Технологии первых Павел Береснев, Анастасия Бондарович, «Про бизнес» 24 февраля 2021

«Да кому нужны наши данные?» — как ошибаются компании, которые закрывают глаза на киберугрозы

Денис Денисов. Фото: Алексей Матюшков, probusiness.io

«Да кому мы нужны?», «Столько жили без кибербезопасности — и нормально!» — так все еще думают во многих компаниях, не замечая, что кибератакам они уже подвергались. Действительно ли это лишь «страшилки» или о каких правилах нужно знать даже самой маленькой и незаметной компании? Об этом в интервью с начальником отдела кибербезопасности компании А1 Денисом Денисовым.

Вы читаете партнерский материал от компании А1. В проекте «Технологии первых» мы показываем, как с технологиями А1 бизнес становится современным, технологичным, инновационным.

— Как сейчас обстоят дела с защитой корпоративной информации у белорусских компаний?

— Если судить по уровню зрелости вопросов и потребностей в сообществе экспертов — уровень осознанности явно растет, а специалисты в этом направлении становятся более востребованными. Компании выделяют все больше финансовых ресурсов на защиту информации. Но уровень зрелости процессов по обеспечению информационной безопасности в стране все еще остается на позиции «догоняющих» мировую практику. Нам всем есть к чему стремиться.

— Какие проблемы существуют в этой области?

— Например, кадровый голод на специалистов по информационной безопасности. Перекос в оплате труда между ними и специалистами других ИТ-направлений привел к оттоку кадров. Оставшиеся ― на вес золота, и их сложно удержать.

Это, на мой взгляд, причина нехватки ресурсов на управление информационной безопасностью. Зачастую даже при наличии бюджетов у компании не хватает времени на системный анализ потребностей бизнеса, покрытие и точную настройку закупаемыми инструментами всех рисков информационной безопасности компании.

Частенько бывают внедрения «на лету» и без должного сопровождения: недонастроили систему и побежали внедрять другую. Времени на передышку и анализ «А всю ли необходимую корпоративную информацию или все ли способы ее утечки мы защищаем?» попросту нет. А если еще бизнес внедрит новую ИТ-систему, а безопасники узнают об этом «по факту»?

До полной картины компании еще стоит упустить работу по осведомленности персонала. Частая история ― о том, как специалист по разработке новых продуктов переслал себе на домашний e-mail презентацию с датами и планами выхода на рынок нового продукта. И этот продукт уже не принесет прибыль компании, поскольку пароль от домашнего ящика оказался слишком простым и давным-давно был скомпрометирован группой злоумышленников, которые несказанно обрадовались этой презентации и продали ее конкурентам.

— Как «удаленка» и релокейты повлияли на информационную безопасность? Как защитить информацию, если сотрудники работают из разных локаций?

— Риски защиты информации существенно возросли, ведь сотрудники массово стали работать из разных локаций и с разных устройств. Злоумышленники всегда находятся «в тренде» и, конечно, пользуются этим обстоятельством в своих целях. Массовый переход на «удаленку» наиболее спокойно встретили компании, в которых «безопасники» проповедуют концепцию нулевого доверия — Zero Trust (Zero Trust означает полное отсутствие доверия к кому-либо, даже к собственным сотрудникам. Каждый пользователь или устройство должны подтверждать свои данные каждый раз, когда запрашивают доступ к ресурсу внутри или за пределами сети. — Прим. «Про бизнес»), а айтишники любят облачные сервисы.

Но как бы компании самостоятельно или с помощью провайдеров ни выстраивали «Форт Нокс» техническими решениями, прежде всего следует уделять внимание культуре осознания и понимания всеми сотрудниками общих целей и задач компании.

— Какие самые слабые места у компаний бывают в плане утечки информации о бизнесе?

— Выделю, на мой взгляд, общую и всегда актуальную проблематику — это понимание, где в инфраструктуре компании существует информация, разглашение которой может нанести ущерб бизнесу, а также повышение осведомленности персонала в вопросах информационной безопасности:

Часто встречается работа «не с того конца» — например, в компании внедрили систему противодействия утечкам информации (DLP) без осознанного понимания всех типов информационных активов, утечка которых может нанести ущерб компании. Как следствие, DLP не снижает до ожидаемого уровня риски утечки информации по техническим каналам за периметр компании
Или, допустим, DLP внедрена корректно, компания осознает свои информационные активы и считает уровень рисков приемлемым, но не установлены регулярные процедуры по управлению доступом пользователей (UAM). А если доступ к чувствительным данным имеет более широкий круг сотрудников, нежели необходимо для исполнения ими прямых обязанностей, плюс сотрудникам нерегулярно напоминают о ценности корпоративной информации, то может происходить случайная или умышленная вербальная утечка информации от сотрудников компании. Например, в кругу семьи, на курилке среди других сотрудников и т.п. Правильно настроенная DLP в таких случаях — не панацея.

— С чего начать, если руководство компании решило озаботиться защитой данных?

— Сначала нужно провести инвентаризацию и классификацию активов компании, то есть систематизировать знания обо всем, что имеет ценность с точки зрения достижения бизнес-целей компании, методами опросов ключевых сотрудников бизнес- и технических подразделений.

Что может пониматься под активами:

Информация (информационные системы, базы данных, различные виды информации, получаемой, создаваемой, накапливаемой, хранимой, обрабатываемой и передаваемой в рамках бизнес-процессов компании). Например, это коммерческая информация, сведения об услугах, продуктах, персональные данные, контракты и соглашения, документация, планы обеспечения непрерывности бизнеса, данные аутентификации, журналы аудита и т.д.
Физические ценности (промышленное оборудование, компьютерное оборудование, средства обработки информации (потоков информации), средства коммуникации, программно-аппаратные средства и физические устройства, программно-аппаратные средства защиты информации, с помощью которых функционируют технические сервисы и системы и т.п.), программное обеспечение (прикладное и системное, программные средства защиты информации, средства администрирования и конфигурирования, используемые в технических сервисах и системах и т.п.)
Персонал.

Стоит задать себе вопрос: раскрытие, искажение, утеря, недоступность в нужный момент какого актива может нанести ущерб бизнесу?

Необходимо понять:

Что именно вам нужно защищать
Требуется ли для этого актива защита конфиденциальности либо, например, достаточно гарантировать защиту от подмены или искажения информации
Важно ли обеспечение доступности к активу 24/7/365 и так далее.

Дальше можно оценивать риски возникновения угроз активу, вероятность реализации этих угроз. Только пройдя этот путь, можно подойти к комплексному и управляемому подходу по защите информации. Иначе все действия будут выглядеть как «заплатки».

— Встречаются ли в Беларуси случаи коммерческого шпионажа?

— Такие случаи определенно есть. Например, среди конкурирующих организаций может происходить «слив» о сроках и составе вывода на рынок каких-либо услуг. Редко кто может его зафиксировать и оценить последствия.

Нередки случаи, когда сотрудники, увольняясь из компании, «уносят» клиентскую базу. Стоит осознавать, что все результаты и плоды оплачиваемой деятельности сотрудника принадлежат компании. Забирать «свои наработки» сотрудникам попросту нельзя, это не их личная собственность. Все, что можно вынести — это знания и полученный опыт, а не информацию.

И это тоже составная часть программ осведомленности. Даже если сотрудник обещает использовать эту информацию только «для себя» и не передавать ее третьим лицам, уверены ли вы в том, что вынесенная за пределы компании информация достаточно защищена от утечки, например, с домашнего компьютера бывшего сотрудника?

— А1 — одна из немногих компаний, которая в Беларуси предлагает услуги по защите от киберугроз. Кто еще это делает и какие именно это услуги?

— На нашем рынке ряд компаний оказывают услуги по консалтингу информационной безопасности, аудиту информационной безопасности. Для оказания таких услуг требуется только наличие квалифицированного персонала. Есть организации, которые имеют еще и инструменты для проведения тестов на проникновение в корпоративную сеть и ее узлы.

Но в Беларуси не так много компаний, которые могут и оказывают услуги обеспечения безопасности как сервис (security as a service, SECaaS). Компания А1 в этом плане во многом уникальная, ведь, кроме компетенций, надо обладать еще и технологическим оснащением — а А1 владеет собственным дата-центром. Наша компания имеет лицензию и готова оказывать следующие услуги:

Проектирование, создание и аттестация систем защиты информации (СЗИ) информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной государственным секретам
Проектирование, создание и аудит систем информационной безопасности критически важных объектов информатизации (КВОИ). В части работ на КВОИ А1 стала первой компанией, которая получила лицензионное право на оказание таких услуг.

Что касается SECaaS, то А1 постоянно расширяет линейку сервисов:

Например, существуют продуктивизированные услуги управления уязвимостей как сервис (VMaaS)
Услуги управления инцидентами кибербезопасности как сервис (SIEMaaS)
Услуги по защите веб-приложений (WAFaaS)
Вспомогательные сервисы, такие как Kaspersky Private Security Network (KPSN), BelVPN as a service и иные
Работаем над выводом на рынок услуги защиты от DDoS-атак как сервис.

— Чем выгодно защищать информацию именно с помощью облачных сервисов?

— Наши клиенты уже отметили для себя такие преимущества, как экономия технических, человеческих, финансовых ресурсов. Для оказания наших услуг используются инфраструктура и вычислительные ресурсы дата-центра компании А1, а значит, не требуется собственный персонал для поддержки работоспособности систем, их обслуживания, лицензионной поддержки, реакции на сложные вопросы технической поддержки.

Скорость внедрения таких услуг в разы быстрее, чем развертывание и настройка собственного решения. После приобретения услуги подразделение кибербезопасности практически сразу получает доступ к рабочему инструменту с порталом самообслуживания.

Владельцы бюджетов тоже вздохнули свободнее, т.к. теперь сервисы приобретаются по гораздо более легкой процедуре за счет операционной модели расходов (OPEX), нежели при собственной закупке систем по капитальным статьям расходов (CAPEX) с проведением конкурсных процедур и заблаговременным точным знанием планируемых потребляемых лицензий. Нет заботы о постановке на бухгалтерский учет, амортизации и так далее. Объем услуги может быть моментально расширен до необходимого.

Приобретая услуги SECaaS от А1, компания получает преимущества облачного сервиса с использованием продуктов от мировых лидеров на рынке и при этом соблюдает требования белорусского законодательства, поскольку эти облачные сервисы безопасности размещены на территории Республики Беларусь.

— Каким компаниям эти услуги наиболее актуальны?

— Я бы сказал, что любой компании, которая заботится о защите своей информации.

— Можно ли защищаться от киберугроз самостоятельно?

— Да, в конечном счете нужно всегда самим держать этот процесс под контролем. Компания лишь может вам помочь, предоставляя свои сервисы. Можно самостоятельно закупать необходимые продукты, внедрять и сопровождать их, осуществлять техническую поддержку, «допиливать» их, обновлять, содержать штат как админов, так и операторов для этих систем.

Но те, кто попробовал формат сервиса, — вряд ли вернутся к содержанию своей системы безопасности и сотрудников. Даже многие крупные компании испытывают трудности в поиске достаточного количества квалифицированного персонала в сфере кибербезопасности в Беларуси.

— Дайте совет компаниям — как защитить себя от киберугроз?

— Не следовать заблуждениям:

«Да кому мы нужны?»
«Столько лет жили без кибербезопасности и нормально — ничего не случилось!»
«Кибератак на нас не было!»

Если вы не выстроили систему мониторинга, покрывающую все ваши активы, то, скорее всего, ошибаетесь — вас атаковали, но вы этого не заметили.

«Безопасность — из облака? Они же будут знать все наши секреты! Нет уж!» Современные облачные решения позволяют разграничивать доступ к пользовательским данным даже для привилегированных администраторов. Таким образом, сотрудники оператора облачного сервиса не могут «подсмотреть» ваши секретные сведения
«Я же заказал услуги MSSP-провайдера! Зачем мне свои специалисты по кибербезопасности?» Свои специалисты все же потребуются для взаимодействия с MSSP-провайдером, принятия решений по результатам инцидентов, мониторинга событий и других нужд — в зависимости от вида облачной услуги и уровня SLA. Безусловно, штат потребуется меньше, чем в случае, если бы эти решения вы внедряли сами.

Не пытайтесь сразу объять необъятное. Работайте над приоритетными и очевидными местами для устранения киберугроз, а также занимайтесь систематизацией всех угроз, уязвимостей, регулярно опрашивайте руководителей по поводу ценности информационных активов. Ваше мнение может быть субъективным и иногда «оторванным» от нужд бизнеса.

Оценивайте риски и постепенно внедряйте контрмеры для снижения рисков. Не забывайте оценивать эффективность внедренных мер. Помните, что обеспечение кибербезопасности — постоянный циклический процесс с растущим уровнем зрелости, который не должен отставать от современных технологий.