Али Бешара — специалист по кибербезопасности более чем с 20-летним опытом. Обладает сертификатами CRISC, CISM, CISA и MPA (1st Hns). В прошлом — CISO в компании The BENEFIT, ключевой финансовой транзакционной сети Бахрейна. Али также занимал высокие должности в органах электронного правительства, в Гражданской службе Бахрейна и крупных системных интеграторах. Признан одним из десяти лучших CISO на Ближнем Востоке (согласно IDC).
Сейчас Али предлагает услуги по консультации руководителей и повышению осведомленности в области кибербезопасности на уровне руководства в собственной консалтинговой компании CyberCrest Consulting.
Активность хакеров на Ближнем Востоке — Проблемы в сфере ИБ — Общение с бизнесом
Ведущий эксперт и консультант по кибербезопасности Бахрейна делится своим взглядом на индустрию и размышляет о культуре ИБ на Ближнем Востоке и в странах Персидского залива.
Растет ли число кибератак в вашем регионе?
Необходимо понимать, что кибератаки — постоянное явление. В первую очередь это связано с набирающей обороты цифровизацией, особенно после пандемии COVID-19. При этом все больше людей в нашем регионе начинают пользоваться специальными приложениями для банковских переводов и платежными системами, например BenefitPay. С их помощью можно оплатить даже услуги сантехника или клининг — любой маленький бизнес, крошечный магазин или уличное кафе принимают BenefitPay. Я вообще перестал носить с собой наличные.
Кроме того, набирают обороты дистанционная работа и обучение. Как результат — все больше людей (в том числе с низким уровнем компьютерной грамотности) входят в цифровое поле. Они тоже уязвимы и могут стать целью киберпреступников.
Какова основная цель хакеров в регионе? В первую очередь их интересуют финансовые учреждения и сервисы или что-то еще?
Финансовая система всегда была приоритетной целью для киберпреступников. У хакеров достаточно времени, чтобы создавать фишинговые кампании и стратегии, направленные на владельцев цифровых кошельков, операторов финансовых сервисов или банков. К сожалению, злоумышленники действуют масштабно.
Помимо кибератак на финансовые учреждения растет число инцидентов и в других сферах. На планете разворачивается множество военных конфликтов, но ракеты, танки и истребители — это лишь внешняя их часть. Помимо этого, идет большая, но скрытая от посторонних глаз кибервойна между государствами, иногда даже между близкими союзниками. Вот почему так много хакеров атакуют государственные сайты, учреждения и инфраструктуру.
На Ближнем Востоке Россия имеет хорошую репутацию в области кибербезопасности
Как вы оцениваете уровень цифровой зрелости различных отраслей в контексте защиты от киберугроз? Какой сектор экономики можно назвать наиболее защищенным?
Видите ли, традиционная цель и классический мотив для злоумышленников — это деньги. Но где их взять? В первую очередь, как я уже упоминал, они сосредоточены в финансовых учреждениях. Тем не менее этот сектор нельзя назвать самым защищенным — все зависит от конкретной компании. Зато его точно можно считать наиболее зарегулированным. Например, в Бахрейне в качестве одного из регуляторов выступает Центральный банк, а в Саудовской Аравии — Центральный банк и Управление рынков капитала. Для обработки платежей, произведенных с помощью кредитных карт, и предоставления связанных с ними услуг каждая компания должна обратиться в кредитно-справочное бюро Бахрейна. Чтобы получить доступ к более сложным услугам (например, токенизации), компании также потребуется соответствующий сертификат от Visa или Mastercard. Таким образом, вы должны инвестировать в комплаенс, но прежде всего — в саму кибербезопасность. И я бы сказал, что инвестировать нужно много — безопасность не может обходиться дешево!
Отмечу, что комплаенс не равен кибербезопасности. Некоторые компании видят его как процесс «проставления галочек». Иногда я становлюсь невольным свидетелем следующего: компания, к примеру, хочет внедрить DRP-решение, но планирует просто его установить — без каких-либо дальнейших действий. Т.е. ее задача — не обеспечить реальную безопасность, а пройти проверку регуляторов… Люди не понимают, что им нужна политика применения, чтобы каждый продукт был правильно внедрен профессионалами. Таким образом, соблюдение комплаенса не означает, что вы действительно защищены. Как профессионал в области кибербезопасности, я работаю над тем, чтобы изменить эту ситуацию. Я участвую в нескольких государственных комитетах Бахрейна по критической цифровой инфраструктуре: мы добиваемся, чтобы каждая отрасль имела собственные наборы правил, которые будут внедряться национальным центром кибербезопасности.
Исходя из вашего опыта и знаний, как можно оценить эффективность мер в области кибербезопасности в конкретном секторе экономики?
Классический подход заключается в том, чтобы давать всевозможные абстрактные оценки и метрики. Например, можно написать в отчете, что «программы-вымогатели нанесли ущерб в сотни миллионов долларов» или же «принятые меры позволили предотвратить десятки тысяч кибератак». Мне кажется, этот подход устарел. Я общался с членами совета директоров многих корпораций и могу подтвердить, что они придерживаются такой же точки зрения. Им нужны данные, которые наглядно отражают результат инвестиций: «Я вложил определенную сумму в ИБ-решение, и это защитило мой бизнес от стольких-то значимых рисков (штрафов, репутационных потерь и т. д.)». В этом случае они будут активнее инвестировать в кибербезопасность. Никому не нужны пустые цифры, которые нельзя с чем-то сопоставить. Все познается в сравнении, поэтому руководству требуются данные в контексте инвестиций.
Нужно говорить с бизнесом на одном языке. Технические навыки важны, но чем более зрелым специалистом вы становитесь, тем активнее вам нужно развивать soft skills. Иначе как вы сможете донести свою точку зрения до руководства?
Какие еще характерные проблемы в области кибербезопасности вы можете отметить?
Если говорить о небольших компаниях, основная проблема — финансы. Зачастую технологические и финтех-стартапы вынуждены соблюдать требования кибербезопасности, которые им просто не по силам выполнить. Властям неважно, небольшая у вас компания или крупная корпорация, созданная более 10 лет назад: они заявляют, что вы должны придерживаться многочисленных правил, например в части защиты персональных данных. Возможно, мы, как энтузиасты и эксперты в области кибербезопасности, сможем придумать, как помочь растущим организациям. Так, в некоторых странах Персидского залива при создании стартапа принято обращаться к местным консультантам, которые помогут вам сделать первые шаги в бизнесе.
Что касается крупных корпораций, они представляют более интересную цель для киберпреступников — от script kids до профессиональных группировок. Соответственно, бóльшие риски требуют бóльших инвестиций.
О чем еще стоит помнить: для успешного внедрения современных ИБ-продуктов каждая крупная компания должна иметь базовые ИТ-решения. Например, если вы хотите установить XDR-систему для выявления аномалий, вам нужно вести надлежащий учет рабочих станций и серверов. Иногда корпорации просто не обладают такими данными, а некоторые ведут учет виртуальных машин с помощью таблиц Excel. Как можно защитить что-то, о существовании чего вы попросту не знаете? И зачем покупать 5000 лицензий, когда у вас на самом деле только 2000 машин — это банальная бесхозяйственность.
Если хакеры атакуют финансовую или промышленную организацию, они атакуют государство
Как ваш регион развивается в части повышения ИБ-экспертизы и общего уровня осведомленности о кибербезопасности?
В последние годы многие государства финансируют и реализуют инициативы по повышению уровня цифровой грамотности с помощью образовательных ИТ- и ИБ-программ. Так, Национальный союз электросвязи Бахрейна классифицирует страны в соответствии с инициативами, к которым они присоединились. Все это, безусловно, способствует повышению киберграмотности в регионе.
Сегодня я специализируюсь на повышении осведомленности среди руководителей и членов советов директоров. Я фокусируюсь на стратегическом уровне управленцев, потому что именно они выделяют средства для приобретения средств защиты, запуска ИБ-проектов и т. д. Если у вас нет поддержки высшего руководства, ваши усилия бесполезны.
Подчеркну, что члены совета директоров — люди очень разные, однако порядка 90% из них обычно не обладают знаниями в области кибербезопасности. Поэтому компании всегда возлагают большие надежды на ИБ-экспертов — они должны быть компетентными и коммуникабельными, в противном случае совет директоров будет принимать ошибочные решения из-за недостатка информации.
Чувствуете ли вы нехватку технических компетенций и практических навыков у ИБ-специалистов на Ближнем Востоке?
Экспертиза и число специалистов в регионе растут. Многие интересуются обучением в области ИБ: учебные центры принимают значительное число студентов на курсы по кибербезопасности. На мой взгляд, наша сфера обрела популярность. Я не смогу дать четкий прогноз на следующие несколько лет, но знаю, что в одном из университетов Бахрейна количество студентов, обучающихся кибербезопасности, превышает 1200 человек. Для нашей страны это очень много.
Positive Technologies — важный партнер для национальных центров кибербезопасности. В России есть уникальная экспертиза, сконцентрированная внутри страны. В связи с политической обстановкой в мире многие международные компании отказались от сотрудничества с Россией, поэтому они не знают об угрозах, обнаруженных российскими ИБ-вендорами.