ENGДля защиты от хакеров «Роскачество» советует заклеивать камеры ноутбуков и смартфонов, Microsoft — менять пароли на офисных принтерах и IP-телефонах, а безопасники и вовсе рекомендуют удалять, не глядя, рекламные рассылки — даже отписка от последних может дать шанс хакеру получить доступ к e-mail. Конечно, это лишь самые банальные и бесплатные предупреждения — рынок систем защиты от киберпреступлений ежегодно растет: к 2025 году компании по всему миру потратят на них уже $300 млрд. Увы, от хакеров деньги спасают далеко не всегда — как утверждает основатель израильской Высшей школы информационных технологий и безопасности HackerU Гиль Адани, хакеры могут взломать любую компанию: вопрос лишь в том, какую из них атаковать проще. Однако усложнить хакерам взлом корпоративной ИТ-системы и даже компьютера обычного пользователя вполне можно. Прогноз о ключевых трендах рынка кибербезопасности (к 2025 году он будет «весить» уже $300 млрд), которые позволят победить хакера будущего, а значит, их стоит брать на заметку компаниям и частным пользователям уже сегодня, подготовила аналитическая компания CB Insights. Рассказываем о самых важных и неожиданных.
Аудируем смарт-контракты
Если верить прогнозам IDC, то уже в 2019 году компании по всему миру потратят $2,9 млрд на технологию распределенных реестров (и кстати, это почти на 90% больше, чем было потрачено в 2018 году). Критически важной частью корпоративных блокчейн-систем станут смарт-контракты — автономные компьютерные программы, которые будут отвечать за широкий спектр задач, от выплат по облигациям и передачи прав собственности на недвижимость до установления подлинности фармпрепаратов.
Однако все более широкое внедрение смарт-контрактов в бизнес-процессы компаний заставит столкнуться последние с новыми киберугрозами. Примером может служить атака 2016 года на DAO, децентрализованную автономную организацию, представляющую собой краудфандинговую платформу на блокчейне Ethereum. Злоумышленники смогли похитить криптовалюту на сумму более $60 млн, воспользовавшись недостатком смарт-контракта.
По данным компании Hosho, в 2018 году уязвимости в области безопасности обошлись блокчейн-компаниям более чем в $2 млрд. Как показал аудит, минимум 1 из 4 смарт-контрактов имели критические уязвимости, а 3 из 5 — одну проблему безопасности.
Проблему помогает решить такая услуга, как аудит смарт-контракта. Сегодня уже появился новый класс стартапов, внедряющих технологии для защиты корпоративных блокчейн-систем с акцентом на аудит смарт-контрактов. Так, для мониторинга транзакций они используют технологию искусственного интеллекта, что позволяет выявлять подозрительную активность, а также сканировать сам код на выявление известных уязвимостей. Правда, аудит смарт-контрактов все еще остается дорогостоящим и трудоемким.
Изучаем квантовую криптографию
В будущем системы киберзащиты могут претерпеть кардинальную трансформацию — последняя будет зависеть от срока создания, а затем и вывода на рынок квантового компьютера. И конечно же, данная перспектива заставляет уже сегодня пересмотреть подходы к обеспечению кибербезопасности. Ведь возможность сверхбыстрых вычислений позволит квантовым компьютерным системам взламывать практически любые криптокоды, используемые для обеспечения безопасности конфиденциальных данных и электронных коммуникаций.
Выходом обещает стать квантовая криптография (или квантовое шифрование), в рамках которой информация передаётся с помощью фотонов. В такой системе перехват информации будет в принципе невозможен — для этого необходимо измерить характеристики фотона, что изменит их состояние и станет сигналом о взломе.
Уже сегодня компании по всему миру заняты разработкой стратегии квантового шифрования, в том числе основанной на «теории решеток» (подразумевает сокрытие данных внутри сложных алгебраических структур). Считается, что последняя станет неуязвимой для квантовых компьютеров. Спрос на квантовые криптографические системы обещает быть по-настоящему огромным — прежде всего они будут задействованы в рамках технологии интернета вещей и 5G. По оценкам компании Market Research Media, глобальные квантовые криптографические коммуникации к 2025 году вырастут в индустрию с оборотом в $24,75 млрд.
Покупаем киберстраховку
Одной из проблем, с которой рано или поздно сталкивается каждая компания, остаются трудности точного прогнозирования киберрисков. В результате инвестиции в киберзащиту все чаще воспринимают как неоправданные траты с неясным горизонтом окупаемости. Зачастую это приводит к снижению даже оправданных расходов на защиту от хакеров. Выходом может стать приобретение киберстраховки — несмотря на то, что на рынке данный вид страхования существует не первый год, отношение к нему нередко скептическое, в том числе из-за неясного принципа оценки рисков и стоимости услуги. Однако в будущем спрос станет только расти. Так, уже к 2020 году объемы возмещения в рамках страхования рисков в сети до $20 млрд (в 2016 году цифра была втрое меньше).
Сегодня уже наблюдается рост инвестиций в стартапы, предоставляющие рейтинги киберрисков безопасности для страхования, в том числе со стороны страховщиков. Приобретение компанией Guidewire стартапа для моделирования киберрисков Cyence за $275 млн стало одной из крупнейших сделок в 2017 году, и также привлекло внимание к нише растущего рынка.
Выбираем открытый код
Уже сегодня все больше компаний переходят на программное обеспечение с открытым кодом и в результате подвергаются дополнительным вызовам кибербезопасности. Риски велики, особенно когда открытый исходный код попадает в критически важные корпоративные приложения. Так, масштабную утечку клиентских данных в бюро кредитных историй Equifax в 2017 году сегодня связывают именно с уязвимостью в платформе с открытым кодом Apache Struts, которую использовала компания (тогда в сеть утекли данные более 148 млн пользователей). Число подобных уязвимостей растет с каждым годом. По данным стартапа из сферы кибербезопасности Snyk, только в 2017 году число уязвимостей, зарегистрированных во всех реестрах с открытым исходным кодом, увеличилось на 43%, а в 2018 году число уязвимостей выросло еще на 33%.
Одной из самых больших проблем для таких решений остается публичность уязвимостей в коде в случае обнаружения. Обычно доступ к такой информации свободно получают все пользователи для оперативного внесения исправлений. Однако далеко не все компании реагируют оперативно, чем в итоге пользуются хакеры (так и случилось с Equifax). Компании также бывают не способны самостоятельно исправить уязвимости для отражения даже самых обычных атак.
Тем не менее у ПО с открытым исходным кодом есть свои плюсы. Как минимум поиском уязвимостей заняты «тысячи глаз», а значит, вероятность их своевременного обнаружения «белыми» хакерами чрезвычайно высока. Также такое ПО позволяет программистам немедленно исправлять уязвимости (в случае с лицензированным многое зависит от скорости реакции поставщика). Неудивительно, что на рынке появляется все больше стартапов, которые готовы обезопасить рынок программного обеспечения с открытым кодом, который, по оценкам аналитиков, сегодня составляет около $14 млрд.
Автор: Ольга Блинова
