Поделиться
Сергей Крамаренко, Альфа-Банк: Будущее — за использованием искусственного интеллекта в сфере ИБ
Число кибератак стремительно растет, и крупные банки являются одними из самых атакуемых организаций. Их ИБ-подразделения вынуждены не только бороться с кибератаками, но и заниматься заменой иностранных средств ИБ на отечественные. Для этого нужны квалифицированные специалисты, которых на рынке труда не хватает. О том, как эти проблемы решаются в крупном банке, рассказал Сергей Крамаренко, руководитель департамента кибербезопасности Альфа-Банка.
«Мы отмечаем более тщательную подготовку при проведении DDos-атак»
CNews: Насколько сильно за последний год изменился ландшафт киберугроз в целом и в банковском секторе в частности?
Сергей Крамаренко: Думаю, не ошибусь, если предположу, что ландшафт киберугроз очень сильно изменился за последние полтора года как для банковского сектора, так и в целом для других отраслей экономики страны. С момента начала СВО число кибератак кратно возросло, это касается как DDos атак, так и попыток фишинга, внедрения вредоносного ПО (ВрПО), эксплуатации уязвимостей в инфраструктуре и даже адресных призывов к продаже доступов или внедрению ВрПО внутри организации за вознаграждение в криптовалюте.
Мы отмечаем более тщательную подготовку атакующих при проведении DDos-атак, что выражается как в детальном изучении внешне периметровых сервисов, поиске слабых мест для точечного воздействия на прикладном уровне (L7), так и в координации своей противоправной деятельности через социальные сети, в частности через специализированные телеграмм-каналы. Серьезности ситуации с проведением таргетированных атак на инфраструктуру и сотрудников банка добавляют факты ставших известными в публичной сфере утечек персональных данных граждан РФ, среди которых могут быть и наши коллеги.
Также мы вынуждены констатировать уже не единичные факты взлома внешних сервис-провайдеров, несанкционированного проникновения в инфраструктуру партнеров и подрядчиков банка, что безусловно несет риски развития векторов кибератак на инфраструктуру нашей организации, встраивания ВрПО в дистрибутивы ПО внешних репозиториев кода.
Изменилась мотивация атакующих — от финансовой (например, получение выкупа за дешифрование данных или за неразглашение похищенной конфиденциальной информации) к явно деструктивной (нарушение доступности сервисов, хищение учетных записей пользователей для получения НСД в инфраструктуру). Это прямым образом влияет на сузившийся временной диапазон, в течение которого необходимо детектировать атаку, активировать все имеющиеся дополнительные противомеры, осуществить плановое реагирование по заранее проработанным сценариям (playbook), т.к. последствия реализации кибератаки могут привести к существенному ущербу и негативному влиянию на репутацию компаний, а также регуляторным последствиям.
Отдельным, очень важным аспектом, влияющим на эффективность работы системы обеспечения кибербезопасности в целом для любой организации в новых реалиях, является укомплектованность и компетентность профильных специалистов по ИБ. Но это отдельная тема для большого разговора.
CNews: Какие актуальные задачи стояли перед департаментом кибербезопасности Альфа-Банка в последнее время?
Сергей Крамаренко: Планово реализуя утвержденную в банке стратегию кибербезопасности, мы прежде всего ставили перед собой задачи глубокой модернизации ключевых систем и средств защиты информации, совершенствования связанных с этим процессов, найма и подготовки профильных специалистов, повышения эффективности системы обеспечения кибербезопасности банка в целом для достижения поставленных руководством целей.
Одной из ключевых задач, которая стояла перед командой кибербезопасности в 2022 году, было внедрение системы автоматизации реагирования на киберинциденты, управления ИТ-активами, уязвимостями и киберрисками, подготовки регуляторной отчетности. Мы модернизировали систему выявления и обработки инцидентов кибербезопасности (SIEM), рабочие процедуры по сбору данных и выявлению инцидентов, отработки сценариев реагирования силами внутреннего SOC, а также усовершенствовали средства автоматизации внутренних процессов работы с киберинцидентами.
Запросы на автоматизацию были и у наших коллег, которые занимаются управлением уязвимостями, а также у команды управления киберрисками: требовалось реализовать централизованную обработку и трекинг статусов уязвимостей, обнаруженных сканерами безопасности в инфраструктуре банка, и обеспечить классификацию киберугроз как событий операционного риска в соответствии с требованиями ЦБ РФ, изложенными в Положении №716-П. Требовалось также автоматизировать взаимодействие с ФинЦЕРТ, проведение внутренних аудитов на соответствие различным нормативным документам, упростить формирование отчетности и настроить визуализацию состояния кибербезопасности в банке.
С технической точки зрения, перед нами стояла масштабная задача обеспечить комплексную, совместную обработку данных, относящихся к разным направлениям кибербезопасности, учитывать свойства информационных активов, их уязвимостей в процессах реагирования на киберинциденты, а также «подружить» их с банковскими системами фрод-мониторинга, управления ИТ активами, операционными рисками, другими системами и средствами защиты информации.
По результатам конкурсных процедур для реализации данного проекта была выбрана платформа Security Vision SOAR/SGRC — отечественное решение, позволяющее повысить эффективность управления системой кибербезопасности банка через координацию и автоматизацию как непосредственно процессов реагирования на инциденты кибербезопасности, так и смежных процессов, направленных на проактивное выявление и митигацию киберугроз, начиная с управления выявленными уязвимостями в инфраструктуре и заканчивая обработкой киберрисков с учетом специфики и этапов развития кибератак (killchain).
Реализация всех поставленных задач была успешно выполнена командой внедрения платформы в течение 2022 года. Было автоматизировано более 20-ти ручных операций обработки киберинцидентов в нашем SOC, подключены источники для обогащения и контекстуализации данных по инцидентам ИБ, настроены интеграции для выполнения автоматизированных действий по реагированию на киберинциденты, настроены процессы сбора информации по активам и агрегация результатов сканирований на наличие уязвимостей, автоматизирован процесс взаимодействия с ФинЦЕРТ, настроено более 40-ка различных виджетов, дашбордов, графических представлений.
Результаты совместных усилий команды наших экспертов были высоко оценены жюри Ассоциации российских банков и Национального банковского журнала: проект внедрения платформы Security Vision SOAR/SGRC в Альфа-Банке стал победителем Национальной банковской премии–2022 в номинации «Информационная безопасность», вручение которой прошло в конце декабря 2022 года.
Помимо глубокой модернизации системы выявления и обработки инцидентов (SIEM) и внедрения SOAR/SGRC платформы, командой кибербезопасности были завершены проекты внедрения системы контроля действий привилегированных пользователей (PAM CyberArk), замены системы управления уязвимостями (взамен ушедшего из РФ вендора Qualys), развития архитектуры системы предотвращения утечек (DLP) со значительным увеличением покрытия цифровых каналов передачи конфиденциальной информации и еще несколько значимых активностей.
«От момента первичного доступа до момента активных действий проходят едва ли десятки минут»
CNews: Есть ли способы автоматизации процесса управления операционными рисками в финансовых учреждениях?
Сергей Крамаренко: Требования к обеспечению процесса управления операционными рискам описаны в Положении ЦБ № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (СУОР). В частности, регулятор требует от финансового учреждения учитывать риски реализации угроз безопасности информации и риски информационных систем наряду с остальными видам операционных рисков в СУОР. Кроме того, Положение Банка России № 787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг» предписывает финансовыми учреждениями выполнять требования по операционной надежности при выполнении критически важных процессов, определенных согласно Положению № 716-П в рамках СУОР.
Исходя из требований ЦБ, финансовые организации должны учитывать риски реализации угроз информационной безопасности в общем реестре операционных рисков, проводить их регулярные качественные и количественные оценки на основании имеющейся статистики. При этом к статистическим данным о событиях операционного риска, связанным с реализацией киберугроз, регулятором предъявляются как общие, так и специальные требования в части исторической глубины, корректности и полноты данных и их классификации.
Кроме того, требуется осуществлять регулярный расчет и мониторинг ключевых индикаторов риска, контролировать соблюдение целевых показателей операционной надежности для каждого технологического процесса. В целях обеспечения прозрачности рисков ИБ на всех уровнях корпоративного управления финансовые организации должны осуществлять контроль в разрезе отдельных процессов, бизнес-линий и по организации в целом, вести постоянный мониторинг контрольных показателей уровня риска ИБ. Отчетность по результатам управления риском ИБ должна быть интегрирована в общую систему управленческой отчетности и регулярно предоставляться исполнительному органу и Совету директоров. Регуляторный надзор Банка России за полнотой и эффективностью системы управления риском ИБ в кредитных организациях осуществляется в т.ч. на основании обязательной отчетности по форме 0409106 («Отчет по управлению операционным риском в кредитной организации»). Формирование указанной формы отчетности, также как и работу с процессами управления операционными рисками в целом, следует автоматизировать для оптимизации нагрузки на персонал, исключения человеческого фактора, повышения оперативности и точности предоставления данных по операционным рискам.
Для решения этой задачи финансовому учреждению следует обеспечить прозрачное, надежное взаимодействие между информационными системами, обрабатывающими релевантные данные – события ИБ, информацию о киберинцидентах, события фрод- мониторинга, данные о сбоях и простоях в работе бизнес-приложений.
Последующую консолидацию и обработку данных в целях управления риском ИБ, а также реализацию описанных выше процедур управления риском ИБ наиболее целесообразно осуществлять с применением специализированного программного обеспечения по управлению операционным риском. Мы в банке используем платформу Security Vision SOAR/SGRC. При этом компаниям следует учесть, что создание и настройка такой системы автоматизации СУОР требует существенного вовлечения квалифицированных экспертов.
CNews: Как обеспечить своевременное реагирование на киберинциденты?
Сергей Крамаренко: С момента появления первых общедоступных отчетов о расследованиях деятельности APT-групп прошло уже более 10-ти лет, и за это время их тактика изменилась: если раньше средний срок присутствия злоумышленников в инфраструктуре атакованной компании мог составлять десятки и сотни дней, в течение которых атакующие постепенно закреплялись в инфраструктуре, перемещались по сети, искали ценные активы и способы монетизации полученного несанкционированного доступа, то в последнее время от момента первичного доступа до момента активных действий, направленных на нанесение ущерба атакованной компании, во многих случаях проходят едва ли десятки минут. Связано это как с эволюцией техник и инструментов атак (например, использование злоумышленниками инструментов автоматизации проведения атак, покупка уже готовых «доступов» в ранее скомпрометированные другими атакующими инфраструктуры, заказная разработка и покупка эксплойтов на «черном рынке»), так и с целеполаганием современных атакующих, которое сегодня, особенно при атаках на российские компании, можно охарактеризовать словосочетанием «максимальный ущерб».
Представим идеальную ситуацию: на всех конечных точках организации функционирует система журналирования событий ИБ, оперативно передающихся в настроенную и сопровождаемую SIEM-систему, которая своевременно уведомит дежурящего SOC-оператора L1 о некоем подозрительном событии (например, аномальном порядке запуска процессов, обращении к вредоносным IP-адресам, нехарактерном использовании встроенных в ОС системных утилит). С момента получения такого уведомления у оператора, в соответствии с темпами действий современных атакующих, будет буквально 10 минут на выполнение первичного категорирования, анализа и приоритизации инцидента, а также на выполнение действий по сдерживанию (локализации) киберугрозы путем сетевой изоляции атакованного устройства, блокирования сетевого доступа, отключения скомпрометированной учетной записи.
В случае, когда в SOC не используются системы класса SOAR, от оператора потребуется оперативно выполнить множество ручных действий: понять принадлежность и свойства устройства и учетной записи, проанализировать предысторию событий ИБ на устройстве, проверить сетевые коммуникации устройства на взаимодействие с известными «плохими» ресурсами, затем связаться с ответственным за СЗИ или сетевое устройство и обсудить с ним возможные варианты первичного реагирования. Применение систем класса SOAR позволяет существенно сэкономить время и трудозатраты на обогащение и контекстуализацию данных по инциденту (получение свойств всех сущностей, затронутых инцидентом), категорирование и приоритизацию (в зависимости от свойств инцидента и затронутых объектов), локализацию инцидента (передачу управляющих воздействий на подключенные ИТ/ИБ-системы для блокирования учетной записи, сетевой изоляции хоста, помещения внешнего IP-адреса в blocklist).
При обработке инцидентов важно алгоритмизировать действия операторов SOC, чтобы при реагировании на киберугрозу у сотрудника был готовый план действий (сценарий реагирования, playbook) с подсказками, а все операции выполнялись в едином интерфейсе. По оценкам некоторых экспертов, применение систем класса SOAR позволяет сократить время реагирования на киберинциденты в 10 и более раз, при этом при внедрении SOAR-решений следует уделить особое внимание проработке сценариев реагирования, тонкой настройке решения под особенности конечной инфраструктуры, обучению персонала SOC работе с платформой, постоянному тюнингу установленной SOAR в соответствии с непрерывно изменяющимися особенностями бизнес-процессов и технологий компании-эксплуатанта.
Также значительную роль в повышении эффективности реагирования играют регулярные киберучения различного формата: проведение оценок осведомленности персонала, тестирования на проникновение и т.д. Подобные учения помогают сотрудникам службы мониторинга на практике отработать сценарии реагирования, выявить не покрываемые мониторингом зоны и устранить их, обнаружить «плохие» процессы и модернизировать их, повысить компетенции в части форензики и т.д.
CNews: Насколько существенными являются сейчас киберриски взаимодействия с третьими лицами (поставщиками, партнерами)? Как управлять подобными рисками?
Сергей Крамаренко: Действительно, за последнее время риски работы с третьими лицами значительно возросли, также увеличилось число атак на цепочки поставок и несанкционированное встраивание вредоносных закладок-имплантов в обновления продуктов. Основных векторов кибератак в данном случае несколько: злоумышленники могут взломать инфраструктуру компании-поставщика ПО и атаковать ее контрагентов через доверенные каналы связи или внедрить в очередное обновление софта вредоносные или следящие модули; сам вендор или отдельные разработчики-хактивисты по каким-либо причинам могут добавить недекларированные возможности в очередной релиз; в случае же проведения операции проправительственной АРТ-группировкой указание о внедрении имплантов может быть дано вендору спецслужбами или другими заинтересованными госорганами.
В последнее время наметился тренд на использование уязвимостей цепочек поставок при реализации кибератак на российские компании: массовый уход зарубежных вендоров привел, с одной стороны, к невозможности получения обновлений ПО легитимными способами от вендора, а с другой стороны, вынуждает компании, у которых нет возможности импортозаместить работающее решение, прибегать к альтернативным источникам получения обновлений или дистрибутивов. Однако зачастую кибератаки имеют иной вектор: взлом компании-поставщика софта потенциально позволит злоумышленникам получить доступ к инфраструктуре сразу множества клиентов данного вендора – здесь можно вспомнить последствия от нашумевших атак на ИТ-компании SolarWinds и Kaseya.
Для управления подобными рисками следует внедрять комплекс мер по контролю и анализу используемого ПО (путем применения статических, динамических, интерактивных анализаторов кода и проверки обновлений в тестовом контуре), применять принципы сетевого доступа с нулевым доверием и минимизации полномочий, использовать решения для контроля аномалий в сети и поведения устройств после получения обновлений. Также следует задействовать организационные меры (проверку репутации поставщика, проверку контрагентов на благонадежность методами экономической безопасности, проверку на выполнение поставщиком требований по безопасной разработке, составление юридически значимых соглашений о неразглашении).
С нормативной точки зрения проблематика контроля обновлений ПО освещена в документе «Методика тестирования обновлений безопасности программных, программно-аппаратных средств», утвержденном ФСТЭК России в октябре 2022 года, а для банковского сектора ЦБ РФ в 716-П прямо указывает на поставщиков услуг и продуктов как на источники риска ИБ и операционного риска в целом.
«Банкам нужны производительные отечественные решения сетевой безопасности»
CNews: С учетом последних законодательных нововведений – насколько актуальны стали вопросы импортозамещения используемых в банке средств киберзащиты?
Сергей Крамаренко: Логичным ответом на вызовы, связанные со всплеском активности киберпреступников в прошлом году, стало введение новых законодательных норм и требований. Так, указ Президента №250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» с 2025 года вводит запрет на использование госорганами, госкомпаниями и субъектами КИИ средств защиты информации, произведенных компаниями из недружественных стран либо компаниями, контролируемыми такими странами. В прошлом году Правительство РФ также утвердило методические рекомендации по формированию отраслевых планов мероприятий для перехода на отечественное ПО, в соответствии с которыми до 2027 года на всех значимых объектах КИИ следует полностью перейти на ПО из единого реестра российского или евразийского ПО.
Данные нововведения еще раз подчеркивают важность обеспечения киберустойчивости экономики страны, что отмечается в том числе и на самом высоком уровне. Однако руководители компаний в прошлом году пришли к пониманию важности защиты информации и без дополнительных стимулов: о массовых кибератаках, DDoS, дефейсах, утечках данных почти ежедневно пишут ведущие отечественные СМИ, поэтому важность практической, действенной ИБ стала очевидна широкому кругу управленцев, также как и осознание необходимости выстраивать киберзащиту именно на отечественных импортозамещающих решениях.
С точки зрения программных СЗИ, на российском рынке есть из чего выбирать — мы видим множество решений, которые неоднократно доказывали свою эффективность и превосходство над импортными аналогами, что подтверждалось результатами открытых конкурсов и функциональным сравнением. При этом в банковском секторе ощущается потребность в производительных отечественных решениях сетевой безопасности на замену американских Cisco, Fortinet, PaloAlto, а также в банкоматах и HSM-модулях от российских производителей. Актуален не только переход на отечественные ОС и системное ПО (например, СУБД), но и замена CRM-систем, ВКС-платформ, специализированного банковского ПО. В создавшейся ситуации многие компании, включая финансовые организации, ищут выход в Open Source решениях, которые либо используют как есть, либо «допиливают» под себя, однако такой подход несет в себе и дополнительные киберриски, начиная от возможного отсутствия технической поддержки и обновлений и заканчивая потенциальным наличием недекларированных возможностей в исходном коде и, конечно, требует компетенций для развития и сопровождения.
CNews: Многие крупные финансовые организации сами разрабатывают ПО. Как при этом правильно и эффективно выстроить процессы безопасной разработки?
Сергей Крамаренко: Российские банковские организации уже несколько лет подряд удерживают ведущие мировые позиции в области предоставления цифровых финансовых услуг населению, это касается в первую очередь удобных внешних и внутренних банковских приложений.
Сейчас некоторые банки столкнулись и с необходимостью разработки ПО для своих собственных нужд, поэтому в условиях отсутствия отечественных альтернатив используемым западным бизнес-решениям финансовые организации вынуждены прибегать к внутренней разработке ПО, при этом быстро нарастить компетенции в данной сфере достаточно проблематично. В целом, разработка современного ПО, включая мобильный банкинг, требует компетенций по направлениям безопасной разработки (SSDLC) и DevSecOps-экспертизы. Некоторые отечественные ИБ-интеграторы уже предлагают услуги DevSecOps-as-a-service, включающие построение CI/CD-пайплайна, применение инструментов анализа и тестирования на безопасность, управление контейнерами и инфраструктурой.
Применение автоматизированных и ручных методов тестирования безопасности на каждом этапе разработки ПО поможет обнаружить и исправить уязвимости до того, как они станут проблемой, но, к сожалению, не все упирается в автоматизацию и инструменты: важность непрерывного обучения и повышения квалификации команды разработки не может быть переоценена. Осведомленность о последних угрозах безопасности, а также о наиболее эффективных методах их преодоления, внедрение практик Security Champions является одним из ключевых факторов в обеспечении безопасности разрабатываемого ПО. Также не стоит забывать про культуру безопасности в компании — это еще один важный фактор, который означает, что каждый член команды понимает свою роль в обеспечении безопасности. Безопасность должна строиться каждым сотрудником компании.
Для методической поддержки безопасной разработки можно воспользоваться требованиями стандартов по разработке безопасного программного обеспечения (ГОСТ Р 56939-2016 и ГОСТ Р 58412-2019), положениями пока не утвержденного отечественного стандарта «Руководство по реализации мер по разработке безопасного программного обеспечения» или рекомендациями публикации NIST SP 800-218 «Фреймворк создания безопасного программного обеспечения: рекомендации по снижению рисков программных уязвимостей».
«Залогом успеха являются наличие высококвалифицированных команд, скорость устранения уязвимостей и выполнение работы над ошибками»
CNews: Какие ИБ-продукты и услуги сейчас востребованы в банковском секторе? Какие тенденции можно отметить?
Сергей Крамаренко: В настоящий момент, как уже было отмечено выше, наблюдается устойчивый рост числа кибератак вкупе с тектоническими сдвигами в области импортозамещения. Эти процессы не могут не отразиться на загруженности департаментов ИБ, которые ощущали кадровый голод еще даже задолго до пандемии. В итоге, в ситуации острой нехватки ИБ-специалистов, возрос спрос на решения по автоматизации процессов ИБ и на услуги, оказываемые MSS-провайдерами. Несмотря на то, что для настройки и сопровождения решений по автоматизации также требуются ИБ-эксперты, итоговый результат роботизации ручных операций, высвобождения ресурсов и перераспределения их на более творческие задачи приводит и к снижению ошибок из-за человеческого фактора, и к повышению уровня лояльности работников, которые могут непрерывно повышать свою квалификацию вместо выполнения однотипных действий. Предложения MSS-провайдеров в прошлом году получили огромный прирост спроса благодаря тому, что услуги Security as a service («Кибербезопасность как услуга») позволяют в кратчайшие сроки устранить пробелы в кибербезопасности без привлечения существенных капитальных затрат и персонала.
Мы в банке делаем основной упор на развитие собственных компетенций и in-house разработок, однако при решении некоторых задач иногда используем сторонние ресурсы. Например, мы непрерывно сканируем и анализируем как внешний, так и внутренний контуры инфраструктуры банка, что помогает как можно раньше обнаруживать и максимально быстро устранять выявленные уязвимости. Для этого мы привлекаем внешние экспертные организации, специализирующиеся как на проведении пентестов, аудитов кибербезопасности, эмуляции таргетированных и DDos атак, так и на использовании bugbounty платформ для выявления уязвимостей в инфраструктуре руками сообщества белых хакеров. Вкупе с собственными усилиями по проведению киберучений (wargame) силами атакующих/обороняющихся команд (red/blue team) такой подход видится нам наиболее результативным и эффективным в части проактивного недопущения реализации киберугроз. Залогом успеха в этом направлении является совокупность трех основных факторов: наличие высококвалифицированных команд, скорость устранения выявленных уязвимостей/недостатков, способность качественного выполнения работы над ошибками и их недопущения в будущем.
CNews: Насколько острым является дефицит кадров в ИБ? Как можно решать проблему подготовки специалистов для отрасли?
Сергей Крамаренко: Дефицит кадров ощущается на рынке в целом, это отмечают и коллеги из банковской отрасли, и игроки рынка ИБ. После массового ухода западных компаний в начале прошлого года многие талантливые специалисты перешли в российские организации, передав накопленные знания и опыт. Однако начиная с середины 2022 года общее количество соискателей уменьшалось, и в текущий момент ИБ-отрасль ощущает нехватку как специалистов, готовых работать в in-house ИБ, так и тех, кто переходит к крупным ИТ/ИБ-интеграторам и вендорам, в среде которых наметился тренд на укрупнение и некоторую монополизацию.
Для преодоления данного кадрового вызова уже сейчас многие игроки налаживают долгосрочное сотрудничество с техническими ВУЗами, читают лекции и проводят лабораторные работы, приглашают студентов на практику — такое взаимодействие позволяет студентам получать актуальные, практически применимые знания и опыт, а компании получают возможность хантить талантливых ребят. Альфа-Банк, например, организует совместную бесплатную магистратуру с МФТИ, поддерживает молодые таланты в рамках стипендиальной программы для студентов Альфа-Шанс, регулярно проводит стажировки для студентов выпускных курсов.
Некоторые компании сейчас рассматривают кандидатов на определенные вакансии в том числе и без высшего образования – это может позволить выпускникам средне-специальных учебных заведений раньше начать свою карьеру, а уже затем получить высшее образование, оплату которого также может частично компенсировать работодатель. Для уже опытных специалистов было бы логично ввести независимую систему подтверждения профессиональной квалификации, которая позволила бы объективно и адекватно оценивать навыки и знания сотрудников, которые по разным причинам не получили профильного образования, но при этом успешно работают по специальности.
CNews: Ваши прогнозы развития технологий и новых направлений в кибербезопасности банковской отрасли?
Сергей Крамаренко: Вероятнее всего, в ближайшее время состояние ландшафта киберугроз будет во многом определяться геополитической ситуацией. Не исключено продолжение тренда на массированные, скоординированные кибератаки на инфраструктуру российских компаний, включая банки и субъекты КИИ, целью которых будет нанесение максимального ущерба: выведение из строя элементов инфраструктуры, раскрытие/уничтожение конфиденциальной информации, разрушение и сбои в бизнес-процессах, блокирование доступности сервисов для конечных пользователей.
В связи с этим, очевидно, будет расти потребность в новых отечественных решениях и услугах в области ИБ, предлагаемых рынку за разумные цены и с конкурентным западным аналогам функционалом. Возможно, будут востребованы предложения услуг от MSS-провайдеров и производителей решений по автоматизации ИБ-процессов, поставщиков облачных сервисов ИБ, удовлетворяющих требованиям применимой регуляторики. Импортозамещение уже стало и де-юре и де-факто актуальной тенденцией.
На мой взгляд, будущее – за развитием технологий искусственного интеллекта (ИИ) с прикладным применением в сфере ИБ. Например, уже сейчас себя зарекомендовали крайне эффективными алгоритмы машинного обучения, но не до конца раскрыт потенциал использования блокчейн технологий, современных криптографических методов, например, позволяющих имплементировать подход zero trust vs. zero-knowledge proof и др. В условиях, когда общедоступный ИИ (chatGPT) компании OpenAI в состоянии писать по запросу код и анализировать гигантские массивы данных, было бы наивным полагать, что хактивизм не получит «второго дыхания» с ускорением и еще большими по изощренности формами фрода и фишинга.
Продолжающаяся цифровизация различных сфер человеческой деятельности, в т.ч. финансовой, неизбежно породит новые технологические вызовы и решения, киберугрозы и риски, реагирование на которые потребует применения адекватных контрмер с использованием не только новейших технологий, но и новых концептуальных подходов и идей.
Короткая ссылка
