Александр Осипов, «Мегафон»: «Человеческий фактор играет большую роль в кибербезопасности»
Руководитель по облачным платформам и инфраструктурным решениям – о том, как свести риски к минимумуСотрудники компаний часто становятся жертвами мошенников элементарно из-за незнания правил цифровой гигиены. По данным «Мегафона», в первом полугодии 2021 г. спрос на решения в области кибербезопасности со стороны бизнеса вырос на 50%. Компании активно защищают свою инфраструктуру, но для успешного противостояния кибермошенникам необходимо правильно выстроить взаимодействие с сотрудниками – повышать их информированность об угрозах, отрабатывать опасные ситуации, рассказал в интервью «Ведомости&» руководитель по облачным платформам и инфраструктурным решениям ПАО «Мегафон» Александр Осипов.
«Любая утечка информации – это повод для компании задуматься»
– Любой из них может представлять интерес, и в то же время каждый из них может оказаться лишь ступенью для доступа к другому. Так, злоумышленник может позвонить в колл-центр, чтобы узнать сведения, которые затем использует в атаке на программиста или бухгалтера. Например, получить от оператора данные о контрагентах и клиентах, чтобы от их имени написать фишинговое письмо бухгалтеру.
– Обычно им нужны две категории данных. Первая – личные данные пользователей, включая платежные, которые дальше можно использовать, например, продать. У злоумышленников при краже таких данных появляется возможность потом использовать их в мошеннических схемах: взять микрозаем, оформить кредит, получить доступ к «Госуслугам» и т. д.
Александр Осипов, руководитель по облачным платформам и инфраструктурным решениям ПАО «Мегафон»
В 2013 г. окончил философский факультет МГУ им. М. В. Ломоносова и защитил диплом по специальности «менеджмент организаций» на факультете государственного управления МГУ им. М. В. Ломоносова.
C начала карьеры занимается развитием бизнеса на рынке IТ. В 2017 г. возглавил продуктовую команду по развитию платформенных решений в «Мегафоне». Создал и развивает направления облачных продуктов, продуктов кибербезопасности и сетевых сервисов. Отвечает за реализацию продуктовой стратегии «Мегафона» в b2x-сегменте (для государственных и бизнес-клиентов).
Вторая категория данных – логины, пароли и данные корпоративных учетных записей. С их помощью злоумышленники могут получить доступ к информации организации или продолжить атаки, чтобы попасть в конкретную систему внутри контура компании. Эти данные также можно встретить на черном рынке.
– Потому что в любых системах могут быть уязвимости. Очень грубо их можно разделить на две категории происхождения. Первый уровень – технологический. Это, например, ошибка в системе, технологические особенности программного обеспечения, отсутствие должных средств контроля и защиты. Второй – антропологический, он заключается в наличии сотрудника, который может создать уязвимость в системе намеренно или случайно.
Если говорить о случайных ошибках, то, наверное, самый распространенный метод социальной инженерии, который используют злоумышленники, – массовые фишинговые рассылки. По статистике, около трети сотрудников организаций так или иначе ведутся на эти уловки. Мы сейчас наблюдаем расцвет фишинга, различные его вариации и подходы. Это уже не просто письмо от дяди из Африки, который оставил вам наследство. Это может быть сообщение от [якобы] банка, социальной сети, подрядчика, вашего генерального директора и т. д. Как правило, такие письма содержат в себе ссылку, по которой вы можете перейти и ввести какие-то данные либо скачать файл. Мошенники могут использовать уязвимости в PDF и Word, которые позволяют им установить на ваш компьютер зловредное программное обеспечение. Письмо может сопровождаться звонком, например, от «представителя банка», который попросит вас обязательно заполнить анкету, потому что это повлияет на какие-то выплаты для вас.
Бывает, что мошенники проникают в офис, чтобы разбросать по нему флешки со зловредным программным обеспечением или получить доступ к информации. Они могут представиться сотрудниками службы поддержки и попросить доступ к компьютеру.
Как мошенник может попасть в офис? Расскажу о красивой – правда, не очень распространенной – ситуации. Злоумышленник знакомится в Tinder с сотрудником компании. На каком-то этапе отношений он спрашивает: «Можно, я посижу у тебя в офисе, пока ты закончишь работу, а потом поедем куда-нибудь вместе?» Или просит: «Покажи мне свой офис, очень интересно, где ты работаешь». Уловка обычно срабатывает.
Бывает, что мошенник прикидывается потенциальным работодателем и на собеседовании задает соискателю вопросы о нынешнем месте работы, в том числе пытается выведать конфиденциальные данные. Другой случай – злоумышленники находят информацию, которую используют для шантажа с целью получения каких-то корпоративных сведений.
– Около 60% утечек спровоцировано внешними нарушителями. Сотрудники компаний чаще становятся жертвами мошенников, а не соучастниками преступлений. Конечно, таких сотрудников нужно дополнительно мотивировать все-таки соблюдать элементарные правила информационной безопасности. Но любая утечка – это повод для компании задуматься о том, все ли сотрудники понимают, как нужно действовать в той или иной ситуации.
«Небольшие компании пренебрегают бесплатными средствами защиты»
– При защите информации нужно руководствоваться в том числе соображениями экономической целесообразности. Если инвестиции в средства защиты превышают или равны заметной части прибыли компании, то это экономически неэффективно. С другой стороны, защищаться все равно нужно, потому что остановка бизнеса из-за кибератак грозит полной потерей выручки и ставит компанию под угрозу закрытия. Должен быть баланс. Есть большое количество бесплатных или дешевых, но эффективных средств защиты, которыми средние и малые компании пренебрегают. При этом они позволяют обезопасить организацию хотя бы на минимальном уровне. Это, например, антивирусы или сканеры уязвимостей. Кроме того, есть вполне доступные курсы обучения правилам цифровой гигиены.
«Мегафон» – всероссийский оператор цифровых возможностей. Компания объединяет направления IТ и телекоммуникаций, предоставляет услуги мобильной и фиксированной связи, мобильного и широкополосного доступа в интернет, цифрового телевидения и OTT-видеоконтента, инновационных цифровых продуктов и сервисов. Услугами компании в России пользуются 70,4 млн клиентов. Консолидированная выручка в 2020 г. составила 332,2 млрд руб., чистая прибыль – 26,6 млрд руб.
– Наша образовательная платформа повышения осведомленности сотрудников об информационной безопасности называется «Мегафон Security Awareness». Это набор курсов на разную тематику в сфере кибербезопасности и различные инструменты по проверке и закреплению знаний у сотрудников по этой теме. Например, есть фишинговый модуль, который позволяет симулировать (имитировать с помощью программных средств. – «Ведомости&») фишинговые атаки на сотрудников и проверять, сколько из них открыли ту или иную ссылку, сколько ввели свои данные, какие данные ввели, на какие именно триггеры среагировали. У нас есть различные шаблоны писем, например от банка, налоговой, генерального директора. На основе полученных данных можно собрать аналитику – допустим, на какую тематику сотрудники реагируют больше всего. Также мы предлагаем нашим клиентам пройти тест на проникновение – наша команда «белых хакеров» проводит кибератаки на компанию и выявляет технологические уязвимости в системе.
Помимо этого мы предлагаем клиентам систему дистанционного обучения. У нас есть стандартные курсы, например по основам безопасности, противодействию социальной инженерии, безопасному использованию мобильных устройств, но мы также можем разработать курс и под конкретные потребности клиента.
– Как правило, это финансовые организации, транспортные компании, промышленные предприятия, ритейлеры, телекомкомпании и государственные учреждения. Это крупные и средние организации, которые уже имеют представление о необходимости обеспечения информационной безопасности и обладают какими-то собственными технологическими решениями. Мы запустили платформу не так давно (июль 2021 г.), поэтому пока ожидаем подключения клиентов из сферы малого и среднего бизнеса.
– «Мегафон» активно развивает экосистему в области кибербезопасности и предлагает широкий набор сервисов – от обеспечения защиты от сетевых атак, атак на уровне приложений, до нетрадиционных для оператора связи решений.Например, у нас есть система противодействия утечкам данных «Мегафон DLP». Она отслеживает все цепочки передачи информации внутри организаций. Система хорошо показывает реальную картину проблем передачи конфиденциальных данных сотрудниками. Выясняется, что сотрудники не понимают, как их действия могут нанести ущерб организации. Зачастую клиентами «Мегафон Security Awareness» становятся компании, которые уже используют «Мегафон DLP»: они видят уязвимости и осознают, что сотрудники нуждаются в обучении.
Также у нас есть класс решений MDM (mobile device management, управление мобильными устройствами. – «Ведомости&»), который позволяет удаленно управлять мобильными устройствами сотрудников с доступом к конфиденциальной информации и защищать их. Например, если вы потеряли корпоративное мобильное устройство (телефон, планшет и т.д.), компания может удаленно заблокировать к нему доступ или удалить с него какие-то корпоративные данные.
Другая наша разработка – платформа Threat Intelligence, на которой мы агрегируем данные о зловредном трафике, выявленном в нашей огромной высоконагруженной сети с помощью специальных правил и алгоритмов. Эти данные мы продаем другим компаниям – они могут подкачивать наши данные в свои системы и превентивно узнавать о том, что, например, такие-то серверы являются зараженными. Или что такие-то ссылки фишинговые и, если они попадаются в эсэмэсках или письмах, их нужно блокировать. Также мы предлагаем нашим клиентам пройти тест на проникновение – наша команда «белых хакеров» проводит контролируемые кибератаки на компанию и выявляет технологические уязвимости в системе.
«У некоторых сотрудников до сих пор стоят пиратские версии Windows»
– Весной прошлого года многие компании переводили сотрудников на удаленную работу в авральном режиме, поэтому они не обеспечивали должный уровень безопасности и работоспособности ноутбуков и компьютеров. Я знаю, что в некоторых компаниях была такая проблема: корпоративные ноутбуки закончились, при этом службы безопасности запретили работать из дома не на корпоративных устройствах. Из-за этого простой разработчиков даже в некоторых крупных компаниях достигал двух месяцев.
Другие компании разрешили сотрудникам работать с домашних компьютеров, но в этом случае открылись уязвимости. Что и говорить, у некоторых сотрудников до сих пор стоят пиратские версии Windows, которые не имеют свежих патчей (так называемых программных заплаток на систему, которые ставятся при обнаружении уязвимостей в защите. Наборы патчей для легального софта постоянно обновляются разработчиками. – «Ведомости&»). И конечно, сотрудникам служб безопасности компаний нужно было обеспечить удаленным сотрудникам использование VPN (безопасное зашифрованное подключение к сети по общедоступным каналам) и средства контроля трафика и доступа к ресурсам, обеспечить защиту конфиденциальной информации, чтобы она не утекла с домашних устройств, настроить политики доступа с этих устройств и т.д. Это была для них большая головная боль. Сейчас, спустя год, мы видим, что многие компании решили эти проблемы.
– Если говорить о наших [корпоративных] клиентах, то количество кибератак, которые мы зафиксировали и успешно отразили, увеличилось в 2020 г. на 300% по сравнению с 2019 г. Это значительный рост. У нас есть услуги по борьбе с мошенничеством (антифрод), которые помогают различным организациям, в том числе финансовым, бороться с телефонным мошенничеством (сервис, в частности, помогает предотвратить банковскую транзакцию после мошеннического звонка или звонок с номера, которые используют телефонные мошенники. – «Ведомости&»). И, по нашей статистике, количество мошеннических звонков в 2020 г. увеличилось в 600 раз – это беспрецедентно большая цифра.
О том, что количество кибератак растет, свидетельствует и тот факт, что, согласно исследованиям, финансовые и государственные организации, предприятия промышленности стараются увеличивать бюджеты на кибербезопасность.
– Пандемия создала огромное количество инфоповодов, которые мошенники стали использовать для фишинговых атак. Например, злоумышленники рассылали сотрудникам организаций письма, в которых было написано, что в связи с пандемией они могут получить какие-то налоговые льготы или доплаты от своей компании, государства либо от банка, через который они получают зарплату. Для этого необходимо нажать на ссылку и ввести какие-то данные. В тот период, когда тема коронавируса заполонила наши умы, многие сотрудники открывали такие ссылки.
– Да. В крупных компаниях роль риск-менеджера выполняет человек, который оценивает риски и потери и переводит их в денежный эквивалент. В небольших компаниях такую роль может выполнять владелец, финансовый директор, директор по ИТ или даже аналитик.
Разберем конкретный пример. Интернет-магазин подвергся атаке и остановил работу на два часа. Можно посчитать упущенную выручку за это время и умножить ее на коэффициент, связанный с репутационными потерями. Плюс к этому нужно добавить затраты на привлечение клиентов, которые пришли на неработающий сайт и не смогли ничего купить.
При утечке персональных данных оцениваются репутационные потери компании – т. е. возможный отток клиентов. Если произошла целевая атака со стороны конкурента, который украл интеллектуальную собственность, то необходимо оценивать, сколько денег потеряет компания из-за утраты уникальной разработки. Каждый случай индивидуален.
– Наверное, защититься на 100% невозможно ни от чего. Проведу аналогию с пандемией: вы можете сделать прививку от коронавируса, надеть маску и костюм химзащиты, побрызгать руки спиртом. Или вообще не выходить из дома. Но шанс заразиться все равно останется.
Количество хакерских атак растет, но и технологии защиты информации развиваются. Это абсолютно рыночная история: у тех компаний, которые плохо следят за кибербезопасностью, будет меньше клиентов. Или эти компании уйдут с рынка. А те, кто уделяет много внимания защите, останутся. Конечно, от всех рисков уберечься не получится, но готов ли мир из-за этого отказаться от благ цифровизации? Мне кажется, нет.