Борис Меркулов: "Мы живем в эпоху, в которой главным товаром является информация. Поэтому уже со школы детям необходимо формировать понимание, что такое персональные данные, конфиденциальная и секретная информация, а также как и почему необходимо обращаться с ней правильно"
Борис Меркулов,
инженер по облакам и безопасности Linxdatacenter
© ComNews
04.03.2019

Информационная безопасность (ИБ) – тема номер один во всем, что касается юридических и физических лиц в цифровом пространстве. И если все, что связано с технической стороной работы ИБ-систем широко обсуждается, то культуре работы с данными и влиянию человеческого фактора не уделяется заслуженного внимания. О роли личности специалиста по ИБ в глобальной ИТ-истории рассказывает инженер по облакам и безопасности компании Linxdatacenter Борис Меркулов.

Борьба с ветряными мельницами

Общая ситуация с информационной безопасностью сегодня – это, с одной стороны, массовое осознание специалистами тщетности подхода, при котором ставка делается только на технический аспект защиты информации, и, с другой стороны, отсутствие такого понимания у менеджмента.

Когда-то на массовое распространение "червей" и первых вредоносных программ реагировали вводом антивирусов. Затем выяснилось, что нужно защищать сеть – произошел скачок популярности межсетевых экранов. Далее было установлено, что "врожденные" уязвимости сети и ИТ-платформ позволяют злоумышленникам получать права администратора, и все бросились устранять новую проблему, поскольку подобного рода дыры в ИТ-системах организаций открывают ранее не существовавшие возможности для манипуляций. Но все это лишь смещение акцентов, которое может быть бесконечно. По мере того, как совершенствуются технические средства защиты от атак, растет и уровень квалификации хакеров. Это вечная борьба, в которой нет победителей и проигравших. Это привычная работа, и сегодня многие научились выстраивать эффективный защитный периметр с точки зрения технологий. Но далеко не у каждой компании есть план действий на случай, если, например, в службу ИТ-поддержки позвонит злоумышленник, выдаст себя за топ-менеджера компании и получит информацию или доступ к данным, нанеся непоправимый или дорогостоящий ущерб. Какой толк тогда от миллионных инвестиций в современные софт, сеть и "железо" для ИБ, если доступ к конфиденциальной информации может получить обычный человек без каких-то специальных технических навыков?

Все плохо

Если говорить про информационную безопасность в какой-то отрасли, отдельно взятой стране или даже в мире в целом, то культура работы с данными "в среднем по больнице" развита неудовлетворительно. Одни из наиболее часто возникающих ошибок – отсутствие регламента обработки данных. Данные хранятся неструктурированно, версии документов не контролируются – то есть, наблюдаются типичные следствия низкой культуры обращения с информацией. Подтверждение этому выводу можно найти простым поиском по запросам типа "утечки данных за 2018" или любой другой год.

Если рассматривать средний или крупный бизнес, то компании этих сегментов стараются придерживаться общепринятых стандартов и методик, а также требований регуляторов. Изобретать в этой области что-то новое очень сложно, а иногда и бессмысленно, можно лишь пытаться оптимизировать существующее в соответствии с определенными бизнес-процессами или стандартами.  

В то же время распространен сценарий, при котором качественное выполнение требований в области безопасности на отдельных участках ИТ-системы компенсируется разгильдяйством в этом отношении для других элементов, на что руководство бизнеса смотрит сквозь пальцы. В итоге мы имеем общую ИБ-политику по принципу "пока жареный петух не клюнет".

Пора!

В мировом рейтинге экономических угроз кибератаки находятся в топ-3. Ответом на эту ситуацию  может стать только резкий рост грамотности людей в вопросах информационной безопасности. Мы живем в эпоху, в которой главным товаром является информация. Поэтому уже со школы детям необходимо формировать понимание, что такое персональные данные, конфиденциальная и секретная информация, а также как и почему необходимо обращаться с ней правильно.

В противном случае, общество рискует получить ещё несколько поколений, которые будут относиться к этим вопросам как большинство наших современников, т. е. реагируя на последствия инцидентов. Если говорить о том, какие шаги следует предпринимать на уровне организации, то это регулярное обучение, тренинги и лекции для лучшей осведомленности персонала по вопросам ИБ. В первую очередь нужно сделать так, чтобы люди осознавали ценность информации. Если человек не сталкивается с кражей персональных данных в обычной жизни, то он не будет задумываться, что его паспорт может кто-то продать/купить и как-то нелегально использовать. Необходимо регулярно напоминать коллегам о важности защиты персональной информации, повышать грамотность в этой области, говорить о том, что такие вопросы касаются не только интересов компании, но и жизни каждого из нас.

Регламентируй и не мешай работать

Есть важный аспект в отношении норм и регламентов по информационной безопасности: при разработке политик главное – не усложнять текущие бизнес-процессы.  Также крайне желательно, сделать реализацию политик безопасности практически незаметной в повседневной работе.

С другой стороны, необходимо обеспечить выполнение требований законодательства и регуляторов в области ИБ. Важно, чтобы сотрудник понимал ответственность за те или иные действия, а для этого необходимо доходчиво формировать политики, не делая их избыточными. Для каждой организации эти документы будут отличаться. На мой взгляд, соблюдение требований регуляторов и выполнение законодательства вкупе с минимальным влиянием на бизнес-процессы организации является идеальным сочетанием. Немаловажным моментом является и периодический аудит соответствия требованиям безопасности. Нужно в первую очередь самостоятельно осуществлять контроль внутри организации для выполнения всех норм и регламентов.   

Да, еще очень распространен взгляд на информационную безопасность как на "тормоз" нормальной работы компании. Но даже если такое мнение имеет под собой основания, например, применительно к BYOD-стратегиям, все проблемы снимаются за счет четкого определения требований; начиная с антивирусной политики и защиты сетевого подключения и заканчивая наличием DLP или SIEM-решения на устройстве пользователя, особенно если сотрудник наделен правами администратора в критически важных частях инфраструктуры.

Сегодня процесс автоматизируется на уровне групповых политик и удаленной установки соответствующего программного обеспечения. Важно донести до сотрудника необходимость данных мер и обязать его к их выполнению. Это не прихоть службы ИБ, это лишь ещё одна угроза информационной безопасности, которую нужно учитывать. 

CISO, который может всё   

Сегодня во многих компаниях появляется должность директора по информационной безопасности (CISO). Специалист на данной позиции должен обладать лидерскими качествами, чтобы взять на себя разработку стратегии противодействия текущим и будущим угрозам информационной безопасности компании. Он должен обладать техническими знаниями и иметь солидный бэкграунд для проектирования и внедрения решений по безопасности внутри организации.

Для ИТ-компаний важно учитывать требования регуляторов и стандартов информационной безопасности, поэтому CISO должен быть юридически грамотным и обладать соответствующими компетенциями. В круг его обязанностей, в том числе, входит осуществление контроля за работой службы ИБ, проведение аудита внутри отдела и организации в целом. Еще одна важнейшая задача – выявлять неудобные места в политиках безопасности, которые заставляют сотрудников их не соблюдать.

Непочатый край работы

По данным Fortinet, опубликованным в 2017 году, 48% ИТ-руководителей полагают, что ИТ-безопасность пока не входит в число вопросов, стоящих на повестке дня совета директоров их компании. Но я уверен, что перевес в сторону осознания роли ИТ-безопасности со временем будет только расти, отражая динамику рейтинга кибератак в списке мировых угроз безопасности.

Сегодня практически все бизнес-процессы подвергаются автоматизации, а потому безопасность на уровне информационных потоков данных является обязательной практикой. Нужно расставить приоритеты, оценить возможные риски и потери из-за возможных инцидентов. Ещё 10 лет назад про информационную безопасность мало кто слышал, кроме самих специалистов данной отрасли, сегодня об этом говорят ведущие СМИ всех развитых стран. Это заставляет многих руководителей уделять внимание данным вопросам и предъявлять соответствующие требования к своим партнерам. Безопасность стала не только частью корпоративной культуры, но и одним из обязательных условий, определяющих серьезность и статус организации.  

Почему ИБ – это перспективно   

Поскольку чисто технически сегодня возможно сделать так, чтобы единственным слабым звеном процесса оставался только человек, пропорционально возрастает важность ответственных за информационную безопасность кадров.

Собственно, еще один, и самый неприятный момент в плане перспектив ИБ – незаинтересованность молодых ИТ-специалистов в этой тематике. Выпускники технических вузов, сделавших выбор в пользу ИТ, массово нацеливаются на вакансии в департаментах разработки новых продуктов. Создание приложений, веб-дизайн, работа с "хайповыми" технологиями, такими как блокчейн, большие данные или машинное обучение, – все это привлекает молодежь гораздо больше тема безопасности данных и сетей. И хотя насчет некой отраслевой "романтики" еще можно поспорить (ИБ – это, по большей части, рутинная работа), то в плане компенсации труда грамотный специалист в области информационной безопасности с продвинутыми компетенциями уже совсем скоро будет на вес золота.

В буквальном смысле слова.