Сайт находится в состоянии доработки. Извиняемся за неудобства.

x
© 1995-2020 Компания «Инфосистемы Джет»

Как сельскохозяйственная отрасль выделяется в вопросах обеспечения ИБ?

 

Почему нельзя на 100% защититься от атак злоумышленников?

 

Какие факторы нужно учитывать, приобретая средства защиты?

 

 

Кому должно подчиняться ИБ-подразделение

 

От службы ИБ я в первую очередь жду ощущения спокойствия. Мне необ­ходимо знать, что контур защищен от внеш­них проникновений, у нас достаточно инструментов, способных фиксировать внутренние угрозы, есть четкий фидбэк по состоянию инфраструктуры, своевре­менно выявляются слабые места. Кроме того, я жду открытого диалога с другими службами и всячески его поощряю. У нас регулярно проводятся внутренние ИБ­-кон­ференции, куда мы приглашаем специалис­тов, отвечающих за инфраструктуру, биз­нес­приложения, и ИТ-­директоров, чтобы наладить горизонтальное взаимодействие.

 

Схема, в которой ИБ напрямую подчиняется руководству компании, не работоспособна. Это направление должны курировать либо ИТ, либо служба безопас­ности — те, кто хотя бы немного в теме. Гендиректор, может, и поймет ИБ­-специа­листа, когда тот будет отчитываться о про­ деланной работе, но поставить правильные задачи точно не сможет. У топов другие цели, они не должны глубоко погружаться в такие проблемы.

Второй вариант — подчинение ИБ-блока службе безопасности. Глав­ный плюс: ИБ в этой схеме никак не зависит от ИТ-­блока, а значит, может объективно анализировать и контролировать действия ИТ-­шников со стороны. Но есть и минусы: классическая ИБ в первую очередь сосре­доточена на экономической и физической безопасности, а руководит подразделением, скорее всего, бывший сотрудник силовых структур без необходимого ИТ-бэкграунда. В результате интересы и нужды ИБ могут сдвинуться на второй план.

 

Самая эффективная схема — сделать ИБ частью вертикали ИТ. Чистых ИБ­-проектов все равно не существует, это всегда работа на стыке ИТ и безопасности. Какие бы идеи у вас ни возникали, «рука­ми» всегда будут либо инфраструктурщики, либо сетевики. Когда ИБ и ИТ находятся в разных вертикалях, возникают пробле­мы с коммуникациями, качество диалога снижается в разы. Единственный минус этой модели — зависимость безопасности от ИТ-­блока и, как результат, невозмож­ность оценивать корректность действий ИТ-­шников со стороны. Но в нашем случае я не довлею над ИБ-­специалистами и при­слушиваюсь к ним. Они всегда могут ука­зать, где инфраструктурные или сетевые службы ущемляют интересы ИБ.

Опасения по поводу того, что в такой схеме ИБ будет финансироваться по остаточному принципу — после ИТ, я считаю несостоятельными. Если в компании утвержден долгосрочный план развития информационной безопасности, никто не сможет подвинуть ИБ-­блок на вто­рой план.

 

В «Русагро» существует пятилетняя программа трансформации ИБ, которую мы разработали совместно со специалистами компании «Инфосистемы Джет». Раньше каждое наше биз­нес-­направление решало ИБ­-проблемы са­мостоятельно, выбирая для этого разные платформы и инструменты. Позитивный опыт одного подразделения нельзя бы­ло транслировать на другие, и экспертиза не использовалась в полной мере. Поэтому мы приняли решение о разработке единой стратегии ИБ, которую будут реализовывать все бизнес­-направления.

 

В спорах ИБ с другими ИТ-службами я выступаю как бизнес-партнер и руководствуюсь интересами бизнеса.

Наша отличительная черта — акцент на защите IOT. Мы активно используем технологии интернета вещей, поэтому все иб-шники, которые приходят к нам работать, должны хотя бы в общих чертах представлять, что это и как его защищать.

Кадровый вопрос: пока перекупать, затем воспитывать самим

 

В сделках M&A вы приобретаете не только оборудование и кадры, но и интеллектуальную собственность. Если рассматривать новые акти­вы исключительно как расширение производственных мощностей, вы просто переплатите — отдельно купить стан­ки и людей дешевле, чем действующую компанию. Мы внимательно подходим к M&A и оцениваем, сотрудников какого уровня и какую интеллектуальную соб­ственность приобретаем. В дальнейшем мы инкорпорируем этот опыт в собствен­ную компанию. Уровень зрелости при­ соединяемых активов бывает разным. Например, в прошлом году в ходе оче­редного слияния мы почерпнули знания и методы работы в части информационной безопасности. При этом были случаи, когда мы приобретали и компании с нулевой ИБ. Тогда мы смотрим на стратегию развития холдинга, оцениваем зрелость того направ­ления, куда вливается актив, и создаем план его модернизации — до стандартов нашего бизнеса.

Мы идем к стандартизации и придерживаемся концепции «одна проблемная область — одна платформа». Даже если на пять бизнес­-направлений у нас будут пять instance, все они будут на одной платформе, потому что это создаст предпосылки для дальнейшей централизации функции. В перспективе 4–5 лет мы планируем централизовать все сервисы. И речь не обязательно идет о «сведении» функций в Москве. Я имею в виду единую политику управления, которую можно реализовывать из лю­бого места.

 

В плане защиты периметра наш агрохолдинг не отличается от других производств. Но при этом мы распреде­ленная компания с объектами в мало­ населенных районах, и здесь есть своя специфика. Все процессы должны быть хорошо отлажены, иначе ИБ­-специалис­ты не будут вылезать из командировок по моторно-­транспортным станциям, раскиданным по небольшим деревням.

 

Наша отличительная черта — акцент на защите IoT. Мы активно исполь­зуем технологии Интернета вещей, по­этому все ИБ-­шники, которые приходят к нам работать, должны хотя бы в общих чертах представлять, что это и как его защищать. В остальном сельскохозяй­ственная отрасль не сильно выделяется с точки зрения ИБ.

Нам нужны опытные ИБ-специалисты. Они обходятся недешево, ведь как работодатель мы конкурируем с ком­паниями, для которых информационная безопасность жизненно важна, — напри­мер, с банками. Логично, что они гото­вы платить больше, но мы привлекаем соискателей другим. Задачи наших специ­алистов не сводятся к поддержке уже су­ществующих решений, у нас можно вклю­читься в процесс построения этих систем. Это возможность получить глубокие зна­ния и компетенции.

 

У нас есть интересные проекты в регионах. Немногие могут этим по­ хвастаться. Если хочешь расти как про­фессионал, в большинстве случаев тебе нужно перебираться в Москву или другие крупные города: Санкт­-Петербург, Казань, Новосибирск. Наши сотрудники решают нестандартные задачи в Белгороде, Екатеринбурге, Саратове и Тамбове, и мы очень гордимся этим.

Вакансию ИБ-специалиста в регионе мы закрываем за 2–4 месяца. Подходящих экспертов мало, поскольку в регионах в целом сложно с ИТ-­шника­ми. Берем соискателей отовсюду, хотя финансовая сфера в приоритете — оттуда приходят более крепкие специалисты с хорошим пониманием ИБ и процессным мышлением.

 

Нанимать студентов пока не получается. У нас прямо сейчас запуска­ется много проектов, которыми нужно управлять. Взять студента в помощь на какой­-то кейс в принципе можно, но руководить построением, например, CM (Change Management) у него, конечно, не получится.

 

Когда система ИБ будет достроена, мы начнем активнее работать с выпускниками вузов. Ее нужно будет раз­вивать и поддерживать, а не выстраи­вать — для начинающих специалистов это проще. К тому же за это время у нас сформируется институт наставников.

Важнейшая часть ИБ — обучение пользователей. Необходимо учить сотрудников распознавать фишинг. Вы можете вкладывать огромные средства в защиту сети, но если фишинговое письмо составлено грамотно, его обязательно откроют, и злоумышленники пробьют периметр.

Не бойтесь, вас взломают

 

Вас точно взломают. Уверенность в том, что вам удастся поставить на пу­ти злоумышленников непроходимые ба­рьеры, — это иллюзия, с которой нуж­но немедленно расстаться. Например, есть уязвимости нулевого дня, против которых вообще нет защиты. Это нужно принять и строить ИБ исходя из этого знания. В первую очередь необходимы серьезные средства мониторинга, позво­ляющие вовремя зафиксировать взлом системы, и средства для локализации скомпрометированного сегмента сети.

 

Важнейшая часть ИБ — обучение пользователей. Необходимо учить со­трудников распознавать фишинг. Вы мо­жете вкладывать огромные средства в за­щиту сети, но если фишинговое письмо составлено грамотно, его обязательно откроют и злоумышленники пробьют пе­риметр. Мы проводим специальные тре­нировки: сами составляем такие письма и рассылаем коллегам. Они попадаются, но с каждым разом все меньше.

№ 187-ФЗ от 26.07.2017

 

О безопасности критической информационной инфраструктуры Российской Федерации

 

Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также — критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.

 

http://www.consultant.ru/document/cons_doc_LAW_220885/

Одна из главных угроз для ИБ — публичные облака. Вы никогда не узнаете, как именно они защищены с точки зрения ИБ, не получите доступ ко всем логам. Ино­гда публичное облако выступает как про­должение частного и таким образом стано­вится частью внутренней инфраструктуры. При этом защищаете его не вы, и с точки зрения ИБ — это риск. Как руководитель ИТ я выступаю за частные облака, но крупные компании сейчас просто не могут не ис­пользовать публичные решения. Напри­мер, для быстрого развертывания пилотов. Если вы хотите достичь успеха в бизнесе, вам просто придется применять гибрид­ный подход.

 

Еще одна актуальная угроза — уже упомянутый мной IoT. Интернет вещей подразумевает огромное количество точек подключения к сети, но промышленные стандарты защиты еще не выработаны.На мой взгляд, обеспечивать защиту IoT в первую очередь должны производители соответствующего оборудования.

Современному предприятию требуется постоянная подпитка данными, на этом строятся актуальные методы планирования производства и вся концепция индустрии 4.0.

Особняком стоит тема защиты АСУ ТП. Недаром государство обратило вни­мание на это направление и выпустило Федеральный закон № 187­ФЗ «О безопас­ности критической информационной ин­фраструктуры Российской Федерации». Де­ло в том, что в подавляющем большинстве случаев оборудование АСУ ТП работает на Windows XP. Эта ОС давно не поддер­живается, закончилась даже расширенная поддержка безопасности. Но лезть в эту тему страшно, потому что переход на последнюю версию Windows гаранти­рованно остановит производство. Подоб­ные проблемы характерны для всего EoL/ EoS-­оборудования.

 

Классический ответ на этот вызов — сделать закрытый сегмент сети. Но это самообман. Современному предприятию требуется постоянная подпитка данными, на этом строятся актуальные методы планирования производства и вся концепция Индустрии 4.0. Если информация не при­ ходит в ERP, у вас не цифровое предприятие. А если вы хотите быть «цифровыми», придется дать доступ к сети оборудова­нию, которое легко взломать.

 

Для поддержки оборудования АСУ ТП вендору нужен внешний доступ. То есть в закрытый сегмент вашей се­ти нужно дать доступ специалисту из Дании, Германии или, например, Голлан­дии. Можно контролировать этот процесс с помощью решений класса PIM­PUM­PAM (PIM — Privileged Identity Management, PUM — Privileged User Management, а PAM — Privileged Account/Access Management), но просто изолировать сегмент в совре­менных реалиях невозможно.

Чтобы в вашей компании возникли Shadow IT, необходимы предпосылки — например, отдельная подписка на облако или неучтенный сервер. У нас процедуры закупки ИТ-решений выстроены максимально строго, поэтому ненужное оборудование в принципе не может появиться в компании.

На что тратить деньги в первую очередь

 

Самый простой ответ на все новые вызовы — регулярное приобретение новых средств защиты. Но в реальности эта схема нежизнеспособна. Она сработает на новом производстве, где используется современное оборудование. Но у любой компании есть «историческое наследие». Что с ним делать — неизвестно, правиль­ного ответа не существует. Причем модер­низация старого оборудования зачастую стоит столько, что проще построить новое производство. Конечно, бизнес на такие траты не пойдет.

 

Приобретая новые средства защиты, мы отталкиваемся от проблематики. Если возникают сложности с оператив­ным доступом сотрудников к системам, мы обращаем внимание на IdM­-решения (системы управления доступом). Если видим проблему с подрядчиками, идем в класс PIM­PUM­PAM. Важно не вестись на хайп, а руководствоваться конкретны­ми проблемами бизнеса.

Некоторые ИБ-проекты приносят компании очевидную прибыль. Вы­году от внедрения того же IdM­-решения достаточно просто посчитать. Чем быс­трее сотруднику выдали нужные права, тем быстрее он начал выполнять свои функции и тем выше его эффективность. Но подобные проекты — скорее исключе­ние, чем правило.

 

Мы работаем по модели угроз. Каж­дая угроза описывается с точки зрения двух факторов: вероятности того, что она случится, и потенциальных финансовых потерь. Первый просчитывают ИБ­-специ­алисты, второй — представители бизнеса. По итогам мы закрываем наиболее опас­ные угрозы.

Чтобы в вашей компании возникли Shadow IT, необходимы предпосылки — например, отдельная подписка на облако или неучтенный сервер. У нас процедуры закупки ИТ-­решений выстроены максимально строго, поэтому ненужное оборудование в принципе не может появиться в компании. M&A то­же не приносит новых Shadow IT, посколь­ку перед каждым поглощением мы про­водим тщательный аудит.

 

Сегодня рынок ИБ-аутсорсинга не конкурентен и поэтому перегрет. Есть несколько компаний, предоставля­ющих качественные, но все же слишком дорогие услуги. Скорее всего, причина в нехватке ИБ­специалистов. Мы готовы отдавать на аутсорсинг вещи, в которых нужен взгляд со стороны. Например, аудит ИБ, проводить который собственными силами совершенно неэффективно.

 

Чтобы мы начали аутсорсить ИБ, цены на некоторые услуги должны упасть в 5–10 раз. Например, на исполь­зование SOC. Но есть и адекватные рас­ценки: на мой взгляд, пентесты сейчас стоят своих денег.

Следите за нашими обновлениями

хотите больше интересных интервью в нашем журнале?

Разделение на департаменты больше не имеет смысла, ИТ и бизнес должны работать вместе

Как с помощью машинного обучения предсказать продажи с точностью 90% в интервью JETINFO рассказывает Александр Соколовский, СТО российской сети Leroy Merlin.

Аутсорсинг помогает адаптироваться к российским особенностям ведения бизнеса

ИТ-системы, обслуживающие бизнес BMW в России, представляют собой сплав зарубежных практик, специализированных российских разработок и ИТ-аутсорсинга. Всем этим управляет команда из 10 человек, подчиняющаяся глобальным ИТ- и ИБ-службам автопроизводителя. О том, как зарубежная компания работает в российском правовом поле и что она готова отдать на аутсорсинг местным поставщикам ИТ-услуг, рассказывает менеджер разработки и поддержки ИТ-приложений «БМВ Русланд Трейдинг» Денис Храмов.

Играли в детстве в сыщиков? SecDevOps во многом то же самое

Отношения между безопасностью и бизнесом директор по безопасности «Яндекс.Такси» Артем Гутник описывает как погоню черепахи за зайцем. Причем с помощью цифровизации и технологий черепаха может не только догнать, но и обогнать зайца. Особенно ярко эта философия проявляется в SecDevOps — операционной модели, в которой безопасность обеспечивается на каждом этапе разработки приложений. Мы поговорили с Артемом о том, почему целесообразно использовать именно термин SecDevOps, каким компаниям стоит применять этот подход и как обеспечить себя компетентными специалистами.

Безопасная разработка: адаптивная эволюция

Какие проблемы возникают при интеграции процессов разработки, ИТ и ИБ? Как правильно сформировать ИБ-команду для DevSecOps?

Аутсорсинг эксплуатации WAF и IPS: подводные камни и как их обойти

Как показывает наш опыт эксплуатации WAF и IPS в рамках аутсорсинга, организация рабочего процесса в этих случаях имеет особенности.

Погружение в Incident Response. Как это устроено

Последние два года выдались для сферы ИБ особенно напряженными.

Спасибо!
Ваш материал отправлен.
Мы с вами свяжемся
Предложить
авторский материал
Спасибо!
Вы подписались на обновления наших статей
Подписаться
на рубрику






Спасибо!
Вы подписались на обновления наших статей
Оформить
подписку на журнал







Спасибо!
Вы подписались на обновления наших статей
Оформить
подписку на новости







Спасибо!
Вы подписались на наши новости.
Оформить
подписку на Новости
Спасибо!
Ваша заявка отправлена.
Мы с вами скоро свяжемся.
Задать вопрос
редактору

Оставить заявку

Мы всегда рады ответить на любые Ваши вопросы

* Обязательные поля для заполнения

Спасибо!

Благодарим за обращение. Ваша заявка принята

Наш специалист свяжется с Вами в течение рабочего дня