Андрей Нуйкин, ЕВРАЗ: «Чем раньше разработчики и бизнес будут учитывать требования безопасности, тем проще и безопаснее будет конечный продукт»

Андрей Нуйкин, начальник управления информационной безопасности, ЕВРАЗ, и спикер Десятой конференции «Информационные технологии в казначействе», рассказал CFO Russia, почему в последнее время повысилось число кибератак на российские компании, а также рассмотрел основные требования по информационной безопасности к разрабатываемым системам и мониторинг поверхности атаки подрядчика.

Каковы основные причины увеличения атак на российские компании?

Значительный рост числа кибератак на российские компании наблюдается в связи с текущей геополитической обстановкой. Наряду с физическим конфликтом активно развивается и киберпространство, где проводятся операции различными участниками, включая государственные и негосударственные структуры.

Если ранее основной целью атак было получение финансовой выгоды, например, посредством программ-вымогателей, то в настоящее время преобладают атаки, направленные на разрушение инфраструктуры: шифрование и удаление данных без последующих требований выкупа.

Кибератаки существовали всегда, однако после 2022 года их количество, сложность и потенциальные последствия значительно возросли.  В частности, в последнее время сообщалось об атаке на компанию «Аэрофлот», которая, к счастью, смогла оперативно восстановить работоспособность.

Каковы основные требования по информационной безопасности к разрабатываемым системам?

При разработке систем ключевым требованием является обеспечение безопасности на всех этапах жизненного цикла. Хотя многие разработчики осознают важность информационной безопасности и стремятся к ее соблюдению, часто возникают противоречия между приоритетами разработки и безопасности.

Традиционно для разработки приоритетом является скорость вывода продукта на рынок. Однако необходимо учитывать, что скорость и удобство часто находятся в обратной зависимости от безопасности. Стремление к быстрому и удобному решению может привести к снижению уровня безопасности, и наоборот. Важно найти баланс между этими факторами.

Достижение этого баланса требует совместных усилий команд безопасности, разработки и бизнеса, который инициирует разработку. Существуют стандарты и методические рекомендации по безопасной разработке, например, документы ФСТЭК по РБПО (разработка безопасного программного обеспечения), которые содержат набор требований и процессов для обеспечения безопасности.

Внедрение этих требований может усложнить процесс разработки, однако, чем раньше разработчики и бизнес будут учитывать требования безопасности – уже на этапе написания технического задания и проектирования архитектуры – тем проще и безопаснее будет конечный продукт.

Можете привести в пример конкретные пункты из документов требований к системам по обеспечению безопасности?

В документах требований к системам по обеспечению безопасности очень много. Среди них можно выделить следующие ключевые пункты:

Помимо требований к разработке, важную роль играют инфраструктурные аспекты, такие как регулярная проверка кода на наличие распространенных уязвимостей. В качестве примера, список «Топ-10» наиболее распространенных уязвимостей веб-приложений, публикуемый организацией OWASP. При разработке систем с веб-интерфейсом рекомендуется проводить анализ на соответствие этим требованиям, чтобы минимизировать риски.

Из каких этапов состоит мониторинг поверхности атаки подрядчика?

Мониторинг поверхности атаки подрядчика – важная мера для снижения рисков безопасности. Процесс состоит из следующих этапов:

1. Идентификация подрядчика: необходимо четко определить данные о подрядчике, включая наименование и ИНН.

2. Определение цифровых активов: после идентификации необходимо определить принадлежащие подрядчику домены и сетевые подсети.

3. Выбор метода мониторинга: существуют два основных подхода:

Активный мониторинг: предполагает активное сканирование и изучение инфраструктуры подрядчика на предмет уязвимостей.

Пассивный мониторинг: заключается в сборе информации о подрядчике из открытых источников и сетевого пространства.

4. Проведение активного мониторинга (при необходимости):

Юридическое оформление: активное сканирование требует предварительного согласия подрядчика, оформленного в каком либо виде, разрешающего проведение исследования. Рекомендуется проводить активный мониторинг до заключения основного договора с подрядчиком.

Анализ инфраструктуры: активное сканирование позволяет оценить уровень защиты подрядчика, выявить уязвимости в его периметре и общее состояние безопасности.

5. Пассивный мониторинг: поиск упоминаний о подрядчике на хакерских форумах, выявление фишинговых доменов, связанных с подрядчиком, и анализ других данных, которые могут указывать на текущие или планируемые атаки.

6. Оценка рисков: анализ полученной информации для оценки потенциальных рисков, связанных с использованием услуг данного подрядчика.

Регулярное проведение мониторинга поверхности атаки подрядчиков является важной частью общей стратегии обеспечения информационной безопасности, особенно в условиях роста числа атак, осуществляемых через цепочки поставок.

Задать свои вопросы Андрею и узнать больше об опыте компании ЕВРАЗ вы сможете на Десятой конференции «Информационные технологии в казначействе», которая пройдет 13 марта 2026 года в Москве.

Юлия Сильченко