IT ManagerБезопасностьУправление ИБ

Технологии безопасности

Ольга Попова | 31.08.2020
Владимир Мышлявкин

Владимир Мышлявкин

Генеральный директор компании «Легион».

Информационные технологии кардинально изменили модели и концепции бизнеса. Большие данные, облачные технологии, искусственный интеллект, мобильность, виртуальная реальность стали неотъемлемой частью нашей жизни. Вместе с тем выросли и риски. Сегодня потеря данных зачастую может нанести компании гораздо больший ущерб, чем потеря денег. О том, как технологии ИБ могут противостоять угрозам в новой реальности, о трендах безопасности и о том, что участники рынка ожидают от регуляторов, рассказывает генеральный директор компании «Легион» Владимир Мышлявкин.

Ранее соотношение инвестиций заказчиков между сервисами ИБ и приобретением ПО и оборудования составляло примерно 20% и 80% соответственно. Изменилось ли это соотношение или осталось прежним?

Да, инвестиции в ИБ предусматривают как услуги по безопасности, так и, конечно же, использование софтверных решений. И однозначно отвечать на заданный вопрос я бы стал только при условной стабильности рынка без влияния факторов пандемии. Это влияние внепланово изменило кардинальное соотношение многих расчетных моделей.

Отвечая на вопрос, я бы в большей степени обратил внимание на изменения вектора востребованности, а не на соотношение, поскольку сегодня более актуальны переходы в облачные модели работы. В нашем случае использование SaaS-сервисов ИБ и подобных моделей предполагает инвестиции одновременно и в оборудование, и в услуги по информационной безопасности. Внедрение на рынке для сторонних компаний программного обеспечения как услуги (Software as a Service) значительно расширили возможности применения ИБ-услуг как сервиса.

Если раньше заказчику было необходимо приобрести программное обеспечение, закупить оборудование, осуществить внедрение, обучить ИБ-персонал работе с решением, то с внедренением SaaS-модели заказчик минует всё вышеперечисленное и получает сразу услугу, эксплуатация которой на порядки ниже по стоимости. Кстати, к ее использованию можно приступить сразу, не ожидая всех процессов доставки, установки и т. п.

Появление на рынке SaaS-моделей навсегда изменило соотношение инвестиций в услуги и в оборудование, и эти модели уже никогда не будут прежними.

Может ли массовый переход на удаленную работу изменить структуру ключевых рисков ИБ, повлиять на ее развитие и критичность проектов?

Массовый переход на удаленную работу усложняет контроль сотрудников и увеличивает требования к самодисциплине. Актуализируются вопросы контроля действий и деятельности сотрудников, которые силой обстоятельств перешли на удаленную работу. Соответственно, особое значение приобретает кадровый вопрос и человеческий фактор в области ИБ. Как показала практика, сегодня компании оказались не готовы к переходу на «удаленку». И если технически организация удаленного рабочего места выглядит не очень проблематичной, то в сфере контроля пользователей и утечек различного рода данных, документального оформления трудовой деятельности, контроля рабочего времени, реализации процессов охраны труда абсолютное большинство предприятий не смогло оперативно решить подобные вопросы.

С одной стороны, есть множество технических средств, позволяющих осуществлять контроль за удаленным сотрудником, хотя и вызывающих раздражение и непринятие у персонала. Но обезличенная автоматическая система контроля лучше и эффективнее. Например, внедрение камер ГИБДД тоже поначалу вызывало неприязнь у водителей, но, тем не менее, количество нарушений в местах видеофиксации значительно снизилось, а водители стали воспринимать такую систему как должное. Несмотря на это, очень актуальной остается потребность в квалифицированных и мотивированных сотрудников. Вопрос обучения и переобучения сотрудников становится более острым.

Во всем мире услуги аутсорсинга ИБ достаточно популярны. Почему у нас они не получили широкого распространения? Что меняется сейчас?

В нашей стране аутсорсинг исторически не очень популярен, а само понятие «информационная безопасность» находится в той степени развития, когда, с одной стороны, вроде ИБ есть, а с другой – требует кардинальной и мощной системы доработки как в части административно-обслуживающего персонала (а именно повышение глубины знаний в области ИТ, поскольку зачастую сотрудник ИБ не умеет пользоваться элементарными средствами ИТ-администрирования), так и в части правильного составления организационно-распорядительной документации (документальное оформление бизнес-процессов фактически никогда не соответствуют реальной действительности). Следует всегда принимать во внимание, что организации бывают крупные и не очень, поэтому требования к ИБ в разных компаниях кардинально различаются, и сегодня только начинают формироваться единые стандарты и шаблоны. Информационная безопасность на аутсорсе воспринимается многими заказчиками болезненно, как неконтролируемое вмешательство во внутренние процессы бизнеса, несмотря на наличие правовых отношений о неразглашении получаемых сведений и информации.

Однако сейчас определенно прослеживается тенденция к увеличению понимания важности и необходимости организации ИБ. Соответственно, появляется и потребность в ИБ как сервисе. Стоимость сервисной модели, например на основе подписок, существенно экономит ИБ-бюджеты компаний и позволяет достигать заявленной результативности процессов ИБ. Эта проблема существует так же из-за недостаточной осведомленности заказчика в функциональных возможностях исполнителя, а это очень важно!

Взаимопонимание с заказчиком помогает избежать разногласий, детализация проводимых работ позволяет скрупулезно прорабатывать с заказчиками вопросы ответственности и более подробно описывать границы и обязанности аутсорс-сервисов ИБ, которые мы предоставляем.

Кому и когда нужны SOAR-системы?

Крупному бизнесу и солидным корпорациям, у которых есть ИБ-отдел с развитыми компетенциями, SOAR или другой инструмент не поможет решить проблемы ИБ автоматически, а лишь позволит автоматизировать рутинные процедуры, совершаемые оператором. В последние пару лет мы отмечали, что парадигма обеспечения информационной безопасности начала меняться и все больше компаний приходит к понимаю, что построение защиты, которую нельзя сломать, утопично по своей сути. Львиная доля систем либо уже взломана, либо может оказаться взломанной, и главная задача любой системы безопасности – максимально быстро обнаружить атаку и атакующего в системе, сократить окно его возможностей настолько, чтобы он не успел нанести непоправимый вред (то есть сегодня речь идет о так называемой ability to detect). В связи с этим наблюдается рост востребованности высокоинтеллектуальных средств защиты, позволяющих решать задачи по своевременному выявлению атак и инцидентов. В частности, речь идет о системах класса security information and event management (SIEM), network traffic analysis (NTA), комплексных antiAPT-решениях. По итогам года мы наблюдаем почти трехкратный рост интереса к технологиям подобного типа.

Поскольку главные потребители средств информационной безопасности – это госсектор и крупный бизнес, российским разработкам отдается предпочтение. Но везде ли возможно импортозамещение?

Согласно требованиям регулятора, импортозамещение возможно везде. Вопрос только в эффективности и/или доступности тех или иных средств. Далеко не всегда пользователь удовлетворен результатом импортозамещения. Задачи реальной безопасности все чаще находят отражение в инициативах регуляторов: на практическую безопасность нацелены последние требования, стандарты и нормативы Центробанка, ФСБ, ФСТЭК. В частности, в 2019 году ключевые изменения произошли в законодательстве в области защиты объектов критической информационной инфраструктуры (КИИ), а также в нормативных документах Центробанка и ФСБ. Самое важное в КИИ – новые методические документы, которые определяют порядок взаимодействия субъектов КИИ с НКЦКИ (Национальный координационный центр по компьютерным инцидентам). В них разъясняется, о каких инцидентах сообщать, какую информации передавать и в какой срок.

Появилось понятие «средства ГосСОПКА», сформулированное в приказах ФСБ № 196, 281, 282. В них описаны инструменты, которые должен использовать центр ГосСОПКА. Кроме того, были опубликованы конкретные требования к субъектам ГосСОПКА, и это уже не рекомендации, а обязательные для исполнения документы. Начала складываться практика привлечения к ответственности по ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей»), но пока только по поводу очевидных вещей: наказывают за атаки на субъекты КИИ и за серьезные нарушения должностных инструкций.

Чтобы убрать неопределенность и расплывчатость в требованиях к анализу защищенности, в этом году технический комитет Центробанка (ТК № 122) разработал проект методического документа «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций», где подробно расписывается, как именно нужно проводить анализ уязвимостей приложений. Для России это первый опыт обязательного нормативного документа, подобная конкретизация была только в системе сертификации. Профиль защиты – обязательный документ, он предназначен для открытого рынка, и этому документу придется соответствовать. Неисключено, что примеру Центробанка последуют другие ведомства.

Нельзя не отметить и появление закона о «суверенном Интернете». Это первый случай, когда федеральный закон обязывает коммерческие компании (в данном случае операторов связи) проводить киберучения. Раньше никто не обязывал компании в такой форме оценивать, насколько система способна противодействовать атакующим. Аналогичное требование к владельцам значимых объектов КИИ появилось в нормативных документах ФСБ (владельцы значимых объектов КИИ обязаны составлять планы реагирования на инциденты и отрабатывать их в ходе учений). Если раньше киберучения проводились в организациях с высоким уровнем зрелости, то в ближайшие два-три года они будут организованы в очень многих компаниях, эти требования касаются всех операторов КИИ.

Что ждет ИБ в ближайшем будущем?

В следующем году также ожидается проработка изменений закона № 187-ФЗ, в котором будут скорректированы неоднозначные термины и формулировки. Разрабатываются и методические документы ФСТЭК по анализу угроз в информационных системах: надеемся, что в предстоящем году они будут утверждены.

Не менее интересные изменения ожидаются в нормативных документах Центробанка: в следующем году вступят в силу три положения для платежных сервисов. Главный вывод: с 1 января 2020 года финансовые организации должны использовать софт, у которого есть либо сертификат ФСТЭК, либо свидетельство о прохождении анализа уязвимостей. Мы не ожидаем, что разработчики банковского ПО начнут массово проводить сертификацию своих решений, поскольку из всего объема сертификационных испытаний фактически требуется только проведение анализа уязвимостей и недекларированных возможностей. Это традиционная услуга, востребованная кредитными организациями с высоким уровнем зрелости, но теперь она становится обязательной для всех финансовых организаций. Особо следует отметить, что процедура анализа уязвимостей, на которую ссылаются нормативные документы Центробанка, предусматривает, чтобы разработчики ПО проводили такой анализ самостоятельно, в рамках жизненного цикла разработки своих продуктов.

Уже сегодня это подхлестнуло рынок Application Security. Вендоры банковского ПО начали заказывать услуги анализа защищенности и выстраивать процесс защищенного жизненного цикла. Для самописного ПО банки активно заказывают статический и динамический анализ кода. Если раньше такие услуги интересовали в основном энтузиастов из финтех-компаний, то сейчас они необходимы всем финансовым организациям без исключения.

Анализ защищенности достаточно дорог, исполнителей мало, и за них уже сейчас приходится конкурировать. В последние месяцы спрос вырос так резко, что предложение не успевает. Эксперты крупной компании в сфере ИБ (таких на российском рынке четыре-пять) могут сделать за год 30–50 анализов защищенности, а у каждого банка из первой десятки подобных приложений может быть 15–20. И эти приложения регулярно обновляются, что требует дополнительных проверок на уязвимости. Если у организации много приложений и она часто выпускает обновления, выгоднее построить у себя процесс безопасной разработки.

Для производителей финансового ПО прохождение анализа уязвимостей становится конкурентным преимуществом. Уже сейчас многие разработчики банковского ПО говорят о заключении договоров с ведущими компаниями в сфере ИБ на работы по анализу исходного кода. Мы ожидаем, что в течение ближайших двух-трех лет выстраивание доказуемого цикла безопасной разработки станет для вендоров банкового ПО мейнстримом.

«Навесная» безопасность – исторически сложившаяся данность. Что делать с ней?

У нас в стране только лечить рублем или законодательно. А если серьезно, то вопрос безопасности правильно рассматривать превентивно, как в случаях с гостайной, и конечно, нужны образовательно-показательные мероприятия среди сотрудников и пользователей. Надо доносить до людей, что потеря информации коснется всех. Крупный бизнес начал осознавать, что APT-атаки – это по-настоящему значимый риск. Мы провели опрос[1], и 39% его участников отметили, что защита от APT-атак – приоритетное направление развития кибербезопасности в их компаниях.

В решение вопросов ИБ вовлекаются топ-менеджеры организаций, и для них остро стоит вопрос эффективности существующей системы ИБ и используемых подходов. Руководство задается вопросом: а действительно ли те системы и меры, которые используются в компании, смогут защитить от реализации самых значимых рисков?

Невозможно обойти стороной взаимоотношения ИТ и ИБ. Это вечный камень преткновения. Как найти в них баланс?

Взаимоуважение, четкие границы в соответствии с разработанными и утвержденными руководством организационно-распорядительными документами (положениями, инструкциями, обязанностями, перечнями, формулярами и т.п.) и просветительская работа. Так все управления и отделы (структурные подразделения) организации определяют функциональные задачи, которые должны решаться в подразделении с использованием РМ АС организации. Все необходимые изменения в конфигурации РМ и полномочиях пользователей подразделения осуществляют на основе заявок в соответствии с «Инструкцией по внесению изменений в списки пользователей АС организации и наделению их полномочиями доступа к ресурсам системы» и «Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств РМ автоматизированной системы организации». Затем заполняют формуляры РМ и представляют их на утверждение в отдел защиты информации. Далее обеспечивают надлежащую эксплуатацию установленных на РМ средств защиты информации.

Таким образом, роль отдела защиты информации заключается в определении стратегии безопасности, создании требований по настройке программного обеспечения с точки зрения безопасности (как системного, так и прикладного) и проверке правильности соответствующей настройки. Естественно, здесь мы не говорим о таких специфичных для отдела ЗИ задачах, как создание базы организационных документов, обучение пользователей, настройка аппаратно-программных средств обеспечения безопасности и т. д.

Вместе с тем начальникам служб защиты информации следует понимать, что только во взаимодействии со службами ИТ и физической безопасности возможно построение действительно надежной системы защиты информации.




[1] https://www.ptsecurity.com/ru-ru/research/analytics/apt-attacks-finance-2019/



информационная безопасность, корпоративная информационная безопасность, Удаленная работа, Импортозамещение, SaaS

Журнал: Журнал IT-Manager [№ 08/2020], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Следующая

Также по теме

Другие материалы рубрики

Мысли вслух

А вдруг галочку «подтвердить» в экранной форме поставил не ответственный сотрудник, а кто-то другой? А вдруг учётная запись скомпрометирована и ею управляет злоумышленник?
Развитие технологий нейронных сетей может начать частично вытеснять из-за руля людей уже в ближайшие годы, а если прогресс будет идти хотя бы с той же скоростью, что и сейчас, то через 10 лет встанет вопрос, а нужен ли вообще водитель или уже нет?
Есть ситуации, когда в ответ на вопрос о том, какие цифровые решения нужны компании, ИТ директор говорит: «А давайте спросим у коллег из маркетинга, продаж или производства, чего они хотят»

Компании сообщают

Мероприятия

Micro Focus Fortify
ОНЛАЙН
26.10.2020
11:30
HI-TECH Building 2020
Москва, Крокус Экспо
27.10.2020 — 29.10.2020
Integrated Systems Russia 2020
Москва, Крокус Экспо
27.10.2020 — 29.10.2020
Blue Prism Roadshow Russia
ОНЛАЙН
27.10.2020
11:00