Президент России Владимир Путин подписал Указ под №31с от 15.01.3013 о создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы страны, а также в дипломатических представительствах и консульских учреждениях России за рубежом, сообщает «Российская газета».
За три дня до этого вопросы защиты программного обеспечения обсуждались в Казани на совместной конференции компаний «БАРС Груп» и Microsoft. Мы спросили экспертов в вопросах IT-безопасности, насколько сегодня актуальна проблема кибератак.
Так ли страшен «чёрт»?
«Мир охватывает тенденция под названием Software defined everything (программное обеспечение решает всё, анг.), – констатирует Андрей Бешков, руководитель программы информационной безопасности Microsoft в России. – С каждым днём общество сильнее зависит от софта, и всё, что может быть автоматизировано, автоматизируется. И здесь мы сталкиваемся с обратной стороной медали – киберпреступностью».
Судя по многочисленным сообщениям СМИ о взломе тех или иных систем, хакеры становятся всё амбициознее и агрессивнее. Из недавних вестей: атака сервера известного зарубежного производителя игр с последующей кражей персональных (в том числе – банковских) данных пользователей; запуск шпионской операции Red October, обернувшийся хищением терабайтов информации из систем дипломатических представительств 36 стран. Не секрет, что и российским правоохранителям с кибератаками приходится сталкиваться регулярно. По данным ФСБ России только лишь на сайты президента, Госдумы и Совета Федерации ежедневно их осуществляется до 10 тысяч.
«Банки грабят, потому что там деньги»
От технологических нападений не застрахован никто. Причем, как утверждают специалисты, усилия злоумышленников прямо пропорциональны ожидаемой выгоде. «Если сравнивать малопопулярный продукт, которым пользуются несколько тысяч человек, и тот, который в ходу у нескольких миллионов, понятно, что внимание преступников к ним будет разным, – замечает Андрей Бешков. – Как говорил пресловутый мошенник Уилли Саттон: «Банки грабят, потому что там деньги».
Интерес хакеров к системам государственной важности с ростом числа и масштаба IT-проектов только усиливается, поэтому принятие мер по предотвращению рецидивов вполне закономерно.
Предупреждён – значит, защищён!
«Новый указ, касающийся критически важных ресурсов – это, прежде всего, шаг по выходу на более качественный уровень борьбы с киберпреступностью – как на территории страны, так и вне её, – считает руководитель службы информационной безопасности «БАРС Груп» Сергей Дубняк. – Существовавшая ранее система работы в данном направлении в большей степени была сосредоточена на «разгребании» последствий случившегося: поиске нарушителя, восстановлении работоспособности повреждённых ресурсов, попытке ограничения распространения похищенной информации. Нынешняя реформа же направлена на предупреждение инцидентов».
Профилактические меры по мнению специалиста «БАРС Груп» должны заключаться в отслеживании угроз, разработке систем противодействия им, создании условий функционирования IT-ресурсов в максимально безопасной среде. Представители Microsoft в России, в свою очередь, советуют защищать софт путём применения встроенных механизмов снижения опасности, использования актуальных компиляторов, статического анализа и моделирования угроз. Также хорошо зарекомендовала себя методология Security Development Lifecycle, разработанная Microsoft для создания собственных продуктов, которую могут бесплатно брать на вооружение и другие компании.
Цена вопроса
Эксперты рекомендуют озаботиться вопросом безопасности систем ещё на этапе проектирования. «Если закладывать элементы защиты в архитектуру, то можно свести количество уязвимостей к минимуму, – убеждён технический директор «БАРС Груп» Камиль Ибрагимов. – Это способ предотвращения головной боли и клиентов, и разработчиков в будущем, ведь устранение проблем и экстренная доработка модулей выльется в огромные ресурсы». «Лучше сразу писать без уязвимостей, чем потом исправлять их, – соглашается с ним Андрей Бешков. – Да, это требует инвестиций в процесс программирования, проверки кода, тестирования, но на примере многолетнего опыта разработки Microsoft видно, что только так можно снизить вероятность ущерба».
Но если формирование «иммунитета» софта потребительского сектора по отношению к вирусам лежит исключительно на совести производителей, то обеспечение безопасности государственных IT-ресурсов – дело государства.
По словам Камиля Ибрагимова требования к государственному софту и IT-инфраструктуре проработаны на федеральном уровне, и они изначально очень высоки: «Любое технического задание на разработку решения для госсектора базируется на ГОСТе, потому что почти все продукты в этой сфере социально важны: обрабатываются данные, связанные с ЖКХ, образованием, здравоохранением».
На войне все средства хороши
Резюмируя мнения экспертов, достичь максимальной защищённости IT-ресурсов в современном мире можно различными способами – как техническими, так и административными, а лучше – их комплексом.
Вышеупомянутый Указ можно считать положительным сдвигом в совершенствовании системы информационной безопасности государства и понимании реалий киберпреступности. А будет ли он эффективен на практике – время покажет.
