Цифровая изнанка: безопасность технологий

Как только появляется новая технология, IT-сообщество начинает разбирать ее преимущества и крайне редко заостряет внимание на рисках и информационной безопасности. Но не в этот раз. Антон Ракитский (CISO «IT-TEAM SERVICE») и Маргарита Гринблат из ICTNEWS решили разобраться, какими слабостями обладают новые технологии и какой вред могут нанести.

Данная статья вышла в информационно-аналитическом журнале сферы связи и информатизации ICTNEWS в номере №5 (151) за 2018 г. под названием «Цифровая изнанка: безопасность технологий». Здесь приводится редакция статьи, подготовленная экспертом ITTS.

Опытные пациенты, покупая новое лекарство, всегда читают аннотацию. И не столько разделы «Показания к применению», но и особенно внимательно «лекарственные взаимодействия» и «побочные эффекты». Так и у всех современных информационных технологий есть такие побочные эффекты и лежат они часто в области безопасности. Только потребители этих новых технологий совершенно не задумываются об этом.
Косвенным подтверждением высоких рисков новых технологий является крайне медленное и неохотное внедрение любых новшеств в критической инфраструктуре - энергетика, управление технологическими процессами сложных производств, все эти сферы часто работают на оборудовании и технологиях 20-30 летней давности.
Интернет вещей (англ. Internet of Things, IoT), концепция, о которой все говорят последние годы, имеет оборотную сторону именно благодаря особенности типа «установил и забыл». Именно так все устройства - камеры наблюдений, роутеры, сетевые хранилища, смарт-тв, пылесосы, холодильники и им подобные один раз настраиваются и потом годами работают. При этом практически никто их не обновляет, часто на них остаются все пароли и настройки «по-умолчанию». Ведь если злоумышленник проникнет на ваш компьютер и начнёт его использовать в своих целях, то рано или поздно вы его заметите по замедлению работы или сработает антивирус. В мире IoT устройство предоставлено само себе, про него вспомнят, только если оно перестанет работать. Короче - взлом в области интернета вещей совершенно незаметен пользователю. Именно это используется криминалитетом, разведывательным сообществом и многими другими. Такое устройство может следить и за пользователем, и становится управляемым ботом, частью ботнета и через него организуются распределённая атака на отказ в обслуживании (DDoS). Кстати, именно интернет вещей эволюционирует в так называемый «умный город». Т.е. все проблемы бесхозных бытовых устройств остаются, только переходят на глобальный уровень.
Big Data или большие данные пока скорее воспринимается как инструмент «на вырост», реально работающих проектов с использованием больших массивов данных в Узбекистане совсем немного. Но и тут, если понять буквально название технологии и начать сохранять всё подряд для будущего анализа, то можно сильно навредить себе - создать готовую полную базу данных, которую рано или поздно украдут. Накапливая данные для последующего анализа нужно её максимально обезличивать, маскировать. Так, например, если служба такси хочет анализировать, из каких районов в определённое время поступает больше всего заказов, то совсем необязательно хранить номера телефонов и точные адреса всех клиентов - для реального анализа это не понадобится. А злоумышленникам персонализированная информация как раз может быть очень кстати - можно будет проанализировать поведение конкретного человека, во сколько он уходит из дома и куда едет.
Мобильные приложения (особенно банковские) часто разрабатываются сторонней компанией, которая работает в рамках технического задания. Соответственно, если вопросы ИБ не были с самого начала чётко прописаны, то исполнитель реализует только требуемый функционал. Если это не предписано техническим заданием, то программисты вряд ли будут включать в код программы различные защитные механизмы, фильтровать вводимые данные, а просто ограничатся минимально достаточным функционалом. В итоге заказчик может за собственные деньги купить себе ещё одну брешь в защите - в виде мобильного приложения. Другая проблема - для работы мобильного приложения нужны сервера, которые обеспечат его связь с основными системами предприятия (АБС для банка), увеличивается количество серверов, ПО, всё это необходимо поддерживать, стоимость владения системой возрастает. А если система сбоит (не была рассчитана нагрузка, уволился ключевой программист, расторгнут договор с разработчиком), то наносится ещё и удар по репутации.
Облачные вычисления и хранение данных. Пожалуй, единственный случай, когда опасность применения технологии сильно переоценивается. Вернее всё это уже давно и широко используются для личных целей. Службы электронной почты, обмена сообщениями и им подобные давно имеют облачную природу. А вот бизнес, особенно госорганы, их применяют очень неохотно. Но и тут, на наш взгляд, риски оцениваются не совсем правильно. Многие опасаются утечки данных, а нужно принимать в расчет ещё и уровень отказоустойчивости облачных платформ. Обязательно нужно удостовериться, какой уровень доступности заявлен поставщиком. Справедливости ради стоит отметить, что поставщики облачных сервисов стараются поддерживать эти показатели на высоком уровне. Но практика показывает, что и тут может случиться неожиданный форс-мажор. Совсем недавний пример - облачные сервера Telegram в один и тот же момент времени попали и под действие блокировок в РФ и частично вышли из строя из-за сбоя электропитания в датацентре.
Блокчейн. Существует шутка, что просто упоминание технологии блокчейн в контексте деятельности компании сразу повышает её капитализацию на 50%. Действительно, в какой-то момент новости об этой технологии неслись из каждого утюга. Она воспринимается как панацея от всех бед. При этом часто слабые стороны технологии не рассматриваются вовсе. Это и высокая энергоёмкость технологии, требующая в разы больше расхода энергии по сравнению с традиционными методами - это особенно плохо вяжется с увлечением «зелёной» энергетикой, модой на энергосбережение. При небольшом числе участников системы и вовсе теряется основное преимущество системы - защита от поддельных транзакций. Получается, что на практике блокчейн имеет узкую область применения и не настолько универсален, как это казалось сначала. При этом сама технология весьма сложна во внедрении и в буквальном смысле основана на высшей математике, а конкретные реализации алгоритмов, как и любое другое программное обеспечение, может содержать уязвимости.

Новые технологии и концепции появляются постоянно. На подходе искусственный интеллект (англ. artificial intelligence - AI), дополненная реальность (англ. augmented reality - AR). Какие угрозы они несут пока сложно даже представить.

Но вернёмся к давно зарекомендовавшим себя информационным системам. Если высшее руководство не задумывается об ИБ, то может получить «нож в спину» с самой неожиданной стороны. Не раз в нашей практике встречались случаи, когда сотрудники, не получившие должное вознаграждение за выполненные работы удаляли базу данных, файлы, а работодателю заявляли: «базу сожрал вирус». Т.к. никаких особых мер ИБ на предприятии не было, то руководству приходилось принимать такие оправдания и объяснения. Ещё реальный пример, руководство организации тянуло с выделением средств на обновление парка компьютерной техники, администратор отключил сервер автоматизированной бухгалтерии (1С) и сказал всем, что сервер сломался и нужен ремонт или покупка нового компьютера. Это уже шантаж и саботаж со стороны своих же сотрудников, руководитель может об этом догадываться, но доказать что-то не может, т.к. вопросами ИБ он не хотел заниматься.

Пожалуй, единственный совет для всех руководителей, предпринимателей, владельцев бизнеса - при внедрении новых технологий заслушивать все стороны, привлекать в рабочую группы и команду специалистов по ИБ - штатных или внешних, а лучше и тех и других. Да, они могут тормозить прогресс, сгущать краски, отговаривать, но успеха в ИТ можно добиться только разумным компромиссом функциональности и безопасности. Жить и работать с учётом требований ИБ очень непросто, а без ИБ - просто невозможно.