ИБ: кибервойна еще даже не началась

Как рассказала Наталья Касперская, у киберзлоумышленников наблюдается переход от экономической мотивации к политической. Раньше целью злоумышленников было хищение информации или денег. Сейчас все иначе. Об этом свидетельствует рост стоимости атак настолько, что они уже не окупятся. К тому же есть примеры вербовки в даркнете с большим вознаграждением за нахождение контактных лиц, которые отвечают за маршрутизацию в Ростелекоме. Плюс идет сращивание с медийной сферой, так что вредоносная активность подсвечивается в СМИ. Таким образом экономическая преступность превращается в диверсионную.

Второй – расширение поверхности атак. За последние месяцы в России столкнулись с атаками на инфраструктуру, которые могут принести вред стране в целом или большому числу ее граждан. Кроме того, развивалась пропаганда в интернете: много антироссийских баннеров размещалось в соцсетях, на видеохостингах и т.д., стал распространен психологический терроризм, «закладки» в ПО с открытым кодом – все это показывает расширение поверхности атак. За первое полугодие увидели резкий рост (на 80 %) утечек персональных данных, тогда как предыдущие два года наблюдался тренд на их снижение. Статистика показывает, что ситуация чудовищная, а воруют персональные данные не с целью экономической выгоды, а для психологического воздействия на людей.

Также Наталья Касперская отметила активное участие в инцидентах украинских хакеров или представителей других стран со схожими политическими позициями – в том числе из РФ. Это означает, что внутри российских компаний могут быть люди, которые нанесут вред только из-за желания навредить стране. Например, в числе арбитражников трафика (специалистов, занимающихся рекламой и привлечением клиентов в интернете) украинцы лидируют, поэтому и риск саботажа внутри компаний вырос.

Третий важный тренд – усиление последствий кибератак. Но Наталья Касперская убеждена, что это все-таки не кибервойна – в основном это неорганизованные действия частных лиц, а системно киберорганизации пока не начали работать. А это значит, что далее могут быть еще большие последствия, так что реагировать ИБ-департаментам надо быстрее.

Эксперт подчеркнула, что все изменения привели к увеличению значимости роли кибербезопасности на уровне государства. Если раньше кибербезопасность была падчерицей по сравнению с цифровизацией, то сейчас на уровне государства появилось понимание, что сначала нужно обеспечить кибербезопасность, а потом уже заниматься цифровизацией. Отсюда и ряд решений регулятора, которые поддерживают этот тренд и объясняют, что нужно делать.

Что это означает для предприятий? Прежде всего, нужно пересматривать модель угроз и, в частности, смотреть на них с точки зрения возможности внутреннего саботажа, повышения скорости реагирования и полноты охвата данных. Второе – нужны квалифицированные кадры, которых катастрофически не хватает. Все эти задачи очень непростые, и возможно, с их решением могут справиться автоматизированные системы на базе ИИ.

Руководитель экспертно-аналитического центра InfoWatch Михаил Смирнов добавил, что ИИ в инфобезопасности – очень значимый тренд: ИИ второй год подряд занимает первое место в топе тенденций, причем за пару лет смог подняться с пятого места на первое. Причина – уверенность в том, что он будет влиять на все сферы ИБ. Так что не удивительно, что аналитики IDC предсказывают увеличение расходов на решения в области ИИ на 20 %. Инциденты могут достигать сотен тысяч в минуту, человек не может обработать такие объемы информации. Алгоритмов уже недостаточно, поэтому ИИ становится ключевым элементом. При этом важно использование ИИ и в других процессах, где нужна не только скорость, но и точность принятия решения: цена ошибок в таких инцидентах часто – существование компании.

Так, представители InfoWatch рассказали о созданном в рамках гранта РФРИТ решении InfoWatch Data Explorer. Как рассказал руководитель направления InfoWatch Traffic Monitor Александр Клевцов, чтобы защитить компанию от утечек, используются DLP-системы, а Data Explorer – модуль для этой системы, который позволяет исследовать дата-трафик, выявить разные категории информации, которые необходимо защищать и создать соответствующие политики – и все это с помощью ИИ. 

По словам эксперта, основная задача – выявить информационные активы, о значимости которых даже в службе ИБ могут не знать, но инцидент с которыми может повлечь неприятные события для бизнеса. В ручном режиме такие инциденты выявить можно. Но это займет много времени: например, только на создание лингвистической модели, которая содержит сотни терминов, их взаимосвязи и т.д., уходит 5-7 рабочих дней, а такие модели нужны для автоматического выявления информации, связанной с данной категорией событий. При этом таких событий может быть множество. Так что процесс очень трудоемкий и дорогостоящий, причем запускается он только в том случае, если неучтенный информационный актив обнаружен, а это бывает далеко не всегда. Значит, используемые в организации политики безопасности не всегда актуальны и эффективность DLP-системы падает.

Data Explorer позволяет эти задачи передать ИИ. Он выявляет неучтенную информацию, категоризирует события и принимает решения, а затем при необходимости формирует лингвистическую модель за минуту. Т.е. политика формируется моментально, а новые категории информации начинают защищаться. При этом качество создания лингвистических моделей и политик сопоставимо с качеством работы квалифицированного эксперта, а использование модуля не требует специфической экспертизы. Это кардинально меняет процесс защиты корпоративной информации, считают эксперты InfoWatch.