В первый день прозвучало более 50 докладов, прошли мастер-классы и круглые столы, стартовали десятки хакерских конкурсов.

Тенденция к ухудшению

В рамках форума был представлен отчет аналитического центра Positive Technologies — Positive Research 2016. Эксперты отмечают ухудшение общего уровня защищенности информационно-телекоммуникационных систем практически во всех областях. Защищенность IT-инфраструктур крупных компаний по-прежнему оставляет желать лучшего: в каждом втором случае (46%) для получения доступа к ресурсам внутренней сети злоумышленнику достаточно даже низкой квалификации. Самые распространенные уязвимости — использование словарных паролей (53%), уязвимости веб-приложений (47%) и служебных протоколов (100%), неэффективность антивирусной защиты (91%), устаревшее ПО (82%).

Данные абонентов сотовой связи под угрозой: к такому неутешительному выводу пришли эксперты. Исследования защищенности сетей SS7, проведенные в 2015 году, показали, что в 89% случаев возможен перехват входящего SMS-сообщения, в 58% случаев — определение местоположения абонента, а в 50% —прослушивание звонков.

Банковская индустрия по-прежнему уязвима.

Все проанализированные экспертами Positive Technologies в 2015 году системы ДБО содержали уязвимости, причем 90% из них содержали критически опасные уязвимости, оставшиеся 10% — недостатки среднего уровня риска. В половине случаев механизмы двухфакторной аутентификаций с помощью одноразовых кодов, передаваемых через SMS-сообщения, отсутствовали или были реализованы некорректно. Мобильный банк на iOS на данный момент безопаснее решений на Android: серьезные уязвимости содержали 33% и 75% приложений соответственно.

Не отстает и сфера АСУ ТП: в 2015 году Positive Technologies обнаружила более 100 уязвимостей в промышленных системах управления, эксплуатация половины из этих ошибок может привести к отказу в работе оборудования. Наиболее уязвимы SCADA-серверы и HMI-панели, ПЛК и удаленные терминалы, сетевые устройства и инженерное ПО.

Актуальные проблемы информационной безопасности в разрезе государственной безопасности, бизнеса и технологий обсуждались на пленарном заседании «Те, от кого зависит безопасность: очная ставка». В дискуссии принимали участие представители госструктур, производителей средств защиты, IТ- и ИБ-руководители крупнейших предприятий:

• Наталья Касперская, генеральный директор группы компаний InfoWatch,
• Виталий Лютиков, начальник 2-го управления ФСТЭК России,
• Олег Босенко, начальник управления защиты информации и инженерно-технической защиты службы безопасности НК «Роснефть»,
• Евгений Крайнов, начальник управления безопасности и защиты информации Росфинмониторинга,
• Кирилл Алифанов, директор по бизнес-процессам и информационным технологиям «Э.ОН Россия»,
• Борис Симис, заместитель генерального директора Positive Technologies,
• Дмитрий Гусев, заместитель генерального директора «ИнфоТеКС»,
• Владимир Бондарев, директор практики «Информационная безопасность» AT Consulting,
• Сергей Рыжиков, генеральный директор «1C-Битрикс»,
• Илья Федорушкин, генеральный директор Tizen Security Center.

Задал тон беседы Борис Симис, он поставил наболевший вопрос: безопасники замалчивают проблемы ИБ и не доводят их даже до руководства. С ним согласилась и Наталья Касперская, пояснив, что они «дорожат честью мундира». Борис Симис высказал мнение, что пока безопасники не признают, что их могут взломать, — невозможно выстроить систему информационной безопасности.

Развитие информационных технологий значительно опережает развитие защитных средств, и повышение уровня безопасности в масштабах страны возможно только при совместном участии государства, бизнеса и экспертов. В числе ответственных за информационную безопасность Виталий Лютиков назвал регуляторов, исследователей, заказчиков, интеграторов и разработчиков. Начальник 2-го управления ФСТЭК видит основную общую задачу в сокращении времени от момента, когда проблема обнаружена, до ее локализации и призвал всех «заниматься реальной безопасностью».