых инструментов с минимум понимания что и как работает. Я в свое время сам развлекался тем, что открывал ноутбук, залезал в сеть и мониторил происходящее. Находил этого «хацкера» в Skype и спрашивал у него: «Что тебе нужно, зачем ты это делаешь?». Зачастую они представляются студентами, говорят, что учатся и никакого злого умысла в их действиях действительно нет.

Промышленным хакерам интересно именно заработать. Поэтому атаки происходят не для того, чтобы лифт остановить, а чтобы добыть информацию и монетизировать ее.

Cyber Media: Что нужно сделать, чтобы количество утечек сократилось? Есть ли какой-то набор превентивных действий?

Сергей Вахонин: Правильное слово – «превентивных». Одна из ключевых особенностей российской информационной безопасности – «синдром ГАИшника». Предполагается, что ГАИшник не пытается предотвратить нарушение. Он не будет вставать на дороге так, чтобы вы не пересекли двойную сплошную. Он встанет дальше, когда вы уже сделаете нарушение, и зафиксирует этот факт. Вот это и есть зачастую жизненная парадигма российского ИБ. 

Пласт специалистов по безопасности только растет, их не так давно начали учить в ВУЗах. Но основная масса сегодняшних ИБ-специалистов пришла из органов МВД, ФСБ и других силовых ведомств. Для них такой подход работы привычен, они получают деньги за то, что поймали злоумышленника, а не за то, что предотвратили атаку. Нам всем нужно работать много лет, чтобы изменить эту парадигму.

К тому же регуляторы должны настаивать на том, чтобы им не только отчитывались об утечке, а рассказывали о том, что не допустили ее. Многие средства безопасности нужны для того, чтобы анализировать атаки и утечки. Такие системы, к сожалению, не работают в режиме превентивной защиты.

Например, те же утечки «Яндекс.Еды» для нас, DLP-специалистов не приводят к новым продажам. Факт в том, что подобные крупные утечки происходили из-за некорректных настроек баз данных ElasticSearch, MongoDB и других. Проблема там, в первую очередь, в конфигурировании – многие компании оставляют стандартные настройки, где условно логин и пароль – это одно и то же слово. Человеческий фактор и здесь работает.

Cyber Media: Какие правила нужно соблюдать при выборе DLP-решения? 

Сергей Вахонин: Здесь работают такие же правила как и в жизни: утром и вечером надо чистить зубы, тогда они будут здоровее. В данном случае это переходит в парадигму обеспечению безопасности во всех отношениях, то есть нужно начинать с людей, а не думать исключительно о системе. Нужно думать о защите информации в целом, разграничивать доступ к ней.

Несколько странно, когда у финансистов есть данные кадровой службы. Удивительно, когда у чертежника на рабочих станциях есть финансовая документация. Важно обучать людей, информировать их, строить регламент, вводить принципы защиты в компании.

У меня был прекрасный случай. Горжусь, что у нас есть такой клиент. Владелец компании из категории, который не хочет, чтобы его «чертежи» уходили конкурентам. Он собрал совет директоров и пригласил меня выступить перед ними: рассказать зачем нужна наша система, что умеет. И вот я уже лет 10 не слышал об утечках с их стороны. Сегодня, утечки данных из крупных компаний всегда на виду, а то, что происходит у небольших компаний – остается в секрете, это просто дно айсберга.

Здесь то же самое. Если мы не хотим оказаться в этом дне айсберга, то мы «чистим зубы». Мы защищаем информацию хоть какими средствами, необязательно DLP-системами: «отключить» флешки можно и другими способами. DLP просто является специализированным инструментом, заточенным на превентивные действия. Да, есть разные мнения на рынке о том, для чего нужны DLP-системы, но аксиома - чтобы защитить ценную информацию от третьих рук – лучше решения не найти. 

И кстати о парадигме использования DLP-систем только в режиме наблюдения – даже если никакие превентивные методы, такие как блокировка избыточных каналов, анализ содержимого в режиме реального времени с автоматическим принятием решения и т.д. не применяются, но сотрудники хорошо знают, что вся их активность мониторится – это тоже значительно снижает риск утечки. Как в метафоре с гаишником в кустах – если встречная машина поморгала, вряд ли кто рискнет пересекать двойную сплошную.

Cyber Media: На конференции вы рассказали историю про ваши взаимоотношения с Acronis. Как «Киберпротект» отреагировал на февральские события, пришлось ли что-то еще экстренно менять?

Сергей Вахонин: Работаем в штатном режиме. У нас доход вырос выше наших планов. Во-первых, «Киберпротект» – это не только DLP-система, главный флагманский продукт компании – «Кибер Бэкап». Это основные продажи, основные потребители. Уровень продаж этого продукта вырос в разы из-за ухода зарубежных компаний.

Что у нас изменилось? Выросли запросы на функциональность по всей линейке продуктов компании. Раньше говорили, что было бы здорово какие-то вещи реализовать, а сейчас четко говорят: «Нужно сделать то и это». Поэтому наша компания увеличилась в размере раза в два за этот короткий срок, и в этом году мы планируем нанять еще около 50 человек.

Cyber Media: Вы говорили, что перевезли ваших бывших сотрудников обратно в Россию. Есть проблемы с кадрами?

Сергей Вахонин: Нам удалось это сделать. Ребятам хотелось поработать за рубежом, посмотреть мир. Я там работал: посмотришь – и хватит на всю жизнь. Сам работал и в Париже, и в Южной Америке. Больше не поеду. Не хочется больше работать в иностранных компаниях, там непривычное для меня отношение к сотрудникам. В России компании гораздо больше беспокоятся о своих работниках.

Касательно новых кадров: основная масса вливается успешно. Если говорить про направление ИБ, наш DLP-продукт весьма большой, сложный, много модулей, пришло время существенно расширять архитектуру.. Нам нужны были люди, чтобы, поддерживая ранние наработки,  параллельно выстраивать новые компоненты. Удалось ядро наших разработчиков сохранить, но это заняло определенное время. И если в прошлом году мы выпускали релизы минимальными силами, у нас новички, которые не до конца понимали архитектуру, то сейчас команда готова к новым свершениям. 

С весны работа пошла гораздо интенсивнее, ведь мы смогли нанять очень интересных ребят и у нас много открытых вакансий – приходите, если вам интересно создавать уникальные продукты.

Cyber Media: В России обсуждают введение оборотные штрафы. Что об этом думаете, эта мера будет способствовать уменьшению количества утечек?

Сергей Вахонин: Безусловно, будет. Я как гражданин хочу, чтобы в стране появились оборотные штрафы. Практика показывает, что сознательных в плане ИБ руководителей очень мало. Кибербезопасность для многих компаний – это дополнительные нежелательные затраты, . не все хотят по своей инициативе решать ИБ-проблемы – поэтому регулятор поступает правильно, ужесточая правила игры,. 

Cyber Media: Какие еще меры нужно ввести регулятору?

Сергей Вахонин: У регулятора всегда ровно одна мера – ограничивать и карать. Ну еще можно «рекомендовать». Как в европейском регламенте GDPR – там требуют сделать то-то и то-то, и при этом регулятора не волнует, как компания выполнит эти требования. Я считаю, что GDPR – чуть ли не идеальный закон в плане кибербезопасности. Он не технологический, он карательный. Он определяет концепцию защиты, не указывая, какими инструментами ее обеспечивать, соответственно, как решать задачу – каждый определяет для себя сам.