Ця сторінка доступна рідною мовою. Перейти на українську

Кібербезпека: технічні й організаційні аспекти

25 липня 2017, 15:40
437
0
Реклама

Інтерв'ю Олега Сича, технічного директора антивірусної компанії Zillya!

Як фахівець, у чому ви вбачаєте головні особливості недавньої кібератаки?

Головна особливість - це перший значний випадок на території України проникнення шкідливого ПЗ через легітимне програмне забезпечення. Зазвичай це можливо, якщо зловмисники виявили у якійсь популярній програмі "діру" (помилку в програмному коді) та використали її. Тут же "діру" (Backdoor-компонент) упровадили хакери в легітимну програму шляхом отримання доступу до персональних комп'ютерів компанії-розробника.

Стверджується, що атака стала можлива через те, що програма подання електронної звітності, через яку сталося зараження, вимагала для роботи права адміністратора. Але такі самі права вимагають і багато інших програм, наприклад, клієнт-банк. Як користувачам бути з цим?

Багато програмних комплексів дійсно використовують адміністративні або системні права. Якщо ми говоримо про системи первинного зараження, то, на жаль, розмежуванням прав доступу проблему вирішити не вдалося б.

Однак безліч систем також постраждало через те, що на операційні системи не було встановлено необхідний патч ("латку"), який Microsoft випустила ще після схожої атаки навесні 2017 року, пов'язаної з діяльністю шкідливого ПЗ WannaCry. Або ж первинно було заражено контролер домену локальної мережі.

У цьому випадку користувачам допомогли б такі кроки:

- своєчасне встановлення оновлень операційної системи;

- розмежування ролей серверів. Так, контролер домену або система адміністратора домену в жодному разі не повинні використовуватися для інших цілей: операційної роботи, створення звітності, установлення великої кількості додаткового ПЗ;

- віртуалізація робочого простору. Ідеться про створення деяких віртуальних машин, на кожній з яких установлено свій набір програмного забезпечення (для різних завдань). У разі пробою вірусами однієї із систем постраждають тільки дані конкретної віртуальної машини, а весь інший робочий простір і документи не будуть пошкоджені.

Неможливо гарантувати захищеність кожного ПЗ від зловредів. Але якщо говорити про ПЗ, критично важливе для бізнесу, то що постачальник може обіцяти споживачеві, а споживач - повинен вимагати від нього?

Нині ми спостерігаємо нові технології проникнення в критично важливі обчислювальні системи шляхом компрометації легального ПЗ. Тому тепер потрібно говорити не лише про те, що периметр підприємства-клієнта повинен бути захищений, а й про те, що клієнт повинен бути впевнений, що периметр компанії-розробника використовуваного ним ПЗ також захищений. Для цього постачальник ПЗ повинен надати споживачеві всі можливі гарантії, сертифікати тощо, щоб переконати клієнта в тому, що ПЗ, яке постачається, не стане платформою для атаки на його системи.

На сьогодні в законодавстві України йдеться лише про те, що компанії, що зберігають й обробляють особисті дані користувачів, зобов'язані вжити всіх можливих заходів, щоб уберегти цю інформацію від крадіжки, у протилежному разі будуть юридичні наслідки. Тепер же необхідно рухатися далі.

Як Ви ставитеся до ідеї обов'язкової сертифікації деяких категорій ПЗ?

Я думаю, що за поточної організації процесу сертифікації цей крок буде малоефективним. Причин багато. Це і цілі такої сертифікації, і рівень підготовки фахівців, які виконують цю роботу, і кількість ресурсів, що виділено для аналізу ПЗ, яке сертифікується (отже, і вартість такої сертифікації). Крім того, усе сучасне ПЗ постійно розвивається, виходять нові версії, отже, центрам сертифікації доведеться на регулярній основі перевіряти всі збірки (версії) програм, що сертифікуються, а це значно збільшить вартість.

Добровільна сертифікація ПЗ: це більше маркетинг або в ній є раціональне зерно з погляду захищеності?

На цьому етапі це, мабуть, демонстрування того, що розробник конкретного ПЗ - реально існуюча компанія (у разі якщо програма виявиться шкідливою, то відповідні органи точно знатимуть, де шукати її постачальників і розробників), що постачальник готовий заявляти про чистоту свого програмного забезпечення, а отже, уже якоюсь мірою опікується безпекою користувачів своїх продуктів.

Років 20 тому НБУ ліцензував діяльність розробників банківського ПЗ, потім від цієї практики відмовилися. На Ваш погляд, чи буде корисним, якщо НБУ, ДФС запровадять зараз подібне ліцензування?

Ліцензування - це досить дороге задоволення. Боюся, що в умовах нашої країни це призведе до монополій у різних сегментах ПЗ і не вирішить проблеми. Добре, коли ми знаємо, де шукати (у якому продукті, якому його модулі тощо). А коли цих продуктів десятки, постійно виходять нові версії?

У загальному випадку захищеність хмарного ПЗ відрізняється від такого, що інсталюється на комп'ютерах користувача? Якщо так, то чим це визначається?

Безумовно відрізняється. При цьому хмарні сервіси одночасно і більш безпечні, і водночас можуть виявитися надзвичайно небезпечними для користувачів.

Безпечні, тому що хмарний сервіс жодним чином не впливає на дані на користувацькому ПК. Також у користувачів немає можливості встановлювати на хмарні сервіси власне ПЗ. Максимум, що ми можемо робити, - завантажувати туди свої дані й обробляти їх програмами, що постачає хмарний сервіс.

Небезпечні ж, тому що до таких сервісів ставляться колосальні вимоги щодо захищеності. Адже виявлення будь-якої уразливості в системі дасть можливість зловмисникам отримувати доступ до величезної кількості даних, користувач про це навіть не підозрюватиме (тут уже ви не зможете просто вимкнути свій комп'ютер, це не допоможе, оскільки всі дані там, на сервері). Тому всі серйозні провайдери "хмар" питанням безпеки приділяють дуже значну увагу, у них є для цього і кошти, і необхідні фахівці.

Стратегія антивірусного захисту компанії повинна включати технічні й організаційні заходи. На Ваш погляд, який мінімальний їх набір?

У цьому випадку говорити про мінімальний і максимальний рівень не доводиться, оскільки захист або є, або його немає.

Передусім це, звичайно, персонал, фахівці, які ставляться до системи кібербезпеки з усією серйозністю. Вони повинні стежити за сучасними тенденціями у сфері безпеки даних, вчасно робити необхідні дії, які радять експерти, здійснювати контроль за використанням ПК, мереж і ресурсів компанії.

Обов'язковою умовою побудови кіберзахисту компанії є наявність антивірусного ПЗ. Це значно підвищує безпеку порівняно із ситуацією, коли його немає.

До організаційних заходів варто зарахувати й обов'язкове навчання всього персоналу основ кібербезпеки, й суворий контроль за їх дотриманням. Зрозуміло, необхідно організувати створення на регулярній основі резервних копій і їх правильне зберігання.

Залиште коментар
Увійдіть, щоб залишити коментар
УВІЙТИ
Підпишіться на розсилку
Щопонеділка отримуйте weekly-digest про ключові події бізнесу
Схожі новини