Информационная безопасность из набора технических ограничений постепенно превращается в ключевой элемент устойчивости бизнеса. Дмитрий Гладченко, заместитель начальника управления информационной безопасности АО “Северсталь Менеджмент”, на примере внедрения системы управления безопасностью SECURITM в ретейле, рассказал нам, как автоматизация экономит ресурсы специалистов, позволяя поддерживать баланс между развитием бизнеса и безопасностью.
– Дмитрий, расскажите о себе и своем пути в ИБ.
– Я родился и вырос в Ташкенте, учился в обычной средней школе. До пятого класса, как и многие мальчишки того времени, я хотел стать летчиком или космонавтом. А в пятом классе у нас начались уроки информатики, и с тех пор компьютеры полностью завладели моим умом. Мне было интересно научиться программировать. Мы учились на болгарских клонах Apple II – ЭВМ "Правец-8С", и программировать можно было только на Бейсике, который я быстро и с удовольствием освоил. Затем самостоятельно изучил Pascal, Fortran и другие языки программирования. Увлечению способствовало и то, что в старших классах у нас была возможность посещать учебно-производственный комбинат, где школьникам давали профессию. По четвергам мы ходили на маленькое предприятие, где как раз и собирали эти самые аналоги Apple II. Нас учили программированию, устройству ЭВМ, их диагностике и ремонту. К окончанию одиннадцатого класса у меня уже была первая профессия "Оператор-программист ЭВМ". После школы я поступил в институт на специальность, связанную с АСУ. После его окончания начал карьеру на одном из предприятий химической промышленности, где занимался внедрением известной ERP-системы, программировал различные сбытовые и снабженческие задачи. Через некоторое время решил попробовать свои силы в консалтинге, для этого уехал в Москву – в одну из ведущих российских компаний, занимавшихся внедрением ERP и других корпоративных систем управления. Позже понял, что консалтинг – это не мое, вернулся в родной регион и стал работать простым айтишником. Занимался всем подряд: прокладкой кабельных трасс, поддержкой сетей и парка оборудования, администрированием серверов и баз данных, доработкой используемого программного обеспечения. Но при этом моя работа включала в себя и элементы обеспечения информационной безопасности, – развернул антивирус, организовал безопасный выход в Интернет, наладил резервное копирование, внедрил доменные политики безопасности, внедрил межсетевой экран и многое другое. Это, наверное, и стало переломным моментом, когда я стал заниматься ИБ. Далее меня пригласили в крупнейший металлургический холдинг "Северсталь", где вместе с командой единомышленников мы начали формировать направление ИБ. И вот, уже более двадцати двух лет я с удовольствием занимаюсь информационной безопасностью.
– В каком году вы начали заниматься информационной безопасностью и с чего она, вообще, начиналась?
– В 2004 году. По сути, тогда эта область в России еще только формировалась. Первое время мы с коллегами сосредотачивались на каких-то технических аспектах: интернет был дорогим, трафик тарифицировался помегабайтно, удаленный доступ только начинал появляться. Уже существовали первые модемные пулы, через которые сотрудники могли выполнять рабочие задачи из дома. Иногда происходили инциденты: штатные сотрудники разглашали свои логины и пароли, к модемным пулам подключались посторонние лица и весь трафик уходил на серфинг, а не по своему служебному предназначению. Мы выявляли такие случаи и выстраивали технические меры, чтобы обеспечить корректную работу удаленного доступа, разговаривали с нарушителями, объясняли им правила поведения в киберпространстве.
Важным этапом формирования отношения к безопасности стало появление в 2004 г. федерального закона № 98 "О коммерческой тайне». Мы понимали, что режим коммерческой тайны требует правильного оформления, разграничения доступа к информации и внедрения процессов, соответствующих закону. Это был серьезный вызов. Приходилось работать и с нормативными документами, и с бизнес-подразделениями – вместе мы определяли, какие сведения действительно являются коммерчески ценными, выстраивали процессы конфиденциального делопроизводства. В коммерческих компаниях делать это нужно аккуратно, ведь любое избыточное ограничение мешает операционной деятельности.
Параллельно мы приступили к выстраиванию системы управления информационной безопасностью. В качестве основы в то время выбрали международный стандарт ISO/IEC 17799. По его требованиям начали строить систему в масштабе большого холдинга: регламентация, комитет по защите информации, плотное взаимодействие с бизнесом, определение требований к информационным системам. Для многих, в том числе и для ИТ-департамента, тогда все это было новым, поэтому приходилось преодолевать сопротивление, аргументировать необходимость изменений, искать компромиссы.
Все ИТ-проекты, которые инициировались внутри холдинга, мы брали на экспертизу. Проверяли архитектуру и функциональность на соответствие требованиям информационной безопасности, формировали так называемые “профили безопасности», а затем участвовали в приемке систем. Причина проста: внедрение механизмов безопасности при рождении продукта обходится несравнимо дешевле, чем попытки доработать его после промышленного запуска. Мы даже делали экономические оценки, опираясь на старые советские нормативы по оценке стоимости (осмечиванию) работ, – тогда еще не существовало современных российских справочников.
Ключевым направлением работы было обоснование инвестиций в безопасность, где мы наглядно показывали экономику рисков: небольшие затраты сегодня избавят от многократного ущерба в будущем. Кроме того, развивали сетевую безопасность, внедряли системы предотвращения вторжений, совершенствовали антивирусную защиту.
Позже, примерно в 2008 г., началась трансформация бизнеса, и я помогал выстраивать систему ИБ в дочерних компаниях, настраивал исполнение ими требований закона о персональных данных и др. Это был масштабный, многопрофильный этап моей работы.
– В какой момент вы познакомились с SECURITM?
– В 2019 г. холдинг "Севергрупп", в который входит “Северсталь», приобрел торговую сеть "Лента", и мне предложили перейти туда и заняться созданием системы менеджмента ИБ в соответствии с уже устоявшимися практиками холдинга. В "Ленте" я проработал пять лет – до 2024 г. В короткий промежуток времени были созданы структуры ИБ, набрана команда специалистов, выстроены процессы, сформирована архитектура безопасности.
Ретейл – это огромная инфраструктура: сотни городов, магазины разных форматов, высокая динамика и крайне жесткие требования по доступности сервисов. Покупатель не будет ждать, например, пока зависшая кассовая система одумается – он просто уйдет к конкуренту, в другой магазин. Рутинных задач становилось все больше: реестры, файлы, согласования, контроль выполнения, обработка инцидентов, аналитика. Объем ручной работы рос лавинообразно. Я вспомнил, что когда-то уже видел решения, позволяющие автоматизировать и структурировать процессы ИБ: собрать разрозненные элементы в единую систему, убрать лишнюю операционку, навести порядок.
Дополнительным фактором стало то, что многие зарубежные вендоры ушли с рынка, продукты Microsoft начали ограничиваться в функциональности, а планировщик задач перестал быть полноценным инструментом. Да, на рынке существовали и другие платформы, но для задач безопасности, с учетом специфики ретейла и масштаба инфраструктуры, требовалось нечто другое. Поэтому из нескольких российских решений мы выбрали SECURITM [1]. Понравилось, насколько точно функционал продукта отвечал нашим задачам, а также соотношение "цена – качество". Мы прошли процесс согласования, приобрели систему, внедрили ее и начали работу. Для решения тех вызовов, которые стояли перед нами, SECURITM оказался идеальным инструментом. Я благодарен компании SECURITM за то, что они взялись за внедрение в наших непростых условиях.
– Сложно ли было убедить руководство выбрать систему SGRC для управления ИБ, ведь она не входит в требования со стороны регуляторов?
– Убедить было не очень сложно. Я привел аргумент, который звучал так: хирург не может провести успешную операцию без медицинских инструментов, и точно так же специалист по информационной безопасности не способен эффективно защищать компанию без понятных и удобных инструментов, обеспечивающих управляемость процессов и анализ рисков. SECURITM – не средство защиты в прямом смысле, а система, позволяющая выполнять работу качественно, стабильно и прозрачно. Аргументы убедили руководство, и нам был дан зеленый свет на внедрение.
– Чем именно выделяется система SECURITM на фоне других решений?
– В первую очередь, простотой и стоимостью. У продукта очень гибкая ценовая модель. На момент внедрения я внимательно изучал конкурентов: их решения были дороже, а идеология построения систем мне показалась менее удобной и менее подходящей для наших задач. Система SECURITM органично ложилась в те процессы, которые мы уже выстраивали, и решала именно те задачи, которые мы хотели. Внедрение мы провели примерно за два месяца – для такого класса решений это отличный результат.
– Каким образом вы определяли, какие ИБ-процессы требуют автоматизации в первую очередь?
– Приоритетом мы определили соответствие законодательству, в частности, по защите персональных данных. В SECURITM есть хорошая подборка нормативных требований. При внедрении мы подсказали разработчикам, какие документы и нормы нужно еще добавить, и они очень оперативно расширили базу. После проекции требований законодательства на наши системы и меры защиты мы получили полную картину текущего состояния: где комплаенс выполняется, а где нет; почему возникают расхождения и какие шаги нужны для их устранения. Если такие проверки делать вручную, то процесс занимает недели – нужно либо нанимать аудиторов, либо держать сотрудника, который постоянно отслеживает изменения. Но ретейл – крайне динамичная среда: системы появляются, меняются и исчезают быстро, маркетинг запускает кампании, интеграции происходят постоянно. В таких условиях без автоматизации поддерживать комплаенс невозможно, поэтому первым направлением стало именно соответствие нормам законодательства.
Вторым направлением стала работа с уязвимостями. По мировой статистике, огромное количество атак происходит через эксплуатацию уязвимостей. У нас уже были лицензии на сканеры, и мы хотели видеть результаты сканирования прямо в контексте инфраструктуры: к чему относится уязвимый сервер, какие сервисы он обслуживает, какие данные в нем обрабатываются. Мы интегрировали сканеры с SECURITM и получили наглядную картину. В тот момент это было критически важно, на ретейл приходилось огромная доля атак.
Третьим направлением стала автоматизация операционной деятельности: задач много, фиксировать их в блокнотах бессмысленно. SECURITM позволяет и вручную, и автоматически формировать задачи, назначать сроки и ответственных, приобщать файлы, отслеживать прогресс выполнения. И что важно, формировать кросс-функциональные задачи, например, с ИТ-подразделением. Такая система помогает нам работать в единой команде.
– Как проходила интеграция системы управления ИБ с существующей корпоративной инфраструктурой на техническом уровне?
– Перед внедрением мы разработали техническое задание с основным условием: команда внедрения должна создать цифровую модель компании. Под этой моделью мы понимали систематизированный и логически связанный массив всех наших цифровых активов – процессов, сетей, программного обеспечения, информационных систем и систем защиты; в общем, все, что составляет ИТ-инфраструктуру компании, а также всю нормативную базу, разные списки, реестры, перечни и многое-многое другое. А далее просто: есть система-источник, есть система-приемник, настройка интеграции и, вуаля, – в SGRC появляются новые сущности. Добавив к этим сущностям данные из других систем, мы получаем полное описание, например, информационной системы персональных данных (ИСПДн), можем формировать технический паспорт. Или, имея средство антивирусной защиты, легко можно настроить метрики, которые в онлайне покажут уровень охвата антивирусом, в привязке к тем же ИСПДн. Родные консоли средства антивирусной защиты этого делать не умеют.
Интеграция с антивирусным решением и со сканером безопасности прошла фактически бесшовно – оба контура подключились без сложностей. Для ретейла это важный момент: минимизировать трудозатраты, не перегружая ИТ.
В системе есть удобные механизмы загрузки данных через файлы и через расширенные папки. Любую информацию, которую можно структурировать, SECURITM способна принять и обработать. А дальше все зависит от того, как автор данных их интерпретирует.
Проблем с интеграцией у нас не возникло – решение оказалось гибким, практичным и хорошо приспособленным для работы с разнородной инфраструктурой. То, что раньше существовало в разрозненных файлах, схемах, электронных таблицах и требовало постоянного поиска, теперь оказалось в едином интерфейсе. Это радикально сократило количество рутины и упростило контроль инфраструктуры.
Когда мы подключили сканер безопасности, появилась возможность видеть уязвимости в контексте реальной информационной системы. Например, если сервер в составе ИС, обрабатывающей персональные данные, оказался уязвимым, то мы могли точечно устранить проблему и быть уверенными, что защита восстановлена и все работает в соответствии с требованиями законодательства.
Отдельно отмечу, что функциональность опросов в SECURITM существенно упростила взаимодействие с ИТ и другими подразделениями. Раньше необходимая информация запрашивалась по почте, сотрудники были загружены, получение ответов могло растягиваться на недели. В SECURITM я просто формировал электронный опрос по конкретному активу, направлял его владельцу актива и получал структурированный ответ в короткие сроки. В условиях дефицита кадров такая автоматизация – огромный плюс. Система снимает значительную часть операционных задач и позволяет сосредоточиться на действительно важных вопросах безопасности.
– Как ваши сотрудники восприняли внедрение системы? Были возражения или, наоборот, энтузиазм?
– В целом реакция была положительной. Многие сразу сказали: "Отлично, наконец-то что-то автоматизируем, работать станет легче". Сопротивление, тоже конечно, было, но минимальное. Я сознательно вовлек команду в процесс выбора и обсуждения решения: с каждым поговорил лично, мы вместе смотрели демонстрации, задавали вопросы. Когда коллеги увидели, как система работает и какие задачи помогает решать, сильных возражений уже не было.
Основная сложность была на старте: сотрудники иногда забывали переходить в новую систему и продолжали работать по привычке – фиксировали задачи в сторонних инструментах или в старых файлах. Нужно было перестроить мышление: "Не заполняй в прежней системе – переноси работу в SECURITM и только тогда увидишь эффект". Примерно два-три месяца ушло на полную адаптацию, после чего процесс стал естественным.
Отдельно отмечу роль методолога. Он сразу увидел, что в системе очень удобно вести комплаенс: да, придется потратить время на первоначальную привязку требований к объектам, но дальше открывается полноценная карта состояния. Появилась возможность оцифровать трудозатраты, понять, сколько времени занимает каждая задача, какая работа является простой, а какая – сложной. В итоге команда увидела реальную пользу, и положительное отношение к системе укрепилось.
– Как сегодня строятся отношения между ИБ и ИТ?
– ИБ и ИТ стали ближе, но полной конвергенции все равно нет и, вероятно, не будет. Причина проста: разные задачи. ИТ должны обеспечивать стабильную и функциональную инфраструктуру, а ИБ – защищенность. Нередко меры защиты напрямую противоречат задачам ИТ или усложняют их выполнение. Что с этим делать? Искать точки соприкосновения и компромиссы! Вовлекать коллег в свои процессы, передавать отдельные функции и брать на себя другие. Мне нравится термин "взаимное опыление" – когда ИБ перенимает часть инженерной культуры ИТ, а ИТ – часть методологии и дисциплины ИБ. Это всегда диалог и совместное развитие.
Во многих компаниях уже появляется распределенная модель: часть функций, которая раньше относилась к классической ИБ, передается в ИТ, например, сопровождение средств защиты, администрирование рабочих станций, управление обновлениями. И это логично, ведь ИТ ближе к инфраструктуре, быстрее реагируют на эксплуатационные задачи, а ИБ при этом сохраняет контроль, отвечает за политики, требования, аудит. Такая модель позволяет достичь баланса: ИТ занимаются операционкой, ИБ обеспечивает управление рисками – и никто никому не мешает.
Иногда встречаются попытки слить два подразделения в одно, и во многих компаниях это так и работает. Я считаю, что любая схема может быть рабочей, если помогает достигать цели. Но полностью скрестить ИТ и ИБ невозможно: миссии различаются слишком сильно.
– Как вы распределяете ответственность и находите баланс между ИБ и ИТ?
– Здесь вопрос в умении искать компромиссы. Не "делай так", а "давай попробуем вот так". Такой подход работает значительно эффективнее. В нашей компании служба ИБ называется не "служба безопасности", а "служба обеспечения бизнеса". Это отражает суть: наша цель – не ограничивать, а создавать условия, в которых бизнес может работать безопасно, стабильно и без простоев.
На уровне топ-менеджмента это тоже подчеркивается: ИБ – партнер бизнеса, а не тормоз. Мы обеспечиваем непрерывность, минимизируем риски, помогаем компаниям развиваться без угроз и инцидентов. Именно в этой логике выстраиваются отношения с ИТ – как сотрудничество, а не борьба за влияние.
– Удалось ли вам достичь поставленных целей после внедрения SECURITM?
– Да, однозначно. Более того, я писал диплом МВА на тему повышения эффективности процессов менеджмента ИБ и основывал работу именно на опыте внедрения этой системы. Мне удалось оцифровать результаты: сформировано более пятидесяти метрик, отражающих текущее состояние процессов, динамику их изменений. По всем ключевым направлениям мы получили тот эффект, которого добивались и закладывали в техническое задание на внедрение.
Что касается взаимодействия с командой SECURITM – здесь тоже все отлично. На этапе внедрения и после мы получали полную поддержку. Если требовалось внести изменения или доработки, никаких проблем не возникало: коллеги реагировали быстро и конструктивно.
Иногда случалось, что в базе нормативных требований чего-то не хватало, нормативная база часто обновляется, но стоило написать в чат поддержки или позвонить – нужные документы оперативно добавлялись. В этом смысле работа с командой SECURITM оказалась очень комфортной.
– Чем вы занимаетесь сейчас, на текущем этапе?
– Сейчас моя работа в большей степени административная. Я координирую деятельность служб информационной безопасности в нескольких компаниях разных отраслей нашего холдинга. Иногда выступаю как методолог: помогаю менее опытным коллегам, подсказываю, как выстраивать процессы, решать возникающие вопросы. В целом моя роль сегодня – именно координационная.
– Набор специалистов, как правило, болезненная тема. Как вы формируете команду?
– Если говорить о текущем состоянии рынка, ситуация действительно непростая. В моей практике команда ИБ полностью обновлялась минимум два раза. Коллеги, набравшись опыта, решали попробовать себя в новых условиях и компаниях, тем не менее почти со всеми сложились дружеские отношения, мы периодически общаемся.
Сегодня однозначного ответа на этот вопрос в условиях кадрового голода нет. Необходимо применять все доступные методы. Может быть не всегда нужно искать сразу опытных сотрудников, а брать, например, студентов или вчерашних выпускников – и развивать, обучать их.
Кстати, современные SGRC-системы берут на себя значительную часть рутинной работы и, по сути, частично компенсируют нехватку специалистов: позволяют держать процессы под контролем даже тогда, когда штат ограничен.
– Что бы вы порекомендовали компаниям, которые только начинают рассматривать возможность внедрения единой системы управления процессами информационной безопасности? На что стоит обратить особое внимание?
– Мои рекомендации такие:
- Не бойтесь внедрять, хуже точно не будет.
- Сформулируйте для себя узкие места, наметьте точки роста. Ответьте себе на вопросы: чего вы хотите достичь после внедрения системы? Каким должен быть результат?
- Начните с малого, например, с планировщика задач или модуля комплаенса.
Я уверен, что аппетит придет во время еды, и через какое-то время вы захотите от такой системы значительно большего.
***
Реклама: ООО "Секъюритм". ИНН 7820074059. Erid: 2SDnjdGCeWU