«Брак фахівців в області кібербезпеки обчислюється мільйонами», - Роман Чаплигін, PwC в Росії

PwC- Міжнародна мережа фірм, що пропонують послуги в галузі консалтингу та аудиту. Бренд існує на

протягом понад 160 років і входить до так званої великої четвірки аудиторських компаній. Штаб-квартира мережі знаходиться у Лондоні.

«Один експерт не в змозі вибудовувати всі процеси інформаційної безпеки»

- Наскільки зріс попит на послуги з кібербезпеки за останні роки?

- Практика кібербезпеки в PwC в Росії буласформована на початку 2010 років. За останні п'ять років бізнес виріс більш ніж в п'ять разів в фінансових показниках і більш ніж в 3 рази в кількості проектів, зараз ми виконуємо близько 30 унікальних проектів в рік. Я працюю в компанії з 2014 року, за цей час ми пройшли шлях від маленької команди з п'яти чоловік, що займається базовими сервісами на зразок комплаенс-аудиту, до команди з 30 профільних фахівців плюс понад 50 фахівців з суміжних напрямках, з якими ми працюємо єдиною командою на комплексних, стратегічно важливих для наших клієнтів проектах. Ми розробляємо стратегії з кібербезпеки і створює операційні центри з кібербезпеки для великих, в тому числі міжнародних компаній з різних сфер.

комплаенс- Від англ. compliance — «згода, відповідність» — дія відповідно до запиту чи вказівки, відповідність будь-яким внутрішнім або зовнішнім вимогам чи нормам.

У банківській сфері комплаєнс - це системаконтролю та управління ризиками, що виникають через недотримання законодавства, розпоряджень регуляторів, контролюючих організацій, правил саморегулівних організацій та інших форм об'єднання підприємств, внутрішніх документів.

- У ІТ-бізнесу більше розуміння небезпеки кіберзагроз в порівнянні з промисловістю?

- Розуміння більше, але ступінь уваги нижче: як і у будь-яких інших фахівців, у них часто «змальовується очей». Ризики ховаються під кількістю змін та інновацій. Для виробничих департаментів кожен елемент цифровізації - сильна зміна, вони більш пильно його розглядають як з точки зору ризиків, так і можливостей. ІТ-керівники зазвичай в наших проектах - стейкхолдери, а виробничі департаменти або керівництво компанії - кінцеві одержувачі сервісу.

Фото: Антон Карлінер / «Хайтек»

- А навіщо ІТ-компанії віддають вам цю функцію, самим не вистачає експертизи?

- Це велика проблема сьогодні як в Росії, такі по всьому світу. Брак фахівців в області кібербезпеки колосальна, вона вимірюється мільйонами людей. Крім того, замість універсального фахівця з кібербезпеки виділяються експерти в області хмарних технологій, в області АСУ ТП, технологічних процесів та інші. Через ускладнення технологій один співробітник не в змозі вибудовувати всі процеси інформаційної безпеки в компанії. Фахівці, що працюють в консалтингових компаніях, мають більш широкий досвід та практику реалізації проектів в різних індустріях і в різних компаніях однієї індустрії, відповідно, володіють більш повною картиною ризиків.

- Що далі буде відбуватися з такою гострою нестачею фахівців?

— Проблема освіти очевидна, про неї багатопишуть, кажуть, і докладають зусиль, щоб покращити чи змінити ситуацію. Частково завдання забезпечення інформаційної безпеки може вирішити автоматизацію. Так само, як компанії автоматизують свої процеси для покращення бізнесу, ми, зі свого боку, дивимося, де можемо застосувати сучасні технології, щоб послуги з інформаційної безпеки надавалися у більш короткий термін та у більших масштабах.

«Більшість кіберінцідентов ховається через страх втратити довіру»

- Який нині головний виклик в області кібербезпеки?

— Для бізнесу це, звичайно, кіберзлочинністьвсіх її аспектах — як організовані угруповання, і хактивісти. Використання нових технологій постійно збільшує масштаб ризиків. Особливо у сфері захисту інтелектуальної власності, так званого периметра компанії, який поступово розмивається, а також у сфері захисту клієнтів, споживачів послуг.

- А є якісь цифри, які підтверджують ці ризики?

- Більшість кіберінцідентов ховається черезстраху втратити довіру клієнтів. За нашими даними, більше половини великих російських компаній зазнали кібератаки. З них 32% зазнали реальний фінансовий збиток - постраждали від простою інфраструктура або виробництва. Згідно з нашим дослідженням, близько 80% респондентів вважають, що питання кібербезпеки, захисту ключових даних відіграють вирішальну роль при виборі провайдера послуг або сервісу. У разі злому або іншого інциденту споживачі швидко переключаються на іншого постачальника. Для повернення їм потрібно як мінімум чітке пояснення того, що сталося, а в половині випадків - якась матеріальна компенсація: платні сервіси або щось ще. Недолік довіри в цифровому світі високий: в Давосі, наприклад, питання довіри висвітлювався як один з ключових, а ризики кібербезпеки увійшли в топ-5 світових ризиків.

Фото: Антон Карлінер / «Хайтек»

- А як часто атакують заводи?

— Щодо промисловості статистики ще менше, томущо вона якісніше ховається. У США є дослідження, на мою думку, проведене спецслужбами. Там йдеться, що у разі масштабної кібератаки може постраждати понад 60 компаній критичної інфраструктури, а збитки становитимуть $50 млрд. Але найстрашніша цифра — кількість потенційних випадків смерті у випадку кібератаки — близько 2 500. Тобто загрози цифрового світу можуть реалізуватися в реальному світі і вплинути на здоров'я та життя людей. Усі ми бачили, що сталося влітку 2017 року з вірусами-шифрувальниками WannaCry та Petya – вони призвели до зупинки залізничного транспорту, аеропортів, заправних станцій. У більшості випадків це була неможливість прийому платежів, але якщо це перевезення пасажирів або надання медичної допомоги? Людина може не отримати результатів аналізів або не долетіти на якийсь важливий захід. Менш помітні атаки стали повсякденною реальністю: щодня атакують транспортну галузь, роздрібну торгівлю. Виробництво також атакують регулярно: це чи крадіжка даних, чи крадіжка грошей, чи порушення діяльності.

- Чи може повторитися атака, подібна Petya і WannaCry?

— Теоретично управління ризиками має поняття«чорного лебедя»: ця подія, яку ніхто не передбачив, але коли вона трапилася, то виглядала цілком логічною. Темпи цифровізації, недолік фахівців та надлишок зловмисників підказують, що такі події повторюватимуться і в майбутньому, з якою частотою сказати складно.

- В цілому, і ступінь нервозності у публіки дуже висока.

- Так, загальна параноя наростає - з урахуваннямгеополітичних факторів та підігрівання цієї теми в ЗМІ. Найскладніше - ніхто не знає, в якій галузі, з яким масштабом і з застосуванням якої технології трапиться наступна атака.

«Провідні галузі російської економіки організовують спільноти для обміну знаннями»

- А як ви отримуєте інсайдерську інформацію? Чи відвідуєте якісь конференції білих або чорних хакерів?

- Можливостей для обміну знаннями стає всебільше. Так, існують зарубіжні конференції білих і чорних хакерів. Але також створюються індустріальні та профільні спільноти в Росії, які активно діляться напрацюваннями в області захисту від кібератак. З мого досвіду найяскравіші - в банківській сфері. Наша компанія - член асоціації банків «Росія»: в її рамках мінімум раз на місяць проходять засідання, де керівники служб безпеки банків обмінюються досвідом і спільно вирішують виклики в області нового законодавства і ризиків кібербезпеки. В індустрії видобутку і переробки металу і нафтогазової галузі такий обмін знаннями теж набирає популярність.

Провідні галузі російської економіки, що нечекаючи особливого запрошення, організовують спільноти для обміну знань. Держава випустило закон про критичну інформаційній інфраструктурі і створює систему, до якої повинні підключитися компанії, які стосуються об'єктах цієї інфраструктури, - по суті, всі великі виробничі, технологічні та фінансові компанії. Система покликана забезпечити оперативний збір даних про зароджуються кібератаки і підготувати бізнес до їх швидкого відбиття.

Фото: Антон Карлінер / «Хайтек»

- І на якій стадії ця система?

- Компанії приводять себе у відповідність звимогами закону, підключаються до центрів ГоСОПКа, будують власні системи моніторингу і виявлення кібератак, інформаційні центри кібербезпеки. Всі намагаються вирішити по-різному: хтось з великим фокусом на організаційні моменти і вибудовування взаємодії, хтось на технологічну складову і підготовку до боротьби на цифровому рівні.

- З якого розміру бізнесу потрібно замислюватися про свою безпеку в кіберпросторі?

- Як тільки він почав заробляти і приноситивласнику гроші. Точніше, з того моменту, коли бізнес починає дотримуватися податкове і інше законодавство. Якщо цього не зробити, можна в якийсь момент з-за крихітного проколу в кібербезпеки втратити його в одну секунду.

- Зараз це може трапитися з будь-яким бізнесом.

- Особливо з сучасним малим бізнесом, якийактивно використовує хмарні продукти, технології, аналітичні дані, вибудовує комунікації онлайн і зберігає історію своєї діяльності в цифровому просторі. Будь-який витік може зруйнувати бізнес.

- А наскільки, на вашу думку, добре захищені державні структури і об'єкти в Росії?

— Держава на всіх рівнях приділяєзначну увагу питанням кібербезпеки. Це відбивається на повсякденному житті громадян: відбуваються заходи, присвячені безпеці, для школярів, студентів, споживачів держпослуг та пенсіонерів у тому числі. Компанії із соціальним навантаженням, такі як Ощадбанк, наприклад, теж інвестують у просвітництво спільноти. Наші знакові заходи – Олімпіада, чемпіонат світу – пройшли без трагічних історій, пов'язаних із кібербезпекою. Це дає нам впевненість у тому, що держава не лише усвідомлює, а й вживає необхідних заходів для захисту. У той же час, як фахівцю в галузі кібербезпеки, мені хотілося б більше прозорості у діях держави. Хотілося б більшого опрацювання та активнішого використання міжнародного досвіду при впровадженні нових ініціатив. Те, що в Росії тільки починається, — захист критичної інфраструктури, персональних даних — уже існує в тому чи іншому вигляді в інших країнах, вони вже мають досвід і практику застосування цього законодавства.

«Захисти мене» - дослідження, проведене PwC в 2018 році в 12 великих російських містах

  • 97% респондентів не довіряють компаніям в питаннях захисту своєї персональної інформації;
  • 93% респондентів вважають, що компанії уразливі до хакерських атак;
  • 88% респондентів впевнені, що вони не контролюють обсяг персональних даних, які компанії збирають про них;
  • 60% респондентів не стануть більше мати справу з компанією, якщо в результаті витоку буде викрадена їх конфіденційна інформація.

- Як в інших державах відбувається цей процес?

- Зараз регулятори практикують активнузалучення індустрії в розробку нових законів, вирішенні практичних завдань в області кібербезпеки. Вони йдуть поступально - від чіткої верифікації проблеми через вироблення узгодженого підходу до рішень, тільки потім з'являються фіксовані рекомендації. Правило народжується тільки на третій стадії. У Росії, здається, все навпаки - спочатку з'являється правило, потім отримуємо відгук від індустрії, бізнесу, отримуємо уроки, можливо, потім щось коригуємо, але недостатньо швидко і прозоро.

- А чи не рухається все це на рівень створення якогось міжнародного комітету з кібербезпеки?

— Такий рух, певне, є.У рамках відкритих заходів при обміні знаннями у більш приватних колах представники різних індустрій, компаній, країн намагаються побудувати протидію міжнародному кібертероризму. Водночас геополітична ситуація, недовіра як між різними компаніями, так і між державами, робить цей процес дуже повільним і недостатньо ефективним. Зараз компанії, які допомагають вибудувати кібербезпеку, що розслідують кібератаки, відіграють важливу роль між бізнесом і державами.

— Які нові інструменти з'явилися у кіберзлочинців?

- Протягом останнього року основний тренд -використання людського фактора, слабкостей та помилок для реалізації кібератак. Багато складних атак реалізується через соціальну інженерію, вплив на користувачів, а вже потім — на інформаційну інфраструктуру компанії. Існує великий ризик використання зловмисниками сучасних технологій, штучного інтелекту, машинного навчання, великих даних для створення складних атак. Продовжують використовуватися вразливості нульового дня (раніше не експлуатовані вразливості), розробляються експлоїти та інструменти атак із цими вразливістю.