Бизнес-процессам нужен иммунитет
В ходе конференции BISS'2017 нам удалось встретиться с ИТ-директором компании «Сургутнефтегаз» Ринатом Гимрановым и поговорить об актуальных проблемах, связанным с поддержанием информационной безопасности в компании.
С какими угрозами вам приходилось сталкиваться?
Вопросам ИБ у нас уделяется очень большое внимание. Мы тщательно выстроили систему защиты и своевременно устанавливаем все обновления, поэтому очень долго не сталкивались с проявлениями всяческого рода угроз. Те же нашумевшие эпидемии середины года обошли нас стороной, хотя бизнес проявлял беспокойство и озабоченность. Впрочем, нельзя исключать того, что мы, как иногда шутят медики, не здоровые, а недообследованные.
В то же время мы активно внедряем технологии автоматизации на всех стратах, снизу доверху. На пленарной части конференции уже шла речь о том, что человек не может обработать весь объем данных, поступающих от различных систем, но автоматика, если ее правильно настроить, обязательно среагирует, когда что-то не в порядке. Ведь нынешние информационные системы в крупных компаниях чрезвычайно сложны и состоят из огромного числа элементов, к тому же взаимодействующих между собой.
Актуальна ли для вас проблема взаимодействия ИТ и ИБ?
В целом да. Далеко не просто организовать защиту так, чтобы это не мешало никому. Поэтому иногда приходится слышать сетования, что сотрудники ИБ тормозят работу, и вообще не дают развиваться. И чем сложнее системы, тем чаще такого рода коллизии возникают. И приходится находить баланс.
Сейчас принят закон, регламентирующий защиту комплексов АСУ ТП. Насколько остро стоит эта проблема?
Да, проблема есть. Тем более что всем памятен печальный пример компании ARAMCO, на которую была совершена атака, парализовавшая добычу.
Но у АСУ ТП есть своя специфика. Применять для защиты данных комплексов те средства, которые используются в ИТ, невозможно. Тут нужна серьезная работа. Нельзя, конечно, сказать, что мы не делаем ничего, но пока наших усилий все же недостаточно. Нуждаются в защите и новые системы, использующие технологии промышленного Интернета, или скорее интранета, которые не очень правильно называют «Интернетом вещей», или IoT.
Многие специалисты обращают внимание на разного рода ошибки в программировании бизнес-процессов. Каковы последствия таких ошибок? Как их можно выявить и устранить?
Собственно, ради того, чтобы обменяться опытом по выявлению логических ошибок в бизнес-процессах, я сюда и приехал. Именно данной теме посвящена отдельная секция.
Сейчас с бизнес-процессами происходит то же самое, что когда-то произошло с программированием. Сначала программировали в машинных кодах, потом на языке низкого уровня, например, Ассемблере. Затем появились языки более высокого уровня, где создание программ было намного проще. Сейчас и вовсе бизнес-процессы программируются с помощью средств вроде ABAP или его аналога от других вендоров. Вполне возможно, что уже в скором будущем этот процесс начнут выполнять роботы.
Естественно, это ускорит бизнес и повысит возможности для его адаптации к быстро изменяющейся реальности. Однако возрастают и риски. К примеру, связанные с ошибками в логике тех же бизнес-процессов. С ними приходится нередко сталкиваться. Так, зачастую не задается время отклика в том случае, когда один бизнес-процесс зависит от другого, например, когда за бухгалтерской проводкой должен последовать банковский перевод. И, что хуже, это могут быть не просто ошибки или чьи-то недоработки, а сознательно сделанные бреши, чтобы поживиться за счет компании. Ведь проектировать все будут по-прежнему люди. Никуда не деться от людей и на самом верхнем уровне. А вот тут, как говорится, все самое интересное и происходит...
А ошибки эти приводят к тому, что компании теряют деньги, причем долгое время злоумышленники остаются незамеченными. И лазейки такие существуют много лет. Возьмем, например, такую атаку, как «салями». Первый случай ее использования был отмечен более 50 лет назад, когда злоумышленник воспользовался в своих целях особенностью округления в системе денежных переводов. Но такая схема в ходу до сих пор, и выявлять махинации с ее применением очень тяжело. Существует и множество других сценариев корпоративного мошенничества. И цифровизация бизнеса может способствовать росту количества всевозможных лазеек для хищений и махинаций. Причем как изнутри компании, так и извне. Да и в целом вызовы у ИТ и ИБ одни и те же. Увы, игнорировать влияние экономической ситуации не получится.
Хотелось, чтобы задачи обеспечения безопасности были бы сразу же встроены в систему, где они программируются или чтобы это делала какая-то внешняя система. Как все будет реализовано на практике — в целом неважно. Главное тут результат. Нужно создать своего рода иммунитет для бизнес-процессов. Также необходимо создать какой-то аналог инстинкта самосохранения для живых организмов. Ведь на ранней стадии всех потенциальных дыр и уязвимостей увидеть просто невозможно. Задача важная, и ее решением надо заниматься. Хотя, конечно, если на вас нападают с топором, иммунитет уже не поможет.
Но в любом случае требуются не только специалисты по традиционной информационной безопасности, которая направлена на защиту ИТ-инфраструктуры, но и по безопасности бизнес-процессов. Причем они необходимы уже сейчас, и их нужно готовить и выращивать.
Другая тема — управление рисками. Любыми, будь то экономические, технологические и какие-то иные. Кто даст гарантию, например, что нам вдруг не запретят использование любого зарубежного оборудования и ПО? И как в таких условиях строить свою деятельность?
И как должна выглядеть подобная защита? Когда можно ждать появления чего-то работающего?
Внедрение механизмов безопасности необходимо на самом верхнем уровне. Только здесь можно отследить, что в какой-то бизнес-процесс происходит вмешательство. Сейчас это можно делать лишь вручную. Инфраструктурная ИБ все это заметить не в состоянии. Она направлена на то, чтобы выявить вторжение в корпоративную сеть или появление писем, подозрительных в плане фишинга, возможно, решать некоторые, но не все задачи, связанные с контролем пользователей. Зрелых систем, способных работать на уровне бизнес-процессов, нет. При этом сложностью является то, что вся картина взаимодействия бизнес-процессов часто очень плохо изучена. А на изучение могут уйти месяцы. Но, как мне кажется, уже очень скоро что-то должно появиться.
Опубликовано 19.10.2017