Не бойтесь, вас точно взломают

Кому должно подчиняться ИБ-подразделение

От службы ИБ я в первую очередь жду ощущения спокойствия. Мне необ­ходимо знать, что контур защищен от внеш­них проникновений, у нас достаточно инструментов, способных фиксировать внутренние угрозы, есть четкий фидбэк по состоянию инфраструктуры, своевре­менно выявляются слабые места. Кроме того, я жду открытого диалога с другими службами и всячески его поощряю. У нас регулярно проводятся внутренние ИБ­-кон­ференции, куда мы приглашаем специалис­тов, отвечающих за инфраструктуру, биз­нес­приложения, и ИТ-­директоров, чтобы наладить горизонтальное взаимодействие.

Схема, в которой ИБ напрямую подчиняется руководству компании, не работоспособна. Это направление должны курировать либо ИТ, либо служба безопас­ности — те, кто хотя бы немного в теме. Гендиректор, может, и поймет ИБ­-специа­листа, когда тот будет отчитываться о про­ деланной работе, но поставить правильные задачи точно не сможет. У топов другие цели, они не должны глубоко погружаться в такие проблемы.

Второй вариант — подчинение ИБ-блока службе безопасности. Глав­ный плюс: ИБ в этой схеме никак не зависит от ИТ-­блока, а значит, может объективно анализировать и контролировать действия ИТ-­шников со стороны. Но есть и минусы: классическая ИБ в первую очередь сосре­доточена на экономической и физической безопасности, а руководит подразделением, скорее всего, бывший сотрудник силовых структур без необходимого ИТ-бэкграунда. В результате интересы и нужды ИБ могут сдвинуться на второй план.

Самая эффективная схема — сделать ИБ частью вертикали ИТ. Чистых ИБ­-проектов все равно не существует, это всегда работа на стыке ИТ и безопасности. Какие бы идеи у вас ни возникали, «рука­ми» всегда будут либо инфраструктурщики, либо сетевики. Когда ИБ и ИТ находятся в разных вертикалях, возникают пробле­мы с коммуникациями, качество диалога снижается в разы. Единственный минус этой модели — зависимость безопасности от ИТ-­блока и, как результат, невозмож­ность оценивать корректность действий ИТ-­шников со стороны. Но в нашем случае я не довлею над ИБ-­специалистами и при­слушиваюсь к ним. Они всегда могут ука­зать, где инфраструктурные или сетевые службы ущемляют интересы ИБ.

Опасения по поводу того, что в такой схеме ИБ будет финансироваться по остаточному принципу — после ИТ, я считаю несостоятельными. Если в компании утвержден долгосрочный план развития информационной безопасности, никто не сможет подвинуть ИБ-­блок на вто­рой план.

В «Русагро» существует пятилетняя программа трансформации ИБ, которую мы разработали совместно со специалистами компании «Инфосистемы Джет». Раньше каждое наше биз­нес-­направление решало ИБ­-проблемы са­мостоятельно, выбирая для этого разные платформы и инструменты. Позитивный опыт одного подразделения нельзя бы­ло транслировать на другие, и экспертиза не использовалась в полной мере. Поэтому мы приняли решение о разработке единой стратегии ИБ, которую будут реализовывать все бизнес­-направления.

В спорах ИБ с другими ИТ-службами я выступаю как бизнес-партнер и руководствуюсь интересами бизнеса.

Кадровый вопрос: пока перекупать, затем воспитывать самим

В сделках M&A вы приобретаете не только оборудование и кадры, но и интеллектуальную собственность. Если рассматривать новые акти­вы исключительно как расширение производственных мощностей, вы просто переплатите — отдельно купить стан­ки и людей дешевле, чем действующую компанию. Мы внимательно подходим к M&A и оцениваем, сотрудников какого уровня и какую интеллектуальную соб­ственность приобретаем. В дальнейшем мы инкорпорируем этот опыт в собствен­ную компанию. Уровень зрелости при­ соединяемых активов бывает разным. Например, в прошлом году в ходе оче­редного слияния мы почерпнули знания и методы работы в части информационной безопасности. При этом были случаи, когда мы приобретали и компании с нулевой ИБ. Тогда мы смотрим на стратегию развития холдинга, оцениваем зрелость того направ­ления, куда вливается актив, и создаем план его модернизации — до стандартов нашего бизнеса.

Мы идем к стандартизации и придерживаемся концепции «одна проблемная область — одна платформа». Даже если на пять бизнес­-направлений у нас будут пять instance, все они будут на одной платформе, потому что это создаст предпосылки для дальнейшей централизации функции. В перспективе 4–5 лет мы планируем централизовать все сервисы. И речь не обязательно идет о «сведении» функций в Москве. Я имею в виду единую политику управления, которую можно реализовывать из лю­бого места.

В плане защиты периметра наш агрохолдинг не отличается от других производств. Но при этом мы распреде­ленная компания с объектами в мало­ населенных районах, и здесь есть своя специфика. Все процессы должны быть хорошо отлажены, иначе ИБ­-специалис­ты не будут вылезать из командировок по моторно-­транспортным станциям, раскиданным по небольшим деревням.

Наша отличительная черта — акцент на защите IoT. Мы активно исполь­зуем технологии Интернета вещей, по­этому все ИБ-­шники, которые приходят к нам работать, должны хотя бы в общих чертах представлять, что это и как его защищать. В остальном сельскохозяй­ственная отрасль не сильно выделяется с точки зрения ИБ.

Нам нужны опытные ИБ-специалисты. Они обходятся недешево, ведь как работодатель мы конкурируем с ком­паниями, для которых информационная безопасность жизненно важна, — напри­мер, с банками. Логично, что они гото­вы платить больше, но мы привлекаем соискателей другим. Задачи наших специ­алистов не сводятся к поддержке уже су­ществующих решений, у нас можно вклю­читься в процесс построения этих систем. Это возможность получить глубокие зна­ния и компетенции.

У нас есть интересные проекты в регионах. Немногие могут этим по­ хвастаться. Если хочешь расти как про­фессионал, в большинстве случаев тебе нужно перебираться в Москву или другие крупные города: Санкт­-Петербург, Казань, Новосибирск. Наши сотрудники решают нестандартные задачи в Белгороде, Екатеринбурге, Саратове и Тамбове, и мы очень гордимся этим.

Вакансию ИБ-специалиста в регионе мы закрываем за 2–4 месяца. Подходящих экспертов мало, поскольку в регионах в целом сложно с ИТ-­шника­ми. Берем соискателей отовсюду, хотя финансовая сфера в приоритете — оттуда приходят более крепкие специалисты с хорошим пониманием ИБ и процессным мышлением.

Нанимать студентов пока не получается. У нас прямо сейчас запуска­ется много проектов, которыми нужно управлять. Взять студента в помощь на какой­-то кейс в принципе можно, но руководить построением, например, CM (Change Management) у него, конечно, не получится.

Когда система ИБ будет достроена, мы начнем активнее работать с выпускниками вузов. Ее нужно будет раз­вивать и поддерживать, а не выстраи­вать — для начинающих специалистов это проще. К тому же за это время у нас сформируется институт наставников.

Не бойтесь, вас взломают

Вас точно взломают. Уверенность в том, что вам удастся поставить на пу­ти злоумышленников непроходимые ба­рьеры, — это иллюзия, с которой нуж­но немедленно расстаться. Например, есть уязвимости нулевого дня, против которых вообще нет защиты. Это нужно принять и строить ИБ исходя из этого знания. В первую очередь необходимы серьезные средства мониторинга, позво­ляющие вовремя зафиксировать взлом системы, и средства для локализации скомпрометированного сегмента сети.

Важнейшая часть ИБ — обучение пользователей. Необходимо учить со­трудников распознавать фишинг. Вы мо­жете вкладывать огромные средства в за­щиту сети, но если фишинговое письмо составлено грамотно, его обязательно откроют и злоумышленники пробьют пе­риметр. Мы проводим специальные тре­нировки: сами составляем такие письма и рассылаем коллегам. Они попадаются, но с каждым разом все меньше.

Одна из главных угроз для ИБ — публичные облака. Вы никогда не узнаете, как именно они защищены с точки зрения ИБ, не получите доступ ко всем логам. Ино­гда публичное облако выступает как про­должение частного и таким образом стано­вится частью внутренней инфраструктуры. При этом защищаете его не вы, и с точки зрения ИБ — это риск. Как руководитель ИТ я выступаю за частные облака, но крупные компании сейчас просто не могут не ис­пользовать публичные решения. Напри­мер, для быстрого развертывания пилотов. Если вы хотите достичь успеха в бизнесе, вам просто придется применять гибрид­ный подход.

Еще одна актуальная угроза — уже упомянутый мной IoT. Интернет вещей подразумевает огромное количество точек подключения к сети, но промышленные стандарты защиты еще не выработаны.На мой взгляд, обеспечивать защиту IoT в первую очередь должны производители соответствующего оборудования.

Особняком стоит тема защиты АСУ ТП. Недаром государство обратило вни­мание на это направление и выпустило Федеральный закон № 187­ФЗ «О безопас­ности критической информационной ин­фраструктуры Российской Федерации». Де­ло в том, что в подавляющем большинстве случаев оборудование АСУ ТП работает на Windows XP. Эта ОС давно не поддер­живается, закончилась даже расширенная поддержка безопасности. Но лезть в эту тему страшно, потому что переход на последнюю версию Windows гаранти­рованно остановит производство. Подоб­ные проблемы характерны для всего EoL/ EoS-­оборудования.

Классический ответ на этот вызов — сделать закрытый сегмент сети. Но это самообман. Современному предприятию требуется постоянная подпитка данными, на этом строятся актуальные методы планирования производства и вся концепция Индустрии 4.0. Если информация не при­ ходит в ERP, у вас не цифровое предприятие. А если вы хотите быть «цифровыми», придется дать доступ к сети оборудова­нию, которое легко взломать.

Для поддержки оборудования АСУ ТП вендору нужен внешний доступ. То есть в закрытый сегмент вашей се­ти нужно дать доступ специалисту из Дании, Германии или, например, Голлан­дии. Можно контролировать этот процесс с помощью решений класса PIM­PUM­PAM (PIM — Privileged Identity Management, PUM — Privileged User Management, а PAM — Privileged Account/Access Management), но просто изолировать сегмент в совре­менных реалиях невозможно.

На что тратить деньги в первую очередь

Самый простой ответ на все новые вызовы — регулярное приобретение новых средств защиты. Но в реальности эта схема нежизнеспособна. Она сработает на новом производстве, где используется современное оборудование. Но у любой компании есть «историческое наследие». Что с ним делать — неизвестно, правиль­ного ответа не существует. Причем модер­низация старого оборудования зачастую стоит столько, что проще построить новое производство. Конечно, бизнес на такие траты не пойдет.

Приобретая новые средства защиты, мы отталкиваемся от проблематики. Если возникают сложности с оператив­ным доступом сотрудников к системам, мы обращаем внимание на IdM­-решения (системы управления доступом). Если видим проблему с подрядчиками, идем в класс PIM­PUM­PAM. Важно не вестись на хайп, а руководствоваться конкретны­ми проблемами бизнеса.

Некоторые ИБ-проекты приносят компании очевидную прибыль. Вы­году от внедрения того же IdM­-решения достаточно просто посчитать. Чем быс­трее сотруднику выдали нужные права, тем быстрее он начал выполнять свои функции и тем выше его эффективность. Но подобные проекты — скорее исключе­ние, чем правило.

Мы работаем по модели угроз. Каж­дая угроза описывается с точки зрения двух факторов: вероятности того, что она случится, и потенциальных финансовых потерь. Первый просчитывают ИБ­-специ­алисты, второй — представители бизнеса. По итогам мы закрываем наиболее опас­ные угрозы.

Чтобы в вашей компании возникли Shadow IT, необходимы предпосылки — например, отдельная подписка на облако или неучтенный сервер. У нас процедуры закупки ИТ-­решений выстроены максимально строго, поэтому ненужное оборудование в принципе не может появиться в компании. M&A то­же не приносит новых Shadow IT, посколь­ку перед каждым поглощением мы про­водим тщательный аудит.

Сегодня рынок ИБ-аутсорсинга не конкурентен и поэтому перегрет. Есть несколько компаний, предоставля­ющих качественные, но все же слишком дорогие услуги. Скорее всего, причина в нехватке ИБ­специалистов. Мы готовы отдавать на аутсорсинг вещи, в которых нужен взгляд со стороны. Например, аудит ИБ, проводить который собственными силами совершенно неэффективно.

Чтобы мы начали аутсорсить ИБ, цены на некоторые услуги должны упасть в 5–10 раз. Например, на исполь­зование SOC. Но есть и адекватные рас­ценки: на мой взгляд, пентесты сейчас стоят своих денег.