Как сельскохозяйственная отрасль выделяется в вопросах обеспечения ИБ?
Почему нельзя на 100% защититься от атак злоумышленников?
Какие факторы нужно учитывать, приобретая средства защиты?
Кому должно подчиняться ИБ-подразделение
От службы ИБ я в первую очередь жду ощущения спокойствия. Мне необходимо знать, что контур защищен от внешних проникновений, у нас достаточно инструментов, способных фиксировать внутренние угрозы, есть четкий фидбэк по состоянию инфраструктуры, своевременно выявляются слабые места. Кроме того, я жду открытого диалога с другими службами и всячески его поощряю. У нас регулярно проводятся внутренние ИБ-конференции, куда мы приглашаем специалистов, отвечающих за инфраструктуру, бизнесприложения, и ИТ-директоров, чтобы наладить горизонтальное взаимодействие.
Схема, в которой ИБ напрямую подчиняется руководству компании, не работоспособна. Это направление должны курировать либо ИТ, либо служба безопасности — те, кто хотя бы немного в теме. Гендиректор, может, и поймет ИБ-специалиста, когда тот будет отчитываться о про деланной работе, но поставить правильные задачи точно не сможет. У топов другие цели, они не должны глубоко погружаться в такие проблемы.
Второй вариант — подчинение ИБ-блока службе безопасности. Главный плюс: ИБ в этой схеме никак не зависит от ИТ-блока, а значит, может объективно анализировать и контролировать действия ИТ-шников со стороны. Но есть и минусы: классическая ИБ в первую очередь сосредоточена на экономической и физической безопасности, а руководит подразделением, скорее всего, бывший сотрудник силовых структур без необходимого ИТ-бэкграунда. В результате интересы и нужды ИБ могут сдвинуться на второй план.
Самая эффективная схема — сделать ИБ частью вертикали ИТ. Чистых ИБ-проектов все равно не существует, это всегда работа на стыке ИТ и безопасности. Какие бы идеи у вас ни возникали, «руками» всегда будут либо инфраструктурщики, либо сетевики. Когда ИБ и ИТ находятся в разных вертикалях, возникают проблемы с коммуникациями, качество диалога снижается в разы. Единственный минус этой модели — зависимость безопасности от ИТ-блока и, как результат, невозможность оценивать корректность действий ИТ-шников со стороны. Но в нашем случае я не довлею над ИБ-специалистами и прислушиваюсь к ним. Они всегда могут указать, где инфраструктурные или сетевые службы ущемляют интересы ИБ.
Опасения по поводу того, что в такой схеме ИБ будет финансироваться по остаточному принципу — после ИТ, я считаю несостоятельными. Если в компании утвержден долгосрочный план развития информационной безопасности, никто не сможет подвинуть ИБ-блок на второй план.
В «Русагро» существует пятилетняя программа трансформации ИБ, которую мы разработали совместно со специалистами компании «Инфосистемы Джет». Раньше каждое наше бизнес-направление решало ИБ-проблемы самостоятельно, выбирая для этого разные платформы и инструменты. Позитивный опыт одного подразделения нельзя было транслировать на другие, и экспертиза не использовалась в полной мере. Поэтому мы приняли решение о разработке единой стратегии ИБ, которую будут реализовывать все бизнес-направления.
В спорах ИБ с другими ИТ-службами я выступаю как бизнес-партнер и руководствуюсь интересами бизнеса.
Наша отличительная черта — акцент на защите IOT. Мы активно используем технологии интернета вещей, поэтому все иб-шники, которые приходят к нам работать, должны хотя бы в общих чертах представлять, что это и как его защищать.
Кадровый вопрос: пока перекупать, затем воспитывать самим
В сделках M&A вы приобретаете не только оборудование и кадры, но и интеллектуальную собственность. Если рассматривать новые активы исключительно как расширение производственных мощностей, вы просто переплатите — отдельно купить станки и людей дешевле, чем действующую компанию. Мы внимательно подходим к M&A и оцениваем, сотрудников какого уровня и какую интеллектуальную собственность приобретаем. В дальнейшем мы инкорпорируем этот опыт в собственную компанию. Уровень зрелости при соединяемых активов бывает разным. Например, в прошлом году в ходе очередного слияния мы почерпнули знания и методы работы в части информационной безопасности. При этом были случаи, когда мы приобретали и компании с нулевой ИБ. Тогда мы смотрим на стратегию развития холдинга, оцениваем зрелость того направления, куда вливается актив, и создаем план его модернизации — до стандартов нашего бизнеса.
Мы идем к стандартизации и придерживаемся концепции «одна проблемная область — одна платформа». Даже если на пять бизнес-направлений у нас будут пять instance, все они будут на одной платформе, потому что это создаст предпосылки для дальнейшей централизации функции. В перспективе 4–5 лет мы планируем централизовать все сервисы. И речь не обязательно идет о «сведении» функций в Москве. Я имею в виду единую политику управления, которую можно реализовывать из любого места.
В плане защиты периметра наш агрохолдинг не отличается от других производств. Но при этом мы распределенная компания с объектами в мало населенных районах, и здесь есть своя специфика. Все процессы должны быть хорошо отлажены, иначе ИБ-специалисты не будут вылезать из командировок по моторно-транспортным станциям, раскиданным по небольшим деревням.
Наша отличительная черта — акцент на защите IoT. Мы активно используем технологии Интернета вещей, поэтому все ИБ-шники, которые приходят к нам работать, должны хотя бы в общих чертах представлять, что это и как его защищать. В остальном сельскохозяйственная отрасль не сильно выделяется с точки зрения ИБ.
Нам нужны опытные ИБ-специалисты. Они обходятся недешево, ведь как работодатель мы конкурируем с компаниями, для которых информационная безопасность жизненно важна, — например, с банками. Логично, что они готовы платить больше, но мы привлекаем соискателей другим. Задачи наших специалистов не сводятся к поддержке уже существующих решений, у нас можно включиться в процесс построения этих систем. Это возможность получить глубокие знания и компетенции.
У нас есть интересные проекты в регионах. Немногие могут этим по хвастаться. Если хочешь расти как профессионал, в большинстве случаев тебе нужно перебираться в Москву или другие крупные города: Санкт-Петербург, Казань, Новосибирск. Наши сотрудники решают нестандартные задачи в Белгороде, Екатеринбурге, Саратове и Тамбове, и мы очень гордимся этим.
Вакансию ИБ-специалиста в регионе мы закрываем за 2–4 месяца. Подходящих экспертов мало, поскольку в регионах в целом сложно с ИТ-шниками. Берем соискателей отовсюду, хотя финансовая сфера в приоритете — оттуда приходят более крепкие специалисты с хорошим пониманием ИБ и процессным мышлением.
Нанимать студентов пока не получается. У нас прямо сейчас запускается много проектов, которыми нужно управлять. Взять студента в помощь на какой-то кейс в принципе можно, но руководить построением, например, CM (Change Management) у него, конечно, не получится.
Когда система ИБ будет достроена, мы начнем активнее работать с выпускниками вузов. Ее нужно будет развивать и поддерживать, а не выстраивать — для начинающих специалистов это проще. К тому же за это время у нас сформируется институт наставников.
Важнейшая часть ИБ — обучение пользователей. Необходимо учить сотрудников распознавать фишинг. Вы можете вкладывать огромные средства в защиту сети, но если фишинговое письмо составлено грамотно, его обязательно откроют, и злоумышленники пробьют периметр.
Не бойтесь, вас взломают
Вас точно взломают. Уверенность в том, что вам удастся поставить на пути злоумышленников непроходимые барьеры, — это иллюзия, с которой нужно немедленно расстаться. Например, есть уязвимости нулевого дня, против которых вообще нет защиты. Это нужно принять и строить ИБ исходя из этого знания. В первую очередь необходимы серьезные средства мониторинга, позволяющие вовремя зафиксировать взлом системы, и средства для локализации скомпрометированного сегмента сети.
Важнейшая часть ИБ — обучение пользователей. Необходимо учить сотрудников распознавать фишинг. Вы можете вкладывать огромные средства в защиту сети, но если фишинговое письмо составлено грамотно, его обязательно откроют и злоумышленники пробьют периметр. Мы проводим специальные тренировки: сами составляем такие письма и рассылаем коллегам. Они попадаются, но с каждым разом все меньше.
№ 187-ФЗ от 26.07.2017
О безопасности критической информационной инфраструктуры Российской Федерации
Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также — критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.
Одна из главных угроз для ИБ — публичные облака. Вы никогда не узнаете, как именно они защищены с точки зрения ИБ, не получите доступ ко всем логам. Иногда публичное облако выступает как продолжение частного и таким образом становится частью внутренней инфраструктуры. При этом защищаете его не вы, и с точки зрения ИБ — это риск. Как руководитель ИТ я выступаю за частные облака, но крупные компании сейчас просто не могут не использовать публичные решения. Например, для быстрого развертывания пилотов. Если вы хотите достичь успеха в бизнесе, вам просто придется применять гибридный подход.
Еще одна актуальная угроза — уже упомянутый мной IoT. Интернет вещей подразумевает огромное количество точек подключения к сети, но промышленные стандарты защиты еще не выработаны.На мой взгляд, обеспечивать защиту IoT в первую очередь должны производители соответствующего оборудования.
Современному предприятию требуется постоянная подпитка данными, на этом строятся актуальные методы планирования производства и вся концепция индустрии 4.0.
Особняком стоит тема защиты АСУ ТП. Недаром государство обратило внимание на это направление и выпустило Федеральный закон № 187ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Дело в том, что в подавляющем большинстве случаев оборудование АСУ ТП работает на Windows XP. Эта ОС давно не поддерживается, закончилась даже расширенная поддержка безопасности. Но лезть в эту тему страшно, потому что переход на последнюю версию Windows гарантированно остановит производство. Подобные проблемы характерны для всего EoL/ EoS-оборудования.
Классический ответ на этот вызов — сделать закрытый сегмент сети. Но это самообман. Современному предприятию требуется постоянная подпитка данными, на этом строятся актуальные методы планирования производства и вся концепция Индустрии 4.0. Если информация не при ходит в ERP, у вас не цифровое предприятие. А если вы хотите быть «цифровыми», придется дать доступ к сети оборудованию, которое легко взломать.
Для поддержки оборудования АСУ ТП вендору нужен внешний доступ. То есть в закрытый сегмент вашей сети нужно дать доступ специалисту из Дании, Германии или, например, Голландии. Можно контролировать этот процесс с помощью решений класса PIMPUMPAM (PIM — Privileged Identity Management, PUM — Privileged User Management, а PAM — Privileged Account/Access Management), но просто изолировать сегмент в современных реалиях невозможно.
Чтобы в вашей компании возникли Shadow IT, необходимы предпосылки — например, отдельная подписка на облако или неучтенный сервер. У нас процедуры закупки ИТ-решений выстроены максимально строго, поэтому ненужное оборудование в принципе не может появиться в компании.
На что тратить деньги в первую очередь
Самый простой ответ на все новые вызовы — регулярное приобретение новых средств защиты. Но в реальности эта схема нежизнеспособна. Она сработает на новом производстве, где используется современное оборудование. Но у любой компании есть «историческое наследие». Что с ним делать — неизвестно, правильного ответа не существует. Причем модернизация старого оборудования зачастую стоит столько, что проще построить новое производство. Конечно, бизнес на такие траты не пойдет.
Приобретая новые средства защиты, мы отталкиваемся от проблематики. Если возникают сложности с оперативным доступом сотрудников к системам, мы обращаем внимание на IdM-решения (системы управления доступом). Если видим проблему с подрядчиками, идем в класс PIMPUMPAM. Важно не вестись на хайп, а руководствоваться конкретными проблемами бизнеса.
Некоторые ИБ-проекты приносят компании очевидную прибыль. Выгоду от внедрения того же IdM-решения достаточно просто посчитать. Чем быстрее сотруднику выдали нужные права, тем быстрее он начал выполнять свои функции и тем выше его эффективность. Но подобные проекты — скорее исключение, чем правило.
Мы работаем по модели угроз. Каждая угроза описывается с точки зрения двух факторов: вероятности того, что она случится, и потенциальных финансовых потерь. Первый просчитывают ИБ-специалисты, второй — представители бизнеса. По итогам мы закрываем наиболее опасные угрозы.
Чтобы в вашей компании возникли Shadow IT, необходимы предпосылки — например, отдельная подписка на облако или неучтенный сервер. У нас процедуры закупки ИТ-решений выстроены максимально строго, поэтому ненужное оборудование в принципе не может появиться в компании. M&A тоже не приносит новых Shadow IT, поскольку перед каждым поглощением мы проводим тщательный аудит.
Сегодня рынок ИБ-аутсорсинга не конкурентен и поэтому перегрет. Есть несколько компаний, предоставляющих качественные, но все же слишком дорогие услуги. Скорее всего, причина в нехватке ИБспециалистов. Мы готовы отдавать на аутсорсинг вещи, в которых нужен взгляд со стороны. Например, аудит ИБ, проводить который собственными силами совершенно неэффективно.
Чтобы мы начали аутсорсить ИБ, цены на некоторые услуги должны упасть в 5–10 раз. Например, на использование SOC. Но есть и адекватные расценки: на мой взгляд, пентесты сейчас стоят своих денег.