«Брак фахівців в області кібербезпеки обчислюється мільйонами», - Роман Чаплигін, PwC в Росії

PwC - міжнародна мережа фірм, що пропонують послуги в області консалтингу та аудиту. Бренд існує на

Протягом понад 160 років і входить в так звану велику четвірку аудиторських компаній. Штаб-квартира мережі знаходиться в Лондоні.

«Один експерт не в змозі вибудовувати всі процеси інформаційної безпеки»

- Наскільки зріс попит на послуги з кібербезпеки за останні роки?

- Практика кібербезпеки в PwC в Росії буласформована на початку 2010 років. За останні п'ять років бізнес виріс більш ніж в п'ять разів в фінансових показниках і більш ніж в 3 рази в кількості проектів, зараз ми виконуємо близько 30 унікальних проектів в рік. Я працюю в компанії з 2014 року, за цей час ми пройшли шлях від маленької команди з п'яти чоловік, що займається базовими сервісами на зразок комплаенс-аудиту, до команди з 30 профільних фахівців плюс понад 50 фахівців з суміжних напрямках, з якими ми працюємо єдиною командою на комплексних, стратегічно важливих для наших клієнтів проектах. Ми розробляємо стратегії з кібербезпеки і створює операційні центри з кібербезпеки для великих, в тому числі міжнародних компаній з різних сфер.

комплаенс - від англ. compliance - «згода, відповідність» - дія за результатами запитів або зазначенням, відповідність яким-небудь внутрішнім або зовнішнім вимогам або нормам.

У банківській сфері комплаєнс - це системаконтролю та управління ризиками, що виникають через недотримання законодавства, розпоряджень регуляторів, контролюючих організацій, правил саморегулівних організацій та інших форм об'єднання підприємств, внутрішніх документів.

- У ІТ-бізнесу більше розуміння небезпеки кіберзагроз в порівнянні з промисловістю?

- Розуміння більше, але ступінь уваги нижче: як і у будь-яких інших фахівців, у них часто «змальовується очей». Ризики ховаються під кількістю змін та інновацій. Для виробничих департаментів кожен елемент цифровізації - сильна зміна, вони більш пильно його розглядають як з точки зору ризиків, так і можливостей. ІТ-керівники зазвичай в наших проектах - стейкхолдери, а виробничі департаменти або керівництво компанії - кінцеві одержувачі сервісу.

Фото: Антон Карлінер / «Хайтек»

- А навіщо ІТ-компанії віддають вам цю функцію, самим не вистачає експертизи?

- Це велика проблема сьогодні як в Росії, такі по всьому світу. Брак фахівців в області кібербезпеки колосальна, вона вимірюється мільйонами людей. Крім того, замість універсального фахівця з кібербезпеки виділяються експерти в області хмарних технологій, в області АСУ ТП, технологічних процесів та інші. Через ускладнення технологій один співробітник не в змозі вибудовувати всі процеси інформаційної безпеки в компанії. Фахівці, що працюють в консалтингових компаніях, мають більш широкий досвід та практику реалізації проектів в різних індустріях і в різних компаніях однієї індустрії, відповідно, володіють більш повною картиною ризиків.

- Що далі буде відбуватися з такою гострою нестачею фахівців?

- Проблема освіти очевидна, про неї багатопишуть, говорять, і прикладають зусилля, щоб поліпшити або змінити ситуацію. Частково завдання забезпечення інформаційної безпеки може вирішити автоматизація. Так само, як компанії автоматизують свої процеси для поліпшення бізнесу, ми, зі свого боку, дивимося, де можемо застосувати сучасні технології, щоб послуги з інформаційної безпеки надавалися в більш короткий термін і в великих масштабах.

«Більшість кіберінцідентов ховається через страх втратити довіру»

- Який нині головний виклик в області кібербезпеки?

- Для бізнесу це, звичайно, кіберзлочинність увсіх її аспектах - як організовані угруповання, так і хактивісти. Впровадження нових технологій постійно збільшує масштаб ризиків. Особливо в області захисту інтелектуальної власності, так званого периметра компанії, який поступово розмивається, а також в галузі захисту клієнтів, споживачів послуг.

- А є якісь цифри, які підтверджують ці ризики?

- Більшість кіберінцідентов ховається черезстраху втратити довіру клієнтів. За нашими даними, більше половини великих російських компаній зазнали кібератаки. З них 32% зазнали реальний фінансовий збиток - постраждали від простою інфраструктура або виробництва. Згідно з нашим дослідженням, близько 80% респондентів вважають, що питання кібербезпеки, захисту ключових даних відіграють вирішальну роль при виборі провайдера послуг або сервісу. У разі злому або іншого інциденту споживачі швидко переключаються на іншого постачальника. Для повернення їм потрібно як мінімум чітке пояснення того, що сталося, а в половині випадків - якась матеріальна компенсація: платні сервіси або щось ще. Недолік довіри в цифровому світі високий: в Давосі, наприклад, питання довіри висвітлювався як один з ключових, а ризики кібербезпеки увійшли в топ-5 світових ризиків.

Фото: Антон Карлінер / «Хайтек»

- А як часто атакують заводи?

- По промисловості статистики ще менше, томущо вона більш якісно ховається. У США є дослідження, як мені здається, проведене спецслужбами. Там говориться, що в разі масштабної кібератаки може постраждати більше 60 компаній критичною інфраструктури, а збиток складе $ 50 млрд. Але сама лякає цифра - кількість потенційних випадків летального результату в разі кібератаки - близько 2 500. Тобто загрози цифрового світу можуть реалізуватися в реальному світі і вплинути на здоров'я і життя людей. Всі ми бачили, що сталося влітку 2017 року з вірусами-шифрувальники WannaCry і Petya - вони привели до зупинки залізничного транспорту, аеропортів, заправних станцій. У більшості випадків це була неможливість прийому платежів, але що якщо це перевезення пасажирів або надання медичної допомоги? Людина може не отримати результати аналізів або НЕ долетіти на якийсь важливий захід. Менш помітні атаки стали повсякденною реальністю: кожен день атакують транспортну галузь, роздрібну торгівлю. Виробництво також атакують регулярно: це або крадіжка даних, або крадіжка грошей, або порушення діяльності.

- Чи може повторитися атака, подібна Petya і WannaCry?

- В теорії управління ризиками є поняття«Чорного лебедя»: це подія, яка ніхто не передбачив, але коли воно сталося, то виглядало цілком логічним. Темпи цифровізації, недолік фахівців і надлишок зловмисників підказують, що такі події будуть повторюватися і в майбутньому, з якою частотою - сказати складно.

- В цілому, і ступінь нервозності у публіки дуже висока.

- Так, загальна параноя наростає - з урахуваннямгеополітичних факторів та підігрівання цієї теми в ЗМІ. Найскладніше - ніхто не знає, в якій галузі, з яким масштабом і з застосуванням якої технології трапиться наступна атака.

«Провідні галузі російської економіки організовують спільноти для обміну знаннями»

- А як ви отримуєте інсайдерську інформацію? Чи відвідуєте якісь конференції білих або чорних хакерів?

- Можливостей для обміну знаннями стає всебільше. Так, існують зарубіжні конференції білих і чорних хакерів. Але також створюються індустріальні та профільні спільноти в Росії, які активно діляться напрацюваннями в області захисту від кібератак. З мого досвіду найяскравіші - в банківській сфері. Наша компанія - член асоціації банків «Росія»: в її рамках мінімум раз на місяць проходять засідання, де керівники служб безпеки банків обмінюються досвідом і спільно вирішують виклики в області нового законодавства і ризиків кібербезпеки. В індустрії видобутку і переробки металу і нафтогазової галузі такий обмін знаннями теж набирає популярність.

Провідні галузі російської економіки, що нечекаючи особливого запрошення, організовують спільноти для обміну знань. Держава випустило закон про критичну інформаційній інфраструктурі і створює систему, до якої повинні підключитися компанії, які стосуються об'єктах цієї інфраструктури, - по суті, всі великі виробничі, технологічні та фінансові компанії. Система покликана забезпечити оперативний збір даних про зароджуються кібератаки і підготувати бізнес до їх швидкого відбиття.

Фото: Антон Карлінер / «Хайтек»

- І на якій стадії ця система?

- Компанії приводять себе у відповідність звимогами закону, підключаються до центрів ГоСОПКа, будують власні системи моніторингу і виявлення кібератак, інформаційні центри кібербезпеки. Всі намагаються вирішити по-різному: хтось з великим фокусом на організаційні моменти і вибудовування взаємодії, хтось на технологічну складову і підготовку до боротьби на цифровому рівні.

- З якого розміру бізнесу потрібно замислюватися про свою безпеку в кіберпросторі?

- Як тільки він почав заробляти і приноситивласнику гроші. Точніше, з того моменту, коли бізнес починає дотримуватися податкове і інше законодавство. Якщо цього не зробити, можна в якийсь момент з-за крихітного проколу в кібербезпеки втратити його в одну секунду.

- Зараз це може трапитися з будь-яким бізнесом.

- Особливо з сучасним малим бізнесом, якийактивно використовує хмарні продукти, технології, аналітичні дані, вибудовує комунікації онлайн і зберігає історію своєї діяльності в цифровому просторі. Будь-який витік може зруйнувати бізнес.

- А наскільки, на вашу думку, добре захищені державні структури і об'єкти в Росії?

- Держава на всіх рівнях приділяєЗначну увагу питанням кібербезпеки. Це відбивається на повсякденному житті громадян: проходять заходи, присвячені безпеки, для школярів, студентів, споживачів держпослуг і пенсіонерів в тому числі. Компанії з соціальної з навантаженням, такі як Ощадбанк, наприклад, теж інвестують в освіту спільноти. Наші знакові заходи - Олімпіада, чемпіонат світу - пройшли без трагічних історій, пов'язаних з кібербезпекою. Це дає нам впевненість в тому, що держава не тільки усвідомлює, а й вживає необхідних заходів для захисту. У той же час, як фахівця в області кібербезпеки, мені хотілося б більше прозорості в діях держави. Хотілося б більшої опрацювання і більш активного використання міжнародного досвіду при впровадженні нових ініціатив. Те, що в Росії тільки починається, - захист критичної інфраструктури, персональних даних - вже існує в тому чи іншому вигляді в інших країнах, у них вже з'явилися досвід і практика застосування цього законодавства.

«Захисти мене» - дослідження, проведене PwC в 2018 році в 12 великих російських містах

  • 97% респондентів не довіряють компаніям в питаннях захисту своєї персональної інформації;
  • 93% респондентів вважають, що компанії уразливі до хакерських атак;
  • 88% респондентів впевнені, що вони не контролюють обсяг персональних даних, які компанії збирають про них;
  • 60% респондентів не стануть більше мати справу з компанією, якщо в результаті витоку буде викрадена їх конфіденційна інформація.

- Як в інших державах відбувається цей процес?

- Зараз регулятори практикують активнузалучення індустрії в розробку нових законів, вирішенні практичних завдань в області кібербезпеки. Вони йдуть поступально - від чіткої верифікації проблеми через вироблення узгодженого підходу до рішень, тільки потім з'являються фіксовані рекомендації. Правило народжується тільки на третій стадії. У Росії, здається, все навпаки - спочатку з'являється правило, потім отримуємо відгук від індустрії, бізнесу, отримуємо уроки, можливо, потім щось коригуємо, але недостатньо швидко і прозоро.

- А чи не рухається все це на рівень створення якогось міжнародного комітету з кібербезпеки?

- Такий рух, безумовно, є. В рамках відкритих заходів при обміні знаннями в більш приватних колах представники різних індустрій, компаній, країн намагаються вибудувати протидія міжнародному кібертероризму. У той же час геополітична ситуація, недовіра як між різними компаніями, так і між державами робить цей процес дуже повільним і недостатньо ефективним. Зараз компанії, які допомагають вибудувати кібербезпека, які розслідують кібератаки, грають важливу сполучну роль між бізнесом і державами.

- Які нові інструменти з'явилися у кіберзлочинців?

- Протягом останнього року основний тренд -використання людського фактора, слабостей і помилок для реалізації кібератак. Велика кількість складних атак реалізується через соціальну інженерію, вплив на користувачів, а вже потім - на інформаційну інфраструктуру компанії. Є великий ризик використання зловмисниками сучасних технологій, штучного інтелекту, машинного навчання, великих даних для створення складних атак. Продовжують використовуватися уразливості нульового дня (раніше не експлуатуються уразливості), розробляються експлоїти і інструменти атак з цими уразливими.