Экс-сотрудник ФБР пояснил, почему хакеры побеждают в кибервойне

Правительственные и коммерческие организации пребывают в блаженном неведении по поводу того, как в действительности работает безопасность, поэтому не в состоянии должным образом противостоять киберугрозам, считает бывший ИБ-эксперт ФБР Джейсон Траппи (Jason Truppi). Общество уверено в том, что правительственный и частный секторы принимают рациональные решения в вопросах информационной безопасности, однако на деле это не так.

«Правительство быстро реагирует на ситуации. Тем не менее, со временем мы пришли к выводу, что быстрой реакции недостаточно, нужно принимать превентивные меры», - заявил Трапп на конференции B-Sides в Сан-Франциско.

По словам эксперта, общество должно отказаться от иллюзии, будто правительство и бизнес работают сообща над обеспечением кибербезопасности. На самом деле государственные и частные организации придерживаются совершенно разных принципов.

Правительство призывает компании предоставлять ему данные о кибератаках. Однако дальнейшее расследование инцидентов может привести к предъявлению сотрудникам компаний обвинений, не связанных с кибератаками. Поэтому организации не спешат обращаться к властям с сообщениями о киберугрозах.

По словам Траппи, компании плохо справляются с обеспечением информационной безопасности и особо не беспокоятся. Они стараются нанять высококвалифицированных ИБ-специалистов, однако в итоге эксперты вынуждены заниматься неэффективной работой. Зачастую руководство не понимает всех тонкостей и вынуждает специалистов тратить целые дни на бесполезные решения малозначительных проблем.

Неманья Никитович, управляющий директор Optima Infosecurity (Группа Optima)

Четко выработанной политики по обеспечению синергии государства и бизнеса в деле защиты информации сегодня в России нет.

Россия - страна, которая в вопросах защиты информации может с пользой для себя использовать опыт ведущих экономик мира. Это отставание дает ей некоторое преимущество, заключающееся в том, чтобы не повторять уже сделанные ошибки или неэффективные шаги. Совершенно очевидно, что технологическая защита от утечек и самые современные решения не спасают от совершенно, казалось бы, анекдотических ситуаций, когда информация становится доступна нежелательным лицам лишь потому, что владельцы этой информацией пользовались для ее передачи личной почтой или забыли где-то флешку. В этом смысле мы находимся примерно на том же уровне, что и Запад: несколько громких скандалов, в том числе политических, были связаны именно с такими на первый взгляд смешными ситуациями. Частный бизнес уделяет этим вопросам еще меньшее внимание. Но и у государства, и у бизнеса в числе первостепенных задач должно быть максимальное информирование об угрозах, социальный инжиниринг, направленный на снижение влияния человеческого фактора на сохранность информации. Государство должно озаботиться принятием соответствующих законов, а бизнес - внутренних распорядков и правил.

Вячеслав Медведев, ведущий аналитик отдела развития "Доктор Веб"
Как вы считаете в России такая же ситуация в сотрудничестве бизнеса и государства в области информационной безопасности?
Описываемая ситуация касается не сотрудничества бизнеса и государства. Ситуация описывает уровень знаний о современных угрозах и отношение к ним. Можно разбить ситуацию на несколько уровней.
Уровень бизнеса. Уровень отлично описывается в статье по ссылке: https://habrahabr.ru/post/321446 . Бизнес не интересуют вирусы, антивирусы, взломы и прочая заумная терминология. Бизнесу нужно, чтобы бизнес-процедуры отрабатывались, процессы были контролируемы, прибыли превышали убытки. Все остальное - обслуживающие системы. И это логично. Естественно так происходит до первого взлома. Уже много лет ведется речь о том, что специалисты по безопасности должны разговаривать с бизнесом на их языке. Но вопрос как это сделать? Призывы государства направлены на подготовку миллионов программистов - не руководителей проектов. Крайне мало внимания уделяется тому, что в первую очередь серьезная программа - это работа в команде и управление различными процессами. Психология, маркетинг и другие предметы без которых жизнь руководителей проекта немыслима изучаются скорее никак. Как минимум руководитель проекта, команды должен уметь презентовать бизнесу свой проект - есть ли в планах обучения программа обучения выступлениям? В итоге на работу в компании приходят амбициозные, но не умеющие говорить специалисты. Кто-то сможет научиться. Но сколько успеют испортить по дороге свою репутацию?
Уровень 2. Администраторы и специалисты по безопасности. Характеризуются практически полным незнанием современных угроз (19 из 20!), возможностей защитных решений, процедур анализа инцидентов и тд. Подавляющая часть специалистов уверена в том, что антивирус должен ловить вредоносные программы в момент их проникновения. Теоретически это так должно и быть, но всегда есть неизвестные вредоносные программы - и их не принимают в расчет при создании защит компании!
В итоге единственная защита это антивирус, который может отключить пользователь ("тормозит"). А пользователям можно кликать на все подряд.
Уровень возникает в следствии двух проблем образования. Первая - практически полная оторванность институтов от современных знаний. Ситуация такова, что новые методички централизованно не "спускаются", а усилий вендоров недостаточно чтобы донести до соответствующих кафедр знания о современных угрозах. В итоге кафедры пребывают в блаженном незнании и обучают исходя из своего внутреннего представления о ситуации.
Вторая проблема - направленнось системы образования на работу студента с курса третьего. тоесть с того момента, когда начинаются спецпредметы. В результате студенты "забивают" на лекции. А те из них, кто добивается успеха - считают, что они знают лучше, чем те, кто им рассказывает. Ведь их проекты ценят!
Уровень три. Пользователи. Ну тут все ясно. "Мы знаем. что нам нужно кликнуть на ссылку, так как она из налоговой". Ситуация фактически совпадает с первым уровнем.
Какие меры можно предложить для исправления ситуации?
На данный момент в России не существует не то чтобы методического руководства по определению угроз. В приказах и стандартах нет ни одного правильного определения вредоносной программы, определения что такое антивирус, что он может, а что нет. При этом пишутся высокоуровневые законы, требующие построения высокозащищенных систем. Нужно начинать с основ.

Источник