Владимир Дащенко
Ранее занимал позицию вице-президента по исследованиям киберугроз для систем промышленной автоматизации в стартапе, где внедрял результаты Threat Intelligence в систему анализа и оценки киберрисков. До этого возглавлял команду по поиску уязвимостей в решениях для АСУ ТП и «умных» устройств, занимался тестированиями на проникновение для различных промышленных компаний.
Владимир окончил Уральский политехнический университет по специальности «Информационная безопасность телекоммуникационных систем», также обучался и преподавал в Нью-Брунсвикском университете в Канаде. Читал лекции по прикладным вопросам кибербезопасности в МГИМО и университете Harbor.Space, вёл спецкурс в Массачусетском технологическом институте, также является соавтором нескольких тренингов по кибербезопасности.
На сегодняшний день Владимир интересуется такими темами, как поиск и обнаружение киберугроз, безопасность АСУ ТП, «умных» устройств, элементов «умного города» и так далее. Является членом различных сообществ по безопасности, например BEER-ISAC и RUSCADASEC. Выступал на множестве профильных конференций: SAS, CS3STHLM, Zeronights, OffZone, Positive Hack Days, S4, BSides и многих других.
Тема киберстрахования становится всё актуальнее, ведь восстановление после атак требует финансовых вложений. О развитии и перспективах этого направления поговорим сегодня с Владимиром Дащенко, ведущим экспертом по исследованиям угроз информационной безопасности в центре исследования безопасности промышленных систем «Лаборатории Касперского».
Это одно из серии интервью с экспертами «Лаборатории Касперского», которые были записаны на конференции KICS Conf.
Как вы думаете, что будет дальше на рынке безопасности промышленных систем? Какие наблюдаются тенденции?
В. Д.: Есть в интернете картинка: гладь воды, красивое безоблачное небо и подпись: «Величайшая битва двух подводных лодок». Вот примерно такое и происходит. На первый взгляд кажется, что вроде бы всё то же: вид сбоку, вид справа, вид слева. Но на самом деле есть некоторые изменения в тактиках и техниках, то есть, грубо говоря, в том, чем и как пользуются атакующие.
Есть изменения и в плане того, какие цели преследует атакующий. Раньше была чёткая фокусировка на хактивизме, который направлен на то, чтобы что-то поломать, показать себя и так далее. Не забываем, что всё это — уголовно наказуемые деяния, нельзя такими вещами заниматься.
Первое изменение — хактивизм приобретает чёткий политический окрас. Второе — к лозунгам добавляются деньги, то есть всегда есть составляющая какого-то вымогательства, перепродажи данных и тому подобного.
И самое интересное — активисты сейчас используют всё больше и больше техник и тактик, утилит и коммерческих продуктов для проведения наступательных киберопераций (какие-то фреймворки и так далее), плюс некоторые категории злоумышленников, которые ранее специализировались исключительно на финансовых темах, сейчас вступают на поприще хактивизма. Непонятно, грубо говоря, личная ли это инициатива либо требование сверху.
Создаётся впечатление, будто что бы мы ни делали, какими средствами защиты мы бы ни обложились, как бы мы ни обучали сотрудников, всё равно при определённой сноровке и бюджете злоумышленники нас рано или поздно взломают. Мне кажется, в любом случае нужно готовиться к инцидентам, то есть исходить из того, что когда-нибудь инцидент произойдёт в любой организации. Я прав или это излишне?
В. Д.: Прав. Нельзя иметь иллюзии, будто теперь мы защищены. Во-первых, любая компания — это живой организм, который эволюционирует, растёт, развивается, масштабируется и так далее. С появлением новых функций, бизнес-процессов или внедряемых технологий растут и площадь атаки, и количество точек соприкосновения с внешним миром.
Всегда нужно помнить, что есть классическое правило эшелонированной защиты: нужно выстраивать свою защиту таким образом, чтобы безопасность обеспечивалась и для бизнес-процессов, и для всех цифровых активов, и для каналов передачи, и так далее. Нужно следовать этому постулату. Пока нет ничего более работоспособного, к сожалению или к счастью. Мы разрабатываем технологии связанные с кибериммунитетом, но процесс ещё не окончен.
Есть какие-то точечные решения, но это пока неохваченный сектор рынка. Современные компании выходят уже на новый уровень с точки зрения кибербезопасности. Есть в России промышленные предприятия, которые вывели эту зрелость, готовность к кибератакам на качественно иной уровень. Пример — темы связанные с киберстрахованием.
Расскажите подробнее о киберстраховании.
В. Д.: Мы начинали заниматься этой областью вместе со страховым брокером в 2016–2017 годах. Тогда эта тема, по ощущениям, не взлетела. Рынок не был готов. В целом сейчас мировой рынок к этому потихонечку приходит — и классические компании, и энтерпрайз, и промышленные предприятия.
Сейчас в России уже есть примеры того, как компании покупают полисы киберстрахования. Важно, что это не подобие ОСАГО, например, когда ты пошёл, купил и успокоился. Воспринимается, однако, именно так: дескать, просто деньги какие-то выплатят. При определённых условиях, прописанных в договоре мелким шрифтом, их, может быть, на самом деле не получишь. В интересах компании — читать всю документацию, весь мелкий шрифт, чтобы иметь чёткое понимание того, что покупается: какой продукт, какой сервис и так далее.
В теме киберстрахования есть особенность: это «индивидуальный пошив». Можно, грубо говоря, купить в магазине носки размера 42–45 и носить. Но можно и заказать себе костюм. И вот киберстрахование — это как раз история, которая создаётся конкретно под отдельно взятую компанию, подобно тому, как костюм шьётся под человека. Будут переговорный процесс, долгие обсуждения. Нужно обговорить все условия.
Страховая компания может отказаться сама. Например, если на периметре есть эксплуатированные уязвимости «нулевого дня», то о каком страховании может идти речь? Скорее всего, в инфраструктуре уже кто-то сидит. Это важно понимать.
Правильно ли я понял, что в случае страхования киберрисков компания-страхователь реально, а не формально, проводит аудит, какие-то исследования? Выполняется анализ того, что в компании происходит, как там кибербезопасность вообще устроена; если это зрелая компания, цена может быть одной, а если не очень — другой, более высокой. Так?
В. Д.: Абсолютно верно. Именно так и происходит. Во всей этой истории, когда есть какое-то стремление, поступательные шаги в сторону покупки полиса киберстрахования, всегда присутствуют три-четыре стороны. В первую очередь это, конечно, компания, которая хочет застраховаться, и страхователь, который думает, выписывать или не выписывать полис. Есть также страховой брокер, который является консультантом с точки зрения страхования: какие риски могут быть. А четвёртая сторона — это компания по кибербезопасности, которая может выступать консультантом для страховой компании или для страхового брокера, как третейский суд. Её задача — непредвзято, как есть, оценить уровень кибербезопасности.
Вот это и есть вы, да? У вас сейчас ведётся с кем-то работа по выстраиванию этой системы?
В. Д.: Да, мы сейчас возобновляем работу в этом направлении со страховым брокером Remind. Сегодня (в день записи интервью. — Прим. ред.) в рамках международной конференции по промышленной безопасности Kaspersky Industrial Cybersecurity Conference у нас как раз будет сессия на главной сцене. Мы будем вести небольшой диалог — именно живой разговор, а не презентацию. Придут страховой брокер и промышленная компания, а я стану мини-модератором. Поговорим о том, как компания к этому пришла, какие мысли были, с какими трудностями они сталкивались, а также о том, какие риски существуют для страховых брокеров, когда они выписывают полис.
Допустим, компания застраховалась от киберрисков, потом вдруг произошёл инцидент, требующий денег на восстановление, и его анализ показывает, что виноваты не столько злоумышленники, сколько сама компания, которая не закрыла какую-то уязвимость, не провела ряд каких-то действий. Будет ли тогда отказано в возмещении? Страховщик может сослаться на какие-то обстоятельства?
В. Д.: Здесь нужно вернуться к тезису, что такой страховой полис — это индивидуальный пошив. Во-первых, такие вещи обговариваются заранее. Когда речь идёт о киберстраховании, это касается не только ИТ, но и бизнес-процессов. Страхователю нужно убедиться, что компания является зрелой.
Иначе говоря, для того чтобы застраховать риски и потом получить выплату, если что-то произойдёт, нужно заранее проделать определённую работу: обсудить предмет страхования, риски, то, как они будут покрываться, и так далее. Всё это должно быть прописано.
Была однажды история: страховая компания отказывалась выплачивать компенсацию после атаки шифровальщика, заявляя, что это был элемент кибероружия — хотя по сути это была пандемийная атака. Не знаю, чем закончились эти прения, но такой случай был.
Страховая выплата — это некий денежный фонд для восстановления или компенсация, на которую можно будет потом что-то купить?
В. Д.: Когда происходит инцидент, одна из задач — удержать бизнес на плаву, чтобы он функционировал. И выплата в рамках страхового полиса является как раз теми средствами, которые могут пойти на восстановление после киберинцидента: нанять команду по компьютерной криминалистике, юристов и так далее. Иначе говоря, эти деньги могут быть использованы именно на восстановление, а не на то, чтобы купить себе новую установку.
Каким компаниям, из каких отраслей вы бы в первую очередь порекомендовали присмотреться к этой теме?
В. Д.: Я думаю, если мы говорим о промышленной компании, она должна быть зрелой с точки зрения кибербезопасности. У нас в стране, насколько я знаю, защищает свои предприятия сектор реальной экономики: горнодобывающая промышленность, энергетика, металлопрокат, литейное производство, нефтедобывающие компании и так далее.
Владимир, большое спасибо за интересное интервью! Будем следить за развитием темы киберстрахования.
