Не дать ИБ-рискам реализоваться
За последние два года, пока бушует пандемия, многое изменилось в нашей жизни, в том числе и в работе специалистов по информационной безопасности. Но если заказчики изначально грамотно выстроили стратегию защиты своей компании, новые условия не застигли их врасплох, не стали для них как гром среди ясного неба, а просто выдвинули новые задачи, которые под силу настоящим профессионалам. Об этом мы поговорили с Романом Пустарнаковым, директором департамента организации работы с заказчиками компании «Газинформсервис».
Много лет специалисты по информационной безопасности считаются в своих компаниях «продавцами страха». Они убеждают бизнес в опасности имеющихся рисков и уязвимостей для того, чтобы получить бюджет на их устранение. Изменилось ли сегодня что-то в отношениях бизнеса и безопасности?
«Продажа страха» никуда не делась. У информационной безопасности имеется несколько драйверов. Первый из них заключается в обеспечении регламентов законодательства. Невыполнение требований государства и законодательства всегда влечет за собой страхи и риски, которые воплотятся, если эти требования не будут соблюдены в полной мере. В нашей стране требования законодательства постоянно развиваются. Несколько лет назад у всех на слуху был 152-ФЗ «О защите персональных данных». Сегодня таким драйвером выступает 187-ФЗ «О защите критических объектов информационной инфраструктуры».
Второй стимул развития отрасли — это требования бизнеса, который в свою очередь все больше связан с цифровизацией и информационными технологиями. Если обрушить в компании информационные системы, бизнес может оказаться в тяжелом, если не сказать в катастрофическом положении. Это тоже «страх», но уже другой природы. Сами владельцы бизнеса и ИТ-структуры понимают такие риски.
Наконец, третий стимул развития — сокращение издержек за счет автоматизации ИБ-процессов, которая достигается благодаря определенному набору инструментов. Например, продукты класса Identity Manager, актуальные для крупных компаний с большим количеством учетных записей. А где большое количество — там, как правило, неразбериха и сложности в управлении. Допустим, сотрудник уволился, а его учетная запись осталась активной. Никто не помешает сотруднику спустя несколько месяцев подключиться к своей учетной записи и зайти в какие-либо информационные системы компании. Еще один класс продуктов — средства контроля конфигураций, которые в автоматическом режиме обеспечивают мониторинг настроек сетевого оборудования. Похожим образом работают SIEM-системы. При срабатывании определенных правил они оповещают ИБ-специалистов, чтобы те могли отреагировать. Если таких систем нет, нужны многочисленные системные администраторы, которые бы наблюдали за всеми устройствами. Этот стимул, или драйвер — уже не страх, а оптимизация.
Таким образом некоторое движение от «страхов» к более позитивным стимулам есть.
Все эти системы отнюдь не дешевые. Средства защиты не могут стоить дороже, чем данные, которые они защищают. Где здесь баланс и как его найти?
Реализация рисков ИБ — это вопрос утраты, потери активов компании. При расчете бюджета на ИБ необходимо понимать, чего компания может лишиться, если такие риски осуществятся. Вопрос очень сложный, поскольку мало кто проводит подобные расчеты. В зависимости от оценки затрат компании при реализации рисков ИБ нужно рассчитывать соответствующий бюджет на системы защиты.
Может ли ИБ-служба приносить доход компании? Ведь во многих случаях ИТ-департаменты уже научились приносить доход или хотя бы окупать собственные расходы.
Если ИТ-департаменты продают свои услуги сторонним организациям, никто не мешает и ИБ идти по этому пути. При наличии хорошей ИБ-команды можно, например, продавать услуги по проведению пентестов. Нужно ли корпоративным службами ИТ и ИБ зарабатывать деньги? Я не уверен. Это все равно что сдавать корпоративный транспорт в аренду. Издержки превысят выгоду.
Об аутсорсинге информационной безопасности говорят очень давно, однако эта тема не получила широкого распространения на рынке. На ваш взгляд, почему?
На аутсорсинг, как правило, отдают простые вспомогательные процессы, скажем, уборку помещений и обслуживание оргтехники. Небольшие предприятия часто отдают на аутсорсинг бухгалтерию, чего уже по разным причинам не делают крупные организации. Но процессы, непосредственно связанные с поддержанием нормальной работы бизнеса, вряд ли кто-то будет отдавать на аутсорс. Даже если «отдают» техподдержку, всегда в штате должна быть собственная группа администраторов. Что касается аутсорсинга ИБ-услуг, то к нему можно условно отнести аренду мощностей в ЦОДах, где заказчик не только арендует инфраструктуру и ПО, но и пользуется услугами внешних SOC. Сами по себе коммерческие SOC допустимо рассматривать как аутсорсинг. Пентестеры и производители работ по развертыванию ИБ-инфраструктуры — тоже в некотором смысле аутсорсинг, но это не сопровождение и эксплуатация, а скорее отдельные работы по договору. В целом, ИБ — это весьма деликатная сфера, а потому ее обычно реализуют in house.
А если говорить об эксплуатационной поддержке?
Любой производитель ИБ-решений поддерживает свои продукты, предоставляет заказчику поддержку, заключает с ним договор на сопровождение систем. В рамках этих договоров предоставляется продление лицензий и фиксируется определенное количество часов работы специалистов.
Сегодня очень многие организации перешли на удаленную работу сотрудников либо на гибридный режим. С какими проблемами приходится сталкиваться ИБ-специалистам в связи с этим? Чем им могут помочь вендоры и интеграторы?
Гибридный режим породил много проблем. Например, проблему использования личного ПК при подключении к удаленным рабочим местам в организации, находящимся внутри защищенного периметра. Трудно быть уверенным в безопасности личного компьютера пользователя. Когда заканчивается рабочий день, пользователь может делать на нем все, что захочет: серфить по Интернету, играть и в результате «цепляет» вирусы. Во многих организациях это никто не контролирует. Вендоры и интеграторы готовы предложить, скажем, защищенные удаленные рабочие места на базе технологии Virtual Desktop Infrastructure (VDI), которые генерируются внутри защищенной инфраструктуры организации, а затем передаются пользователю для работы. При таком способе организации удаленной работы пользователь подключается по защищенному каналу связи к сети предприятия и получает виртуальное рабочее место, изолированное от личного ПК.
Как в этом случае решается вопрос с производительностью? Ведь не у всех дома есть мощный компьютер, такой же, как офисе?
Компьютерная техника уже давно перестала быть роскошью, многие пользователи регулярно обновляют домашние ПК. Но работодателю лучше предоставить сотрудникам корпоративные ноутбуки с соответствующими инструментами защиты удаленного доступа. Это вопрос не быстродействия, а безопасности.
Какие выгоды для российских ИБ-компаний вытекают из двухгодичной пандемии?
Я не могу сказать, что мы наловили рыбы в этой мутной воде. Да, пандемия поставила новые задачи по организации массовой удаленной работы, но я не вижу бурного роста спроса на защиту удаленного доступа. Возможно, потому что у наших заказчиков подобные решения были реализованы еще до пандемии. За два года объем продаж вырос, но пандемия была не единственным драйвером.
Какие ландшафтные изменения на рынке ИБ вызвала пандемия?
Отрасль постоянно растет и развивается, кто-то уходит, кто-то приходит. Ландшафтными эти изменения я бы не называл.
Изменились ли сами пользователи?
Думаю, что нет. Я изучал корпоративные отчеты по фишинговым тестам некоторых компаний. Количество пользователей, проваливших эти тесты, меньше, к сожалению, не становится.
Как сегодня противостоять ИБ-угрозам без особого ущерба для корпоративного бюджета?
Нужно проводить организационную работу с пользователями, повышать их грамотность, работать с персоналом, доводить до них последствия возможных угроз. Неизбежны и ограничительные меры. Можно защищать пользователя от угроз из Интернета или просто отключить ему Сеть. Это дешевле, но непродуктивно.
Кому должна подчиняться ИБ-служба в компании: ИТ-руководителю или непосредственно CEO?
Я думаю, что ИБ-служба должна быть независимой и подчиняться непосредственно первому лицу компании. Потому что информационная безопасность позволяет контролировать всех сотрудников организации, в том числе самих айтишников. Этот вопрос очень важен и критичен. Зависимость бизнеса от ИТ очень велика. Если ИТ-специалистов не контролировать, возможны любые «сюрпризы». Никто не отменял инсайдерские риски.
Когда функционал ИБ находится в составе ИТ-департамента, последний, как правило, возглавляет айтишник, который информационную безопасность финансирует по остаточному принципу. На мой взгляд, это должны быть параллельные структуры, подчиненные топ-менеджменту компании.
Айтишники постоянно жалуются на проблему с кадрами. Как обстоят дела в информационной безопасности?
Точно так же. В ИБ катастрофически не хватает квалифицированных кадров. Зарплаты увеличились в несколько раз, однако все труднее найти специалистов с хорошими компетенциями. С одной стороны, дефицит, а с другой — большая текучка. На смену приходит поколение Z, для которых менять работу раз в год или раз в два года — нормально. И это тоже серьезная проблема для работодателя, поскольку любого человека надо адаптировать к задачам компании, интегрировать в ее корпоративную культуру.
Помогла ли модель удаленной работы в решении кадрового вопроса? Стало ли проще нанимать специалистов из регионов за адекватные деньги?
Мы привлекаем таких специалистов в наши команды разработки. Рынок труда в ИТ уже давно не имеет географической привязки, а квалификация практически не зависит от региона. В связи с массовым переходом на удаленную работу стоимость работы региональных специалистов поднялась, сейчас разработчики по всей России ожидают примерно сопоставимую зарплату.
В свое время в ИБ использовалось много зарубежных продуктов. Их и сегодня немало. Как развивается импортозамещение и какие прогнозы на этот счет можно дать? Какие продукты пока нельзя заменить отечественными аналогами на рынке информационной безопасности?
Импортозамещение развивается, доля отечественного ПО и аппаратного обеспечения у наших заказчиков постоянно увеличивается. Государство, в свою очередь, создает льготные условия для российских вендоров и производителей оборудования, выдвигая к госструктурам требования по использованию российских аналогов. Если сопоставить отечественные и импортные решения, то результаты будут разные. С одной стороны, есть пример Касперского, чей антивирус уже много лет не просто находится на одном уровне с ведущими зарубежными аналогами, а превосходит их. В ИБ зрелость отечественных продуктов растет, но это еще не всегда «Касперский».
И последний вопрос. Сегодня много компаний сталкивается с проблемой вымогательств со стороны злоумышленников, захватывающих контроль над различными системами и требующих выкуп. Платить или не платить в подобных ситуациях?
Этот вопрос сродни тому, нужно ли государству вести переговоры с террористами или нет. Абсолютно точно необходимо регулярно проводить профилактические мероприятия, обеспечивающие сохранность данных, такие как резервное копирование. Платить или не платить — каждый решает самостоятельно, исходя из интересов бизнеса.
Опубликовано 29.11.2021