Бизнес в ИТ — это постоянная борьба с киберугрозами, которые становятся все более хитроумными и опасными. В этих условиях компаниям необходим сильный цифровой иммунитет. Что скрывается за этим понятием, из каких ключевых элементов состоит цифровая иммунная система и какие шаги помогут ее усилить, рассуждаем с ведущими экспертами в области кибербезопасности.
Что такое цифровой иммунитет и насколько он важен в концепции кибербезопасности
Цифровой иммунитет компании можно сравнить с иммунной системой организма. Gartner определяет цифровую иммунную систему (Digital Immune System, или DIS) как комбинацию практик и технологий проектирования программного обеспечения, разработки, эксплуатации и аналитики для снижения бизнес-рисков. Однако это лишь краткое описание, которое не может передать всей значимости данного компонента.
«Прежде всего надо понимать, что под «цифровым иммунитетом» подразумевается не 100% защищенность, а иммунная система, больше в биологическом смысле. Это набор процессов и технологий, позволяющих системе, продукту или сервису реагировать на аномалии и «вирусы» в полуавтоматическом или полностью автоматическом режиме, в том числе самостоятельно себя корректировать для противодействия обнаруженной угрозе».
Александр Яров, аналитик по информационной безопасности ELMA
Иммунитет = кибербезопасность
Дмитрий Костин, эксперт по информационной безопасности «МойОфис», объединяет термин «цифровой иммунитет» и концепцию обеспечения информационной безопасности – кибербезопасности. «Эту концепцию я бы рассматривал как совокупность мер, инструментов, практик, которые помогают предотвратить, обнаружить и нейтрализовать угрозы ИБ. По сути, цифровой иммунитет должен обеспечивать устойчивость информационных систем и информационных ресурсов к различным атакам так же, как иммунная система человека защищает его от различных болезней», — поясняет Костин.
«Отдельно стоит отметить, что цифровой иммунитет должен быть применим как к отдельным устройствам (например, это смартфоны, домашние телевизоры, персональные компьютеры и др.), так и к информационным системам, телекоммуникационным сетям. Иными словами, везде, где необходимо создавать и обеспечивать комплексную информационную безопасность».
Дмитрий Костин, эксперт по информационной безопасности «МойОфис»
Цифровой иммунитет во главе
Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ, считает, что цифровой иммунитет стоит во главе концепции кибербезопасности, а она, в свою очередь, направлена на защиту пользователя и организаций от деструктивных действий злоумышленников как в цифровой, так и в киберфизической среде.
«Цифровой иммунитет подразумевает применение комплекса методологий и технологий – от создания кибериммунной архитектуры продукта (или цифрового решения) до процесса безопасной разработки программного обеспечения. Эти меры необходимы для предотвращения системных сбоев и сохранения непрерывности бизнес-процессов».
Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ
С ее мнением о значимости цифрового иммунитета согласен и Игорь Бедеров, руководитель департамента информационно-аналитических исследований компании T.Hunter: «Этот термин, безусловно, связывается с концепцией кибербезопасности, но охватывает не только технические аспекты защиты, а также процессы, людей и политики, необходимые для обеспечения устойчивости цифровых систем и данных».
Средство кибербезопасности
Федор Музалевский, директор технического департамента RTM Group, наоборот, считает, что концепции кибербезопасности реализуются через компоненты цифрового иммунитета. «Так, например, одним из положений кибербезопасности является обеспечение целостности данных. При этом для обеспечения цифрового иммунитета используются механизмы криптографии», — поясняет эксперт.
Максим Деев, технический директор ARinteg, объясняет важность цифрового иммунитета тем, что он нацелен на то, чтобы обслуживание клиентов не нарушалось из-за дефектов, системных сбоев и ошибок в программном обеспечении или проблем безопасности, и позволяет снизить бизнес-риски компании.
«Основное различие между традиционными методами обеспечения информационной безопасности и стратегиями построения «цифрового иммунитета» состоит в том, что традиционные методы работают в режиме реагирования на киберугрозы. Тогда как стратегия построения цифрового иммунитета использует проактивный подход, предполагающий предугадывание действий злоумышленников и защиту от возможных действий еще до их начала».
Максим Деев, технический директор ARinteg
Так, основная задача цифрового иммунитета — создать устойчивую и адаптивную среду, которая может самостоятельно реагировать на возникающие угрозы и восстанавливаться после инцидентов, при этом поддерживая высокий уровень безопасности и производительности.
Ключевые компоненты цифрового иммунитета
Для эффективной защиты бизнес-систем от киберугроз необходимо внедрение основных компонентов цифрового иммунитета. Среди них Gartner называет:
- наблюдение, которое позволяет отслеживать состояние систем в режиме реального времени, выявляя потенциальные сбои и аномалии до того, как они окажут влияние на бизнес-процессы;
- тестирование с ИИ, автоматизирующее процесс выявления уязвимостей и ошибок;
- хаос-инжиниринг, помогающий выявлять слабые места в системах до того, как они станут критичными;
- системы с функцией автоматического исправления, способные самостоятельно диагностировать и устранять сбои, сокращая время восстановления и снижая зависимость от оперативных вмешательств;
- принципы SRE, обеспечивающие высокую надежность и отказоустойчивость систем;
- безопасность цепочки процессов разработки и поставки программного обеспечения;
Однако в российских реалиях цифровой иммунитет трансформируется, и на главный план выходят другие компоненты.
«В текущей ситуации основа цифрового иммунитета для российского бизнеса – это импортозамещение. Первый и самый важный элемент. Он начинается с того, что компания использует отечественный стек ПО в своих регулярных бизнес-процессах, для хранения и защиты данных».
Андрей Арефьев, директор по инновациям ГК InfoWatch
«Традиционно большинство компаний использовали западное программное обеспечение, но после 2022 года стало очевидно, что это создает очень высокие риски. Например, бизнес в большинстве своем работал с Windows, и в определенный момент в результате санкций российские компании перестали получать обновления операционной системы…Когда бизнес использует операционную систему от отечественного вендора, прошедшую сертификацию ФСТЭК, он вовремя получает все необходимые обновления, закрытие уязвимостей», — дополняет Арефьев.
Анна Кулашова считает, что в компоненты цифрового иммунитета входят: безопасная разработка (SDL), контроль доступа к ресурсам и данным (ZTNA), применение современных подходов к защите, известных как XDR, SASE и кибериммунитет.
«Кибериммунитет – это инновационная концепция, которая подразумевает безопасность, заложенную на этапе создания архитектуры цифрового решения».
Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ
«Если говорить о бизнесе как о компании в целом, а не на уровне отдельных сервисов, — размышляет Александр Яров, — то в первую очередь должна быть определенная зрелость процессов информационной и кибербезопасности. Когда компания не понимает ценность и критичность цифровых активов, а также размеры рисков, с ними связанных, если отсутствуют централизованные механизмы управления ИБ — одним словом, отсутствует фундаментальная инфраструктурная безопасность, то нет смысла внедрять более сложные концепции цифрового иммунитета».
«Для цифрового иммунитета важно развитие направления непрерывного мониторинга: сбор событий, корреляция, длительное хранение, выявление аномалий, отработка сценариев реагирования».
Александр Яров, аналитик по информационной безопасности ELMA
«В дополнении к вышесказанному, следует обратить внимание на DevOps/DevSecOps практики для реализации непрерывного тестирования продукта или сервиса, интеграции средств защиты. Как и на подходы: zero-trust, эшелонирования защиты, микросервисность для максимальной грануляции возможного импакта от реализации угроз и, соответственно, более точечного применения корректирующих мер», — подытоживает эксперт.
Игорь Бедеров, руководитель департамента информационно-аналитических исследований компании T.Hunter, в компоненты цифрового иммунитета включает систему проактивного управления рисками для их обнаружения, реагирования и устранения вредных последствий, а также стратегию безопасности, предполагающую использование современных средств защиты, повсеместное повышение осведомленности об угрозах и обучение персонала.
«Важно сосредоточиться на трех ключевых аспектах: обучение сотрудников, непрерывный мониторинг и управление данными».
Максим Малышев, генеральный директор digital-агентства Notamedia
«Обучение сотрудников укрепляет первый рубеж обороны бизнеса. Непрерывный мониторинг позволяет своевременно обнаруживать и реагировать на угрозы безопасности. Основой управления данными в контексте цифрового иммунитета является создание резервных копий и разработка эффективных процедур восстановления», — дополняет Малышев.
В свою очередь, директор технического департамента RTM Group Федор Музалевский относит к компонентам цифрового иммунитета программные решения:
- «для предотвращения киберугроз применяются технические решения, такие как антивирусные средства, DLP, межсетевые экраны;
- для реагирования на кибератаки – все средства SOC: SIEM-системы, SOAR или даже банальные системы электронного документооборота, позволяющие автоматизировать обмен данными при реагировании на инцидент;
- восстановление после кибератак позволяют проводить внедренные механизмы репликации и кластеризации, а также системы для расследования инцидентов (иногда их относят к предыдущему пункту, но это вопрос философский)».
«Для эффективной защиты бизнеса от киберугроз важна комплексная система защиты, которая должна включать не только элементы цифрового иммунитета, но и другие обязательные компоненты. Все эти компоненты должны работать в синергии, создавая устойчивый к кибератакам бизнес».
Дмитрий Костин, эксперт по информационной безопасности «МойОфис»
Среди компонентов Костин называет системы управления уязвимостями – регулярный поиск и устранения уязвимостей в программном обеспечении и инфраструктуре компании, – а также системы обнаружения и предотвращения вторжений (IDS/IPS), шифрование данных, многофакторная аутентификация, установка антивирусного ПО.
Отдельно стоит отметить важность инцидент-менеджмента и реагирование на инциденты – создание плана действий на случай киберинцидентов и наличие команды по реагированию на них.
Как оценить текущий уровень цифрового иммунитета
Оценка уровня цифрового иммунитета — важный шаг для любой организации, стремящейся обеспечить безопасность и непрерывность своей работы. Для этого Федор Музалевский предлагает использовать два подхода: учения и оценку. Учения (в формате Redteam) дают возможность показать «есть иммунитет/нет иммунитета» и рекомендуются для зрелых компаний, поскольку множество мелких нюансов способны подорвать хрупкое киберздоровье. Для их оценки следует применять стандарты серии ISO 27000 или, еще лучше, отечественный ГОСТ 57580 – он дает даже методику для оценки, хотя и предназначается только для финансовой отрасли.
«Говоря медицинским языком, учения — это прививка, но к одной «заразе», а оценка по стандарту — это комплексный чек-ап организма».
Федор Музалевский, директор технического департамента RTM Group
Однако сформированной системы для оценки уровня цифрового иммунитета еще не существует.
«Сейчас это еще тренд, а не устоявшаяся практика. На первое время можно использовать стандарты измерения зрелости ИБ и смотреть на компании-визионеры в этом направлении. Если же вы задаетесь вопросом, есть ли в компании цифровой иммунитет, значит, его нет».
Александр Яров, аналитик по информационной безопасности ELMA
«Инструменты оценки во многом останутся стандартными и близкими к тем, что используются для оценки процессов ИБ. Это проведение аудитов, тестирований и оценки рисков. Это оценка соответствия стандартам и регуляторным требованиям, а также внедрение метрик (систем мониторинга безопасности и инцидентного реагирования)», — подытоживает Игорь Бедеров.
Как сформировать цифровой иммунитет
Согласно прогнозам Gartner, к 2025 году организации, инвестирующие в развитие цифрового иммунитета, смогут сократить время простоя на 80%. Однако в экспертном сообществе много споров о том, какие технологии использовать для этого.
Некоторые специалисты считают, что все технологии могут способствовать формированию так называемого цифрового иммунитета.
«Необъятный океан современных айтишных аббревиатур. Разве что из этого набора у вас будет какая-то собственная комбинация. Критериями правильности назвал бы: соответствие технологий бизнес-процессам и их улучшение, а также снижение актуальных рисков».
Александр Яров, аналитик по информационной безопасности ELMA
Дмитрий Костин, эксперт по информационной безопасности «МойОфис», поясняет: это искусственный интеллект (AI) и машинное обучение (ML), системы управления информацией и событиями безопасности (SIEM), Endpoint Detection and Response (EDR), технологии для защиты облачной инфраструктуры (Cloud Security Solutions), инструменты для управления уязвимостями (Vulnerability Management Tools), системы предотвращения утечек данных (DLP), автоматизация процессов реагирования на инциденты (SOAR), шифрование и тестирование на проникновение (Penetration Testing).
Игорь Бедеров, руководитель департамента информационно-аналитических исследований компании T.Hunter, относит к ним различные системы обнаружения и предотвращения вторжений, антивирусные и антишпионские программы, SIEM-системы, системы управления уязвимостями, а также многочисленные облачные решения. «Многими специалистами называются еще ИИ-технологии, блокчейн и различные системы защиты ИТ-инфраструктуры», — дополняет эксперт.
Максим Деев, технический директор ARinteg, считает, что в основе создания устойчивых информационных систем лежат такие практики и технологии, как анализ причин деструктивного воздействия пользователей, хаос-инжиниринг, тестирование влияния человеческого фактора.
Анна Кулашова отмечает, что они в «Лаборатории Касперского» видят большие перспективы в развитии такой технологии, как кибериммунитет.
«Это термин нашей компании. В основе концепции кибериммунитета лежит принцип Secure-by-Design. Кибериммунное устройство проектируется так, чтобы в нем были заложены только его основные функциональные цели и политики безопасности. Устройству неважно, какие появились виды атак, оно не будет воспринимать их, так как в нем не заложены другие сценарии действий. Фактически это модель — разрешено только то, что не запрещено».
Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ
Андрей Арефьев считает, что для цифрового иммунитета важно использование облачных сервисов, которые максимально независимы от потенциального внешнего влияния, и использование отечественных средств информационной безопасности.
«Такой подход должен использоваться на уровне стратегии – построение системы защиты данных, сетевого периметра компании и в целом развития ИТ-экосистемы бизнеса. Я бы рекомендовал выстраивать стратегию компании, исходя из того, что необходимо полностью замещать стек западного ПО на стек отечественного ПО».
Андрей Арефьев, директор по инновациям ГК InfoWatch
«На российском рынке есть альтернативы практически всех продуктов, необходимых бизнесу. Такие компании, как Astra Linux, «Базальт СПО», «РЕД ОС», предоставляют законченный стек технологий, он призван заменить тот самый стек Microsoft, от которого бизнес сейчас сильно зависит. Продукты развиваются, и чем активнее бизнес будет их использовать, тем больше у отечественных вендоров будет ресурсов для доработки своих решений. Все это – шаги к созданию экосистемы ПО, удовлетворяющей требованиям цифрового иммунитета», – поясняет Арефьев.
Так, цифровой иммунитет формируется техническими решениями.
«Сами по себе они не работают – нужны еще два важных компонента, которые незаметны на фоне техники, но без них она бесполезна. Это люди и процедуры. Только обученный персонал, который действует по жесткому регламенту, сможет дать отпор киберинфекции».
Федор Музалевский, директор технического департамента RTM
Максим Малышев, генеральный директор digital-агентства Notamedia, дополняет, что основа успешного внедрения технологий цифрового иммунитета — практичность и применимость: «Любые меры безопасности должны быть адаптированы к рабочим процессам компании и не мешать основной деятельности. Например, системы мониторинга и детекции угроз должны работать в фоновом режиме, не отвлекая сотрудников от рабочего процесса».
Также сегодня для индустрии важен диалог о выработке единых практик использования технологий машинного обучения в кибербезопасности.
«К примеру, генеративный ИИ может быть помощником для специалистов по кибербезу: сокращать рутину, выявлять потенциальные угрозы в автоматическом режиме, оповещать об аномалиях, задетектированных комплексными ИБ-решениями».
Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ
Прогноз по развитию концепции цифрового иммунитета в России
Если говорить о будущем, то российские компании уверенно шагают в сторону формирования и усиления своего цифрового иммунитета.
«На сегодня, по моему мнению, используют такой подход преимущественно крупные компании с хорошо развитой ИТ-службой, не более 10% от общего числа».
Максим Деев, технический директор ARinteg
«В течение ближайших пяти лет в РФ будет основной упор на иммунитет к «отключениям» — то самое импортозамещение», — отмечает Федор Музалевский.
«К сожалению, перебои в работе систем и техники из недружественных стран сейчас представляют угрозы больше (как минимум для госсектора и КИИ), чем вирусы-шифровальщики. После того как большая часть заместится, начнется, наконец, работа «над качеством», то есть начнут готовить персонал не «для галочки», выпускать технические решения не «чтобы были», а производительные, надежные и эргономичные. И самое главное, будут совершенствоваться процедуры — причем этот процесс будет иметь ровный рост на протяжении всех пяти лет».
Федор Музалевский, директор технического департамента RTM Group
Развитие и достижение цифрового иммунитета с отказом от зарубежного ПО соотносит и Андрей Арефьев.
«Это жизненно важно даже в том случае, если в какой-то перспективе санкции будут сняты и не будет препятствий для использования иностранного ПО. Риски зависимости от зарубежных вендоров проявились максимально ярко и уже никогда не перестанут быть актуальными».
Андрей Арефьев, директор по инновациям ГК InfoWatch
Максим Малышев напоминает, что развитие цифрового иммунитета становится одной из приоритетных задач на уровне национальной безопасности. Кибербезопасность включена в новый национальный проект «Экономика данных» как одно из ключевых направлений развития. В связи с этим можно ожидать дальнейшего укрепления нормативной базы и поддержки со стороны государства.
«Все больше компаний будут проводить тренинги и семинары для сотрудников, чтобы минимизировать риски, связанные с человеческим фактором. Повышение осведомленности о киберугрозах, внедрение протоколов защиты данных и регулярные аудиты кибербезопасности позволят значительно повысить уровень цифровой защиты бизнеса».
Максим Малышев, генеральный директор digital-агентства Notamedia
Дмитрий Костин, эксперт по информационной безопасности «МойОфис», также считает, что без поддержки государства не обойтись: «Концепция цифрового иммунитета в России будет активно развиваться в ближайшие пять лет за счет усиления государственного регулирования, создания отечественных разработок, внедрения искусственного интеллекта и автоматизации». Эксперт прогнозирует усиление обязательных стандартов безопасности для бизнеса, особенно для стратегических отраслей, таких как энергетика, финансы, транспорт, и расширение требований к защите критической инфраструктуры.
В T.Hunter предполагают широкое внедрение современных технологий безопасности, усиление мер по обучению и повышению осведомленности персонала, а также пересмотр политик безопасности в соответствии с новыми угрозами и требованиями. Прогнозируется также развитие национальной киберзащиты и сотрудничества между бизнесом и государством для обеспечения коллективной кибербезопасности.
«Вырастет объем инвестиций и, разумеется, произойдет ужесточение законодательства».
Игорь Бедеров, руководитель департамента информационно-аналитических исследований компании T.Hunter
Концепция будет развиваться и глобально, и в России.