Смена приоритетов директора по ИБ
Если спросить у многих айтишников, что делать, если с компьютером, планшетником или смартфоном появились какие-то проблемы, многие, не задумываясь или не желая тратить время на разбирательства, посоветуют устройство перезагрузить. Вообще, перезагрузка — классический рецепт при возникновении проблем, с которым мы встречаемся во многих сферах нашей жизни: в медицине, психологии, отношениях и т. п. Такой совет, разумеется, в расширенной форме, я даю сегодня и многим моим коллегам из сферы информационной безопасности, которые столкнулись с теми или иными сложностями на своем пути. Да и сам я, случись что, тоже последую этому совету.
Симптомы
Каковы симптомы, свидетельствующие о том, что стоит приступить о перезагрузке? В деятельности руководителя службы информационной безопасности или просто специалиста по защите информации я бы выделил сегодня три симптома, которые заставляют задуматься о перезагрузке:·
-
Вы много тратите на безопасность, но качественного скачка в росте защищенности это не дает.
-
Вы начали постоянно сталкиваться с инцидентами в своей епархии.
-
Руководство готовится сократить вас (или всю службу ИБ).
Что становится причиной этих симптомов? Как с ними бороться? И можно ли впредь избежать подобных болезней? Попробуем разобраться в каждой из описанных проблем, часто требующих перезагрузки.
Симптом № 1. Деньги есть, а толку нет
Нечастая ситуация, когда в компании есть деньги на все «хотелки» по безопасности. Приобретаются самые модные и разрекламированные решения; заказываются различные НИРы; реализуются консалтинговые проекты... Все направлено на то, чтобы в информационной сфере максимально защитить предприятие от любых, даже маловероятных угроз. Но они почему-то все равно проникают во внутреннюю сеть предприятия, то тут, то там, нанося, может быть, мелкие, но неприятные уколы.
Причина достаточно проста — вы тратите деньги не туда и не на то. Как бы странно это ни звучало. Можно провести аналогию с нашим государством, которое в тучные времена, когда нефть стоила больше 100 долларов за баррель, тратило полученные легким путем деньги на совершенно ненужные в долгосрочной перспективе проекты. Да, Олимпиада, Спартакиада, чемпионаты мира, «Формула-1»... Спорт, безусловно, вещь нужная и полезная, но что он дает экономике и социальной сфере? Так и при данном симптоме — деньги тратились совсем не на то, что нужно. И тут как никогда может помочь перезагрузка.
Остановитесь. Посмотрите на проблему свежим взглядом. Что требует защиты? Не что у вас есть из защиты и куда вы можете это приспособить, а наоборот: что надо защищать и что для этого может понадобиться? Попробуйте взглянуть на безопасность с точки зрения потребностей, а не имеющегося бюджета. Впору вернуться к основам, которым многих из нас учили в институте или на курсах повышения квалификации. Оцените риски, классифицируйте свои информационные активы, выберите защитные меры и реализуйте их с помощью платных или бесплатных (я о них уже писал в IT-Manager) решений. Я более чем уверен, что полученная таким образом картина покажет все болевые точки, а вы сможете сбалансировать свою систему защиты... даже в условиях неограниченного бюджета.
Симптом № 2. Периметр есть, но угрозам он не мешает
И вновь мы сталкиваемся с ситуацией, которая является следствием исторической несправедливости, заключающейся в превалировании всех защитных механизмов на периметре сети предприятия в ущерб остальным частям корпоративной информационной системы. И если в предыдущие годы такой акцент на границах был закономерен, то сегодня положение изменилось коренным образом. Мобильность проникла в ИТ-среду современного предприятия уже давно. Как минимум руководители компании требуют подключать свои мобильные устройства к рабочим компьютерам. Не отстают от них и представители ИТ-департаментов. А если сюда добавить возможность почти бесконтрольного применения сотрудниками личных точек беспроводного доступа, получается, что, даже не понимая этого, многие компании и ведомства уже давно и активно используют устройства, которые не проходят через средства защиты на периметре.
Вторая особенность современного предприятия заключается в применении облачных технологий, либо явно, либо нет. Недаром даже появился такой термин, как «теневые облака», который означает, что сотрудники используют Google.Docs, «Яндекс.Диск», Dropbox, Evernote и другие сервисы, не ставя в известность свою ИТ- или ИБ-службу. А это в свою очередь приводит к еще большему размыванию периметра и потере контроля над данными и приложениями, находящимися за пределами корпоративных границ.
И наконец, последняя по списку, но не по значению тенденция — применение периферийных устройств, подключаемых к рабочему компьютеру. Это не только банальные флешки или CD-накопители; это и 3G/4G-модемы, уже упомянутые точки доступа и другие устройства, и вовсе превращающие защиту периметра в ничего не стоящую преграду, обойти которую можно десятком различных способов. Разумеется, я не говорю, что защищать периметр не надо, просто не следует на нем ограничиваться и зацикливаться. На современном предприятии существует немалое число точек входа (и выхода), требующих контроля, — в противном случае злоумышленники их обнаружат очень быстро и смогут воспользоваться ими в своих целях.
Описанные симптомы вновь приводят нас к мысли о необходимости перезагрузки сознания безопасника. Пора забыть про защиту периметра и вообще про понятие «периметр». Сегодня его просто нет. Неслучайно уже несколько лет в иностранных презентациях и статьях появляется так нелюбимый мною термин «депериметризация», который плохо звучит по-русски, но хорошо отражает новую картину мира. Мой опыт показывает, что даже в тех компаниях, где служба ИБ уверяет, будто не использует, например, Wi-Fi, он все равно присутствует. Либо какой-то сотрудник решает облегчить себе жизнь, либо в соседнем офисе или кафе находится ненастроенная точка доступа. Результат один — проникновение вредоносных программ и утечка информации.
Поэтому мы приходим к простой мысли: если периметра в классическом понимании больше нет, то и пытаться защитить его бессмысленно. Защиту тоже надо «размазывать» по всей сети — от периметра к центру обработки данных, от серверов и рабочих станций к облакам, от мониторинга проводных сетей к беспроводным и мобильным. Не верьте на слово ИТ, ИБ, подрядчикам, пользователям и иже с ними. Исходите из принципа «доверяй, но проверяй» (хотя все основные проблемы в ИБ проистекают именно из-за доверия). Если у вас нет беспроводных технологий, то как вы можете в этом убедиться? Вы сканируете радиоэфир? Если у вас запрещено втыкать собственные USB-носители в корпоративные компьютеры, то как вы обеспечиваете этот запрет? Если вы опасаетесь утечки данных через 4G-модем, подключенный по Bluetooth, то вы готовы внедрить соответствующий инструментарий по мониторингу еще и всех мобильных каналов связи (EDGE/GPRS, 3G, LTE)? Перезагрузитесь и поменяйте свое отношение к защите периметра.
Симптом № 3. Вам кивком указывают на дверь
Кризис... Он, чтобы ни говорило наше правительство и президент, все-таки наступает и руководство компаний сталкивается с проблемами, о которых после 2008 года многие уже и позабыли. Кассовый разрыв, банкротство контрагентов, рост ставки кредитования, отказ от выдачи кредитов, необходимость затянуть пояса потуже... И первая мысль, возникающая у руководства (что скрывать, она просто лежит на поверхности и не очень дальновидные руководители часто следуют порыву, вызванному именно ей), — сократить персонал. И сокращают в первую очередь тех, кто не в состоянии показать свою нужность компании, отдельным руководителям, бизнес-проектам или подразделениям.
К сожалению, именно информационная безопасность первой попадает под нож, и в этом заключается основное отличие ИБ от многих других задач и функций на предприятии. Если ИБ работает хорошо, то... результата ее труда не видно вообще. У физической безопасности есть видеокамеры, охранники и инкассаторские броневики. У административно-хозяйственного отдела — закупленная туалетная бумага, кофе, «печеньки», уборщицы и другие видимые результаты его труда. У айтишников — компьютеры и картриджи к принтерам. У бизнеса есть доходы (ну или потери). А что есть у информационной безопасности? Непонятные и невидимые пользователям и начальству межсетевые экраны и системы контроля утечек информации? Тормозящие компьютеры антивирусы? Устраненные дыры? Зашифрованные данные? Где видимый и желательно осязаемый результат работы безопасника? Увы, его нет. А раз так, у руководства возникает закономерное желание: сократить «дармоедов».
И вновь только полная перезагрузка заставит нас пересмотреть свое место в компании и свой вклад в общее дело. Я вижу большой интерес, который в последнее время проявляется к теме финансовой оценки ИБ. Ведь бизнес — это деньги; руководство оперирует деньгами. Безопасность тоже должна показывать свою привлекательность в финансовом исчислении. Предотвратили простои, снизили потери, ускорили процессы, высвободили людей, снизили себестоимость, защитили от штрафов, помогли при аудите... Вариантов демонстрации своей нужности для бизнеса немало. Главное, забыть на время про регуляторов и их нормативные требования, за нарушения которых наказания нет. Пора забыть про страшилки в виде угроз с непонятными для конкретного человека последствиями. И научиться учитывать интересы конкретной компании, которая и платит (а не регуляторы) зарплату специалистам по ИБ. Ведь работодатель вправе рассчитывать на ответную реакцию. И тут без перезагрузки не обойтись. Во многих случаях это может быть уже поздно. Зато на новом месте можно по-новому взглянуть на ИБ с точки зрения бизнеса, а не классических драйверов ее продвижения и «продажи» — страха и регуляторики.
Подводя итоги
Вообще, в последнее время у меня складывается впечатление, что очень многие в нашей стране продолжают жить в мире иллюзий. Меньшее число людей понимают, что что-то пошло не так, но надеются на скорый возврат тем самых лучших времен, которые были еще совсем недавно. В январе я хотел поменять себе машину — обзвонил девять автосалонов с просьбой сделать мне коммерческое предложение исходя из моих требований и указанного бюджета. Думал, что мои деньги будут интересны автомобильным дилерам, испытывающим определенные трудности с доходами ввиду снижающейся покупательской способности. Я ошибался: часть дилеров даже не соизволила мне ответить, а часть предложила совсем не то, что соответствовало моим требованиям (а то, что имелось в салоне). Уверен, вскоре таких продавцов ждет полная перезагрузка, и тогда, возможно, они задумаются, что времена меняются и неспешно жить по-старому, ставя себя во главу угла, уже не получится.
Та же картина и в информационной безопасности. Пришло время изменений. И пришло оно раньше, чем его ожидали. На крупных международных мероприятиях по ИБ часто используют аббревиатуру «CISO 2020», которая рисует руководителя ИБ нового поколения, не обремененного веригами в виде устаревших взглядов и подходов к построению защищенной и устойчивой к направленным и случайным воздействиям сети. Думаю, что мировой (или как минимум российский кризис) подталкивает наших специалистов сделать перезагрузку гораздо раньше, не дожидаясь 2020 года. И это открывает для тех, кто успешно перегрузился, новые перспективы. Главное, в процессе перезагрузки не зависну...
Опубликовано 29.01.2016