Итоги секции «Безопасность»в рамках «CNews Forum 2019: Информационные технологии завтра», организованного CNews Conferences и CNews Analytics, еще раз доказали, что без понимания роли человеческого фактора и учета лучших практик, невозможно обеспечить информационную безопасность.
Степень зрелости любой системы информационной безопасности (ИБ) определяется не только тем, насколько она справляется с соответствующими рисками, но и тем, насколько она открыта для общественности в случае инцидентов. ИБ – это не только железо и софт, но и система менеджмента, предполагающая постоянную работу с людьми.
Поэтому Алексей Плешков, начальник управления режима ИБ Газпромбанка, выступая в роли модератора секции, предложил в первую очередь обсудить лучшие практики и накопленный опыт, а уже затем, как частные случаи, факты последних крупных инцидентов с утечками персональных данных.
Государственным интересам особая роль
Первым спикером с докладом «Опыт организации мероприятий по реализации требований 187-ФЗ в городе Москве» стал Владимир Комаров, аудитор отдела методологии ИБ, ДИТ Москвы. Опыт ДИТ, как государственной организации, по словам выступающего, несомненно пригодится как коллегам из коммерческих структур, так и регуляторам, и законодателям, которые смогут актуализировать нормативные акты.
«Основная сложность, с которой мы столкнулись в связи с вступлением в силу 187-ФЗ о критической информационной инфраструктуре (КИИ) – это сложность структуры власти в городе Москва. Речь идет о десятках межуровневых и территориальных органах, а также нескольких тысячах подведомственных учреждений, каждое из которых имеет статус юридического лица. Организовать работу столь разнородных по своим задачам, возможностям и функционалу организаций в сжатые сроки оказалось крайне сложной задачей», – коротко обрисовал примерный круг проблем Владимир Комаров.
Кроме того, большинство информационных систем в городе – это государственные информационные системы (ГИС). А они изначально защищались оператором, а не собственником. В итоге образовалась дилемма: компетенция в области ИБ оказалась сосредоточена в ДИТ, который не является собственником данных ИС. Это привело к тому, что в момент вступления в силу 187-ФЗ примерно в трех тысячах организаций не оказалось специалистов достаточной квалификации. Но тем не менее, выход нашелся, и он, несомненно, представляет определенную ценность для экспертов.
Проблематика кадрового голода на рынке ИБ была поднята и в докладе «Machine Learning (ML) в SIEM решениях» Максима Степченкова, генерального директора компании RuSIEM.
«SIEM-система собирает, анализирует и представляет информацию из сетевых устройств, средств защиты и информационных систем. Также в систему входят приложения для контроля идентификации и доступа, инструменты управления уязвимостями, – начал Максим Степченков. – Сотни и тысячи ИТ-устройств живут своей жизнью и генерируют миллионы событий, сообщая о том, что происходит с ними и вокруг. При этом необходимо реагировать только на часть из них. Отдельные устройства, операционные системы только предоставляют события без детального анализа. Для полной картины происходящего необходимо собрать воедино состояния с отдельных устройств. Для этого и нужна SIEM-система».
Понятно, что, даже имея сотни правил корреляции, ни одна система без использования ML не сможет вычислить все инциденты: до появления полноценного искусственного интеллекта еще далеко. Кадровые проблемы не позволяют компенсировать недостатки машин усилиями людей, да это и невозможно при нынешних темпах роста и объемах информации. Поэтому один из векторов развития SIEM и SOC направлен в сторону построения систем принятия решений без использования правил корреляции на основе обучения, использования математических и статистических моделей при выявлении, что «нормально», а что нет. Это же касается подсистем класса UBA, которые определяют подозрительные действия персонала: человек – по-прежнему самое слабое звено ИБ.
Как обеспечить безопасность данных
Артем Лосев, руководитель по услугам кибербезопасности компании МегаФон, выступил, наверное, с самым эмоциональным в секции докладом «Цифровые решения МегаФона. Кибербезопасность».
«Чем дальше мы уходим в digital, тем больше наших с вами данных оказывается в сети. Поэтому в новом мире технологии меняют поведение людей, индустрии, государства и бизнес-модели. Одно из этих изменений заключается в том, что скорее всего, ваши данные уже украли. Впрочем, как и данные ваших клиентов», – заявил спикер. Что-то сделать в этих условиях можно, ускорив реакцию на инциденты с помощью SIEM, систем антифрода и т.д. при обязательном соблюдении требований «базовой цифровой гигиены».
Для банков, являющихся наиболее привлекательной мишенью для кибератак, обеспечение надежной защиты информационных активов – обязанность перед клиентами и значительное конкурентное преимущество. Решение этой задачи возможно путем комплексной автоматизации ключевых процессов информационной безопасности. Банк «Открытие» реализовал проект не только автоматизации, но и роботизации реагирования на инциденты кибербезопасности путем внедрения системы Security Vision Incident Response Platform (Security Vision IRP). В результате проекта потенциал и опыт банка в вопросах кибербезопасности получили инструмент акселерации и снятия большой доли рутинных операций, связанных с реагированием на инциденты кибербезопасности. С помощью Security Vision IRP были автоматизированы более 30 сценариев реагирования на инциденты ИБ, проведено более 50 интеграций со средствами защиты банка. Это напрямую повлияло на эффективность работы сотрудников. Раньше специалисту банка нужно было не менее двух часов для проверки 1-2 сложных параметров, а сейчас система осуществляет по 200+ проверок за несколько секунд.
«Увеличились не только ширина охвата (при подключении компаний ФК «Открытие»), но и глубина проверок параметров ИБ. За счет использования технологий IRP развитие ИБ приобрело интенсивный характер, когда качество не теряется от расширения области ИБ, а скорее зависит от компетентности сотрудников. Так, 19 сотрудников Службы мониторинга и реагирования на инциденты ИБ теперь могут обслуживать более 25 тысяч рабочих мест группы без потери качества», – отметил Андрей Глинский, руководитель направления Управления автоматизации внутрибанковский деятельности банка «Открытие».
Более подробно о функциональных возможностях внедренной в банке системы Security Vision IRP рассказал Руслан Рахметов, генеральный директор ГК «Интеллектуальная безопасность» (бренд Security Vision): «Security Vision IRP является инструментом обработки полного жизненного цикла инцидентов кибербезопасности – от идентификации до полного уничтожения. Созданная по типу конструктора, Security Vision IRP состоит из интеллектуально саморегулирующихся программно-технических модулей, что позволяет легко адаптировать систему под особенности бизнес-процессов заказчика, формируя структуру, логику и наполнение решения в соответствии с ними».
Если нельзя, то немножечко можно
Об особенностях развития кибербезопасности в цифровом бизнесе рассказал Денис Горчаков, директор по кибербезопасности OKS Group. Одной только фразой он подытожил рассказы коллег о дефиците всего и вся в области ИБ: «Колбасы на всех не хватит! Необходимо учиться правильно расставлять приоритеты и действовать в рамках риск-ориентированного подхода к ИБ. Нужно отходить от сложившейся практики: "Если нельзя, то немножечко можно". В наше время даже в организациях, работающих при меньшем уровне регулирования, возникает осознанная потребность в обеспечении ИБ. Безусловно, компании, имеющие плоскую организационную структуру и гибкие процессы, оказываются более адаптированы к быстрым изменениям. Но отталкиваться в построении защиты приходится от совсем других ценностей».
Что можно сделать? Во-первых, для построения базы кибербезопасности вполне достаточно матрицы рисков: угрозы, частота и уровень влияния на бизнес. А, во-вторых, по словам Дениса Горчакова, если ходить и разговаривать с бизнес-пользователями, то можно выяснить, что у них есть потребности, которые ИБ может помочь им решить. Одно только это задает мощный вектор по приоритизации задач службы ИБ и достижению общих целей развития.
Еще один рецепт расстановки приоритетов озвучил в своем выступлении «Построение эффективной системы менеджмента ИБ» Илья Борисов, менеджер по ИБ регионального кластера СНГ Thyssenkrupp.
«Эффективная система – эта такая система, в которой количество затраченных усилий меньше полученного результата», – уверен докладчик. Сегодня обеспечение ИБ становится весьма сложной задачей, потому что технологии стремительно развиваются. Недостаток кадров, экспертизы и ресурсов приводит к необходимости поиска выхода из ресурсного тупика. Развитие технологии влечет за собой и рост регулирования, что выражается в увеличении количества требований, а также ужесточении регуляторной политики. ИБ становится сложнее и из-за новых бизнес-требований. Бизнес хочет быть цифровым, гибким, быстрым, легко выходить на новые рынки и адаптироваться к изменениям.
Если решать проблемы менеджмента ИБ исключительно продуктовыми методами, все будут ходить по кругу. Регуляторы будут продолжать «радовать» всех новыми стандартами и лучшими практиками. А бизнес – ждать от ИБ понятных отчетов, а также не деклараций, а реальных действий, подкрепленных количественной оценкой рисков.
Синергия от комбинации компонентов разных стандартов
Источник: Thyssenkrupp, 2019
В таких условиях важно правильно расставить приоритеты. Например, комбинируя дискретные элементы из различных стандартов управления рисками и ИБ, добиться синергии и сокращения затрат. Причем результат будет выражен в денежных значениях, а не в абстрактных величинах.
Снижаем время реагирования
Своей позицией в рамках доклада «Пользовательский опыт или жесткие сценарии: как бизнесу разрабатывать гибкие политики ИБ?» поделился Виталий Терентьев, директор Департамента специальных проектов Head Hunter.
Что такое политика ИБ? С точки зрения спикера, ИБ – это совокупность правил, процедур, практических методов и принципов, которыми руководствуются все сотрудники организации. При этом Виталий Терентьев особо обратил внимание на то, что в данной формулировке нет ни слова о так называемой «бумажной безопасности». Зато она позволяет объяснить бизнесу, зачем нужна ИБ, как она влияет на прибыль и как преодолеть сопротивление сотрудников по отношению к нововведениям.
В Head Hunter приняли для себя аксиому, чем-то напоминающую то, о чем ранее говорил представитель МегаФона: «Нас все равно рано или поздно сломают. Поэтому в приоритете должны быть работы над сценариями реагирования вплоть до реакции в СМИ. Этого можно добиться, в том числе, снижением времени устранения последствий».
Илья Савинский, начальник отдела информационно-технологического обеспечения ТРИЭР, вновь поднял тему ограничений в ИБ. Поэтому в презентации под названием «Обеспечение ИБ при ограниченном бюджете и выделенных специалистов. Для малого и среднего бизнеса» он заострил внимание на лучших практиках ИБ в малом бизнесе.
Спикер уверен, что в данном секторе наибольшую угрозу несут с собой вирусные атаки, способные вывести из строя нехитрую ИТ-инфраструктуру, и некомпетентность сотрудников, приводящая к неграмотной обработке персональных данных. Поэтому надо четко определить принадлежность информации по категориям, прописать уровни доступа к ней, а также заняться обучением сотрудников.
«Обоснование затрат на ИБ» – так звучала тема доклада Сергея Рысина, эксперта BISA, в котором красной нитью проходила тема доверия между бизнесом и службой ИБ.
Пример расчета себестоимости SOC как сервиса
Источник: BISA, 2019
«На каком языке следует вести диалог с менеджментом компании? Естественно, на языке денег. Например, бизнес отлично сумеет решить, нужен ему аутсорсинг или нет, если привести осознанные цифры. Поэтому имеет смысл сформировать перечень конкретных бизнес-процессов ИБ, составить список необходимых элементов инфраструктуры, обеспечивающих их функционирование, после чего подсчитать совокупную стоимость аутсорсинга и доступно объяснить результат бизнесу», – советует Сергей Рысин.
Советы от Московской Биржи
Работу секции завершило выступление Сергея Демидова, директора департамента операционных рисков, информационной безопасности и непрерывности бизнеса Московской Биржи.
Финансовые риски при внедрении новых технологий
Источник: Московская Биржа, 2019
«Вся история биржи – это постоянное придумывание чего-то нового и непрерывное создание новых продуктов, зачастую являющих инновациями. А поскольку биржа – это основной инфраструктурный компонент всей финансовой системы страны, то приходится стимулировать и себя, и комьюнити вокруг нас быть инновационными, – говорит Сергей Демидов. – Например, это касается роботизированной торговли, ведущейся в наносекундном мире. Московской бирже приходится конкурировать с зарубежными площадками, и мы прекрасно видим, как клиенты и деньги уходят и работают с теми, кто быстрее».
К сожалению, по мнению Сергея Демидова, многие эксперты в области ИБ «в погоне за хайпом» забывают о том, что в любой ситуации для бизнеса важно тщательно просчитывать планируемый эффект. Инвестиции ради инвестиций не нужны никому, даже департаменту ИБ.
Презентации участников