Слава Критов, EIS Group: «Если у вас есть деньги — обязательно попытаются взломать»

Слава Критов – наш человек из Калифорнии. Уехав туда на заре 90-х, он сполна реализовал себя в технологических компаниях, которые, стартовав практически с нуля, за короткий срок достигали стадии продажи по цене в сотни миллионов и миллиарды долларов. Так работает магия Долины, где время не терпит, а предпринимательство идет рука об руку с передовыми технологиями. Особый период в карьере — 5 лет на должности директора по технологической разведке в компании Symantec, где основной задачей было ведение прямой борьбы с конкурентами за патенты, технологии, «охота» за перспективными специалистами.

Сегодня Слава Критов — старший вице-президент по облачным технологиям, .IO и CISO компании EIS Group, разрабатывающей цифровую платформу нового поколения для рынка страхования. Решение отлично чувствует себя на плотно заселенном рынке Северной Америки (США, Канада) и Азиатско-Тихоокеанского региона. Один из ведущих страховиков США, компания AAA («трипл-эй»), за год только в Калифорнии проводит с помощью этой платформы страховых сделок на сумму около $8 млрд. Продукт EIS Group позволяет крупным и средним страховым компаниям максимально индивидуализировать предложения по страховым полисам, эффективнее предлагать скидки и, тем самым, расширять хорошо управляемую и, главное, надежно защищенную клиентскую базу.

Как раз о компоненте безопасности и шла речь на докладе в рамках Cyber Defence Congress 2K18, собравшего в начале июня в Киеве топовых специалистов по информационной безопасности. Чем живет сегодня Кремниевая Долина в этой области, и как гарантированно защитить себя и своих клиентов от взлома? Ниже — основные принципы в изложении Славы Критова.

Слава Критов

Если у вас есть деньги — обязательно попытаются взломать

Храня данные о застрахованных клиентах, их движимом и недвижимом имуществе, бизнесе, вы вполне закономерно становитесь мишенью для атак. Но даже если вы невысокого мнения о своей значимости для хакеров, это не убережет от похищения вашей цифровой identity и использования для последующих атак на более крупные мишени. «Люди с деньгами» априори знают, что являются целью, поэтому заранее себя защищают. Обычные же пользователи этим не озабочены, поэтому с удивлением воспринимают тот факт, что их компьютеры без их ведома становятся средством для вторжения в реальные сети. И узнают об этом, как правило, уже от работников правоохранительных органов, привлекающих их к ответственности.

Реальность такова: Интернет предлагает на выбор широкий спектр инструментов для взлома, и воспользоваться ими может практически любой студент. Большинство атак осуществляют так называемые script kiddies, а не гуру хакинга. И неосведомленный пользователь (здесь Слава предпочитает английское слово patsy, читай — «лох») для них — самая желанная добыча.

Разработку ПО в стартапе, особенно в финансовой сфере, необходимо вести таким образом, чтобы вся обработка «денежной» информации (номера кредитных карт, сведения о недвижимости и прочем ценном имуществе клиентов) ложилась не на вас, а на процессоры транзакций. Как правило, стартап не может себе позволить полнофункционального специалиста по безопасности. Поэтому даже не пытайтесь держать номера кредиток у себя в базе. Это — смертный приговор для любого стартапа. Как только об этом станет известно, вас немедленно взломают и проект впоследствии придется закрыть.

Атаковать в современном мире гораздо проще, чем защищаться. Самым слабым звеном компании, на которое направлено острие атак, являются ее сотрудники. Активно вошедшая в обиход злоумышленников социальная инженерия — входящие звонки или почтовые сообщения «из банка», от «вышестоящего начальства» — превращает ваш персонал в источники утечки данных. Стоит помнить, что сегодня хакерство полностью утратило свой романтический оттенок и превратилось в средство заработка на продаже персональной информации. Поэтому — ничего личного, просто бизнес, одни ломают других.

Вам есть что защищать

Сегодня многие пытаются строить свои системы защиты, исходя из конкретных технологий. Однако опыт создания систем безопасности насчитывает уже тысячи лет, и главенствует в них один простой принцип: «Security is a state of mind». Вспомним, что в английском языке это слово не только лишено негативного оттенка, но и во множественном числе означает «ценные бумаги». В целом, Security — это уверенность в благополучном завтрашнем дне.

Наиболее важный элемент процесса защиты информации — не n-ное количество файрволов и других технических средств, которые вы используете, а понимание того, какая информация в компании действительно критична. В первую очередь к таковой относится информация о клиентах, а также технологических особенностях, если компания обладает интеллектуальной собственностью. Вся остальная информация не должна иметь грифа «secret». Выделив таким образом критичную информацию (которой на самом деле не так уж и много), ее гораздо проще защитить. К примеру, подавляющему большинству сотрудников из всего множества информации о клиентах, будет для работы достаточно лишь идентификатора клиента, который не указывает на реальную идентичность. Детальная же информация о клиентах и их ценностях должна быть архитектурно полностью изолирована.

Защищаясь от вторжения, подобно вору и полицейскому, которые мыслят одинаково, вы должны думать как хакер, быть параноидальным, антисоциальным элементом, уметь включать и выключать этот «режим» по необходимости. Информацию, которая не является критической, стоит оставлять в качестве наживки, создавая так называемые honeypots, места для контролируемой утечки данных, позволяющие выявить слабые места в системе и команде. Обманывайте, чаще меняйте интерфейс, подсовывайте им ложные данные. Эти средства позволят справиться с подавляющим большинством стандартных атак.

Настоящих хакеров, которые пишут новые эксплоиты, — единицы, а тех, кто это монетизирует и крадет — сотни тысяч. Это под их руководством армии ботов помогают захватить контроль над вашим бизнесом, информацией и identity.

Чем бороться?

Первооснова для компании, работающей на крупном развитом рынке — соответствие стандартам семейства ISO 27000, которые определяют способы управления PII (Personally identifiable information). На европейском пространстве уже актуальны GDPR. Наглядный пример – после вступления их в силу против Facebook и Google практически сразу же были поданы многомиллиардные иски.

Совет: если вы зарегистрированы на Facebook, зайдите в настройки и убедитесь, что ни у каких сторонних приложений, тестов, гороскопов и прочего — нет доступа к вашему аккаунту. Также никогда не логиньтесь никуда при помощи Facebook. Когда приложение получает доступ к вашему профилю, оно выбирает оттуда абсолютно всю информацию — все, что вы писали и на что когда-либо реагировали, ваш полный профиль. Не давайте им такого шанса. Помните — если сервис, используемый вами, бесплатен, значит вы являетесь продуктом сами по себе.

Внедрение стандартов не на словах, а на деле, руками профессионалов, постоянная тренировка всех обычных сотрудников по направлению безопасности с обязательным контролем знаний (часть трудового контракта), логирование доступа к клиентской информации и регистрация активностей, выходящих за рамки бизнес-процессов — так в EIS Group сегодня обеспечивают реализацию базовых принципов безопасности.

Страховой агент не может в силу специфики своей работы каждые 30 секунд открывать новую карточку клиента, как и курьер не может объехать 100 человек в день — эти аномалии отслеживаются автоматически и сигнализируют о том, что происходит «слив». Большинство информации «сливается» самими сотрудниками, а пароли крадут — это данность, которую следует принять.

Создание ложных наборов данных (obfuscated data) на базе реальных записей — изящный способ для противостояния хакерам и введения их в заблуждение. Кроме того, с помощью этого инструмента легко создать базу данных для целей тестирования и разработки. Статистически это та же самая база, за тем исключением, что она не представляет ценности с точки зрения информационной безопасности.

Еще одним действенным инструментом, особенно для разработчиков финансовых приложений, является гомоморфное шифрование. Оно позволяет решить одну из основных проблем классического шифрования — невозможность проводить поиск по зашифрованным данным. Если данные на сервере приложений хранятся именно в таком зашифрованном виде (homomorphic), а расшифровывание происходит уже в браузере клиента посредством полученного им сертификата, у хакеров практически не остается шансов получить к ним доступ.

Третий трюк — создание заведомо фальшивой системы и установка на нее «замедлялок», показывающих необходимость ожидания, перегруженность системы. Они заставляют злоумышленников ждать и нервничать, тратя свое драгоценное время. Также не ленитесь создавать и скармливать им фальшивые данные, которые потом легко отследить с помощью средств даркнета (например, имя пользователя Steeve, вместо обычного Steve) — и затем просто наблюдайте, где они всплывут, и таким образом выявляйте путь утечки. Это работает как с именами, так и номерами водительских прав, страховок — просто создайте пользователя с ложными ID и сделайте фальшивку достаточно уникальной, чтобы легко увидеть ее в поиске. По такому же принципу построен сервис Mastercard Identity Theft Alert, который мониторит даркнет на предмет возникновения там номеров ваших кредиток.

Какие шаги предпринять?

Чтобы правильно построить систему информационной безопасности в компании, начните со стандартизации бизнес-процессов. Они должны быть изначально сформулированы в архитектуре, которая опирается на безопасность, минимизирует доступ сотрудников к существенной информации. Используйте для этого стандарты ISO 27000/GDPR, они особенно пригодятся для последующего выхода вашей компании/продукта на европейский и глобальный рынок.

Проводите ваших сотрудников через сертификацию. Если это разработчики, то цикл разработки должен включать дополнения Secure SDLC. Используйте документацию OWASP, особенно полезен SonarQube для статического анализа кода с учетом актуальных версий этих правил безопасности.

Сотрудники по информационной безопасности в компании должны быть наиболее высокооплачиваемыми среди инженеров такого же технического уровня. Соответственно высокой должна быть и степень контроля за ними — недопустимо одному сотруднику иметь ключи от всех «дверей».

Никогда не используйте корпоративный почтовый аккаунт для сторонних сервисов (all access), даже для входа в финансовую систему, и ни в коем случае не дублируйте пароли. Если вы топ-менеджер, особенно связанный с финансами — фишинг и социальная инженерия уже работают против вас. Аккуратно составленное письмо бухгалтеру от «вашего имени» с «настоящим» адресом в поле «От кого», скорее всего, уже лежит в его «Входящих». Поэтому привилегированные аккаунты, принадлежащие начальству, финансовой службе, обязаны по умолчанию иметь многофакторную аутентификацию (MFA), реализованную по принципу «Something you know (пароль) + Something you have (физический токен, например, программа в телефоне) + Something you are (биометрика)». Опробовать средства MFA можно и в обычном почтовом акаунте Gmail. Используйте такие средства в дополнение к стандартному паролю, который так легко украсть, и не позволяйте с помощью вашего бездействия ломать все на свете.

В заключение, общая рекомендация для сторонников конкретных брендов и технологий в области информационной безопасности. Прежде чем выбирать любое техническое решение, сначала опишите бизнес-процесс. Затем опишите, что и как вы собираетесь защищать, и лишь затем выбирайте решение. Технические средства важны, но они существуют лишь для того, чтобы внедрить вашу методологию защиты и реализовать ваше видение.

EIS Group