Анастасия Гайнетдинова: ИБ – это руль, но с хорошими тормозами

Давайте немного подробнее о вас. Как вы пришли в сферу информационной безопасности?

Началось все на четвертом курсе Волгоградского госуниверситета. Я училась на кафедре компьютерного моделирования, и в какой-то момент нужно было выбирать тему диплома. Совершенно случайно мне попалась книга Дэна Брауна «Цифровая крепость». Она про шифры, головоломки, криптографию — и я просто влюбилась в тему. Поэтому диплом был про стеганографию — это сокрытие факта передачи информации.

В итоге я поехала в магистратуру к Борису Яковлевичу Рябко, чьи учебники читала. Писала у него работу по применению методов сжатия для атрибуции текста. Тогда же начались соревнования CTF — командные хакатоны по ИБ. Там ты решаешь задачи из разных областей: криптография, сети, стеганография. Это развивает не только технические навыки, но и мышление. На одном из таких мероприятий я познакомилась с девушкой из ЦФТ. Она как раз набирала людей, и мне предложили на выбор две роли: аналитик или аудитор по информационной безопасности. Я выбрала аудит — там больше непредсказуемости. Ты приходишь в незнакомую среду, быстро погружаешься и понимаешь, что нужно улучшить, чтобы соответствовать выбранным требованиям.

Проработала в аудите четыре года, и мне очень нравилось постоянно решать нетривиальные задачи, находить несоответствия в процессах, выстраивать логику. А три года назад все изменилось: после внешнего аудита персональных данных в Whoosh мне предложили перейти в компанию и выстроить процессы по персональным данным изнутри. А потом появились и другие направления, и опасения, что только ПД будет заниматься скучно, отпали окончательно. Новый опыт, интересные проекты, и в итоге — совершенно другая перспектива на безопасность.

Расскажите о сегодняшней работе, о задачах и команде.

У нас компактная, но очень вовлеченная команда. У каждого своя зона ответственности. Моя — это процессы: все, что связано с построением, пересборкой или доработкой алгоритмов, имеющих отношение к информационной безопасности. Иногда связь с безопасностью неочевидна, например, классическая история с мошенничеством однозначно в нашей зоне, а вот, скажем, инциденты, которые выходят в публичное поле, мы уже решаем вместе с PR-командой, потому что каждый случай уникален.

Так же и с обращениями от пользователей, которые видят нарушения и пишут в поддержку. Это неформализованные кейсы, но и здесь ИБ вовлекается.

Какие принципы для вас как для человека, отвечающего за кибербезопасность, являются ключевыми? Где граница между удобством и безопасностью?

Меня часто спрашивают, как найти золотую середину. На мой взгляд, ее не существует. Есть только уровень минимальной приемлемости.

Я сторонник удобства, пусть это и не совсем типичная позиция для специалиста по ИБ. У меня процессное мышление, и я уверена: если процесс неудобен, его будут обходить. Это касается не только безопасности. Но если обходят именно процессы защиты, то последствия могут быть серьезными.

Поэтому я стараюсь строить процессы так, чтобы они были понятны и логичны для конечных пользователей. Если можно сделать что-то удобнее — мы постараемся это учесть. Главное, чтобы при этом сохранялся необходимый уровень защиты и чтобы пользователь понимал, зачем все это вообще нужно.

А что для пользователя все-таки важнее? Не быть взломанным или не возиться с двухфакторкой, паролями и прочим?

Тут два направления. Первое — это клиенты сервиса, то есть B2C. Мы не можем вмешиваться в устройство пользователя, заставить его поставить антивирус или что-то настроить. Все, что мы можем контролировать — это процесс входа в приложение. Вся критичная логика защищена на бэке. Да, пользователь может попытаться что-то сделать, но реально повлиять — едва ли.

Поэтому наша задача — сбалансировать требования закона и удобство. Например, регистрация: по закону нужно согласие на обработку данных, на рассылки и так далее. Но если все это вывалить на экран, пользователь испугается и просто закроет приложение. Мы долго обсуждали это с юристами и product-менеджерами и в итоге нашли вариант, где все лаконично: телефон, имя, электронная почта (чтобы присылать чеки). Минимум шагов, максимум соответствия закону.

Так что в этом случае вопрос не в том, чтобы «обезопасить пользователя», а в том, чтобы обезопасить систему от возможных проблем, которые может принести пользователь.

Второе направление — это наши сотрудники. Внутренние процессы: управление доступами, мониторинг, реагирование — все это касается их работы. И если мы усложним им жизнь, они будут тратить больше времени на рутину, а это уже тормозит бизнес. Поэтому каждое правило проходит через фильтр: не навредит ли это работе команды? Без этого нельзя.

Сейчас усиливается ответственность за утечки персональных данных. Как вы минимизируете риски ? Например, если пользователь зарегистрировался в сервисе, а затем начал получать подозрительные звонки и обвиняет Whoosh в утечке?

Все зависит от конкретного случая. Если пользователь обращается в нашу службу поддержки, мы стараемся спокойно и понятно объяснить, что произошло, и, если инцидент действительно был, даем рекомендации как обезопасить себя, что предпринять.

Если утечки с нашей стороны не было, объясняем это мягко, без обвинений, в формате разговора с другом. Потому что зачастую человек просто хочет, чтобы его услышали. И когда мы включаемся с эмпатией — это обычно работает.

Первое, что мы делаем — проверяем, была ли утечка у нас. Мы точно знаем, откуда произошёл инцидент. Если человек действительно пострадал из-за инцидента на нашей стороне, стараемся компенсировать неудобства. У нас отличная служба заботы о пользователях, и они действительно делают все, чтобы человеку было комфортно.

А если дело доходит до суда, то подключаются юристы. Тут мы спокойны: все задокументировано, процесс реагирования отлажен. Ну и даже если утечки не было, мы все равно подскажем, как себя обезопасить. Но обвинения в нашу сторону должны быть обоснованными.

Если сравнивать кибербезопасность в массовых сервисах и в корпоративных системах — в чем ключевое различие?

Различие принципиальное. Малый и средний бизнес — это одна история. Энтерпрайз — совершенно другая. Но если говорить про подход в B2C и B2B, то здесь главное — возможность контроля.

В B2B ты можешь предъявлять требования своим пользователям. В B2C — нет. Когда у тебя десятки миллионов пользователей, ты не можешь каждому объяснить: поставь пароль посложнее, включи второй фактор, не кликай по подозрительным ссылкам.

Да, можно опубликовать советы по кибергигиене, сделать хорошую onboarding-инструкцию, но ты не проконтролируешь, выполнены ли они. И если человек клюнул на фишинг, поверил дипфейку, ты узнаешь об этом только постфактум.

Сотрудник внутри компании — это человек, с которым у тебя есть юридическое соглашение: он получает зарплату и обязуется соблюдать регламенты. У тебя есть процессы, контроль, зона ответственности. И если он эти границы нарушает, это уже конкретный инцидент.

А вот пользователь — это совсем другая история. Ты можешь предложить ему настройки безопасности, но не можешь заставить ими воспользоваться. Он не включил двухфакторку — почта взломана, аккаунт утерян, виноват, конечно же, сервис.

Это реальность любого массового цифрового продукта. Мы стараемся минимизировать риски, но абсолютного контроля в B2C не бывает.

Правильно ли я понимаю: с миллионами пользователей на плечах ваша команда должна обеспечивать и внутреннюю безопасность компании, и внешнюю — защищать пользовательские аккаунты?

Именно так. Хотя я бы не сказала, что это объективно сложнее, чем другие направления. Просто у каждого своя специфика.

У B2B, например, есть свои особенности, особенно если в ход идет аутсорс. А у нас, в B2C, есть, можно сказать, небольшой «чит-код»: мы заранее предполагаем, что от пользователя можно ожидать чего угодно и подстраховываемся. То есть стараемся отдавать на сторону только ту часть, которую, даже если сломают, критического ущерба нам это не принесет. Мы заранее прокладываем соломку, чтобы минимизировать любые возможные последствия.

Приходится ли вам «продавать» безопасность коллегам из других отделов — например, разработке, продуктам, маркетингу?

Конечно. И мое восприятие этого процесса за последние два года сильно изменилось.

Раньше слово «продажа» у меня вызывало ассоциации с базаром: финики, абрикосы… Но потом в голове что-то щелкнуло и я поняла: продажа — это не «впарить», это показать ценность. И вот когда ты начинаешь говорить с командой на их языке, когда объясняешь не «почему нам нужно», а «чем это будет полезно вам» — тогда появляется диалог.

Во-первых, то, что мы предлагаем, должно реально приносить пользу. Не строить безопасность ради галочки. Во-вторых, должно быть понятно, как эту пользу измерить. Пока не сформулировал, где value — разговор бессмысленен.

Ну и третье — это сопровождение и включенность. Ты не просто пришел и сказал: «Вот вам статический анализатор кода. А потом исчез. Нет, ты приходишь и объясняешь: ребята, он поможет вам не только ловить баги, но и видеть, где конкретный разработчик может нуждаться в поддержке, где можно улучшить процессы. Это польза и для безопасности, и для разработки.

С пиаром у меня вообще был интересный кейс. Когда впервые услышала про защиту бренда, не понимала, как туда можно встроить безопасность. Наш директор по пиару нашла ответ сама, а я лишь дала материалы, на основе которых она смогла выстроить свое понимание. Через полтора года у нас появился полноценный бренд-протекшн. Это не потому что я такая молодец и «продала» идею, нет. Я просто помогла информации попасть к тому, кто нашел в ней нужное зерно.

Так что каждый раз — это не по шаблону. Это попытка понять: действительно ли бизнесу это нужно. Иногда да, особенно если речь идет о требованиях закона или, например, о PCI DSS. А иногда это может быть интересной «игрушкой» для ибэшника, но в действительности не быть нужным бизнесу (в моменте или в принципе) .

Если вижу, что диалог не складывается, я отступаю. Думаю еще раз: может, не так уж это и нужно, как мне казалось? Может, я ошибаюсь. Особенно когда лезу в смежные сферы — это нормально. Главное, чтобы разговор был честным и с пользой для общего дела.

Анастасия, атаки на цифровые сервисы становятся все изощреннее. Какие сценарии вызывают у вас наибольшее беспокойство?

Я буду говорить в контексте Whoosh — это моя зона ответственности, и именно с ней связаны основные риски, которые мы видим. Если собрать такой условный топ-3, то первое место я бы отдала бурному развитию нейросетей.

Полтора года назад мы начали получать сообщения: «ваш директор в мессенджере пишет». В итоге мы насчитали одиннадцать (!) разных фейковых аккаунтов нашего руководителя. Сначала это выглядело просто нелепо. Мы знаем, как он общается, знаем, где и как он пишет, и узнаем по аватарке. Поэтому тогда это вызывало у коллег скорее смех. Но потом все стало серьезнее. Появились дипфейки, видеокружки, голосовые — и голос стал почти неотличим. А мы ведь по-прежнему верим голосу, особенно когда это кажется личным обращением.

Конечно, в безопасности мы уже выработали рефлекс — сверять через два дополнительных канала. Но не у всех так. Периодически ко мне приходят коллеги: «Вот такой аккаунт — это точно наш?» И это становится реальной точкой риска.

Сами нейросети — это не зло. Проблема в том, как легко они стали доступны, особенно для тех, кто раньше не обладал нужными навыками. Порог входа сильно снизился. И теперь те, кто раньше максимум мог сгенерировать спам, уже играют в более продвинутые атаки в социнженерии.

Второй по важности сценарий — это supply chain и атаки на контрагентов. Прямо всплеск был в начале 2023 года, когда внезапно после обновлений «умирали» устройства. Кто-то что-то обновил — и все, железка отключилась.

Сейчас это носит другой характер. «Кирпичей» стало меньше — благодаря тому, что железо и мобильный софт постепенно импортозаместили. Появились русторы, стикеры для оплаты, альтернативные каналы. Но ПО по-прежнему остается источником угроз. Особенно если ты не очень понимаешь, откуда у тебя тот или иной компонент и кто тебе его поддерживает.

И на фоне этого атаки на цепочки поставок стали менее массовыми, но гораздо более изощренными. Во многом благодаря развитию нейросетей. Иногда методы такие, что диву даёшься. Взлом контрагента — это, по сути, прямой ключ к основной цели. Взлом интегратора — вообще катастрофа. А если ломают вендора… Пробиваются через подрядчиков, на которых ты даже внимания не обращал: «Ну что с него взять?» — думаешь ты. А вот злоумышленнику как раз есть что взять. Supply chain — это сейчас реальная боль. Операторы защищаются, потому что понимают риски (по большей части). Те, кто официально признал себя операторами, уже смирились: требования безопасности приходят со всех сторон — от регулятора, от внутренних служб, от контрагентов. Они привыкли.

Но есть аутсорсы и аутстафы, которые до сих пор не в курсе, что они тоже операторы. Хотя после вступления в силу поправок, когда все кинулись подавать уведомления, и сайт РКН лег на три дня, казалось бы, уже все поняли. Но нет.

Подрядчики не всегда понимают, что на них тоже лежит ответственность. Думают: мы же не оператор и с нас взятки гладки. А вот и нет. Если оператор заранее все прописал, добился подписания поручения, убедил юристов — тогда да, подрядчик обязан защищать данные, инфраструктуру, выстраивать процессы. А если это упустили — начинается феерия.

Атаки через подрядчиков — это боль. Потому что предсказать, откуда прилетит, невозможно.

Дальше — фрод. Казалось бы, не совсем ИБ. Но ущерб — вполне реальный. Например, когда кто-то паразитирует на программах лояльности или устраивает SMS-бомбинг: закидывает систему тысячами запросов, чтобы вытянуть деньги на отправку сообщений. Ничего не ломают, просто списывают бюджеты.

И опять же, нейросети делают злоумышленников хитрее, ресурсы дешевеют. Симка раньше стоила 50 рублей, теперь — 5. Условно, но масштаб понятен. Дешевые инструменты плюс простой доступ, в итоге получается реальная угроза.

Так что мой личный топ-3 угроз на сегодня: развитие нейросетей, атаки на supply chain и фрод.

Бывает ли «угон» аккаунтов? Что происходит, если кто-то пользуется украденным аккаунтом и, например, повреждает самокат — уронит его, устроит ДТП? Кто в этой ситуации несет ответственность?

Знаете, за три года я не припомню ни одного случая, чтобы кто-то у кого-то напрямую украл аккаунт. Да, использование чужих аккаунтов — это факт. Но чаще это связано не со взломами, а с такими вот серыми зонами.

Например, классическая ситуация: человек переезжает в другую страну и забывает про российский номер. Через полгода этот номер попадает в повторную продажу. Новый владелец, веселый и находчивый заходит в приложение, видит, что номер уже зарегистрирован, а к нему еще и карта привязана. Расскажу кейс примерно двухлетней давности. Мы его уже закрыли, нашли, как защититься от таких ситуаций. Одна девушка, думая, что использует какой-то тестовый режим «накатала» на 113 тысяч на чужом аккаунте. Она была уверена, что просто пробует сервис. А настоящая владелица карты, уехавшая заграницу, вдруг заметила, что с ее счета исчезли деньги, и написала нам с вопросом: «Что вообще происходит?»

Разбирательство дошло до суда, и в итоге именно та, кто пользовалась аккаунтом, и возмещала ущерб. Для нас это был важный сигнал — теперь мы отключаем карты, если видим продолжительный период неактивности.

А как вы вычисляете тех, кто пользуется чужим аккаунтом?

Меняется поведение. Локации, маршруты, стиль езды — все это можно отследить.

Например, один пользователь обычно едет 15 км/ч, другой — всегда 20. Один аккуратно паркует самокат, другой — бросает его где попало. Мы знаем, что происходит с самокатами. И если вдруг самокат появляется в ролике в TikTok — его скидывают с моста, прыгают на нем — мы смотрим номер, идем в аккаунт, смотрим, кто арендовал. Если поведение не совпадает с обычным, то начинается расследование. Это уже больше про фрод, и тут работает служба безопасности, хотя и мы в ИБ тоже в это включаемся.

Что вас сейчас больше всего раздражает на рынке ИБ-продуктов? А что, наоборот, радует?

Радует, что индустрия развивается. Раздражает, что делает это медленно. Особенно остро чувствуется, когда речь идет о переходе на российские продукты. Я не против импортозамещения — я за рабочие решения. Но проблема в том, что у ряда зарубежных сервисов просто нет прямых аналогов. И когда нас вынуждают переходить с полноценного продукта на что-то, что обеспечивает лишь часть нужной функциональности — это может быть болезненно.

Возьмем, например, ту же Jira. Ее отрубили — и тут же на рынке появилось 10 альтернатив. Но ни в одном из них нет полного набора хорошо работающих функций от оригинала. В итоге ты либо жертвуешь важными возможностями, либо начинаешь самопис, изобретая 11-й велосипед. А потом еще и теряешься, в какой из систем у тебя что хранится.

Очень жду консолидации — чтобы появилось хотя бы несколько стабильных, конкурентоспособных решений. То, что есть сейчас, — это, откровенно, боль. Та же история с ИБ-продуктами. Есть устоявшиеся лидеры — в NGFW, в антивирусах, в системах DLP, в статическом анализе кода. Но сейчас появляется много стартапов, сделанных технарями для технарей. Это классно, ребята умные, заряженные. Но если продуктом начинает пользоваться не инженер, а, скажем, ИБ-менеджер или бизнес-заказчик, он часто не понимает вообще ничего. Потому что интерфейс, логика, документация, все как будто для внутреннего круга. И тут всплывает старая тема: ты делаешь то, что тебе нравится, а продаешь тому, кому это может быть нужно. Это не всегда совпадает. Я бы очень хотела, чтобы вендоры начинали с запроса рынка, а не с собственного вдохновения.

На ЦИПРе было несколько обсуждений именно об этом. Типа: «Спасибо, конечно, что сделали кнопки синими, но можно, чтобы система просто не падала каждые десять минут?»

Вот честно — я готова пожертвовать визуалом, но только дайте стабильную, не глючную систему. Сейчас это, к сожалению, большая редкость. И именно стабильность — самая раздражающая точка. Потому что вендоры ее часто игнорируют, а ведь она — основа доверия.

А если бы у вас была возможность одним решением изменить что-то важное в отрасли ИБ, что бы выбрали?

Вдохновение. Да, звучит несбыточно, но, по моим ощущениям, наша профессия на 90% зависит от интереса к делу. Я вижу, как в отрасли работают люди, которые повторяют истины 15-летней давности с абсолютно потухшим взглядом — просто потому что им сказали сюда прийти. Это грустно.

И в то же время есть те, у кого горят глаза, кто учится, двигает что-то вперед. Вот этим людям я бы пожелала как можно больше драйва и смысла в том, что они делают.

Я понимаю, что вопрос будет провокационный… Но вот за рулем я уже больше 25 лет и хорошо помню, как мы ездили в 90-е: никто не пристегивался, даже мысли такой не было. Потом ввели штрафы, и хотя суммы были небольшими, привычка пристегиваться вошла в обиход. Сейчас уже почти все делают это автоматически. Как думаете, можно ли так же повлиять на пользователей в сфере информационной безопасности? Скажем, штрафами за безответственное отношение к своим данным?

Вопрос действительно провокационный. Потому что сегодня ответственность за инциденты с данными ложится либо на компанию, либо на государство, но не на самих пользователей.

И здесь, наверное, важно говорить не о штрафах, а о культурном коде. Вот вы привели пример с ремнями безопасности. Люди начали пристегиваться не потому, что где-то прописали обязанность, а потому что получили реальный штраф. Пока ответственность только на бумаге — это не работает.

Всегда есть три группы: одна — дисциплинированные, которые делают все правильно, как только видят правило. Вторая — те, кто категорически все нарушает. И третья — самая большая, те, кто просто плывет по течению: «Ну, сказали — сделаю, не сказали — ну и ладно». И вот именно на этих «середняков» и работает сочетание правил и последствий.

То есть штрафовать пользователей — бесполезно?

Штрафы помогают, но не так эффективно, как работа с культурным кодом. Чтобы люди действительно начали заботиться о своих данных, нужно изменить само восприятие. Чтобы это стало чем-то само собой разумеющимся — как пристегиваться в машине.

Хорошо. Мы уже многое обсудили, но давайте напоследок вопрос в духе вашей компании. Безопасность — это тормоз или руль?

Зависит от восприятия. На мой взгляд — все-таки руль. Потому что мы не просто контролируем и ограничиваем — мы помогаем бизнесу двигаться. Мне очень понравилась мысль, прозвучавшая на ЦИПРе: сегодня безопасность — это конкурентное преимущество.

В нашем случае безопасность — это руль, потому что она дает уверенность, что сервис не отвалится в самый неожиданный момент. А если и случилось что-то серьезное — мы знаем, где наша зона ответственности, и готовы ее нести.

Мы стараемся идти с бизнесом рука об руку, быть партнерами, а не «надзором». Возможно, кто-то из коллег с этим не согласится. Особенно разработчики: когда мы просим что-то внедрить, они бурчат. Долго, громко, но в итоге соглашаются. Да, это влияет на time to market, да, мы слегка тормозим выход продукта. Но в перспективе — только так и можно делать устойчивые сервисы.

Конечно, это постоянный диалог. Иногда проекты действительно приходится тормозить, потому что риски очевидны. Когда менеджер с горящими глазами прибегает с новой идеей, он обычно не думает, что будет, если все пойдет не так. А вот задача ибэшника — подумать. И вовремя открыть глаза. Так что да — руль. Но с хорошими тормозами. Без них далеко не уедешь.