Максим Лапшев: «Нужно сделать получение данных экономически невыгодным для хакеров»

ИТ-директор РДТЕХ рассказывает о необходимости повышенного внимания к защите баз данных и действенности превентивных мер, опасности SQL-инъекций и разнообразии ИБ-решений на рынке.

– Максим, как часто случаются инциденты с базами данных?

– Каждую неделю, если не чаще, судя по информации ресурсов в сфере утечек данных. В числе жертв – управляющие компании, медицинские центры, образовательные организации – кто угодно.

Хакеры атакуют даже крупные хорошо защищенные компании, например, такие, как «Ростелеком», где ИБ-инцидент случился в начале 2025 года – в публичное поле попали уникальные номера и адреса десятков тысяч зарегистрированных пользователей.

Интерес преступников к крупным игрокам рынка понятен – в базах данных компаний содержится самая полная информация о гражданах. Так, на РЖД нападают регулярно, инциденты были и в этом году. Перевозчик серьезно пострадал пять лет назад, когда украденная с сайта база данных содержала личные данные 1,3 млн участников программы «РЖД Бонус». Примечательно, что тогда похищенный файл сотрудники компании оставили в корневом каталоге сервера. Год спустя, в 2021-м внутренняя сеть РЖД была взломана случайно, хакер получил доступ к камерам наблюдения на перронах и вокзалах и сообщил об этом. С тех пор в госкомпании принимаются самые серьезные меры к обеспечению ИБ.

Отмечу, что по данным регулирующих органов только в прошлом году утечки произошли из 110 баз данных, в которых содержалось больше 600 млн записей.

– Как защищать базы данных?

– В защите нуждаются все БД, а не только находящиеся в критической инфраструктуре. Это нужно помнить коммерческим компаниям, которые относятся к информационной безопасности поверхностно.

В госсекторе уже многие выстроили надежную систему противодействия угрозам. Так, в РЖД и других компаниях сейчас помимо авторизации при запросе на пользование ресурсами пользователи ещё проходят жёсткую аутентификацию. То есть существует разграничение прав доступа с механизмами фильтрации, у администратора, бухгалтера – они разные. Каждый специалист видит только те документы, которые ему нужны в работе.

Помимо превентивных мер нужно знать о защите от SQL-инъекций. Их могут произвести злоумышленники, которые способны вставить вредоносный SQL-код в запросы к базе данных, этот скрипт выгружает все данные. Безопасники используют экраны со специальными защитными символами, чтобы скрыть код от хакеров.

Мы знаем, что обмен между backend и frontend происходит за счёт API. Нельзя забывать об уровне его защиты. Интерфейс необходимо шифровать и обновлять, когда выходят новые патчи.

– Есть ли ИБ-угроза, когда сотрудники заходят в рабочие чаты с личных смартфонов?

– Есть данные, что около 80% взломов связано не с уязвимостями удаленного рабочего стола протокола RDP, а с ненадежными паролями. Поэтому бизнес должен позаботиться о корпоративной политике в этом направлении.

Опасность в работе с собственных гаджетов есть и для самих пользователей. Для того чтобы защитить информацию раньше хватало логина и пароля. Теперь мошенники научились следить за геолокацией людей и знают, откуда сотрудник заходит в базу данных.

– Растут ли нормативные требования в сфере ИБ СУБД?

– Они появляются, но в основном в госсекторе. ФСТЭК утвердила требования по безопасности информации к системам управления базами данных в июле 2023 года. В этом документе СУБД разделены на шесть классов защиты, соответствующие уровню важности и секретности содержащейся в системах информации.

Есть базовый закон о защите персональных данных – ФЗ-152, он постоянно дополняется. Много норм вводится ЦБ, поскольку мошенничества распространены в финансовом секторе – хакерам нужны данные о транзакциях, счетах граждан.

Напомню также, что 30 мая 2025 года в России вступили в силу оборотные штрафы за утечки персональных данных в компаниях.

– Как обстоит дело с защитой БД в зарубежных компаниях?

– Я работал в немецкой Schwarzkopf & Henkel, там было очень строго ещё 7 лет назад, помимо авторизации использовалась технология SECURE ID – это ключ, который использует многоразовые одноразовые пароли, они генерируются каждый раз при попытке входа.

– Действительно ли хакеры всегда на шаг опережают безопасников?

– Спектр угроз растет как ассортимент товаров в супермаркете. Я придерживаюсь принципа, что защитить ПО на 100% невозможно. Нужно сделать получение данных экономически невыгодным. Стремлюсь использовать соответствующие методы и технологии. Хакерам можно «запудрить голову», чтобы им было сложно тратить слишком много усилий на взлом. Например, внедрять различные DLP-системы, контролировать некорректное поведение пользователей. И, конечно, соблюдать превентивные меры защиты информации на системном уровне.

– Решений по защите достаточно на рынке?

– Да, российские разработчики предлагают много кейсов. Число компаний, занимающихся разработкой ПО в сфере информационной безопасности, за пять лет выросло в России более чем на 40%.

Решения бывают уникальные. Так, вендор «Аванпост» внедряет интеллектуальный подход управления доступом. Делает не фрагментарную авторизацию, а создаёт комплексный двухфакторный код, значительно увеличивающий степень защиты доступа к информационным ресурсам.

У меня был опыт по защите баз данных, в части API. Мы выдавали нашим партнёрам ключ, который представлял собой 60-значный набор символов и цифр, то есть ушли от возможности подбора паролей.

На рынке есть решения, которые превращают пару логин-пароль в код, и это является электронной цифровой подписью, являющейся доступом к базе данных.

– Как будут защищать СУБД в перспективе?

– Сегодня специалисты РДТЕХ оказывают услуги технической поддержки СУБД Oracle, PostgreSQL, MS SQL, MySQL и других в полном объеме. А в будущем блокчейн-технологии обеспечат надежную защиту от угроз, которые несут в том числе квантовые компьютеры, способные за несколько секунд взломать пароль. Цепочку блокчейн в зашифрованном виде, когда твоя запись делится на миллион блоков, отследить практически невозможно.