Киберстрахование продолжает вызывать у многих в отечественном IT типичную “WAT?” реакцию. Но это нормально и лишь доказывает, что несмотря на все терабиты/с океанических кабелей, тренды по-прежнему перебираются через океан года за три-четыре. Но в последнее время из-за ряда всем известных событий киберстрахование стремительно перестаёт быть какой-то малопонятной нишевой историей. И есть мнение, что до нас эта волна докатится не через три года, а гораздо быстрее.
Поэтому давайте разбираться, что случилось и чем это всем нам грозит. План для беседы предлагаю следующий: что было вчера, почему всё изменилось, к чему это привело, что делать на местах и как не разориться в попытках обезопасить себя от всех напастей этого мира.

Призрак прошлого


Программы-зловреды сопровождают IT-отрасль на протяжении всей её истории. Это и банальные вирусы, затирающие всё на своём пути нулями, и более продвинутые решения, занимающиеся хищением данных. Но несколько особнячком всегда стояли так называемые ransomware — программы-вымогатели. Они ничего не удаляют и не пытаются выкачать гигабайты ваших файлов. Они просто зашифровывают всё, до чего дотягиваются, и просят денег за обратную операцию. Типичный технологический дуализм — благая идея защитить свои данные от третьих лиц в руках ловких парней превращается в оружие массового поражения. Напоминает ситуацию с динамитом, который был придуман на благо горнодобывающей промышленности, но потом решили, что и для сноса вражеских городов он вполне подходит. Но это я отвлёкся.

Итак, давайте вспомним, какова была обстановка до 2020 года. Если рассматривать те прекрасные времена через призму количества бизнесов, на практике осознавших решающую роль IT в их существовании, то можно смело говорить, что до ковида IT росло хоть и бурно, но не сильно торопясь. Просто вспомните, сколько было разговоров про цифровизацию, про немыслимые объёмы пользы, которые она может принести, и так далее. Но от разговоров к делу переходили единицы. То есть приходилось ходить и доказывать, какой ты нужный.

Со зловредами ситуация была примерно такая же. Они были, и с ними боролись. Иногда проигрывали они, иногда мы. Зато все носили перед собой лозунг “Никогда не платить вымогателям” на вытянутых руках и в случае каких-то инцидентов зачастую могли себе позволить позвать профильных специалистов, которые долго и печально будут стараться расшифровать всё обратно. А пока люди работают, можно спокойно отключить офис от внешнего мира, всё почистить и достать из бекапов все данные. Да, конечно, так было далеко не у всех, но общие настроения были довольно расслабленные, если сравнивать с тем, во что это превратилось.

Ну а раз есть риски, значит, можно предложить их застраховать, ибо почему бы и нет, если да. Святое правило всех страховщиков. И как это заведено, если есть товар, то есть и купец. Так появилось понятие Cyber Insurance, которое у нас называли то киберстрахование, то страхование цифровых рисков, то просто страхование от потери данных. Словом, начало было положено. Но, как и в целом по отрасли, страхование это было довольно расслабленное. Оно стоило копейки, не особо было понятно, что именно застраховано, от чего мы защищаемся и каким образом можно добиться выплат в случае ахтунга. Но большая сумма в конце полиса отлично компенсировала все неудобные вопросы и внушала чисто психологическое спокойствие, никак не подкреплённое техническими гарантиями чего бы то ни было. А требования, кстати говоря, у этих страховок к объектам страхования были не менее размытые, чем описания самих страховых случаев. “Страхователь должен обеспечить полный комплекс защитных мероприятий, направленных на сохранность данных”. Что за комплекс? Когда он становится полным? Кто эту полноту измеряет и какой линейкой? Вопросов всегда было больше, чем ответов. Да и вообще перечень необходимых условий для покупки страховки состоял в основном из списка политик, которые должны быть в компании. И чем толще эти политики, тем лучше. А если есть ещё и журналы, посвящённые количеству тренингов и учебных тревог, то вы вообще золотой клиент. А чего и как у вас там реализовано на местах, это дело десятое.

Словом, эти страховки зачастую защищали непонятно что от непонятно чего и на какую сумму. Злой хакер зашифровал наш файловый сервер — наверное, это страховой случай, но давайте уточним, как так получилось. А если девелопер случайно угробил боевую базу, а последний бекап был неделю назад — это страховой случай или вина админа на местах? А что делать, если пользователь удалил важное письмо в почте? Это же вообще можно к саботажу приравнивать.
Эта ситуация была следствием того, что со стороны страховщиков формулировками занимались аналитики, открывшие для себя совершенно новую сферу — IT. А со стороны компаний им отвечали юристы, которые IT к процессу согласования привлекали постольку-поскольку. Последние, к слову, больше следили за грамотностью формулировок, чем занимались вдумчивым анализом рисков и их покрытием. Ибо, как мы знаем, юридический язык простым смертным понять не дано. Это уже потом в компаниях задумаются о профильных специалистах по кибербезопасности, начнут появляться всякие индустриальные стандарты и возникнут слова вроде SOC. А пока за всё отвечает сисадмин и его начальник.

Так что хоть стоимость страховки и была копеечной, она просто позволяла щегольнуть фактом своего существования перед высоким начальством, чем приводило последнее в неописуемый восторг. Страховка есть, значит, мы защищены и все молодцы. Главное — не вникать в детали.

Так все и жили много лет. Вирусы умнели, средства защиты хорошели, на местах набирались опыта. Типичное соревнование брони и оружия. А потом грянул ковид.

Призрак настоящего


Если откинуть шелуху и обратиться к голым фактам, то в IT-индустрии случился лавинообразный рост, причём практически одномоментный. Теперь, когда IT приходило к руководству, вопросы “А зачем это мне?” были заменены на “А как нам это сделать и побыстрее?”. Владельцы бизнесов на практике столкнулись с тем, что если тебя нет в сети, ты не существуешь для клиентов. Если твой сайт/приложение не работает достаточно стабильно, от тебя уйдут к конкурентам. Твои услуги могут быть сколь угодно лучше и дешевле, чем у соседа, но если процессы у соседа работают лучше и стабильней, деньги твоих клиентов окажутся у него. А всего-то и надо было — перейти на удалёночку и погрузиться в самоизоляцию.

Поэтому даже самые убеждённые ретрограды бросились изучать вопросы масштабирования и переезда в облака. Но что нас больше всего интересует в разрезе темы статьи — это возросшая ценность данных и понимание огромной важно обеспечения их доступности онлайн. Больше никто не хочет сидеть и умиляться, как величайшие умы вторую неделю бьются над дешифровкой его данных. Лозунг “Никогда не платить вымогателям” как-то сам собой сменился на “Научите, как побыстрее платить этими вашими битками”. О том, почему это очень плохо, мы ещё поговорим чуть ниже. Причем, если раньше безопасник вместе с бухгалтерией вынимали вам душу перед оплатой каждого счёта, требуя вагон каких-то бумажек на любого контрагента, то теперь деньги готовы отправлять даже на деревню дедушке. Мало кто заморачивается над такой вещью, как гарантия ответа. Или что в ответ будет прислан валидный ключ. Просто возьмите наши деньги и присылайте уже побыстрее волшебную строчку, а то у нас продажи стоят. Особенно этот сценарий стал актуален для тех, у кого миллионные выкупные суммы выглядят незначительными на фоне возможных общих потерь от простоя.

Если вы думаете, что это всё фантазии автора и быть такого не может, то в отчёте Sophos о минувшем годе приводятся следующие цифры:
  • Атаки совершались на 51% компаний. И это только лишь те, кто заметил и сознался в этом. Если взять молчунов и уклонистов, цифра будет ещё больше.
  • В 73% случаев проникновения данные были успешно зашифрованы. То есть мало кому интересно заморачиваться с воровством ваших данных, их анализом и дальнейшими коммуникациями. Оставить всё на месте и просить выкуп за возврат доступа — вот современный тренд.
  • 26% заплатили вымогателям. Опять же, здесь только те, кто сознался в этом. Но даже без их учёта получается, что как минимум каждому четвёртом проще заплатить, чем заморачиваться с поиском вариантов по восстановлению. Это, на самом деле, очень много.
  • Ну и в завершение мощная цифра: 761 000 $. Примерно в такую сумму обходится “средняя в вакууме” атака для компаний. Здесь учитывается и сумма выкупа, и простой, и всё-всё-всё. У вас есть лишний лям долларов? Хорошо, если да, иначе…

Так что рынок вымогателей тоже серьёзно вырос. Есть такая глобальная метрика, как количество секунд между атаками. Она, может, и притянута за уши, но зато отлично показывает общие настроения в сети. И говорит она нам, что за последние шесть лет это время уменьшилось в десять раз. Было 120 секунд, а стало 11. И, что интересно, рост размера общего ущерба оценивают примерно в той же динамике.

Но это совершенно не значит, что сами программы-вымогатели стали умнее, а их алгоритмы сильно хитрее. Нет. Просто за лёгкой наживой потянулось множество тёмных личностей, и рынок ответил им новым ...as a Service. Если раньше тебе надо было самому искать уязвимости, уметь что-то писать и думать над средствами доставки, то теперь ты просто можешь купить готовый сервис, которому останется только указать уязвимую жертву. А то он и сам всё за тебя подберёт и сделает, оставив себе небольшую копеечку за труды на счете владельца.

С другой стороны, компаний, избегающих установки security апдейтов, тоже меньше не становится. Можно даже сказать, что косвенно их число выросло. Если раньше у тебя под столом стоял сервер, куда ты накатил антивирус с фаерволом и был доволен как лось, то теперь сервер уехал в облака, а продакшн крутится в K8s кластере (ну ты модный или нет, в конце концов?). А как это всё грамотно настроить, ты так до конца и не разобрался, ибо было некогда. И сколько таких компаний в сети, у которых детских ошибок в конфигурации как у дурака фантиков — одному Shodan’у известно. И, опять же, это видно по независимым репортам. При возможности выбора нескольких точек для развития более трети респондентов выбирают именно риски, связанные с безопасностью. А навыки, необходимые для внедрения новых технологий, находятся на втором месте. Вот в такое волшебное время мы живём.

А теперь вишенка на торте: не смотря ни на что, платить вымогателям стало ещё более плохой затеей, чем было раньше. Вот примерный список причин:
  • Санкции. Да-да, они самые. Санкциями сейчас плотно обложили друг друга все, кому не лень. Причём если даже не напрямую, то косвенно точно. Вас поломали и вы заслали сотку баксов за ключик? Вроде всё хорошо и вы легко отделались, но нет. Через день выяснится, что ваша денежка ушла в страну под санкциями, и для клиентов из США вы теперь — компания, спонсирующая террористов. Так что с этого дня у вас больше нет клиентов из США. И это не шутка, не фантазия, это действительно так работает — тамошние регуляторы слишком ревностно следят за подобными нарушениями.
  • Вы отправили N битков по адресу из сообщения, а в ответ — тишина. Или не тишина, а предложение отправить ещё побольше денег, потому что на том конце провода так захотели.
  • Вы заплатили, вам прислали ключик, а он не подходит. Вы недоумеваете и пишете ещё одно письмо, а в ответ “Ну сорян, вроде должно было сработать. Но, похоже, мы чего-то перемудрили. Видимо, это всё, ещё раз просим пардона, что вот так вот вышло”.
  • Вы заплатили, получили, расшифровали, и всё хорошо, а через день ловите то же самое, но уже от других ребят. А им совершенно не интересно кому там и что вы уже платили. У них свой бизнес. Вот так тоже бывает.
  • Вы заплатили и запустили всё обратно, но хакер оставил себе бекдорчик и теперь может преспокойно следить за всеми вашими телодвижениями и использовать себе во благо вашу инфраструктуру и ресурсы. Особенно будет смешно, если у вас есть информация попадающая под гриф секретности или гостайны.
  • Вы заплатили, получили ключик, он подошёл, но тут выясняется, что расшифровка будет идти несколько дней. А то и недель. Вы же не думали, что они заморачивались над многопоточной расшифровкой ранее зашифрованного?
  • И это всё без учета того, что законодательство многих стран напрямую обязывает вас публично сообщать о подобных инцидентах, что влечёт за собой падение вашей репутации куда-то в грязь. Да, и не просто сообщать, а во всех деталях — как вас взломали, какие данные пострадали, и чем это всё грозит.
  • Уже прямо сейчас, когда речь заходит про большие компании и их данные, с подрядчиков требуют пройти аудит на соответствие стандартам кибербезопасности. И если там всплывёт нечто, похожее на откуп от злоумышленников, дальше с вами разговаривать даже не будут.

Видя всё это безобразие, страховщики – как люди, очень хорошо умеющие в стат.анализ — поняли, что дело пахнет керосином, и надо принимать меры. Но подобные вещи делаются всегда комплексно и с соблюдением причинно-следственных связей.
Выросло количество успешных атак — больше обращений от клиентов, больше выплат, значит, стоимость страховки надо увеличить. А тут как раз подоспели самые разнообразные стандарты и требования от правительства, дабы найти несоответствие им и отказать в выплате.
Выросло количество успешных обращений от клиентов — надо более чётко сформулировать риски. Благо теперь у всех уважающих себя компаний есть выделенные специалисты, которые могут внятно сформулировать список рисков и их важность для компании. Да и политики теперь пишутся не для того, чтобы лежать в столе, а по-настоящему соблюдаются.
Надо снизить размеры выплат — давайте предъявлять более строгие требования к инфраструктуре заказчика. А там и вообще окажется, что ради соответствия требованиям страховщиков надо потратить столько денег, что проще и вовсе не покупать полис.
Так что киберстэффектно махать на публику, эта история вдруг стала вещью со следующим набором признаков:
а) стоит очень прилично денег
б) позволяет действительно компенсировать потери от простоя, если правильно описать все риски
в) служит неплохой проверкой вашей инфраструктуры на соответствие современным индустриальным стандартам.

О каких таких стандартах идёт речь выше? Ну, например, наверняка все слышали, что государства предъявляют вагон требований к компаниям, связанным с медициной, касательно хранения данных своих пациентов. Что-то типа ‘’если ваша фирма оказывает медицинские услуги, то все данные о пациентах должны храниться 25 лет”. Страховщики ребята тоже не глупые и смекнули, что 25 лет, может, и перебор, а вот требовать хранить данные хотя бы полгода на неизменяемых носителях (это те, которые immutable) вполне даже разумно. И таких требований уже собралось на весьма неплохую методичку. Только теперь это не выдумки далёких от IT людей, а выжимка практического опыта из самых разнообразных ситуаций, приводивших к потере данных.

Забавная ситуация получается. Можно описать как “Если вы сами не хотите жить безопасно — мы вас заставим”. Не соблюдаете правила банальной гигиены? Не приходите жаловаться, когда живот прихватило. Если вдуматься, то всё так и должно быть. И даже больше — я уверен, что со временем оно так и станет. Просто люди ещё до конца не научились здраво оценивать ценность своих данных и сейчас зачастую или бездумно вваливают деньги в хранение никому не нужного мусора, или забивают на всё, пока петух в известное место не клюнет.

“Админы делятся на 10 типов” на новый лад


Помните известное правило 3-2-1? Три копии, два типа носителей и один на удалённой площадке. А знаете, сколько раз его уже пытались изменить и улучшить? В начале админы просто делились на тех, кто ещё не делает бекапы и кто уже делает. Потом появился третий, самый продвинутый вид, который ещё и проверяет сделанные бекапы. Разумно, ничего не скажешь! Но тут окружающие реалии подкидывают нам четвертого в семью, этакого настоящего морского волка, который видел суровую правду жизни и теперь точно знает, как правильно. Он-то уже видел, что нынче самые хитрые зловреды первым делом зашифровывают именно файлы бекапов и что бекапы надо хранить не просто офсайт, а на физически отключаемом офсайте. И что даже физически отключив своё хранилище последней надежды от всего на свете, его не отключить от обслуживающего персонала. А значит, оно должно быть с тем самым свойством иммутабельности. Так что простое, понятное и красивое правило 3-2-1 превращается в неудобоваримого монстра 3-2-1-1-0. Где вторая единичка означает офлайн/неизменяемую копию, а ноль отвечает за количество ошибок при проверке бекапа.

И это ещё явно не конец истории. Сейчас мы находимся в таком месте, где если вы не занимаетесь вопросами защиты своих данных, вам легко и очень наглядно продемонстрируют, почему вы не правы. И жалеть или тем более помогать вам никто уже просто так не будет. За свои ошибки нынче принято платить очень дорого.

Так что посмотрим, что будет через год-другой. Поэтому не прощаюсь, и до новых встреч =)