Спецпроекты

На страницу обзора
Средним компаниям из нефинансового сектора лучше отдавать ИБ на аутсорсинг
Финансовый сектор считается одним из самых защищенных с точки зрения информационной безопасности. О том, как с нуля выстроить систему безопасности в организации и почему не стоит винить банки в потере данных клиентов, в интервью CNews рассказал Иван Шубин, руководитель службы информационной безопасности группы компаний «Элекснет».

Иван Шубин, «Элекснет»

CNews: Иван, вы часто участвуете в профильных конференциях и рассказываете о кибер-рисках в финансовой сфере. Понятно, зачем «все это ИБ» нужно финансовым игрокам. Но так ли эта тема актуальна для компаний, которые относят себя к нефинансовому бизнесу?

Иван Шубин: Сейчас существует множество угроз, которые просто не дадут выжить бизнесу без хотя бы минимального защитного софта. Представим, что у компании нет даже антивируса. За 15 минут ее завалит спамом, а exchange server попросту не справится с ящиками, переполненными ненужными сообщениями. И это мы не берем во внимание угрозу того, что в течение минут 20 кто-то из сотрудников непременно откроет письмо с вредоносной программой-шифровальщиком. Отсутствие программ мониторинга баз данных «убивает» процессинг; если не защищаться от утечек — чувствительные данные вскоре окажутся в даркнете или у конкурентов. Без минимальной цифровой защиты в современном мире можно без негативных последствий протянуть не дольше часа.

И речь — не только о крупной компании или банке: риски есть у любой организации, даже у ИП с одним магазином, продавец которого может открыть фишинговое письмо. Содержащийся в нем вредоносный вирус может запросто остановить онлайн-кассы и базу «», фактически парализовав работу. И в результате владельцу магазина придется долго и мучительно объяснять налоговой инспекции неуплату налогов хакерской атакой, заодно проясняя, что такое криптолокер.

CNews: Если в компании совсем не выстроена система безопасности, с чего начинать?

Иван Шубин: Я бы начинал с двух главных процедур: первое — нужно провести аудит уровня информационной безопасности. Второе — выяснить болевые точки конкретной организации.

Для аудита необходимо определить 10 самых крупных рисков отрасли, в которой работает компания. После этого проводится последовательная примерка этих рисков к процессам, которые существуют в компании. В частности, необходимо определить, насколько закрыт периметр, как контролируются каналы утечек, соблюдаются ли регламенты по предоставлению доступа, что делают сотрудники при увольнении и т. д. Банальный аптайм контроллера доменов или критичных серверов дает понимание, какова ситуация с патч-менеджментом, подверженностью угрозам нулевого дня.

Вторая большая часть работы — общение с руководством компании, изучение болевых точек бизнеса. Может быть, есть необъяснимый отток клиентов, или же утекают данные; возможно, по непонятным причинам постоянно проигрываются тендеры, где-то не сходится баланс. Имея на руках данные аудита и понимая реальное положение дел в компании, можно начать работу над исправлением ситуации.

Иван Шубин: Сейчас существует множество угроз, которые просто не дадут выжить бизнесу без хотя бы минимального защитного софта

Можно поговорить и с людьми в коллективе, но пока нет результатов аудита или не выявлены все болевые точки, это не имеет смысла. Вы не увидите системных проблем, не выявите и виновников конкретных инцидентов. Необходимо смотреть на процессы: от кого и к кому перетекает информация, из каких систем, кто имеет к ней доступ, как информация попадает на внешние площадки и т. д. На этом этапе становится понятно, какие слабые места существуют у ИТ-систем. На следующем — уже можно выявлять, кто мог этими уязвимостями пользоваться.

CNews: Для этого необходимо держать большой штат ИБ-специалистов?

Иван Шубин: Не обязательно. Если говорить о компании среднего размера из нефинансового сектора, то работу с ИБ проще отдать на аутсорсинг. Найти внешнего подрядчика можно через поставщиков решений ИБ. Они могут посоветовать сервис, который не просто организует защиту бизнеса, но и возьмет на себя расследование инцидентов. Если же мы говорим о компании со штатом в несколько тысяч человек, со сложной архитектурой бизнес-систем, которую обслуживает несколько ЦОДов, лучше иметь свой штат ИБ. В нем может быть до 10 сотрудников, каждый из которых будет выполнять свою задачу: аудит, проверку на соответствие требованиям регуляторов, проверку текущих настроек и т. д.

Но опыт подсказывает: успех что первого, что второго формата зависит от того, насколько бизнес готов ставить вопрос информационной безопасности в разряд приоритетных. Можно нанять 10, 20 человек, но они будут работать вхолостую, если у ИТ-специалистов компании есть желание и возможность игнорировать вопросы безопасности.

CNews: Если смотреть на ситуацию объективно, то у безопасников есть все основания для конфликта интересов с сотрудниками ИТ-департаментов. Они — за комфортную работу «в цифре», вы — за то, чтобы работа ИТ не строилась в ущерб безопасности. Как найти баланс?

Иван Шубин: ИБ неизбежно создает хлопоты для ИТ. Но, чтобы находить взаимопонимание, не нужно идти на конфликт. Мне нравится цитата, которая может проиллюстрировать мой подход в работе: «чем тише становишься, тем больше услышишь». Аудит, изучение организации ИТ и конфигурации ПО, наблюдение за данными, которые циркулируют внутри компании — это все принесет больше эффекта, чем ссоры с коллегами. Это позволит со временем получить гарантированные ответы на вопросы: где уязвимости, откуда утекала информация и почему ушли клиенты, что не было сделано для устранения проблемы. И тогда сможете положить на стол руководителя отчет с фактами и оценками потенциального ущерба. После этого всем в компании становятся понятны реальные риски. ИТ и другие бизнес-департаменты понимают, что укрепление ИБ — это не «бутылочное горлышко», а реальная инвестиция в развитие компании.

CNews: Хорошо, когда есть возможность спланировать всю описанную вами работу. А что делать, если к осознанию наличия проблем бизнес приходит в экстренном режиме, когда что-то уже случилось?

Иван Шубин: Могу привести в качестве примера кейс, с которым столкнулась одна из российских компаний. Администратор антивируса выполнял сложную заявку в сервис-деске, и вдруг система сначала выбросила его с удаленной рабочей станции, потом — с собственного компьютера, а в конце — и с контроллера доменов. По тревоге был созван весь отдел ИБ, включая отпускников. Проблему оперативно устранили — оказалось, что в периметр проник хакер, получивший доступ благодаря фишинговому письму с угрозой нулевого дня. После инцидента в компании за неделю запустили и провели ИТ-проекты, которые по плану предполагалось развернуть за 2 года. А выполнили их в итоге за 2 месяца. Преобразования проходят очень быстро, когда очевидна их целесообразность. Пример — Amazon, который в своих системах применяет 70 тысяч изменений в сутки! Только так у них есть шанс успевать за изменениями рынка.

CNews: Каковы основные ИБ-проблемы в финансовой сфере?

Иван Шубин: Две ключевые — фишинг и отсутствие должного контроля, причем, речь в последнем случае вовсе необязательно идет о недобросовестности. Классическая история: есть учетная запись с расширенными правами, у которой никогда не менялся пароль. Аккаунт передается по наследству без пересмотра прав, и никто уже не помнит, почему пароль не меняется.

Третья проблема — сливы данных, которые сотрудники считают своей наработкой. Это самое частое нарушение, и его можно спрогнозировать: 5% сотрудников будут гарантированно пытаться при увольнении забрать что-то с собой, отправить по почте, закинуть на флешку или слить в облако.

CNews: То есть те инциденты в банках, о которых пишут СМИ, — утечки персданных, пробив и так далее — не носят массового характера?

Иван Шубин: Не хотелось бы отвечать за банки, но персональные данные гораздо чаще утекают не из банков, а с торговых онлайн-площадок, на которых клиенты указывают свои платежные данные. У них собирается немало информации о плательщиках, а защита гораздо хуже, чем в тех же банках или госструктурах.

Для конечных пользователей есть простой совет: если вы хотите узнать, откуда слиты ваши данные, указывайте на разных сервисах разные отчества с одинаковой первой буквой (Алексеевич, Антонович, Александрович и т.п.). Такую «ошибку» сервис пропустит. Но когда вам в следующий раз позвонит «служба безопасности банка», вы будете точно знать, откуда утекли данные.

CNews: Вы достаточно долго работали в кредитных организациях. Расскажите, какой набор защитного софта для финансовой сферы можно считать обязательным?

Иван Шубин: Все по классике: контроль периметра (антиспам, антифишинг), контроль рабочих станций (DLP), антивирусы, защита веб-приложений, контейнеров и мобильных приложений. Современные рекомендации регуляторов подробно описывают перечень решений, относящихся к категории must have. Можно ориентироваться на них, чтобы выстраивать реальную, а не формальную систему защиты. Другое дело, что системы могут стоять, но настройки «по умолчанию» еще никого не спасали.

CNews: В числе ключевых проблем финансовой сферы вы упомянули злонамеренные нарушения внутри периметра. Расскажите подробнее об использовании ПО для защиты от инсайдерских рисков.

Иван Шубин: Ключевое ПО для обнаружения и расследования инсайдерских рисков — DLP-система. Это не просто программа для защиты от утечек данных. Ее нужно рассматривать не как набор политик, не как сетку, растянутую поперек реки, где в каждую ячейку гарантированно должна попасться какая-то рыба. DLP — универсальный инструмент для расследований. Надо лишь понимать, какую информацию можно получить с его помощью и что с ней делать.

Вот кейс из компании, где я как независимый консультант помогал распутать схему увода клиентов. В компании узнали, что как только клиенты выходили за порог магазина, им звонили конкуренты с более выгодным предложением. Каждый потерянный клиент — это сотни тысяч рублей недополученной прибыли, а всего мы насчитали 120 подтвержденных сорванных сделок. Конкурент знал абсолютно все о сделке, как если бы смотрел в карточку клиента, которую вели менеджеры по продажам. Но методы расследования СБ не давали результата, и главное, у продавцов не было мотивации сливать клиентов. Возникло подозрение, что проблема в третьей стороне — в брокере, которому передаются данные о клиенте для расчета кредита.

В DLP мы обнаружили всего одну подозрительную операцию, которая и стала ключевой зацепкой. Мы увидели, что брокером передаются логины и пароли для входа в их систему расчета. Логин и пароль были слабые, с понятным алгоритмом их генерации. То есть любой уволенный сотрудник простым перебором мог получить доступ в работающий аккаунт. В итоге в компании полностью пересмотрели политики безопасности как внутри организации, так и в работе с внешними подрядчиками. А самое главное — после предоставленных доказательств брокер полностью перестроил свою систему работы с клиентами.

Часто DLP используется по назначению смежных классов решений, например, мне известно, как «СёрчИнформ КИБ» применяли для контроля администраторов баз данных в отсутствии специализированного ПО (DAM-система).

Вот пример кейса, выявленного таким образом. Большие колл-центры банков работают в режиме 24/7. В ночное время сотрудник меняет телефон клиента на тот, к которому сам имеет доступ. Списывает небольшую сумму, потеря которой незаметна, клиент не получает смс о переводе, т.к. телефон подменен. А после сотрудник банка возвращает верный номер. Обнаружить такую махинацию можно по двум отчетам из КИБ: факт входа в базу данных по модулю ProgramController и действия (что именно делал в БД) — по Keylogger. Это не самый удобный способ и занимает время. Но в отсутствии DAM-системы критичные инциденты ИБ-специалист сможет отследить.

CNews: Считают, что DAM критичнее всего для финансовой сферы и телекома. Насколько нужен этот софт в других отраслях?

Иван Шубин: Этот вопрос нужно решать в зависимости от того, какие данные вы планируете защищать. Одно дело, если в компании есть обработка платежных операций — процессинг, если подмена цифры на балансе приведет к критичным последствиям. Тогда подручными средствами в виде DLP, как я описывал выше, не обойтись. ИБ-специалисту нужно знать не только запрос к базе, но и ее ответ. Поэтому если важно защищать базы данных от манипуляций информации в ней, эту задачу решает только DAM.

Если ваша защищаемая информация — это база, которую инсайдер может слить (например, база клиентов), тут будет достаточно грамотно защищать периметр: почту, облака, устройства, чтобы данные не покинули его. То есть будет достаточно хорошей DLP.

CNews: Все говорят про дефицит кадров в ИБ. Действительно ли настолько сложно укомплектовать ИБ-отдел?

Иван Шубин: Сложно. Проблема рынка кадров в том, что мало свободных мотивированных людей. Говоря о мотивации, я имею в виду, в первую очередь, не деньги, а задачи. Ценные кадры, которые имеют потенциал к росту, мотивацию к расследованию, будут хорошо работать в компаниях, где руководство понимает, почему безопасность — это важно. В компаниях же, где безопасность нужна для галочки, даже гениальный специалист с кучей международных сертификатов заскучает, быстро разочаруется либо в компании, либо профессии в целом.

CNews: Вы описываете ситуацию глазами специалиста. А если смотреть со стороны работодателя — хватает ли профессионалов на эти интересные задачи?

Иван Шубин: С квалификацией все не так однозначно. В России есть хорошие вузы с сильным математическим базисом, но текущая модель образования не соответствует потребностям рынка. Выпускники не знают о современных требованиях по администрированию ИТ- и ИБ-систем, слабо представляют тенденции. Этот разрыв закрывается, если специалисты доучиваются сами, получают международные сертификаты. Тогда они реально востребованы. Но такая квалификация сразу вычеркивает этих специалистов из числа доступных для местных работодателей. Счастливые обладатели международных сертификатов выбирают переезд или работу на международные компании, тем более что сейчас можно сотрудничать с иностранной организацией можно и в удаленном формате. Из условной Москвы очень удобно работать ночным администратором в Сингапуре, и наоборот.

CNews: Какие советы вы можете дать начинающим специалистам по информационной безопасности?

Иван Шубин: Никогда не считайте себя хорошим ИБ-специалистом. Все, что может сделать вас лучше, — это осознание своего несовершенства, иначе вы поставите перед собой стену из бумажной безопасности. Нужно развиваться, читать специализированную и смежную литературу.