Статья

«Лаборатория Касперского»: Сложные кибератаки пришли на смену массовым эпидемиям

B2BSecurity

Как будет развиваться отечественный ИТ-рынок в условиях кризиса, и почему эффект импортозамещения не будет существенным для сегмента информационной безопасности? Какие тенденции определяют облик рынка ИБ, и появления каких угроз следует ждать в ближайшем будущем? Управляющий директор «Лаборатории Касперского» в России, странах Закавказья и Средней Азии Сергей Земков поделился своими впечатлениями от прошедшего года в сфере ИБ и рассказал о том, что принесет с собой год будущий.

CNews: По вашей оценке, каков сейчас объем рынка ИБ в России? Год назад вы прогнозировали рост на 10–15% в 2014 году, прогноз оправдался?

Сергей Земков: По нашей оценке, в 2013 году объем российского рынка ИБ составил около $1,3–1,4 млрд с учетом самих продуктов и сопутствующих услуг аудита, внедрения и обучения. Прогноз роста на 10–15% исходил из сохранения тенденций, которые присутствовали в конце прошлого года. С учетом изменившейся геополитической и экономической ситуации, в связи с введением санкций я ожидаю, что по итогам 2014 года рынок сократится на 10–15% в долларовом исчислении и останется на прежнем уровне или продемонстрирует незначительное сокращение в рублевой выручке.

CNews: Последнее время активно обсуждается вопрос замены иностранного ПО на отечественные решения. Есть примеры банков, которые из-за санкций потеряли доступ к западным продуктам, некоторые государственные предприятия анонсировали планы по миграции с иностранных программных платформ. Каким будет эффект импортозамещения для отечественного рынка ИБ?

Сергей Земков: Прежде всего хотел бы отметить, что уже сейчас мы видим рост интереса заказчиков к российским решениям. Эта тенденция была и раньше, а санкции ускорили данный процесс. Тот факт, что западные вендоры отказались от сотрудничества с российскими компаниями, оказавшимися в санкционном списке, породил опасения среди предприятий с государственным участием. Из нашего недавнего опыта могу привести пример компании Транснефть, которая в 2014 году приняла решение использовать ПО «Лаборатории Касперского».

Однако с законодательной точки зрения процесс импортозамещения должен стартовать только в следующем году. До июля 2015 года планируется создать реестр отечественного программного обеспечения, где будет учтены все значимые для госзакзачиков категории продуктов. С этого момента государственные предприятия смогут внедрять иностранное ПО либо если у него нет отечественных аналогов, либо после подготовки специального документа, в котором будет обоснован выбор зарубежного решения.

Сергей Земков: По нашей оценке, в 2013 году объем российского рынка ИБ составил около $1,3–1,4 млрд

Безусловно, введение новых законодательных норм увеличит интерес в российским системам ИБ, но эффект импортозамещения будет не столь велик, как в других сегментах ПО, так как уже сейчас отечественные решения доминируют на российском рынке.

CNews: Почему отечественные решения ИБ доминируют на рынке?

Сергей Земков: В сфере информационной безопасности традиционно существуют специфичные локальные законодательные требования к применяемым системам и решениям, и, естественно, наилучшим образом им соответствуют системы, разработанные отечественными компаниями. Кроме того, у нас традиционно сильная математическая и программистская школа, что позволяет создавать в России высококачественные продукты, которые уже успели завоевать популярность, особенно в государственном секторе, чья доля на рынке доминирующая.

CNews: Какие продукты были наиболее востребованы в уходящем году и что будет «хитом» продаж в будущем?

Сергей Земков: Главный тренд, который прослеживается на протяжении нескольких последних лет, – это рост интереса к комплексным решениям, которые позволяют закрыть все потребности компании в сфере ИБ и обладают общим центром управления. Среди отдельных категорий продуктов следует отметить, во-первых, средства противодействия DDoS-атакам. Вторая категория «горячих» продуктов – это программное обеспечение для защиты виртуальных сред.

Если заглядывать немного в будущее, то большие перспективы у продуктов, ориентированных на создание безопасной среды для критических элементов инфраструктуры, к которым относятся атомные электростанции, нефтепроводы, аэропорты, системы водоснабжения, тюрьмы и т.д. К счастью, инциденты на таких объектах пока носят единичный характер, но их число увеличивается. Самое нашумевшее событие в этой области – это обнаружение вредоносной программы Stuxnet, которая была нацелена на ядерные объекты Ирана. Первоначально атаке подверглись 5 иранских промышленных компаний, однако из-за «уязвимостей» во вредоносном ПО эпидемия вышла из-под контроля и приняла массовый характер, в результате чего эту программу и удалось обнаружить.

Кроме того, есть примеры атак на системы водоснабжения и авиационной инженерии. Например, в 2008 году в Испании потерпел крушение рейс авиакомпании Spanair. Причиной стал вирус, поразившей компьютерную сеть авиалиний, в результате чего неполадки самолета не были вовремя идентифицированы.

CNews: Что производители программ безопасности могут противопоставить подобным угрозам?

Сергей Земков: Комплексных решений в этой области пока нет, но у направления большой потенциал. В настоящий момент совместно с технологическими партнерами и потенциальными заказчиками мы разрабатываем прототипы таких продуктов, например, безопасную операционную систему. Эта система разрабатывается специально для защиты критической инфраструктуры, для работы в среде промышленных систем, АСУ ТП. Она предназначена для устройств, во-первых, подключенных к интернету, и во-вторых, в которых безопасность является первостепенной задачей.

Поскольку проект очень сложный, комплексный и предусматривает совместную работу с потенциальными заказчиками, исследование возможных векторов кибератак, очевидно, что к нему предъявляются особенно высокие критерии безопасности. Поэтому выйдет оно на рынок тогда, когда мы будем абсолютно уверены в качестве получившегося решения. Мы продолжаем работу по наращиванию функционала, и в ближайшее время готовимся продемонстрировать прототипы. В аналогичном направлении двигаются государственные регуляторы. В 2014 году появились первые документы ФСТЭК, в которых дается определение критических элементов инфраструктуры и приводится классификация возможных угроз.

Сергей Земков: Главный тренд последних лет – рост интереса к комплексным решениям, которые позволяют закрыть все потребности компании в сфере ИБ

Защита критических объектов пересекается с темой кибершпионажа: внедрение в информационные системы может проводиться не только для проведения атаки, но и с целью кражи данных. Нам доводилась вскрывать шпионские сети в информационных системах наших заказчиков. Например, в одной крупной компании были обнаружены китайские «шпионы», которые считывали технологические обновления. Тема шпионажа стала особенно актуальна после разоблачений Эдварда Сноудена, когда выяснилось, что спецслужбы США прослушивали первых лиц других государств.

CNews: Вы не упомянули среди трендов решения для мобильных устройств. Означает ли это, что у создателей вредоносного ПО еще не дошли руки до смартфонов и планшетов?

Сергей Земков: Конечно, в абсолютном исчислении количество угроз на традиционных ПК многократно выше, но «вакуум» на портативных устройствах стремительно заполняется новыми вредоносными программами. В 2014 году специалисты обнаружили свыше 12 тысяч мобильных банковских троянцев, при помощи которых были атакованы пользователи Android из 90 стран мира. По динамике число атак на владельцев смартфонов и планшетов на базе Android выросло в 4 раза, а общее количество мобильных банковских троянцев, нацеленных на кражу денег пользователей, увеличилось в 9 раз по сравнению с 2013 годом.

Об этом свидетельствует и тот факт, что около 90% выявленных вредоносных программ – это банковские трояны, которые атакуют системы мобильного банкинга и воруют сведения о кредитных картах. При этом защита на стороне банков, как правило, выполнена на надлежащем уровне, и большинство краж происходит из-за беспечности пользователей, которые пренебрегают установкой антивирусов, хранят PIN-код в памяти телефона и т.д.

Следует отметить и еще один специфический аспект безопасности, не связанный с активностью хакеров. Речь идет о краже или потере самого устройства. Если смартфон или планшет был подключен к корпоративным информационным системам, то конфиденциальные данные могут автоматически оказаться в руках злоумышленников.

Пока многие ИТ-директора не воспринимают портативные устройства как критический с точки зрения защиты элемент инфраструктуры, но по мере роста числа угроз приходит осознание проблемы. Согласно нашему опросу, около 50% CIO называют защиту мобильных устройств среди приоритетов и планируют реализовать проекты в этой области.

CNews: Как вы оцениваете защищенность различных направлений российской экономики?

Сергей Земков: Настоящий водораздел проходит не между различными отраслями, а между большими и малыми компаниями. Крупные предприятия относятся более ответственно к информационной безопасности, чем малый и средний бизнес. Для сегмента enterprise благоприятным фактором стало введение законодательства о защите персональных данных, в результате чего системы ИБ были приведены в соответствие с требованиями регулятора. Что касается представителей СМБ, то они более сконцентрированы на ключевых бизнес-процессах, а ИБ воспринимают исключительно как дополнительные издержки, а не инвестиции в развитие или поддержание бизнеса. В результате малые и средние предприятия страдают больше всех. По статистике, большинство инцидентов ИБ фиксируется в небольших компаниях.

CNews: Какова экономика таких инцидентов – во сколько оценивается ущерб и как эта сумма соотносится со стоимостью внедрения средств ИБ?

Сергей Земков: Средняя сумма ущерба от одной успешной атаки для крупного бизнеса составляет i20 млн. Эта цифра включает в себя убытки от простоя, репутационные издержки, затраты на локализацию атаки. Для малого и среднего бизнеса этот показатель значительно ниже – около i800 тысяч, но для небольшой компании такие потери могут оказаться критичными. Например, недавно к нам обратилась одна компания, которая работает в сфере региональных СМИ. Информационная система, через которую осуществлялся выпуск газеты, была заражена вирусом, который заблокировал все медиафайлы, что привело к вынужденному простою издания в течение недели.

Сергей Земков: Около 90% выявленных вредоносных программ – это банковские трояны

Стоимость системы безопасности по сравнению с возможным ущербом не велика. Для небольшой компании на 20 рабочих мест цена решения составит около i25–35 тысяч в год, включая защиту настольных рабочих станций, мобильных устройств и серверов. При длительном использовании стоимость владения защитой снижается, так как при продлении лицензий предусмотрены скидки.

CNews: Как меняется поведение и технологии киберпреступников?

Сергей Земков: Современные хакеры стараются действовать незаметно, не привлекая к себе внимание. Когда в 2004–2005 годах случались массовые эпидемии, продажи антивирусных программ вырастали в разы. Естественно, злоумышленники не заинтересованы в огласке, так как в результате их работа усложняется. Последнее время стали популярны таргетированные атаки, когда производится целенаправленное заражение конкретной системы или пользователя. При этом большинство инцидентов не разглашаются, так как это негативно сказывается на репутации пострадавших компаний.

Еще одна технология, которая снискала популярность у злоумышленников, – это банковские трояны, которые крадут информацию о банковских картах. Кроме того, второе рождение переживают программы-шифровальщики, которые блокируют содержимое устройства, пока не будет выплачен «выкуп».

CNews: Как соотносятся объем рынка ИБ и теневой оборот хакеров?

Сергей Земков: Считается, что любая успешная атака приносит злоумышленнику в 20–25 раз больше, чем было потрачено на ее организацию. Наибольший куш мошенники могут сорвать, если задействуют банковских троянцев. Инвестиции в такой «бизнес» составляют около $3 тысяч, включая стоимость зловреда с эксплойтом и спам-рассылкой. Доход от одной сотни жертв в этом случае наши эксперты оценивают в $72 тысяч.

Что касается всего рынка в целом, то, по некоторым оценкам, заработки киберпреступников исчисляются миллиардами долларов, но подсчитать этот показатель сложно, так как крупные компании, ставшие жертвами атак, не разглашают размеры ущерба, а мошенники не подают налоговые декларации. Предполагаю, что объемы легального рынка ИБ и теневого оборота хакеров сопоставимы.

CNews: Каков ваш прогноз по развитию российского рынка ИБ на ближайшие 2–3 года?

Сергей Земков: В отношении следующего года у меня, несмотря на все происходящее, оптимистичный взгляд на ситуацию. Конечно, сейчас все большее значение приобретает вопрос, в какой валюте считать, но в рублевом эквиваленте в сфере информационной безопасности я ожидаю продажи как минимум того же уровня, что и в 2014 году, и, возможно, даже небольшого роста (в основном благодаря политике импортозамещения). В долларах и евро, естественно, это будет существенное падение.

Стоит также учитывать, что в данном случае кризис коснулся не одной только России – наша экономика сейчас находится, конечно, в самом сложном положении, но негативные тенденции и ослабление национальных валют по отношению к доллару наблюдаются также во многих других развивающихся странах мира, например в странах Латинской Америки и во многих странах BRICS. Евро также ослабевает относительно доллара, проблемы ощущают и страны-экспортеры сырья. То есть это явно новый виток общего экономического кризиса. Поэтому я не ожидаю значительного роста на нашем рынке в ближайшие 2–3 года, но при этом в индустрии информационных технологий и информационной безопасности все-таки ситуация будет получше, чем в других отраслях.