Kакие типы атак сегодня наиболее распространены и опасны для компаний?

Я думаю, самые опасные атаки те, о которых вы не подозреваете. Атаки, блокирующие сеть (DDoS), кажутся серьезными. Но о них тут же узнаешь, а значит, можешь что-то предпринять. А вот куда страшнее, особенно для корпораций, так называемые бот-сети. Множество ПК сотрудников может быть заражено и объединено в бот-сеть, которая участвует в атаке на чужие ресурсы. В конечном счете ответственность могут возложить на компанию. Вот это, пожалуй, самое опасное – угрозы, о которых мы не узнаем вовремя.

Есть ли разница в структуре атак на зрелых и развивающихся рынках?

Есть, и она обусловлена рядом факторов. Они могут быть связаны, например, с пропускной способностью сетей, при этом внутри стран с развивающейся экономикой могут быть большие различия. В эту группу попадают и Украина с ее достаточно развитой инфраструктурой связи, массовым доступом к Интернету, и Камерун, где он в основном осуществляется через телефонную сеть по коммутируемому каналу со скоростью 24 Кб/с. Ну и хакер себя ведет соответственно: если есть скоростной доступ, он может организовать массированную атаку вслепую в надежде, что в кого-то попадет. Если сети с малой пропускной способностью, тогда атаки становятся более изощренными, нацеленными на конкретный объект.

Каковы особенности современной киберпреступности?

Прежде всего методы стали более профессиональными, а киберпреступность – более организованной. Нанимают лучшие умы за большие деньги, а они там действительно немалые. И главный стимул деятельности кибепреступников изменился радикально: если раньше это была погоня за славой, то теперь все упирается в деньги.

Если говорить о профессионализме, то качество вредоносного ПО чрезвычайно повысилось. Например, создано так называемое самомутирующее вредоносное ПО. Или возьмем программы для зомбирования, на основе которых строятся бот-сети, – они используют незагруженные циклы работы ЦП, и вы не видите, чтобы что-то замедлялось.

Ну и наконец, вопрос уже не технического характера. Помимо просто загрузки вредоносного ПО на ПК, организованная киберпреступность стала предлагать услуги. Скажем, заключается договор на техническое сопровождение, и если у вас это вредоносное ПО вдруг перестало работать, присылается заплатка или новая версия. У этих, так сказать, фирм появляются свои центры обработки вызовов. Их модель бизнеса заимствована из других отраслей экономики, т. е. кто-то создает, кто-то развертывает, а кто-то использует, и это три разных лица.

В чем должна заключаться стратегия информационной безопасности компаний? Каковы ее организационные и технические аспекты?

В деятельности практически всех компаний есть какие-то общие методы – например, решать проблемы по мере их поступления. Они реагируют на то, что я называю угрозой месяца. Находят наиболее распространенную угрозу, устанавливают какой-то кусочек программы, позволяющей ее подавить, и успокаиваются. В итоге получается масса каких-то кусочков, которые не объединяются в комплекс.

Мы говорим, что стратегия должна включать следующие английские слова на букву «Р». Policy – должен быть установлен свод правил безопасности, Protection – нужно решить, что и от чего мы защищаем, и обязательно определять некое разумное соотношение риска и затрат. Третье «Р» – это Processes. Что это означает? Вы установили своды правил, а теперь надо обеспечить их реализацию. Какие кому давать права доступа, к каким ресурсам, что делать при нештатной ситуации, короче, как перевести политику на язык действий? И следующая буква «Р» – People. Главное – это защита от «дурака» с добрыми намерениями. У вас на фирме могут работать люди, которые просто не отдают себе отчета в своих действиях. Посещают какие-то узлы в Интернете, нажимают кнопку «загрузить», не понимая, какие риски с этим сопряжены. Здесь самое лучшее – придумать план просветительских мероприятий, чтобы сотрудники понимали, насколько рискованно то, что они делают.

Последнее – это Products – продукты, применяемые для информационной безопасности. Они не должны использоваться изолированно друг от друга. Мы говорим о некой сложной архитектуре и комплексе, которые обеспечивают исполнение процессов, в свою очередь, реализующих свод правил политики таким образом, что людей удерживают от необдуманных действий.

Сегодня некоторые средства безопасности предлагаются как сервис. Каковы достоинства и недостатки этого метода по сравнению с использованием собственной системы?

Тут следует начать с того, что многие из наших продуктов ориентированы на, так сказать, вычистку информационного наполнения. Например, контролировать электронную почту так, чтобы вирусы или спам вообще не доходили до абонента. Или же то, что у нас в инфраструктуре называется Managed services, т. е. службы, переданные на подряды оператору. Оборудование может физически находиться на объекте как потребителя, так и оператора, но в любом случае все управление им осуществляет оператор. Сегодня в вычислительном облаке нет ни межсетевого экрана, ни средств предотвращения вторжений, поэтому нужно прибегать к подрядной эксплуатации. Это, во-первых, дешевле для заказчика, во-вторых, снимается вопрос администрирования и обучения сотрудников. Есть здесь и недостаток, потому что не все средства безопасности реализованы на этой базе – правда, их перечень будет постоянно расширяться. Ну и еще один недостаток (а может быть, и достоинство) – это то, что к оператору, управляющему всеми этими ресурсами, нужен очень высокий уровень доверия.