Единственный риск ИБ сейчас — это расфокусировка. Такое мнение высказал директор департамента информационной безопасности Группы «Московская Биржа» Сергей Демидов во время своего выступления на конференции IT Security Day 2021. Он также рассказал про предпосылки этого риска, а также их собственном пути его решения.
«Какие же новые риски возникают? А я увидел, на самом деле, всего один риск — это то, что у нас происходит с вами расфокусировка. Мы, с одной стороны, видим ускоряющуюся историю и должны помогать бизнесу зарабатывать, с другой стороны, такое колоссальное число формальных требований, новые проверки Банка России, которые действительно проверяют на формальное больше соответствие, не реальную защиту информации, а на формальную», — сказал Сергей Демидов.
Он также добавил, что в этом смысле не совсем понятно, что дальше делать. Потому что с одной стороны, приходится жить под страхом того, что вас выгонят за нарушение требований ЦБ, а с другой стороны, есть понимание, что эта угроза вполне вероятная. «И вот в этой расфокусировке нам приходится жить», — отметил спикер.
Предпосылки/тренды
Вместе с тем он достаточно подробно объяснил, почему именно этот риск он видит на сегодняшний день. К этому мнению его подвели изменения на ИТ и ИБ-рынках, которые происходят за последний год. По его же словам, он выделил эти предпосылки/тренды, когда посмотрел, что изменилось за прошедший год и что сейчас оказывает наибольшее давление на формирование повестки ИБ.
«И первая картинка, которая возникла в голове, это рост цифрового бизнеса. Я погуглил интернеты и нашел интересные графики. Основной график показал, что основной рост у нас происходит в технологическом секторе. Но даже там, где вроде компании реального сектора, даже они начинают развивать свой бизнес за счет технологических продуктов», — отметил Сергей Демидов.
В качестве примеров он назвал создание маркетплейса, например, КАМАЗом, отметив при этом, что сейчас почти все идут в цифру.
Второй предпосылкой спикер назвал ускорение и «гонку вооружений» внутри цифры. По его словам, за счет пандемии многие компании начали вкладываться в цифру, стараться захватить чуть ли не целые сектора экономики и привлечь как можно больше потребителей за счет предоставления им цифровых продуктов. «И это сказывается в том числе на росте. Компании, которые в основном инвестируют в цифру, растут быстрее всего», — сказал спикер.
В конечном итоге это приводит к тому, что компании начинают сокращать «time to market». Несмотря на то, что продукт может быть плохой, сейчас главным становится первым завоевать рынок. «Вот привык человек заходить на Яндекс с утра смотреть новости и проверять почту. Даже сделав более крутой соседний поисковик, абсолютно такой же, но с блэкджеком и всем остальным — вы не переманите туда людей просто за счет функционала. Нужно первым оказаться на рынке», — пояснил Сергей Демидов.
Третий тренд — это рост числа уязвимостей. Так как ИТ ускоряется, о безопасности никто не думает. По словам спикера, в прошлом году был абсолютный рекорд найденных уязвимостей, потому что все эти новые технологии не успевают отрабатываться, и цикл поиска уязвимостей и их регистрации не успевает даже задействоваться. «А с учетом того, что ИТшники начинают работать кубиками, декерами составляют функциональное приложение, они используют открытые интерфейсы. Они вынуждены это делать. Соответственно, большинство уязвимостей теперь находятся в этих интерфейсах. Хакеры, конечно, тоже понимают, что нужно атаковать», — пояснил эксперт.
Все это влечет за собой усиление регуляторной нагрузки. Как отметил спикер, можно сколько угодно спорить, насколько действительно отстают эти регуляторные требования, но их становится больше и больше, потому что регуляторы видят эту гонку, они пытаются защитить граждан от этого вала уязвимостей и вала новых продуктов. Соответственно, они создают все больше и больше требований. «В финансовом секторе теперь регулятор лезет уже в процессы все — и разработку, и эксплуатацию. Раньше этого не было. Раньше были только требования к защите платежных систем, потом они сделали требования, связанные с продуктами, теперь есть требования уже к процессу эксплуатации и разработке программных продуктов. Я уже не говорю о требованиях ФСТЭК», — отметил Сергей Демидов.
Отдельной предпосылкой/трендом он также назвал КИИ и требования к их безопасности. Причем если раньше эти требования относились только к значимым объектам КИИ, то теперь регулятор настаивает на их применение вообще ко всем объектам, а это все финансовые организации Российской федерации, включая ломбарды, в которых один человек, нет даже компьютера, и он все записывает в ломбардную книгу.
«И последний, пятый, тренд — это кадровый голод. У нас официальная статистика Минтруда, относительно свежая, этого года — 18 тысяч человек нехватка. С одной стороны, немного, а с другой стороны — реально это прям страшно, потому что выпускается ВУЗами только 6 тысяч. Эта тема постепенно становится важной, потому что кадровый голод у нас будет постоянно существовать, у нас нет таких мощностей, чтобы этот кадровый голод закормить», — поделился спикер.
Чем можно себе помочь?
«У меня нет сегодня какой-то универсальной таблетки и я не могу сказать «Сделайте вот это»», — сказал Сергей Демидов.
На примере своего организации он отметил, что они сами пошли по двум направлениям. Первое — начали более плотно работать с госорганами. По его словам, есть разные способы взаимодействия, например, вступить в технические комитеты, в Ассоциацию «Финтех», также есть программа «Цифровая экономика» и так далее. «Это реально бесплатная история, туда надо просто написать, тебя включают, ты получаешь проект документа и ты можешь его комментировать, ты можешь участвовать во всякого рода заседаниях и помогать тем самым сблизить эти точки, навести туда фокус. Это бесплатно, но можно влиять на стандарты, можно подсказывать регулятору», — поделился эксперт.
Второй путь — работа в синергии ИТ и ИБ. По его словам, к ним пришло понимание, что часть формальных и реальных рисков можно обрабатывать с помощью ИТ, так как в этой сфере тоже наблюдается кадровый голод. «У них тоже кадровый голод, с ИТшниками ровно такая же ситуация как с ИБшниками, но здесь помогая друг другу и синхронизируя процессы на всем жизненном цикле...мы как разработчик начали синхронизироваться от стратегии. У нас очень синхронные стратегии, они пересекаются. И это помогает в том числе ускориться, и в этой расфокусировке навести фокус все-таки на том, чтобы обеспечивать и реальную безопасность, и формальную», — заключил Сергей Демидов.
BIS Journal — информационный партнёр конференции IT Security Day 2021.
.jpg)