Цифровая изнанка: безопасность технологий

Как только появляется новая технология, IT-сообщество начинает разбирать ее преимущества и крайне редко заостряет внимание на рисках и информационной безопасности (далее – ИБ). Но не в этот раз. ICTNEWS и Антон Ракитский (CISO «IT-TEAM SERVICE») решили разобраться, какими слабостями обладают новые технологии и какой вред могут нанести. 

Покупая новое лекарство, мы всегда читаем аннотацию. И не столько раздел «Показания к применению», сколько «лекарственные взаимодействия» и «побочные эффекты». Побочные эффекты есть и у всех современных информационных технологий, и лежат они зачастую в области безопасности. Однако потребители этих новых технологий совершенно не задумываются об этом.

Косвенным подтверждением высоких рисков новых технологий является крайне медленное и неохотное внедрение любых новшеств в инфраструктуру, энергетику, управление технологическими процессами сложных производств. Эти сферы часто работают на оборудовании и технологиях 20-30-летней давности. Бесспорно, новые технологии могут оптимизировать производство, облегчить жизнь пользователям и улучшить бизнес-процессы. Но безопасны ли они?

Интернет вещей – концепция, о которой все говорят последние годы, имеет оборотную сторону благодаря такой особенности, как «установил и забыл». Именно так все устройства – камеры наблюдений, роутеры, сетевые хранилища, смарт-ТВ, пылесосы, холодильники – настраиваются один раз и затем работают годами. При этом практически никто их не обновляет и в них остаются все пароли и настройки по умолчанию. К примеру, если злоумышленник проникнет в ваш компьютер и начнет его использовать в своих целях, то рано или поздно вы это заметите из-за замедления работы. В мире ИБ устройство предоставлено само себе. О нем вспомнят, только если оно вдруг перестанет работать.

Взлом в области интернета вещей совершенно незаметен пользователю. Такое устройство может следить за пользователем, становится управляемым ботом, частью ботнета. Также через него организуется распределенная атака на отказ в обслуживании («DDoS»). Сегодня интернет вещей эволюционирует в так называемый «умный город», что приводит к тому, что проблемы бытовых устройств переходят на новый, более масштабный уровень.

Big Data, или большие данные, пока воспринимается скорее как инструмент «на вырост». Реально работающих проектов с использованием больших массивов данных в Узбекистане совсем немного. Но и тут, если понять буквально название технологии и начать сохранять все подряд для будущего анализа, то можно сильно навредить себе – создать большую базу данных, которую рано или поздно украдут. Накапливая данные для последующего анализа, их необходимо максимально обезличивать, маскировать.

Так, например, если служба такси хочет проанализировать, из каких районов и в какое время поступает больше всего заказов, то совсем необязательно хранить номера телефонов и точные адреса всех клиентов. Для анализа это не понадобится. А вот злоумышленникам персонализированная информация придется очень кстати: можно будет проанализировать поведение конкретного человека: во сколько он уходит из дома и куда едет.

Мобильные приложения (особенно банковские) часто разрабатываются сторонней компанией, которая работает в рамках технического задания. Соответственно, если вопросы ИБ не были четк о прописаны с самого начала, то исполнитель реализует только требуемый функционал. То есть если это не предписано техническим заданием, то программисты вряд ли будут включать в код программы различные защитные механизмы, фильтровать вводимые данные. В итоге заказчик может за собственные деньги купить себе еще одну брешь в защите – в виде мобильного приложения.

Другая проблема – для работы мобильного приложения нужны сервера, которые обеспечат его связь с основными системами предприятия (АБС для банка). В итоге увеличивается количество серверов, а также программного обеспечения, которое необходимо поддерживать. Все это требует немалых вложений.

Облачные вычисления и хранение данных. Пожалуй, это единственный случай, когда опасность применения технологий сильно переоценивается. Вернее, все это уже давно и широко используется для личных целей: службы электронной почты, обмена сообщениями и им подобные давно имеют облачную природу. А вот бизнес, особенно госорганы, применяют их очень неохотно. Но и тут, на наш взгляд, риски оцениваются не совсем правильно. Многие опасаются утечки данных, но необходимо принимать в расчет еще и уровень отказоустойчивости облачных платформ. В первую очередь нужно удостовериться, какой уровень доступности заявлен поставщиком.

Справедливости ради стоит отметить, что поставщики облачных сервисов стараются поддерживать эти показатели на высоком уровне. Но практика показывает, что и тут может случиться неожиданное. Совсем недавний пример – облачные сервера Telegram в одно и то же время попали под действие блокировок в РФ и частично вышли из строя из-за сбоя электропитания в дата-центре.

Блокчейн. Существует шутка, что просто упоминание технологии блокчейн в контексте деятельности  компании сразу повышает ее капитализацию на 50%. Действительно, в какой-то момент новости об этой технологии неслись отовсюду, она воспринималась как панацея от всех бед. При этом зачастую слабые стороны этой технологии не рассматривались вовсе. Сюда можно отнести и высокую энергоемкость технологии, требующую в разы больше энергии по сравнению с традиционными методами. Это особенно плохо вяжется с увлечением «зеленой» энергетикой и трендом энергосбережения. При небольшом числе участников системы и вовсе теряется ее основное преимущество – защита от поддельных транзакций.

Получается, что на практике блокчейн имеет узкую область применения и не настолько универсален, как это казалось вначале. При этом сама технология весьма сложна во внедрении и в буквальном смысле основана на высшей математике, а реализация алгоритмов, как и любое другое программное обеспечение, может содержать уязвимые места.

Новые технологии и концепции появляются постоянно. На подходе искусственный интеллект и   дополненная реальность. Какие угрозы они несут, пока сложно даже представить. Но вернемся к давно зарекомендовавшим себя информационным системам. Если высшее руководство не задумывается об ИБ, то может получить «нож в спину» с самой неожиданной стороны. Не раз в нашей практике встречались случаи, когда сотрудники, не получившие должного вознаграждения за выполненную работу, удаляли базу данных, файлы, а работодателю заявляли: «Базу сожрал вирус». Так как никаких особых мер ИБ на предприятии не было, руководству приходилось принимать такие оправдания и объяснения.

Еще один реальный пример: руководство организации тянуло с выделением средств на обновление парка компьютерной техники, администратор отключил сервер автоматизированной бухгалтерии («1С») и сказал всем, что сервер сломался и нужны ремонт или покупка нового компьютера.

Пожалуй, единственный совет для всех руководителей, предпринимателей и владельцев бизнеса – внедряя технологии, рассматривайте все стороны, привлекайте в рабочую группу специалистов по ИБ – штатных или внешних, а лучше и тех, и других. Да, они могут тормозить прогресс, сгущать краски и отговаривать, но успеха можно добиться только разумным компромиссом между функциональностью и безопасностью. Жить и работать с учетом требований ИБ очень непросто, а без них и вовсе невозможно.