Задает вопросы Лев Матвеев , председатель совета директоров «СёрчИнформ»
Отвечает Сергей Матвеев , директор по безопасности ПАО ЧТПЗ, доцент департамента анализа рисков экономической безопасности Финансового университета при правительстве РФ
Самый интересные ИБ-кейсы за годы работы
За двадцать лет работы у меня скопилось много кейсов, касающихся расследования мошенничества и коррупции менеджеров и руководителей компаний. Например, в «Связном» были интересные кейсы по выявлению карточного и кредитного мошенничества. Тогда, к сожалению, на вооружении у нас не было таких систем, как DLP, и все приходилось расследовать вручную, доказательства собирали по крупицам. Но в расследовании последних кейсов сильно помогла DLP — с ее помощью собирали фактуру для правоохранительных органов.
В ритейловом опыте была история выявления коррупционера в закупках, который забирал до 5% с каждой поставки. Ущерб оценивался в десятки миллионов рублей, но главное — страдала репутации компании, а это самое ценное.
В металлургическом бизнесе ущерб от коррупции тоже может исчисляться десятками миллионов рублей, например, когда коррупционеры изначально дают неправильные заключения по качеству принимаемого товара.
В производстве превалирует критическая инфраструктура, в защищенность которой приходится инвестировать больше денег, чем в ритейле. Здесь есть станки и компьютеризированные цеха, работу которых внутренние и внешние злоумышленники могут остановить, если проникнут в информационные системы. Это приведет к большим убыткам, ведь станки нужно будет перезапустить и перенастроить.
Внешние и внутренние угрозы
На ЧТПЗ 20 тыс. рабочих, большое количество ПК, то есть важность внутренних и внешних угроз сопоставима. Наши системы защиты улавливают и отрабатывают каждый день инциденты разных типов — и фишинговые атаки, и попытки проникновения в нашу информационную сеть, и ошибки сотрудников.
Мой опыт показывает, что большое количество инцидентов связано не столько со злоумышленниками, сколько с халатностью работников. Проводя интерактивные курсы по обучению в области информационной безопасности, мы видим, что наши сотрудники часто ошибаются. Мы стараемся их дообучить, понимаем, что ИБ — сложный предмет. Сложно объяснить, что если сотрудники кликнут на неверную ссылку, это приведет к плохим последствиям. К счастью, фатальных пока мы не имеем.
Отмечу, что эффективность работы сотрудников нас как ИБ не интересует, потому что в первую очередь мы используем наши системы для контроля утечек информации, то есть деятельности сотрудников, которая может нести негативные последствия для компании. Но при этом у нас накапливается статистика по эффективности работы, которая может позволить руководителям и эйчарам провести анализ нагрузки на людей, оптимальности структуры подразделения, и мы готовы поделиться этими знаниями.
Кроме того, если человек недозагружен, ему могут прийти в голову дурные мысли, которые повлияют на информационную безопасность. Такая аналитика была бы полезна, но это история завтрашнего дня, когда мы разберемся со всеми острыми проблемами и перейдем к более тонким материям, научим нашу систему общаться один на один с каждым сотрудником.
Мы для себя сделали великое открытие, что, оказывается, на удаленке можно работать и производственным компаниям, хотя были и рьяные противники этого, адепты исключительно офисной работы. При этом в первую очередь увеличилась нагрузка на ИТ, поскольку люди из дома начинают чаще заходить в информационную систему, и нужно обеспечивать безопасность всех входов.
С апреля, когда мы ушли на дистанционную работу, пройден большой путь в части понимания защиты сотрудников, работающих из дома. В частности, мы расширили применение DLP для контроля производственной деятельности и учета рабочего времени. Когда человек трудится дома, проблема контроля стала актуальнее — важно понимать, чем он занимается и на что тратит ресурсы компании.
Окупаемость ИБ-решений
В ЧТПЗ защитные решения развернуты на большом количестве ПК. Мы строим систему безопасности на анализе рисков, и к каждой инвестиционной трате (на DLP, SIEM или другую систему для экономической безопасности) подходим с тех же позиций. Мы говорим руководству, сколько будет стоить реализация обсуждаемого риска в деньгах и какова вероятность его наступления. Если руководитель готов принять риск, то не тратимся на средства защиты от него. Но в большей части случаев нам все же удается убедить топ-менеджемент в том, что небольшие инвестиции позволят перекрыть риск в долгосрочной перспективе.
При этом средний срок окупаемости ИБ-систем у нас — не более двух лет. Но DLP, к примеру, оправдывает себя буквально за пару месяцев, учитывая большое количество выявляемых злоумышленников, коррупционеров и мошенников, а также размер предотвращаемого ущерба.
Налаживать систему безопасности можно и нужно только в тесном взаимодействии с ИТ-отделом.
ИБ и ИТ на предприятиях — антагонисты. Нельзя сказать, что нам удалось разрешить все противоречия, но нам удалось наладить партнерские взаимоотношения, нам нечего делить, хотя и присутствует здоровый конфликт интересов. Но мы понимаем, что мы не сможем без ИТ-подразделения реализовать практически ни одну свою инициативу. Все, что мы делаем, базируется на ИТ-инфраструктуре, всю информацию мы собираем из нее, поэтому без партнерских взаимоотношений и взаимопонимания не будет результата.
Аутсорсинг ИБ
Если говорить в общем, функции экономической и информационной безопасности нельзя передавать на аутсорсинг. Но вопросы информационной безопасности неоднородные. Например, управление и аналитику DLP я бы никогда не передал партнеру, потому что система собирает много внутренней чувствительной информации. А вот управление инцидентами (то, чем занимается SIEM) можно с удовольствием передать подрядчикам, поскольку инциденты везде одинаковые и обезличенные. Да и у нашего контрагента есть обширная база данных, которую можно использовать в части обработки и лечения этих инцидентов.
То же самое в экономической безопасности. Я со спокойной душой передавал на аутсорсинг проверку персонала и контрагентов, ничего секретного здесь нет. Но, например, антикоррупционную работу, борьбу с мошенничеством я бы не стал передавать. Не потому что не доверяю внешним партнерам, а потому что понимаю: не погрузившись в бизнес, не зная людей, бизнес-процессы, работать качественно по антикоррупционной программе с мошенничеством невозможно.
Для малых компаний, у которых 100–200 ПК и нет ИБ-службы, аутсорсинг — это единственный вариант, потому что небольшой бизнес не может себе позволить выделенные подразделения ИБ и экономической безопасности. Зачастую эти бизнесы вообще не занимаются вопросами безопасности. Для них, конечно, полезны внешние аутсорсеры по ИБ хотя бы в базовом варианте — для управления инцидентами, проверки контрагентов и персонала, элементарной работе по корпоративному мошенничеству и коррупции.
С какого количества ПК в компании надо бросать аутсорсинг и заводить штатную службу ИБ, я не смогу ответить. Это зависит от отрасли, собственника, команды. Известны крупные ритейл-компании, у которых безопасность до сих пор никак не организована.
Но если пытаться привязаться к размеру штата, то 500 сотрудников — это уже серьезный бизнес, для которого нужен контроль информационного периметра и корпоративного мошенничества. Нужно, чтобы несколько человек занимались информационной и экономической безопасностью.
Портрет современного ИБ
В университете мы много обсуждаем, как трансформировался портрет специалиста инфобеза и как он еще будет меняться. Не буду заниматься футурологией, но через 5–10 лет безопасность перейдет в область «цифры», аналитики, защиты информации. Уже сейчас роль офицера безопасности в общей корпоративной безопасности возросла, он становится главным, потому что все крутится вокруг информации — экономической, физической, технической безопасности. Да и сам бизнес крутится вокруг информации.
Отсюда и последствия: кадровый голод и необходимость повышения зарплат для удержания специалистов.
Навыки и знания специалистов зависят от направления, в котором они работают, но в целом речь идет уже не об «опере», а о человеке с профильным специальным образованием в области ИБ, даже если у него нет навыков оперативно-розыскной деятельности. У него другие задачи по защите информационного периметра, добыче информации. А дальше подключаются аналитики с опытом оперативной и следственной работы, которые умеют эту информацию обрабатывать и принимать нужное решение.
Говоря о себе скажу, что главный драйв от работы шефом безопасности, — видеть, как складывается работа, когда мы строим гипотезы, собираем по ним информацию, находим проблему. Когда чувствуешь, что идешь в правильном направлении. Сотрудники кайфуют от того, что делают правильные вещи правильными инструментами. А руководитель — от того, что команда слаженная и каждый в ней делает свое дело.