Зачем нужна информационная безопасность, если вас все равно взломают21.11.2019 11:39

21.11.2019, Чт, 10:33, Мск , Текст: Вадим Ференец

Итоги секции «Безопасность«в рамках «CNews Forum 2019: Информационные технологии завтра», организованного CNews Conferences и CNews Analytics, еще раз доказали, что без понимания роли человеческого фактора и учета лучших практик, невозможно обеспечить информационную безопасность.

Степень зрелости любой системы информационной безопасности (ИБ) определяется не только тем, насколько она справляется с соответствующими рисками, но и тем, насколько она открыта для общественности в случае инцидентов. ИБ — это не только железо и софт, но и система менеджмента, предполагающая постоянную работу с людьми.

Поэтому Алексей Плешков, начальник управления режима ИБ Газпромбанка, выступая в роли модератора секции, предложил в первую очередь обсудить лучшие практики и накопленный опыт, а уже затем, как частные случаи, факты последних крупных инцидентов с утечками персональных данных.

Государственным интересам особая роль

Первым спикером с докладом «Опыт организации мероприятий по реализации требований 187-ФЗ в городе Москве» стал Владимир Комаров, аудитор отдела методологии ИБ, ДИТ Москвы. Опыт ДИТ, как государственной организации, по словам выступающего, несомненно пригодится как коллегам из коммерческих структур, так и регуляторам, и законодателям, которые смогут актуализировать нормативные акты.

«Основная сложность, с которой мы столкнулись в связи с вступлением в силу 187-ФЗ о критической информационной инфраструктуре (КИИ) — это сложность структуры власти в городе Москва. Речь идет о десятках межуровневых и территориальных органах, а также нескольких тысячах подведомственных учреждений, каждое из которых имеет статус юридического лица. Организовать работу столь разнородных по своим задачам, возможностям и функционалу организаций в сжатые сроки оказалось крайне сложной задачей», — коротко обрисовал примерный круг проблем Владимир Комаров.

Кроме того, большинство информационных систем в городе — это государственные информационные системы (ГИС). А они изначально защищались оператором, а не собственником. В итоге образовалась дилемма: компетенция в области ИБ оказалась сосредоточена в ДИТ, который не является собственником данных ИС. Это привело к тому, что в момент вступления в силу 187-ФЗ примерно в трех тысячах организаций не оказалось специалистов достаточной квалификации. Но тем не менее, выход нашелся, и он, несомненно, представляет определенную ценность для экспертов.

Проблематика кадрового голода на рынке ИБ была поднята и в докладе «Machine Learning (ML) в SIEM решениях» Максима Степченкова, генерального директора компании RuSIEM.

«SIEM-система собирает, анализирует и представляет информацию из сетевых устройств, средств защиты и информационных систем. Также в систему входят приложения для контроля идентификации и доступа, инструменты управления уязвимостями, — начал Максим Степченков. — Сотни и тысячи ИТ-устройств живут своей жизнью и генерируют миллионы событий, сообщая о том, что происходит с ними и вокруг. При этом необходимо реагировать только на часть из них. Отдельные устройства, операционные системы только предоставляют события без детального анализа. Для полной картины происходящего необходимо собрать воедино состояния с отдельных устройств. Для этого и нужна SIEM-система».

Понятно, что, даже имея сотни правил корреляции, ни одна система без использования ML не сможет вычислить все инциденты: до появления полноценного искусственного интеллекта еще далеко. Кадровые проблемы не позволяют компенсировать недостатки машин усилиями людей, да это и невозможно при нынешних темпах роста и объемах информации. Поэтому один из векторов развития SIEM и SOC направлен в сторону построения систем принятия решений без использования правил корреляции на основе обучения, использования математических и статистических моделей при выявлении, что «нормально», а что нет. Это же касается подсистем класса UBA, которые определяют подозрительные действия персонала: человек — по-прежнему самое слабое звено ИБ.

Ваши данные уже давно украли

Артем Лосев, руководитель по услугам кибербезопасности компании МегаФон, выступил, наверное, с самым эмоциональным в секции докладом «Цифровые решения МегаФона. Кибербезопасность».

«Чем дальше мы уходим в digital, тем больше наших с вами данных оказывается в сети. Поэтому в новом мире технологии меняют поведение людей, индустрии, государства и бизнес-модели. Одно из этих изменений заключается в том, что скорее всего, ваши данные уже украли. Впрочем, как и данные ваших клиентов», — заявил спикер. Что-то сделать в этих условиях можно, ускорив реакцию на инциденты с помощью SIEM, систем антифрода и т.д. при обязательном соблюдении требований «базовой цифровой гигиены».

Андрей Глинский, руководитель направления Управления автоматизации внутрибанковской деятельности банка «Открытие» и Руслан Рахметов, генеральный директор, ГК «Интеллектуальная безопасность» (бренд Security Vision), в совместном докладе рассказали о внедрении системы класса IRP в банке.

Основной предпосылкой построения IRP (Incident Response Platform) стала задача снижения влияния человеческого фактора и ошибок персонала, привлекаемого для реагирования на инциденты кибербезопасности. После громких эпидемий вирусов и троянцев-шифровальщиков, стало очевидным, что реагирование — это не оповещение, а автоматическое выполнение действий оператора благодаря роботизации.

Если нельзя, то немножечко можно

Об особенностях развития кибербезопасности в цифровом бизнесе рассказал Денис Горчаков, директор по кибербезопасности OKS Group. Одной только фразой он подытожил рассказы коллег о дефиците всего и вся в области ИБ: «Колбасы на всех не хватит! Необходимо учиться правильно расставлять приоритеты и действовать в рамках риск-ориентированного подхода к ИБ. Нужно отходить от сложившейся практики: «Если нельзя, то немножечко можно». В наше время даже в организациях, работающих при меньшем уровне регулирования, возникает осознанная потребность в обеспечении ИБ. Безусловно, компании, имеющие плоскую организационную структуру и гибкие процессы, оказываются более адаптированы к быстрым изменениям. Но отталкиваться в построении защиты приходится от совсем других ценностей».

Что можно сделать? Во-первых, для построения базы кибербезопасности вполне достаточно матрицы рисков: угрозы, частота и уровень влияния на бизнес. А, во-вторых, по словам Дениса Горчакова, если ходить и разговаривать с бизнес-пользователями, то можно выяснить, что у них есть потребности, которые ИБ может помочь им решить. Одно только это задает мощный вектор по приоритизации задач службы ИБ и достижению общих целей развития.

Еще один рецепт расстановки приоритетов озвучил в своем выступлении «Построение эффективной системы менеджмента ИБ» Илья Борисов, менеджер по ИБ регионального кластера СНГ Thyssenkrupp.

«Эффективная система — эта такая система, в которой количество затраченных усилий меньше полученного результата», — уверен докладчик. Сегодня обеспечение ИБ становится весьма сложной задачей, потому что технологии стремительно развиваются. Недостаток кадров, экспертизы и ресурсов приводит к необходимости поиска выхода из ресурсного тупика. Развитие технологии влечет за собой и рост регулирования, что выражается в увеличении количества требований, а также ужесточении регуляторной политики. ИБ становится сложнее и из-за новых бизнес-требований. Бизнес хочет быть цифровым, гибким, быстрым, легко выходить на новые рынки и адаптироваться к изменениям.

Если решать проблемы менеджмента ИБ исключительно продуктовыми методами, все будут ходить по кругу. Регуляторы будут продолжать «радовать» всех новыми стандартами и лучшими практиками. А бизнес — ждать от ИБ понятных отчетов, а также не деклараций, а реальных действий, подкрепленных количественной оценкой рисков.

Синергия от комбинации компонентов разных стандартов

Источник: Thyssenkrupp, 2019

В таких условиях важно правильно расставить приоритеты. Например, комбинируя дискретные элементы из различных стандартов управления рисками и ИБ, добиться синергии и сокращения затрат. Причем результат будет выражен в денежных значениях, а не в абстрактных величинах.

Снижаем время реагирования

Своей позицией в рамках доклада «Пользовательский опыт или жесткие сценарии: как бизнесу разрабатывать гибкие политики ИБ?» поделился Виталий Терентьев, директор Департамента специальных проектов Head Hunter.

Что такое политика ИБ? С точки зрения спикера, ИБ — это совокупность правил, процедур, практических методов и принципов, которыми руководствуются все сотрудники организации. При этом Виталий Терентьев особо обратил внимание на то, что в данной формулировке нет ни слова о так называемой «бумажной безопасности». Зато она позволяет объяснить бизнесу, зачем нужна ИБ, как она влияет на прибыль и как преодолеть сопротивление сотрудников по отношению к нововведениям.

В Head Hunter приняли для себя аксиому, чем-то напоминающую то, о чем ранее говорил представитель МегаФона: «Нас все равно рано или поздно сломают. Поэтому в приоритете должны быть работы над сценариями реагирования вплоть до реакции в СМИ. Этого можно добиться, в том числе, снижением времени устранения последствий».

Илья Савинский, начальник отдела информационно-технологического обеспечения ТРИЭР, вновь поднял тему ограничений в ИБ. Поэтому в презентации под названием «Обеспечение ИБ при ограниченном бюджете и выделенных специалистов. Для малого и среднего бизнеса» он заострил внимание на лучших практиках ИБ в малом бизнесе.

Спикер уверен, что в данном секторе наибольшую угрозу несут с собой вирусные атаки, способные вывести из строя нехитрую ИТ-инфраструктуру, и некомпетентность сотрудников, приводящая к неграмотной обработке персональных данных. Поэтому надо четко определить принадлежность информации по категориям, прописать уровни доступа к ней, а также заняться обучением сотрудников.

«Обоснование затрат на ИБ» — так звучала тема доклада Сергея Рысина, эксперта BISA, в котором красной нитью проходила тема доверия между бизнесом и службой ИБ.

Пример расчета себестоимости SOC как сервиса

Источник: BISA, 2019

«На каком языке следует вести диалог с менеджментом компании? Естественно, на языке денег. Например, бизнес отлично сумеет решить, нужен ему аутсорсинг или нет, если привести осознанные цифры. Поэтому имеет смысл сформировать перечень конкретных бизнес-процессов ИБ, составить список необходимых элементов инфраструктуры, обеспечивающих их функционирование, после чего подсчитать совокупную стоимость аутсорсинга и доступно объяснить результат бизнесу», — советует Сергей Рысин.

Советы от Московской Биржи

Работу секции завершило выступление Сергея Демидова, директора департамента операционных рисков, информационной безопасности и непрерывности бизнеса Московской Биржи.

Финансовые риски при внедрении новых технологий

Источник: Московская Биржа, 2019

«Вся история биржи — это постоянное придумывание чего-то нового и непрерывное создание новых продуктов, зачастую являющих инновациями. А поскольку биржа — это основной инфраструктурный компонент всей финансовой системы страны, то приходится стимулировать и себя, и комьюнити вокруг нас быть инновационными, — говорит Сергей Демидов. — Например, это касается роботизированной торговли, ведущейся в наносекундном мире. Московской бирже приходится конкурировать с зарубежными площадками, и мы прекрасно видим, как клиенты и деньги уходят и работают с теми, кто быстрее».

К сожалению, по мнению Сергея Демидова, многие эксперты в области ИБ «в погоне за хайпом» забывают о том, что в любой ситуации для бизнеса важно тщательно просчитывать планируемый эффект. Инвестиции ради инвестиций не нужны никому, даже департаменту ИБ.

Полный текст статьи читайте на CNews