Привет, меня зовут Иван Дмитриев, директор по информационной безопасности TalentTech. Я в нашем ИТ-холдинге отвечаю за безопасность продуктов, их соответствие законодательству и за то, чтобы у клиентов не возникали дополнительные риски после применения наших продуктов для цифровой трансформации бизнеса.
После публикации «Коммерсанта» о возможных проблемах банков, вызванных окончанием поддержки операционных систем поколения Windows 7, в сообществе появились разные мнения как по поводу перспектив комплаенса требования регуляторам, так и о реальной защищенности информационных систем.
Действительно ли так страшен черт? И как это касается других сфер бизнеса, ведь не банками едиными? И какие риски есть у обычных людей, пользующихся компьютерами с неактуальной версией ОС? И что же нам с этим делать? Именно на эти вопросы я хочу порассуждать в этом посте.
Проблемы банков из-за Windows 7 сильно преувеличены
Окончание технической поддержки компанией Microsoft операционных систем Windows 7 и Windows Server 2008 c 14 января вызвало определенные волнения в информационном пространстве. Все начинают говорить о том, что это ставит банки в невыгодное положение.
Есть прямые требования регуляторов о запрете использования несертифицированного ПО, а согласно нормативной документации ФСТЭК (приказ № 55) сертификат на программное обеспечение прекращает свое действие вместе с окончанием срока технической поддержки производителем.
Безусловно, банки – одна из самых лакомых целей для киберпреступников. Также банковская сфера – одна из наиболее диджитализированных в экономике. Давайте разберемся, чем окончание поддержки грозит частным лицам и компаниям из других областей.
1. Поддержка не была прекращена внезапно и о ее грядущем окончании было сообщено заранее (23 марта 2019) и к этому надо было готовиться, тем более, что у всех была возможность бесплатно “мигрировать” на Windows 10.
2. Если говорить о реальной защищенности, то 15 января машины, под управлением "устаревших" версий Windows не стали более уязвимыми по сравнению с 14 января. Окончание поддержки – просто весомый аргумент задуматься о том, что пора обновляться. Это не означает, что можно бесконечно пользоваться устаревшими версиями ПО: после окончания поддержки компьютеры и серверы под управлением устаревших ОС будут становиться более уязвимыми, ведь ландшафт угроз прогрессирует, а встроенные механизмы защиты стагнируют.
3. Говорить о полном окончании поддержки рано. Как показывает практика, при выявлении серьезных угроз Microsoft выпускает патчи безопасности для выведенных из поддержки ОС, как это было в случае с экспортом Eternal Blue. Но это уже по желанию вендора.
Почему Windows 7 вообще до сих пор используют
В банковском секторе, скорее всего, проблем с обновлениями нет. Бюджеты на IT позволяют планово переходить на поддерживамые версии ОС.
Отсутствие обновлений безопасности – это хороший ландшафт для веерных автоматизированных атак. Ботнеты, да и простые злоумышленники могут сканировать общедоступные сети на предмет выявления уязвимых машин и попытки их эксплуатации. Возможна очередная волна заражения ransomware – так называемым, вирусом-вымогателем.
Даже если бюджеты – не проблема, не всегда возможно перейти на новую версию ОС. Так, например, некоторые продукты по сопровождению рекрутмента, работающие on-premise, то есть которые разворачиваются внутри периметра компании-пользователя, критичны к версии ОС, на которой развернут сервер. Это происходит из-за невозможности обновить СУБД (система управления базами данных) или усложненной процедуры миграции данных.
Кроме того, нередко используются самописные (разработанные внутри компании) решения, написанные много лет назад и использующие технологии, не совместимые с актуальными операционными системами. Облачные решения типа Potok.io – платформы для автоматизации рекрутмента IT-холдинга TalentTech – для клиента попросту не создают таких проблем. Для работы с ними необходим всего лишь браузер.
Вся логика Potok.io, так же как и других наших продуктов, работает на обслуживаемой нами инфраструктуре. Мы не используем неактуальные технологии, постоянно следим за составом и актуальностью компонентов наших продуктов. За счет применения современных технических средств, например, сканеров уязвимостей, мы почти в режиме реального времени выявляем компоненты, которые имеют известные уязвимости.
Время на их устранение – не более 12 часов. Кроме того, перед выпуском наши продукты проходят серьезную проверку. Мы анализируем исходный код, и не допускаем того, чтобы индекс его безопасности опускался ниже 4.3 из 5. Другие пункты защиты я не буду раскрывать, так как наши проекты публичны и мы также представляем интерес злоумышленников.
Однако нельзя утверждать, что антивирус на машине под управлением устаревшей ОС – панацея. Защита должна быть выстроена и на других уровнях корпоративной сети: например, пограничный межсетевого экрана, анти-спам и антивирусной проверки, попадающей в периметр информации, безопасное применение отчуждаемых носителей информации, применение доверенного ПО, honeypot'ы и другие средства защиты.
В ближайшие несколько месяцев нахождение в периметре машин под устаревшей ОС – даже большая проблема, чем по неосторожности опубликованный в публичный доступ инстанс NoSQL СУБД. Принимать меры к закрытию рисков надо уже сейчас.
Начните делать это немедленно
1. Обновляйтесь.
Планомерно, без влияния на проектные и операционные процессы. (Ваш Кэп)
2. Проверьте свой публичный периметр (например, с помощью бесплатного Greenbone Security Manager, ранее известного как OpenVAS, или других решений) на предмет наличия открытых портов, хостов серверов и компьютеров под управлением устаревших ОС.
3. Поставьте периметр на постоянный мониторинг.
Выявляйте уязвимые узлы в режиме реального времени. Все современные сканеры (в том числе и бесплатные) могут с установленной периодичностью проводить поиск уязвимых узлов и оповещать об этом заинтересованных лиц (администраторов или сотрудников ИБ). Есть шанс, что вы это сделаете быстрее, чем ботнет. Вопрос остается в скорости реагирования заинтересованных лиц, а также гибкости и возможности внесения изменений в инфраструктуру. Но тут на каждом предприятии – своя кухня. Именно публичный периметр компании – основной путь проникновения в корпоративные сети.
Уязвимые машины во внутреннем периметре – это риск, которым надо управлять. Постарайтесь минимизировать количество Windows 7 в корпоративной сети. Если есть необходимость – оставляйте их только под функции, для которых критично использование устаревшей ОС. Можно применять open-source виртуализацию: обновите ОС, установите на нее Oracle Vitualbox c образом устаревшей операционной системы и установите на нее только то ПО, которое не может функционировать иначе. Проявляйте инженерную смекалку. Все можно сделать относительно безопасно!
Ваши сотрудники должны знать о киберугрозах
Работайте с персоналом. Люди должны быть осведомлены о методах современных злоумышленников. Все сферы бизнеса сейчас стремятся к цифровой трансформации и немаловажным вопросом остается то, насколько сотрудники способны встроиться в меняющиеся и цифровизирующиеся бизнес-процессы. Риски неосведомленности в элементарных гигиенических правилах кибербезопасности выходят на новый уровень актуальности. Выявить пробелы и довести уровень компетенций на необходимый компании уровень – вызов информационной безопасности бизнеса эпохи цифровой трансформации компаний.
Нужно ли добиваться того, чтобы любой сотрудник компании мог по щелчку пальца отличить фишинг от социальной инженерии? Мое мнение – нет! Он должен знать, что не стоит переходить по ссылкам из странных писем, и тем более открывать вложения к ним или вставлять найденную где-то флэшку в свой рабочий компьютер.
В этом и заключается моя работа (и коллег по цеху) – в повышении осведомленности персонала и развитии базового уровня компетенций сотрудников в период цифровой трансформации бизнеса. Общайтесь с коллективом, фокусируясь не только на интересах бизнеса. Учите коллег защищать личное информационное пространство и тем самым управляйте рисками бизнеса. Проводите киберучения, делитесь результатами, рассказывайте о печальном опыте и предлагайте варианты исправления ошибок на будущее.
Вместо заключения
Если говорить о рисках для частных лиц, я бы посоветовал воздержаться от подключения компьютеров с ОС Windows 7 к публичным и незащищенным сетям.
Можно привести в пример риски собственного ущерба от компрометации информации на компьютере: ваши учетные записи, платежная информация, переписки и прочее. Задумайтесь о том, сколько денег может лежать на той карте или на счету в банке/платежной системе, ведь всеми этими инструментами вы платите через интернет. Это первая составляющая потенциального ущерба.
Мы все сейчас выстраиваем коммуникации через интернет. Конфиденциальная информация в переписке тоже может быть использована против вас и она имеет свою цену. И, наконец, сколько стоят ваши цифровые активы? Учетные записи в онлайн-играх, аккаунты в социальных сетях? Ведь вы в них инвестировали свое время, а иногда и деньги, то есть у них тоже есть стоимость.
Сложите вышеперечисленные показатели. Сравните с затратами на обновления и базовый набор персональных средств защиты информации (антивирус, облачное резервное хранилище, менеджер паролей и другие). Скорее всего, вы поймете, что инвестиции в свою информационную безопасность оправданы. И применяйте все те же рекомендации по ИБ, которые дают мои коллеги на работе, в своем личном информационном периметре.