Обзорный доклад подготовлен для СИИС (Сибирский форум Индустрии Информационных Систем). http://siis.pro/ru/program/trendy-kiberbezopasnosti-ugrozy-i-vyzovy-v-2018-godu-boronin-valeriy.

1. СИИС 2018КОНФЕРЕНЦИЯ «СДЕЛАНО В СИБИРИ»
Linkedin.com/in/boronin
Валерий Боронин
Тренды кибербезопасности,
угрозы и вызовы в 2018 году

2. 1. В индустрии разработки ПО и безопасности 20 лет
2. Открыл и развил в Новосибирске R&D центры для
3. Лаборатория Касперского (ЛК), 2009 – н.в.
4. Positive Technologies (PT), 2015 – н.в.
5. Продукты и технологии, созданные в Новосибирске с
нуля, позволили обеим компаниям войти в Gartner MQ.
6. Работал CTO небольшой компании (30+ человек),
Директором по исследованиям большой (ЛК, 2500+
человек, 2009-2014), руководителем продукта и пр.
7. ESMT Европейская школа менеджмента и технологий
Менеджмент технологий и инноваций, Берлин, 2010–2011
8. 15+ публикаций в специализированных изданиях,
3 патента в США и ЕС (в соавторстве)
Валерий Боронин, linkedin.com/in/boronin
11 апреля, СИИС-2018, Новосибирск Тренды Кибербезопасности, Боронин Валерий 2

3. Угрозы растут быстрее, чем мы думаем
11 апреля, СИИС-2018, Новосибирск Тренды Кибербезопасности, Боронин Валерий 3

4. 1. Производство ПО – очень молодая индустрия.
2. Большинство ПО плохо написано и небезопасно.
3. Этому не учат, качественный код не поощряется,
в отличие от дешевого и быстрого.
4. Потребители не требуют безопасного кода.
5. Уязвимости и проблемы с безопасностью в т.ч. в железе.
ПО дыряво и ненадежно
11 апреля, СИИС-2018, Технопарк, Новосибирск Тренды Кибербезопасности, Боронин Валерий 4

5. Угрозы становятся больше!
11 апреля, СИИС-2018, Новосибирск Тренды Кибербезопасности, Боронин Валерий 5

6. 1. Интернет возник без безопасности, мы сейчас наверстываем.
2. Криптография, сетевая безопасность, общая информационная
безопасность (ИБ) – все это из специализированной предметной
области выплескивается в реальный мир и затрагивает всех
и вся.
3. Экономическая, физическая безопасность – уже невозможно
обеспечить без ИБ.
4. Компьютерная безопасность – теперь безопасность всего.
5. С одним критически важным исключением – угрозы становятся
больше!
Компьютерная безопасность -> безопасность всего
11 апреля, СИИС-2018, Технопарк, Новосибирск Тренды Кибербезопасности, Боронин Валерий 6

7. • Больше нет вещей с ПК, есть ПК с
прицепленными к нему вещами
• Существо из 3х частей
• Разница с классическим роботом
• Робот размером в целый мир
• Включает в себя все комп. Тренды
за последние десятилетия.
• Становится тем мощнее и умнее,
чем больше соединяем.
• И становится опаснее.
IoT и Робот размером в целый мир
11 апреля, СИИС-2018, Новосибирск Тренды Кибербезопасности, Боронин Валерий 7

8. 1. Атака сильнее защиты, в основе – сложность
2. Сложность умножается на подключенность «всего ко
всему» (connectivity) и создает новые уязвимости.
Каскадные атаки. Трансграничность. Нет одного
ответственного. Небезопасное взаимодействие 2х
безопасных систем.
3. Одно из наиболее мощных свойств Интернета –
позволяет вещам масштабироваться.
4. Каждый должен противодействовать лучшему
атакующему в мире.
Почему робот столь небезопасен?
11 апреля, СИИС-2018, Технопарк, Новосибирск Тренды Кибербезопасности, Боронин Валерий 8

9. 1. Сложность и стоимость разработки ПО растет
взрывным темпом
2. Но еще быстрее растут риски и падает качество
3. Если ваша операционная деятельность, продажи и
обслуживание клиентов, контролируются ПО, что
вы делаете – вы уже software компания.
Код контролирует вашу компанию.
Осознай и запомни – это важно
11 апреля, СИИС-2018, Технопарк, Новосибирск Тренды Кибербезопасности, Боронин Валерий 9

10. 50 миллиардов IoT устройств в Сети вокруг
11 апреля, СИИС-2018, Новосибирск Тренды Кибербезопасности, Боронин Валерий 10

11. 1. Наши ПК и смартфоны относительно безопасны
потому что гиганты вкладываются.
2. Для встроенных систем это не так. Производители не
обладают экспертизой. Обновление через выброс и пр.
3. Экономика не способствует и Рынок не поможет:
Покупателей все устраивает, Продавцов все устраивает.
4. Платим за это все мы.
Externalities – невидимое загрязнение
11 апреля, СИИС-2018, Технопарк, Новосибирск Тренды Кибербезопасности, Боронин Валерий 11
Экстерналия (внешний эффект; англ. externality) в экономике — воздействие рыночной транзакции на третьих
лиц, не опосредованное рынком. …Внешний эффект имеет место всегда, когда действия домашнего хозяйства
или фирмы непосредственно влияют на издержки или выгоды других домашних хозяйств или фирм, причём
эти побочные эффекты не отражаются в рыночных ценах.[1]

12. 1. Конфиденциальность
2. Целостность
3. Доступность
4. Сейчас перекос на К-угрозах. Но Угрозы
доступности и целостности хуже!
5. Тренд 2018: программы-вымогатели на
подъеме, особенно в медицине. Справа
ИНВИТРО в Новосибирске, лето 2017.
Перекос в триаде угроз ИБ
11 апреля, СИИС-2018, Новосибирск Тренды Кибербезопасности, Боронин Валерий 12

13. 11 апреля, СИИС-2018, Новосибирск Тренды Кибербезопасности, Боронин Валерий 13
Ransomware как предвестник Ransom-of-Things
Мы просто не сможем жить в будущем, где
все, абсолютно все — от вещей которыми мы владеем, до
государственной критической инфраструктуры — может быть
взято в заложники криминалом (и не только), снова и снова.

14. Тенденции и Что делать?

15. 1. Учитывать безопасность еще на уровне идеи. Безопасная разработка.
2. В мире опасных вещей – придется ограничивать инновации. Нельзя просто построить самолет
и полетать. Машины без тормозов – опасны.
3. Если сложные системы не могут быть безопасными, нужно остановиться и перестать соединять
вещи, наращивать сложность.
4. Взрывной рост угроз и отлавливаемых проблем на уровне приложений, сервисов, кода.
Безопасность – начиная с Идеи
• Наши разработчики, технологии и наш маркетинг, особенно в потребительском сегменте - это недорогие
функциональные, целевые, ремонтопригодные вещи с минимальной стоимостью владения.

16. Качество – не то, что можно
поправить в конце
Безопасность – это как
качество, ключевая его
характеристика
Жизненный цикл разработки ПО
11 апреля, СИИС-2018, Технопарк, Новосибирск Тренды Кибербезопасности, Боронин Валерий 16

17. Защиты на уровне ИБ не хватает, идем в код
↓ 100% веб-приложений уязвимы
↓ 70% из них содержат критические
уязвимости
↓ лишь 30% уязвимостей связаны с
ошибками в конфигурации, остальные
— с ошибками в исходном коде
Источник: Атаки на веб-приложения,2016, Positive Research Positive Technologies, Ponemon Institute, 2015
Доля уязвимых сайтов
в зависимости от
максимальной
степени риска
уязвимостей
$21,155 в день организации в среднем тратят на борьбу с последствиями
киберзломов.
Доли ошибок в веб-
приложении
Чем позже обнаружена
ошибка, тем выше цена
исправления.
11 апреля, СИИС-2018, Технопарк, Новосибирск Тренды Кибербезопасности, Боронин Валерий 17

18. 1. Делаем не «защиту чего-то»,
а защищенное что-то!
2. Иммунитет и встроенный
контроль
3. Возможность работы даже
после в условиях взлома
Безопасность – часть целого!
11 апреля, СИИС-2018, Технопарк, Новосибирск Тренды Кибербезопасности, Боронин Валерий 18

19. 1. Безопасность – дело каждого!
2. Упрощать безопасность
3. Встраивать ее в культуру и
привычки
4. Человек – слабое звено!
Безопасность – дело каждого!
11 апреля, СИИС-2018, Технопарк, Новосибирск Тренды Кибербезопасности, Боронин Валерий 19

20. 1. В мире опасных вещей – придется
ограничивать инновации.
2. Перестать соединять вещи,
наращивать сложность.
3. Система выполняет ровно то, для
чего разрабатывалась. Ненужное
просто не должно попасть в код.
4. Нет универсализму!
11 апреля, СИИС-2018, Технопарк, Новосибирск Тренды Кибербезопасности, Боронин Валерий 20

21. 1. Когда ПК начнут убивать людей – начнутся
последствия. Правительство, регуляторы, ваш выход.
2. В мире опасных вещей – придется ограничивать
инновации. Нельзя просто построить самолет и
полетать. Машины без тормозов – опасны.
3. Если сложные системы не могут быть безопасными,
нужно остановиться и перестать соединять вещи,
перестать наращивать сложность. Интернет
масштабирует угрозы быстрее, чем мы думаем.
Что делать?
11 апреля, СИИС-2018, Технопарк, Новосибирск Тренды Кибербезопасности, Боронин Валерий 21

22. 1. Взрывной рост угроз и отлавливаемых проблем на
уровне приложений, сервисов, кода.
2. Правительство должно обязать Компании следовать
практикам безопасной разработки.
3. Тестирование, патчинг, безопасные настройки по
умолчанию. Начать с тех, кто поставляет государству.
4. Ответственность, если не смогли обеспечить даже
такой минимум.
5. Обучение, повышение качества управления в и
осведомленности в R&D и в ИБ + карьерный лифт.
Чем может помочь государство?
11 апреля, СИИС-2018, Технопарк, Новосибирск Тренды Кибербезопасности, Боронин Валерий 22

23. Спасибо!
Вопросы?
СИИС 2018КОНФЕРЕНЦИЯ «СДЕЛАНО В СИБИРИ»
Linkedin.com/in/boronin
Валерий Боронин