За останні два роки, поки вирує пандемія, багато що змінилося в нашому житті, у тому числі й у роботі фахівців з інформаційної безпеки. Але якщо замовники спочатку грамотно вибудували стратегію захисту своєї компанії, нові умови не застигли їх зненацька, не стали для них як грім серед ясного неба, а просто висунули нові завдання, які під силу справжнім професіоналам. Про це ми поговорили з Романом Пустарнаковим, директором департаменту організації роботи із замовниками компанії «Газінформсервіс».
Багато років фахівці з інформаційної безпеки вважаються у своїх компаніях «продавцями страху». Вони переконують бізнес у небезпеці наявних ризиків та вразливостей для того, щоб отримати бюджет на їхнє усунення. Чи змінилося сьогодні щось у відносинах бізнесу та безпеки?
«Продаж страху» нікуди не подівся. Інформаційна безпека має кілька драйверів. Перший полягає у забезпеченні регламентів законодавства. Невиконання вимог держави і законодавства завжди тягне за собою страхи та ризики, які втіляться, якщо ці вимоги не дотримуються повною мірою. У нашій країні вимоги законодавства постійно розвиваються. Декілька років тому у всіх на слуху був 152-ФЗ «Про захист персональних даних». Сьогодні таким драйвером виступає 187-ФЗ "Про захист критичних об'єктів інформаційної інфраструктури". Якщо обрушити в компанії інформаційні системи, бізнес може опинитися у важкому, якщо не сказати катастрофічному становищі. Це теж страх, але вже іншої природи. Самі власники бізнесу та ІТ-структури розуміють такі ризики. Нарешті, третій стимул розвитку — скорочення витрат за рахунок автоматизації ІБ-процесів, яка досягається завдяки певному набору інструментів. Наприклад, продукти класу Identity Manager актуальні для великих компаній з великою кількістю облікових записів. А де велика кількість — там, як правило, плутанина та складності в управлінні. Припустимо, співробітник звільнився, а його обліковий запис залишився активним. Ніхто не завадить співробітнику через кілька місяців підключитися до свого облікового запису та зайти до будь-яких інформаційних систем компанії. Ще один клас товарів - засоби контролю змін, які в автоматичному режимі забезпечують моніторинг налаштувань мережного обладнання. Так само працюють SIEM-системи. При спрацьовуванні певних правил вони повідомляють ІБ-фахівців, щоб вони могли відреагувати. Якщо таких систем немає, потрібні численні системні адміністратори, які спостерігали б за всіма пристроями. Цей стимул, або драйвер — уже не страх, а оптимізація.
Таким чином, певний рух від «страхів» до більш позитивних стимулів є.
Всі ці системи аж ніяк не дешеві. Засоби захисту не можуть коштувати дорожче за дані, які вони захищають. Де тут баланс та як його знайти?
Реалізація ризиків ІБ — це питання втрати, втрати активів компанії. При розрахунку бюджету на ІБ необхідно розуміти, чого компанія може втратити, якщо такі ризики здійсняться. Питання дуже складне, оскільки мало хто проводить подібні розрахунки. Залежно від оцінки витрат компанії при реалізації ризиків ІБ потрібно розраховувати відповідний бюджет на системи захисту. Чи може ІБ-служба приносити дохід компанії? Адже у багатьох випадках ІТ-департаменти вже навчилися приносити дохід або хоча б окупати власні витрати.
Якщо ІТ-департаменти продають свої послуги стороннім організаціям, ніхто не заважає і ІБ йти цим шляхом. За наявності хорошої ІБ-команди можна, наприклад, продавати послуги з проведення пентестів. Чи потрібно корпоративним службам ІТ та ІБ заробляти гроші? Я не впевнений. Це все одно, що здавати корпоративний транспорт в оренду. Витрати перевищать вигоду.
Про аутсорсинг інформаційної безпеки говорять дуже давно, проте ця тема не набула широкого поширення на ринку. На вашу думку, чому?
А якщо говорити про експлуатаційну підтримку?
Будь-який виробник ІБ-рішень підтримує свої продукти, надає замовнику підтримку, укладає з ним договір на супровід систем. В рамках цих договорів надається продовження ліцензій і фіксується певна кількість годин роботи фахівців. Сьогодні дуже багато організацій перейшли на віддалену роботу співробітників або на гібридний режим. З якими проблемами доводиться стикатися ІБ-фахівцям у зв'язку із цим? Чим їм можуть допомогти вендори та інтегратори?
Гібридний режим породив багато проблем. Наприклад, проблема використання особистого ПК при підключенні до віддалених робочих місць в організації, що знаходяться всередині захищеного периметра. Важко бути впевненим у безпеці особистого комп'ютера користувача. Коли закінчується робочий день, користувач може робити на ньому все, що захоче: серфити в Інтернеті, грати і в результаті «чіпляє» віруси. У багатьох організаціях цього ніхто не контролює. Вендори та інтегратори готові запропонувати, скажімо, захищені віддалені робочі місця на базі технології Virtual Desktop Infrastructure (VDI), які генеруються всередині захищеної інфраструктури організації, а потім передаються користувачеві для роботи. При такому способі організації віддаленої роботи користувач підключається захищеним каналом зв'язку до мережі підприємства і отримує віртуальне робоче місце, ізольоване від особистого ПК. Як у цьому випадку вирішується питання з продуктивністю? Адже не у всіх вдома є потужний комп'ютер, такий же, як в офісі?
Комп'ютерна техніка вже давно перестала бути розкішшю, багато користувачів регулярно оновлюють домашні ПК. Але роботодавцю краще надати співробітникам корпоративні ноутбуки із відповідними інструментами захисту віддаленого доступу. Це питання не швидкодії, а безпеки. Які вигоди для російських ІБ-компаній випливають із дворічної пандемії? Я не можу сказати, що ми наловили риби в цій каламутній воді. Так, пандемія поставила нові завдання щодо організації масової віддаленої роботи, але не бачу бурхливого зростання попиту захист віддаленого доступу. Можливо, тому, що у наших замовників подібні рішення були реалізовані ще до пандемії. За два роки обсяг продажів зріс, але пандемія була не єдиним драйвером.
Які ландшафтні зміни на ринку ІБ викликала пандемія?
то приходить. Ландшафтними ці зміни я не називав би.
Чи змінилися самі користувачі?
Думаю, що ні. Я вивчав корпоративні звіти щодо фішингових тестів деяких компаній. Кількість користувачів, які провалили ці тести, менша, на жаль, не стає.
Як сьогодні протистояти ІБ-загрозам без особливої шкоди для корпоративного бюджету?
їхню грамотність, працювати з персоналом, доводити до них наслідки можливих загроз. Неминучі та обмежувальні заходи. Можна захищати користувача від загроз з Інтернету або просто вимкнути мережу. Це дешевше, але непродуктивно.
Кому має підпорядковуватися ІБ-служба в компанії: ІТ-керівнику чи безпосередньо CEO?
Я думаю, що ІБ-служба має бути незалежною і підпорядковуватися безпосередньо першому особі компанії. Тому що інформаційна безпека дозволяє контролювати всіх співробітників організації, у тому числі самих айтішників. Це питання дуже важливе і критичне. Залежність бізнесу від ІТ дуже велика. Якщо ІТ-фахівців не контролювати, можливі будь-які сюрпризи. Ніхто не скасовував інсайдерські ризики.
Коли функціонал ІБ перебуває у складі ІТ-департаменту, останній, як правило, очолює айтішник, який інформаційну безпеку фінансує за залишковим принципом. На мій погляд, це мають бути паралельні структури, підпорядковані топ-менеджменту компанії.
Айтішники постійно скаржаться на проблему з кадрами. Як справи в інформаційній безпеці?
Так само. В ІБ катастрофічно не вистачає кваліфікованих кадрів. Зарплати збільшилися в кілька разів, проте все важче знайти фахівців із добрими компетенціями. З одного боку, дефіцит, а з іншого — велика плинність. На зміну приходить покоління Z, для яких міняти роботу раз на рік чи раз на два роки – нормально. І це теж серйозна проблема для роботодавця, оскільки будь-яку людину треба адаптувати до завдань компанії, інтегрувати до її корпоративної культури.
Чи допомогла модель віддаленої роботи у вирішенні кадрового питання? Чи стало простіше наймати фахівців із регіонів за адекватні гроші?
Свого часу в ІБ використовувалося багато зарубіжних продуктів. Їх і сьогодні чимало. Як розвивається імпортозаміщення і які прогнози щодо цього можна дати? Які продукти поки що не можна замінити вітчизняними аналогами на ринку інформаційної безпеки?
Імпортозаміщення розвивається, частка вітчизняного ПЗ та апаратного забезпечення у наших замовників постійно збільшується. Держава, у свою чергу, створює пільгові умови для російських вендорів та виробників обладнання, висуваючи до держструктур вимоги щодо використання російських аналогів. Якщо порівняти вітчизняні та імпортні рішення, то результати будуть різні. З одного боку, є приклад Касперського, чий антивірус вже багато років не просто перебуває на одному рівні з провідними зарубіжними аналогами, а перевершує їх. В ІБ зрілість вітчизняних продуктів зростає, але це ще не завжди «Касперський».
І останнє питання. Сьогодні багато компаній стикаються з проблемою здирств з боку зловмисників, які захоплюють контроль над різними системами і потребують викупу. Платити чи не платити в подібних ситуаціях?
Це питання схоже на те, чи потрібно державі вести переговори з терористами чи ні. Абсолютно точно необхідно регулярно проводити профілактичні заходи, що забезпечують збереження даних, такі як резервне копіювання. Платити чи не платити – кожен вирішує самостійно, виходячи з інтересів бізнесу.
bbabo.Net