Если дать емкое и актуальное определение современной экономике, состоящее из одного слова, я бы предложил прилагательное «цифровая». А ведь еще пару десятилетий назад «аналоговость» экономики считалась незыблемым фундаментальным свойством: прибыль приносят материальные активы, «серый кардинал» в любой компании – главный бухгалтер, а информационные технологии – пусть и удобные, но, всего лишь, вспомогательные инструменты.
Сейчас все по-другому: наиболее ценные активы бизнеса – информационные, а второй человек по значимости в компании после генерального – ИТ-директор. Такое положение дел не могло не отразиться на принципах обеспечения безопасности бизнеса и, в частности, на информационной безопасности. В этой статье я хочу поговорить о том, какие трансформации претерпела отрасль за это время, в каком состоянии она находится сейчас и чего нам ждать в будущем.
Вчера и сегодня
В конце прошлого века тема информационной безопасности была, с одной стороны, модной, «на слуху», все понимали необходимость защиты набирающих силу информационных активов, а с другой стороны – мы имели довольно смутное представление о том, что конкретно и как защищать. Собственные нормативные требования в России отсутствовали, приходилось отталкиваться от зарубежных методик и стандартов, таких, как книги Радужной серии. Хотя эти документы не всегда хорошо работают в наших реалиях. Используя современный сленг, можно сказать, что это была такая «хайповая» тема, как сейчас блокчейн или искусственный интеллект, о которых все говорят, но мало кто на самом деле в этом понимает.
Еще одной сложностью в то время был кадровый разрыв поколений. Когда я окончил университет в 1998 году и пошел работать по специальности на предприятие Минатома России, ближайшим ко мне по возрасту коллегой оказался руководитель отдела в возрасте 53 лет. Наиболее грамотные и перспективные кадры вымывались из профессиональной индустрии волнами рыночной экономики. Этот разрыв способствовал интенсивному поиску знаний, накоплению нового опыта. Это не очень было похоже на то, что параллельно происходило за рубежом. Но оглядываясь назад, я могу сказать, что в этом была дополнительная ценность: в России сформировалось зрелое профессиональное сообщество людей, разбирающихся в информационной безопасности. Эти люди – самый ценный ресурс, который на сегодня есть в отрасли, они являются объектом хантинга, их зарплаты сопоставимы с зарплатами топ-менеджеров средних компаний, именно они определяют все, что происходит в индустрии.
Упомянутая выше трансформация информационных технологий из вспомогательного инструмента в базовую функцию бизнеса не могла не сказаться и на информационной безопасности. Если раньше критичными для корпоративной безопасности были какие-то физические вещи, вроде охраны периметра, качества инкассации, защищенности материальных средств, то сегодня во главе угла стоит информационная безопасность – именно уровень защищенности информационных ресурсов может ключевым образом повлиять на устойчивость бизнеса.
Что дальше?
Недавно ко мне обратился за советом знакомый, сын которого выбирает дальнейшую специальность. И выбор этот стоит между экономической безопасностью и безопасностью информационной. Я, разумеется, посоветовал второй вариант. И дело тут не только в личной профессиональной принадлежности. Возможно, это прозвучит радикально, но я не очень верю в будущее экономической безопасности, как области деятельности в том виде, в каком она существует сейчас. Автоматизация невероятными темпами проникает во все сферы деятельности: беспилотные автомобили, автономные отделения банков, кассы самообслуживания в супермаркетах, роботы-охранники, наконец. Соответственно, ландшафт рисков меняется кардинально, что в ближайшее время неизбежно приведет к изменению общепринятого профиля специалиста по безопасности – потребуется если не владение языками программирования, то, как минимум, уверенное ориентирование в современных информационных технологиях.
Отраслевые различия
Конечно, все вышесказанное в разной степени справедливо для разных отраслей. Я бы здесь выделил три основных сегмента. Первый – это государство со своими требованиями, со своей регуляторкой, с требованиями по регламентам, процедурам и по используемым инструментам. Второй – это коммерческий сегмент: телеком, банки, страховые компании. В таких организациях в целом подходы к обеспечению безопасности примерно схожи – критической является информация о клиентах, а репутация бренда – это самостоятельный и дорогостоящий актив. И третий сегмент – это информационная безопасность промышленных систем – область, которая сегодня активно формируется.
Несомненно, подходы к защите информации в этих секторах отличаются. Но вместе с тем, по моим прогнозам, в течение следующих 5 -10 лет эти различия будут стираться, подходы и инструменты будут становиться более или менее универсальными. И сейчас эта унификация уже постепенно происходит. Например, такие слова, как «киберучение», «тестирование на проникновение» – это то, что когда-то начиналось с банковской сферы. Сейчас этим пользуются и промышленники, и госкорпорации, и государственные структуры.
Финансовая сфера неслучайно идет в авангарде современных процессов в области ИБ, происходящих в России. Эта отрасль в некоторой степени сейчас является драйвером развития. Основных причин здесь две. Во-первых, большое влияние на все происходящее оказывает регулятор. Центральный Банк РФ провел очень большую работу для того, чтобы защищенность наших финансовых институтов была на должном уровне. Во-вторых, и это, наверно, самое главное, банки несли и продолжают нести реальные, а не гипотетические потери из-за проблем с информационной безопасностью. Этим, кстати, во многом и объясняется такая активность регулятора, как мне кажется. Как известно, некоторое время назад банки несли огромные потери через уязвимости АРМ КБР. Это, конечно, способствовало приведению в тонус всей финансовой сферы и поднятию уровня систем безопасности. То есть, финансы – это та индустрия, где злоумышленники могут получить живые деньги наиболее понятным и прямым путем. Как только здесь будут воздвигнуты достаточно непреодолимые барьеры для злоумышленников, они переключатся на другие отрасли.
Безопасность промышленных предприятий
И наиболее «перспективная» в этом смысле отрасль – промышленные предприятия. Сегодня руководители таких организаций считают киберугрозы недостаточно серьезным поводом для беспокойства. В первую очередь, из-за отсутствия серьезных прецедентов в близком окружении. Здесь очень точно работает пословица: «Пока гром не грянет, мужик не перекрестится». Между тем, «гром» может грянуть очень громко. Дело в том, что хоть пока, можно сказать, не было серьезных потерь на этом фронте, потенциально такие потери могут быть огромны. Доказано, что сегодня технически возможно, например, удаленно, столкнуть два поезда или перехватить управление самолетом, были случаи остановки доменной печи, нарушения работы электростанций. Потери в этих случаях могут быть катастрофическими.
Инциденты могут более безобидными, но тем не менее, чувствительными – перехват управления системой видеонаблюдения или СКУД – можно, например, заменить картинку на видеокамере или использовать эту систему видеонаблюдения в качестве ботсети для организации DDoS-атаки – производительность устройств это позволяет. Но сейчас о реальном серьезном ущербе говорить пока не приходится. В основном это относительно небольшие локальные инциденты. Дело осложняется тем, что АСУ ТП – традиционно достаточно слабо защищенные с точки зрения безопасности системы. Это обусловлено приоритетом высокой производительности промышленных систем и все тем же отсутствием серьезных прецедентов. Возможно, злоумышленники пока слабо интересуются такими системами из-за сложной монетизации прилагаемых усилий.
Другая вероятная причина – для того, чтобы осуществить серьезную атаку на промышленное предприятие, требуются огромные, непосильные одиночкам или мелким группам ресурсы, а это задача более высокого уровня, возможно, на уровне государств. То есть тут возникает политическая подоплека – вероятно для этого просто пока не созрели какие-то политические условия. Я надеюсь, что такие условия и не созреют, но, тем не менее, проблема серьезная и нужно четко осознавать масштаб угрозы.
Импортозамещение
Если уж мы говорим о политике, стоит упомянуть еще одну связанную с политикой тему, напрямую влияющую на уровень ИБ в стране – импортозамещение. Могут быть разные мнения по поводу качества ИБ-инструментов и решений, но я считаю, что импортозамещение – это совершенно насущное, необходимое движение. Я бы сказал, поступательное движение, в стратегическом смысле. Мы немного упустили время. Этим надо было заниматься еще в нулевые годы, тогда для этого были все условия и предпосылки. И, на мой взгляд, это является благом для локального российского рынка, по крайней мере для потребителей. Да, многие ИБ-компании пострадали из-за невозможности реализоваться на западном рынке, но для нашего потребителя это благо.
Можно ли обеспечить безопасность только на российских решениях? Я уверен, что можно. Возможно, мы в чем-то потеряем, но именно ИБ – это та индустрия, которая изначально была в более привилегированном положении, поскольку российская система сертификации изначально базировалась на определенных барьерах для зарубежных поставщиков.
Оценка эффективности
Конечно, тема импортозамещения неизбежно поднимает вопрос экономической эффективности, и, наверно, без поддержки государства здесь не обойтись. Это вообще извечный вопрос: как посчитать или оценить экономическую эффективность безопасности и должна ли эффективность безопасности оцениваться только с экономической точки зрения? Я бы в основу системы оценки положил, все-таки, экономическую модель. Какой смысл вкладывать в систему безопасности 2 млн долларов, если весь бизнес стоит 1 млн? Критерий простой: совокупная стоимость решений безопасности должна как минимум не превышать суммы потенциально предотвращаемых потерь. Ну а дальше все зависит от отрасли, размера компании, активов, конкретного бизнеса и т.п. Система может быть формально «дырявой», например, могут быть не защищены целые направления –электронная почта, скажем или документооборот. Но если это некритично для конкретного бизнеса, если это не влияет на потери или влияет незначительно, то такая система будет более эффективна для компании, за счет снижения затрат.
Точно такие же принципы должны применяться при оценке эффективности сотрудников, трудящихся в сфере ИБ, при внедрении KPI. Нужно понимать, какого рода бизнес-процессы в компании являются основными, ключевыми. Можно отталкиваться от непрерывности бизнеса, от простоев, от скорости устранения проблем, ошибок, последствий инцидентов, скорости реагирования. С другой стороны, недостаточно оценивать только безопасников в этом направлении, потому что от каждого сотрудника в организации так или иначе зависит ее общая защищенность.
Говоря об эффективности и ее оценке, я все время вспоминаю фразу Глеба Жеглова из одного из моих любимых фильмов «Место встречи изменить нельзя»: «Порядок в стране измеряется не наличием воров, а умением властей их обезвреживать». Так и в нашем случае. Сейчас, мне кажется, на принципиально новый уровень выходит значимость вопросов реагирования и скорости расследования, потому что неотвратимость наказания, как правило, существенно снижает интерес к достижению преступных целей.
Развитие технологий ИБ
Вообще, эффективность в безопасности – понятие неоднозначное и не может опираться на одну только экономическую рентабельность, хотя это и очень важно. Информационная безопасность – крайне высокотехнологичная область деятельности, в которой критическое значение для эффективности играет соответствие современному технологическому уровню. Нельзя выбрать какое-то идеальное для компании решение или комплекс таких решений и на этом успокоиться. Сегодняшнее идеальное решение завтра станет уязвимым из-за бешеной скорости обновления окружающего ИТ-ландшафта. Поэтому отрасли необходимо постоянно развиваться, экспериментировать, проводить исследования.
К сожалению, государство в лице регуляторов в этом смысле не очень хороший помощник. В силу экономических и других причин регуляторы – это такой, если можно так выразиться, немного архаичный инструмент, но по-другому и быть не может: государство физически не может реагировать на изменения настолько гибко, насколько это хотелось бы отрасли. Да это и неправильно, наверно. Задача регуляторов – обеспечить минимальный уровень защиты подконтрольных организаций не ниже среднего. И с этой задачей они справляются.
Роль своеобразных драйверов развития могли бы взять на себя НИИ, но, к сожалению, у нас сегодня осталось не так много научно-исследовательских организаций, которые по-настоящему работают. В итоге эту роль подхватили крупные компании с неограниченными бюджетами, такие как Сбербанк или Яндекс. Они могут себе позволить внедрять у себя перспективные, но рискованные разработки, вкладываться в новые технологии с не очень предсказуемым результатом. Мы, в «Ангаре», стараемся тоже демонстрировать такой подход. Конечно, бюджеты у нас гораздо более скромные, но мы тоже ищем новые ниши, которые позволят нам в будущем отличаться от конкурентов и чувствовать себя уверенно. Это можно сравнить с фундаментальной наукой: результат на выходе непредсказуем, экономически проект может оказаться нерентабельным, но заниматься этим нужно. И эту роль на себя сейчас взяли ведущие компании российского бизнеса. В итоге выигрывает вся отрасль: и поставщики ИБ-решений и, конечно, потребители.
Что делать небольшим компаниям?
Однако, реальность такова, что Сбербанк или Яндекс – это исключение из правил. Подавляющее большинство компаний в России – это компании малого и среднего бизнеса, которые не могут позволить себе серьезные ИБ-инструменты, например, SIEM или DLP. Что же делать в этой ситуации? Здесь я бы вспомнил про замечательное правило Парето, которое гласит, что 80% успеха может быть обеспечено ценой 20% бюджета или 20% усилий, энергии. Есть базовый набор технологий, которые могут быть применены практически в любой организации. Если у вас есть хороший коммерческий антивирус, межсетевой экран, если вы выполняете базовые требования по информационной безопасности, какой-то гигиенический минимум, то в целом ваше состояние можно оценивать как удовлетворительное. Образно это можно описать так: когда ты бежишь от медведя, не обязательно бежать первым, важно не бежать последним. Если собственник или менеджмент компании даже среднего уровня понимает важность и значимость вопросов ИБ, то даже за относительно небольшие деньги можно обеспечить удовлетворительный уровень защиты, внедрить комплекс мер, которые позволят быть в более выгодном положении по отношению к соседям. Это ведь все равно так или иначе элемент конкурентной борьбы. Если вы лучше, чем конкуренты, активнее, здоровее, быстрее бегаете, то в этом смысле… медведь догонит кого-нибудь другого.
Аутсорсинг
Одним из наиболее действенных и экономически эффективных инструментов среди вышеупомянутых простых мер для компаний с ограниченным бюджетом является сегодня аутсорсинг. А иногда аутсорсинг – просто единственный способ достичь нужного результата. Например, сегодня очень модная тема – это SOC. Если у вас есть достаточно денег, вы можете его внедрить, или вам его внедрят. Но после этого окажется, что некому будет работать. Минимальная численность персонала SOC – хотя бы 10–15 человек. Их просто нет в таком количестве на рынке. То есть в итоге в перспективе трех-пяти лет вам нужно будет много поработать, и вы получите не самый лучший инструмент. В то же время вы можете обратиться на рынок, выбрать из некоторого количества предложений (сейчас уже, как минимум, с десяток компаний предлагают такие услуги) то, что вам нужно, и получить реальный результат уже через две недели, максимум через месяц, а не проводить эксперименты над собой. И это эффективный пример аутсорсинга.
Кстати, сейчас востребованной становится услуга, когда в компанию приходят специалисты по безопасности и объясняют необходимость внедрения того или иного инструмента, например, что тот же SOC для конкретной компании не нужен, это просто модное течение. Объясняют, с какими проблемами придется столкнуться и почему, какие затраты придется понести, какие обязательства на себя взять. Это реально востребованная услуга на рынке. Я видел клиента, который сказал эксперту: «Спасибо большое, что отговорил моих топ-менеджеров внедрять SOC».
Не только для малого и среднего бизнеса, но и для довольно крупных компаний может быть интересен аутсорсинг в ИБ, когда речь идет о применении каких-то узкоспециализированных инструментов, которые компании-клиенту просто не нужны. Например, в нашей практике был случай, когда в организации с численностью персонала более 10 000 человек, сотрудник, который отработал в компании несколько недель, слил чувствительные данные в большом объеме и уволился. В такой крупной компании постоянно появляются новые сотрудники в большом количестве. Это может быть новый сотрудник, который пришел по собеседованию и уволился в рамках испытательного срока, может быть стажер, который находился в компании короткое время и т.п. Эта компания имеет достаточно хорошо технически оснащенный блок ИБ. Но в условиях, когда информация циркулирует в огромных объемах, нужны специальные аналитические инструменты для работы с большими данными, при использовании которых нами и был обнаружен конкретный виновник утечки. В ходе работы «высветилась» совершенно неожиданная и полезная информация, которую под традиционным углом зрения ИБ изнутри компании просто не видно. Это пример эффективного аутсорсинга.
Парадигма открытости
Когда мы выходили с подобными услугами на рынок, мы опасались того, что у клиентов есть боязнь потерять свои данные, когда привлекаются сторонние подрядчики, что эти критичные данные будут разглашены. Оказалось, это надуманная проблема. Такая боязнь у клиентов, конечно, существует, но этот страх не входит даже в первую пятерку того, чего опасаются клиенты при работе с аутсорсерами. Возможно, закрытость – это историческое наследие советских времен и в начале постсоветского периода мы по инерции жили в этой парадигме.
Сейчас мы переходим к осознанию того, что обмениваться информацией, в том числе об инцидентах ИБ – это более правильно, чем сидеть и латать свои раны. Потому что в этой кооперации все сообщество становится более сильным и защищенным. От того, что все элементы этого сообщества обмениваются информацией между собой, повышается иммунитет. Это, кстати, то же самое, что государство сейчас делает через НКЦКИ. В рамках 187-ФЗ информация об инцидентах на критических объектах инфраструктуры должна передаваться в государственный центр.
Нельзя сказать, что сейчас такая информация передается охотно и с воодушевлением. Но хорошо, что это в принципе есть. На мой взгляд, лучше сделать один небольшой шажок в этом направлении, чем просто сидеть сложа руки.
Это здорово, что специалисты, которые за это отвечают (НКЦКИ), ни от кого не прячутся. Они довольно открыты, они участвуют во всех отраслевых мероприятиях. Любой участник профессионального сообщества может подойти к ним и пообщаться, задать вопросы, которые его интересуют. Это общение, эта открытость – большой плюс и большой позитивный сдвиг в развитии отрасли информационной безопасности.
Подытоживая сказанное, хочется еще раз обратить внимание на то, что в эпоху цифровой экономики информационная безопасность становится основным компонентом системы обеспечения безопасности любой компании. И от того, насколько защищены данные в организации, на каком техническом уровне подготовлены специалисты, обеспечивающие эту защиту, зависит устойчивость и конкурентное превосходство бизнеса.
Статья опубликована журнале «Директор по безопасности», февраль 2020 г.