Представляем вашему внимание эксклюзивное интервью с директором по развитию компании “Гладиаторы ИБ” Дмитрием Ушаковым. На своем YouTube канале Дмитрий освещает актуальные вопросы по ИБ. Мы узнали у Дмитрия о том, стоит ли малому бизнесу тратить деньги на ИБ, какие решения по ИБ необходимо использовать небольшому бизнесу, актуально ли использование облачных технологий и аутсорсинга для мелкого бизнеса, как избежать утечки информации и многое другое.
- Стоит ли малому бизнесу тратить деньги на информационную безопасность?
Если говорить метафорично, то «информационная безопасность – это состояние души». Оно никак не связано с размером бизнеса. Если собственник понимает риски кражи или компрометации информации, или ее полной потери из-за действий вирусов-шифровальщиков, и принимает взвешенное решение: «вкладываться или не вкладываться», то это взрослый подход. Если же он закрывает глаза на потенциальные риски и считает, что это все придумали специально, чтобы отнять у него деньги, которых в малом бизнесе лишних не бывает, то и подход будет другим. Но тут важно не обманывать самого себя!
Другое дело, что обязать тратить деньги на информационную безопасность любой бизнес могут только законные и подзаконные акты. Например, 152-ФЗ, федеральный закон о защите персональных данных. Тут уже не до выбора: «хочу/не хочу», – бизнес обязан соответствовать. Либо же взять на себя риски штрафов и других санкций за несоответствие.
Но то, что украсть информацию как минимум о клиентах и поставщиках могут в любом бизнесе – это факт и закрывать глаза на это было бы глупо. Особенно сегодня, когда все работают через Интернет и подвержены не только манипуляциям со стороны инсайдеров, но хакерским атакам.
Требования по защите информации также могут быть закреплены в договорных обязательствах компании – например, мой поставщик указал в договоре, что любая информация от него является коммерческой тайной, которую собственник бизнеса обязан будет защищать.
Проблема в том, что вопрос защиты информации очень сильно зависит от сферы бизнеса. И то, что легко оценить и посчитать для одной отрасли, например для ИТ, где занимаются разработкой веб-сервиса или платформы – прямой убыток от кражи года разработки. А если это торгово-сервисное предприятие: парикмахерская или хлебозавод. Как оценить ценность базы клиентов или рецепта хлеба? Ну даже если их украли – что мне, как собственнику, с того?
- С каких решений по информационной безопасности стоит начинать малому бизнесу?
Для любого бизнеса надо начинать с оценки рисков – простыми словами, понимания того, какая информация для них наиболее ценная и кто ее может украсть.
Если это технологический ИТ-стартап, то очевидно, что защищать нужно в первую очередь разрабатываемые исходные коды. Тогда акцент будет на контроль утечек и кражу данных сотрудниками (DLP). Если же это небольшое предприятие по производству масок или стульев, то в первую очередь следует обратить внимание на работоспособность производственной линии и управление заказами. Если у нас центр юридических консультаций, то это конфиденциальные данные клиентов. Если же защищаться будет интернет-магазин, то для него главным будет защита сайта – и тут уже в первую очередь защищаемся антивирусом на хостинге, межсетевым экраном и даже Web application firewall не будет лишним.
- В чем кардинальное отличие в подходе к информационной безопасности между крупным и малый бизнесом?
Хороший вопрос. Если говорить с точки зрения теории, то разницы нет никакой – любой бизнес, а точнее его активы (информационные или материальные) требуют защиты. И подход будет начинаться, как я уже говорил, с анализа рисков:
– выявили критичные активы;
– построили модель угроз;
– внедрили средства защиты;
– отстроили процесс обеспечения безопасности.
Но специфика бизнеса, как всегда, вносит коррективы. Если крупные и средние компании, как правило, имеют у себя целые подразделения, занимающиеся информационной безопасностью, изучают угрозы, следят за изменениями законодательства, внедряют лучшие практики для защиты бизнес-процессов, то малые компании не спешат потратиться даже на такие обязательные требования, как защиту персональных данных клиентов, регламентированную как обязательную Федеральным законом 152-ФЗ!
Оно и понятно – там если и есть приходящий ИТшник, то он же и «безопасник», а также риск-менеджер, а еще и администратор средств защиты, и пен.тестер в одном флаконе.
Поэтому для малого бизнеса подход, к сожалению, очень часто исконно Российский: «Пока петух не клюнет, нам это все до лампочки!». Только после инцидента кто-то задумывается, почему же это случилось и хорошо, если учитывает ошибки в следующем бизнесе.
- Аутсорсинг информационной безопасности актуален для мелкого бизнеса? ИБ-компании или фрилансеры?
С аутсорсингом безопасности, как и с любой другой услугой – надо считать, что выгоднее: держать своего специалиста или использовать человека со стороны. И если для крупной компании с крупными проектами, а также постоянным сопровождением сложных систем, однозначно выгоднее (и безопаснее) создать у себя в штате выделенное подразделение, то в малом бизнесе с точки зрения операционных затрат держать своего высококвалифицированного специалиста может быть дорого. Поэтому аутсорсинг для таких компаний более привычная тема. Однако обычно только она упирается не в создание полноценной системы защиты, а в ИТшные задачи, когда приходящий специалист им установит то взломанный (!) антивирус, то поможет настроить пиратскую версию бухгалтерской программы, то поменяет картриджи в принтере. Вот такая безопасность.
По той же причине, по которой мы разделяем поход к стоматологу и к лору (у них разная специализация), так и ИТшные задачи (замена картриджа, протяжка сети, замена сервера и т.п.) не должны путаться с задачами ИБшными (защита сервера, контроль сотрудников, введение режима конфиденциальности на предприятии…).
Кто это должен делать? Очевидно, что это должен быть специалист, который может быть и фрилансером, но чаще всего будет в составе команды в небольшом интеграторе, который специализируется на вопросах информационной безопасности – ведь «рыбак рыбака видит издалека» и тот, кто профессионально ловит рыбу, вряд ли будет заниматься еще и шитьем наволочек на коммерческой основе – то есть совмещать решение непрофильных задач.
- Использование облачных технологий лучший выход для небольшого бизнеса для предотвращения утечек информации?
Я предлагаю все-таки разделить: нужно ли использовать малым компаниям облачные технологии и насколько «облака» безопасны.
Облачные сервисы сегодня активно развиваются и глупо было бы ими не пользоваться. Если несколько лет назад крупные компании (в том числе системные интеграторы) активно строили свои собственные центры обработки данных для размещения серверов, то сегодня на базе этих мощностей появились и предоставляются услуги по безопасному хранению данных – например, аттестованное по требованиям 152-ФЗ облако для хранения данных пользователей. Там все средства защиты будут уже установлены. Почему бы им и не воспользоваться?
Насколько это безопасно и могут ли оттуда утечь данные? Безопасно, но данные утечь могут откуда угодно – даже из личного компьютера генерального директора. Я считаю, что вероятность того, что они утекут из специально созданного сервиса, в котором применяются и регулярно обновляются современные средства защиты, гораздо меньше, чем из защищенной только домашним маршрутизатором офисной сети.
Опять же это все просчитывается на этапе составления модели угроз. Исходя из рисков выбираются средства защиты. При грамотном подходе тут не может быть неприятных сюрпризов!
- Стоит ли отказываться от использования open source решений? Например, разрабатывать сайта на Bitrix, а не WordPress. Или же open source решения тоже можно защитить от взлома?
Озвучу непопулярную версию, но на самом деле не все коммерческие продукты лучше open source, равно как и справедливо обратное: когда речь заходит про большую любовь к open source, то в большинстве случаев лучше заплатить и купить коммерческий продукт, который будет с поддержкой и постоянными обновлениями.
Поэтому и то и то решение можно защитить, для этого существуют и интегрированные, и «навешенные» средства защиты. Главное уметь ими управлять.
Я бы сказал, что лучше придерживаться принципа: «Используй то, что лучше знаешь». В этом случае специалист хотя бы имеет контроль над системой и средствами защиты. А иначе построенная система будет блестеть как дорогой Мерседес, но только ехать на нем мы не можем, потому что у нас не то что прав – навыков вождения нет!
- Стоит ли следить за пользователями или нужно отсеивать потенциально опасных пользователей на собеседовании?
Снова непростой вопрос, так как здесь тоже нет однозначного решения. «Стоит ли следить за всеми пользователями?». С одной стороны, почему бы и нет? Вписал соответствующий пункт в трудовой договор, установил DLP систему и «следи на здоровье»! Однако, это может также демотивировать сотрудников (даже если они ничего не собирались украсть), требует дополнительных расходов на приобретение и потом на сопровождение решений по контролю сотрудников.
Если в компании в принципе «текучка» и нет слаженной корпоративной культуры, а работы нужно выполнять «здесь и сейчас», то установить DLP систему для контроля менеджеров – это прям решение, которое очевидно напрашивается.
Стоит ли при этом брать всех подряд и отказываться от скрининга (фильтрации) на собеседовании? Однозначно нет.
На собеседование я бы порекомендовал пригласить профайлера/психолога, который, исходя из требований к кандидату, поможет отфильтровать либо неадекватных личностей, либо тех, кто не склонен к выполнению требуемых задач. Например, «истероид» или «гипертим» подойдет в отдел маркетинга как креативщик, но на роль бухгалтера его категорически не рекомендуется брать. А вот «эпилептоид» будет очень полезен и как сметчик и как управленец среднего звена. Тогда как «тревожно-мнительный» отлично сгодится для риск-анализа.
Но мы отвлеклись непосредственно от информационной безопасности. Можно резюмировать так: DLP система однозначно полезна в тех ситуациях, когда согласно составленной модели существует высокий риск кражи информации своими сотрудниками.
Также для контроля действий сотрудников на уровне сети, когда хочется закрыться от большинства угроз одним средством при ограничении бюджета, я бы рекомендовал обратить внимание на решения класса NGFW – они покажут, кто, с какими ресурсами и когда работал.
- От каких каналов и способов передачи данных нужно отказываться бизнесу при передаче информации ограниченного доступа? Мессенджеры?
Перед передачей конфиденциальной информации необходимо сначала определить, что же такое конфиденциальная информация – очень часто в компаниях сотрудники просто не понимают, какую информацию по каким каналам можно передавать. Но это до тех пор, пока не создан четкий регламент и политики обработки конфиденциальной информации. В них и прописывается, исходя из рисков для бизнеса, что можно использовать, а от чего следует воздержаться. Но это все общие слова.
Если говорить более конкретными, но при этом универсальными рекомендациями, то я бы запретил передачу конфиденциальной информации через мессенджеры и социальные сети. Есть проверенные и понятные каналы: электронная почта, которую можно зашифровать и защитить от перехвата, электронный документооборот, который компании могут сегодня осуществлять даже с помощью облачных сервисов, передавая друг другу просто ссылки на документы.
Если у компании какая-то разработка приложений или сервисов, то тогда вообще нет смысла куда-то передавать информацию, кроме ситуаций, когда приложения и сервисы публикуются для пользователей и тут они по определению должны быть доступны. Передача исходных кодов для проверок или сертификации осуществляется offline методом на отчуждаемых носителях (USB или CDROM). А если есть такая возможность, то вообще лучше предоставить возможность проверки процесса сборки исходных кодов прямо на площадке компании, организовав контроль доступа к этим ресурсам.
В общем, для каждой компании надо разбираться, зачем ей вообще куда-то передавать свою конфиденциальную информацию. Даже звучит странно.
И в любом случае следует использовать защищенные от перехвата и подмены каналы связи (например, VPN по открытым каналам связи между подразделениями и офисами), и не использовать средства личной коммуникации (например, упомянутые мессенджеры) для обмена конфиденциальной информацией.
- Как правильно выстроить процесс повышения осведомленностей пользователей?
Это следующая логичная задача после введения режима конфиденциальности в организации. У процесса осведомленности есть важные свойства:
- он должен быть.
- он должен быть регулярным.
Как бы ни банально это звучало, но сотрудники в 99% – это пользователи, которые не являются специалистами в области защиты информации, поэтому нельзя полагаться ни на их знания, ни на ответственность – например, что они захотят погрузиться в детали информационной безопасности.
Для них необходимо выпускать четкие инструкции на простом «пользовательском» языке и проводить «тренинги осведомленности» – корпоративные учения, когда делается специальная проверочная фишинговая рассылка без уведомления пользователей с разрешения генерального директора и потом обнародуются результаты и делаются выводы. Или же проводятся ежемесячные лекции и мини-тренинги от отдела защиты информации или привлеченными специалистами, где рассказывают последние новости из мира безопасности, разъясняются необходимость использования средств защиты, производится обучение их применению.
Сейчас у некоторых компаний появился формат удаленных курсов повышения осведомленности пользователей с возможностью даже аттестации и проведения «корпоративных учений» и все это онлайн.
- Возможно ли разработчикам привить культуру безопасной разработки? Что делать если нет денег на дорогостоящие сканеры исходного кода?
Безопасная разработка – это отдельная тема, про которую можно разговаривать часами. Если кратко, то разработчикам надо задавать правила разработки в компании, которым они будут следовать. Это как выбранная нотация или формат разработки – установлена на уровне компании и все должны ее придерживаться. Поэтому и сценарии безопасной разработки должны быть установлены как стандарт в компании. После этого и сканеры исходного кода, возможно, и не потребуется применять. Вернее их можно использовать не постоянно, а как разовую услугу при выпуске важного релиза. Так поступают многие компании.
Но тут важно понимать, что если внедрены стандарты безопасной разработки (SecDevOps), то еще до этапа применения сканеров безопасности можно избежать многих проблем. Грамотное проектирование, прототипирование (например, микросервисная архитектура с принципами «нулевого доверия» между модулями), сопровождение разработки и взаимодействие между командами ИБ и ИТ, внедрение методик автоматического тестирования…
В конце концов, можно внедрить средства защиты – например, WAF для веб-сервиса, который позволит снизить риск компрометации приложения из-за потенциальной уязвимости даже в отсутствии сканеров безопасности.
- Верно ли, что самые уязвимые места в любой компании — это пользователи?
Очень часто пользователи, действительно, оказываются слабым звеном в системе защиты. Можно сколько угодно защищать периметр и фильтровать входящую почту на предмет наличия вирусов, но сотрудник может принести что-то внутрь периметра на своем личном ноутбуке или флешке (если их использование подразумевается в компании и поэтому они не может быть заблокированы средствами защиты на рабочих местах – хотя и в этом случае есть решение – например, разрешить только определенные типы flash-накопителей, хотя и это не избавит от вирусов на разрешенных флешках, зато сузит площадь атаки).
В любом случае внутренний сотрудник может быть и инсайдером, поэтому также следует рассмотреть использование средств мониторинга поведения (UEBA), контроля утечек (DLP), а также в любом случае не забывать про собственно защиту рабочих мест (EPP, EDR), чтобы потенциальная угроза не могла заразить компьютер зазевавшегося сотрудника.
Также по этой причине важно вводить либо свой собственный университет корпоративного обучения в области безопасности – повышение осведомленности, либо подумать над аутсорсингом этой услуги.
- Верно ли, что самая лучшая защита от всех атак – это резервное копирование?
Не знаю вообще, откуда взялся такой миф, по другому я это утверждение назвать не могу.
Давайте рассмотрим на следующем примере. Допустим, у меня в компании внедрено резервное копирование для целостности и доступности базы данных клиентов, определены показатели RTO, RDO. А что будет, если у меня в резервную копию попадет вирус? А как я узнаю, какая именно резервная копия не заражена? А если я перезатер последнюю незараженную старую версию данных новыми, но в которых есть вирус. Как мне получить об этом хотя бы предупреждение?
Видим, что только резервным копированием тут не обойтись и ответ на первоначальный вопрос очевиден.
Идеально совместить резервное копирование с антивирусной защитой, а также с «песочницами» – это когда файлы не только проверяются по сигнатурам, но еще и по поведению. В этом случае «песочница» (sandbox) перекладывает проверенные чисты файлы в специальный каталог, который уже, в свою очередь, и подлежит резервному копированию.
- Верно ли, что размер финансов, потраченных на ИБ, не должен превышать стоимость защищаемой информации?
Данное утверждение справедливо и логично. Настолько логично, то ни у кого не возникает вопросов.
Однако для бизнеса есть другая проблема, с этим связанная: «А как оценить стоимость защищаемой информации или ресурса?». Обычно для этого применяется экспертная оценка. Но это субъективный фактор.
Также при расчете рисков учитывается не только ценность актива, но и вероятность реализации угрозы, которую тоже непросто померить. Обычно здесь также полагаются на накопленную статистику или экспертную оценку.
Но все отдают себе отчет, что малый бизнес тратить миллионы долларов на создание системы безопасности не будет – ведь зачастую это даже больше оценки самого бизнеса.
В любом случае бизнес вообще должен понимать, зачем ему, например, дорогой межсетевой экран, если у них сайт не основной канал продаж, или зачем менять антивирус на более новый, если существующий со всем справляется, а новый во внедрении и последующем сопровождении дороже старого.
- Каждый день появляются новые уязвимости. Означает ли это, что нужно каждый день ставить патчи, устанавливать новые версии ПО, чтобы избежать утечки информации?
В идеальном мире картина выглядит именно так: выходит уязвимость – появляется патч, тут же все системы сами обновляются и оказываются защищенными.
В реальной жизни крупных компаний и сложных систем со многими зависимостями и большой ответственностью перед клиентами все сложнее: они не могут рискнуть и установить патч, который обязательно поменяет какие-нибудь настройки и заранее непонятно, как это отразится на других связанных модулях и системах.
Поэтому обязательно используют тестовую среду: системы, которые дублируют в уменьшенном масштабе основной контур и на которых разворачиваются патчи, чтобы убедиться, что после обновления система продолжит работать без сбоев.
При этом для нивелирования риска во время окна уязвимости, когда патчи еще не установлены, а угроза существует, есть несколько способов:
- применение технологии «виртуального патча» – это либо сетевая, либо узловая система защиты, которая детектирует и блокирует попытки эксплуатации уязвимостей;
- принятие риска владельцем бизнес-системы или процесса на себя, если нет возможности купить и установить или настроить средства защиты под вновь обнаруженные угрозы.
Для малых компаний, про которые мы и ведем речь здесь, все проще – тут, как правило, нет сложных систем, зависимостей модулей, но также и нет возможности тратить и без того ограниченные ресурсы на создание пилотной зоны. А еще нет денег на эффективные в таких ситуациях системы «виртуального патча». Собственники предпочитают брать риски на себя в надежде, что их компанию никто не взломает.
Поэтому для этих компаний общая рекомендация – ставить патчи как можно быстрее, когда они появляются. А также использовать хотя бы одно универсальное средство – например, уже упомянутое NGFW – комбинированное устройство, которое решает сразу несколько задач защиты компании по принципу «комбайна». Также я бы порекомендовал вариант с аутсорсингом услуг безопасности – подрядная организация сможет и пилотную зону развернуть и обкатать патч и внедрить его с минимальными сложностями для заказчика услуги.
- Какой будущее ждет компаний, предоставляющих услуги по ИБ? Стоит ли ждать, что вскоре все больше клиентов будет покупать не СЗИ, а сервис по защите данных?
Для средних и малых компаний возможность сэкономить на капитальных затратах и разбить платежи, перенеся их в операционный бюджет – это прям как глоток воздуха. Да и для сервисный компаний это удобнее – стабильный и предсказуемый денежный поток.
Поэтому я считаю, что за сервисной моделью будущее.
Давайте посмотрим на крупные компании, которые также вынесли многие направления, в том числе защиту информации в отдельные юридические лица. Они, как правило, оказывают услуги только для своей материнской компании. Через несколько лет успешной работы, правда, такие сервисные компании могут развиваться и брать на обслуживание другие похожие организации.
Но это совершенно не отменяет необходимости покупки и установки средств защиты. Ведь сервисная компания настраивает, обновляет, следит за работоспособностью только того, что существует. Как вариант экономии опять же можно рассмотреть вариант «аренды средства защиты» – вот этих услуг пока на рынке действительно немного и за ними будущее – полностью сервисная модель как для услуг, так и для оборудования.
- Топ 5 решений (классов решений) для небольшого бизнеса.
По убыванию популярности:
– антивирусные средства.
– межсетевые экраны (в их разновидностях).
– антиспам.
– веб.фильтрация.
– контроль сотрудников (например, DLP).