Про детали и главное. Развитие отрасли ИБ возможно только при участии экспертного сообщества

BIS Journal №3(38)/2020

11 августа, 2020

Про детали и главное. Развитие отрасли ИБ возможно только при участии экспертного сообщества

Задача новой рубрики «Лидеры мнений» – провести своеобразный парад героев, представить крупным планом экспертное сообщество российской информационной безопасности. Перед читателями один за другим предстанут люди уважаемые, известные своей компетентностью, авторитетом и бесспорным влиянием на общественное мнение. В качестве первого героя мы пригласили нашего коллегу, внёсшего значительный личный вклад в становление и определение лица BIS Journal, создателя экспертной группы журнала Сергея Пазизина.

 

ФАКТОРЫ ВЛИЯНИЯ

- Сергей Владимирович, что сегодня влияет на формирование и развитие отрасли ИБ в первую очередь? Назовите несколько факторов.

- Первопричиной происходящих изменений является проникновение информационных технологий во все сферы жизни общества (производство, финансы, управление, социальное взаимодействие). Как следствие, возникают новые угрозы и необходимость противодействовать данным угрозам, остальные факторы вторичны.

- Назовите тогда главные, принципиальные проблемы, которые, на ваш взгляд, серьёзно тормозят развитие отрасли или заводят её в тупик.

- Из совсем очевидного – технологическое отставание отечественной ИТ-отрасли в части элементной базы, телекоммуникационного оборудования, системного и интеграционного ПО, СУБД. Когда мы рассматриваем угрозы на международной арене, это становится принципиальным.

Одной из причин такого отставания является короткий горизонт планирования отечественных компаний, в том числе работающих в сфере ИТ и ИБ-технологий, а также компаний — «потребителей» безопасности. За редким исключением крупные компании предпочитают не вкладываться в долгосрочные проекты. К тому же многие руководители воспринимают информационную безопасность и даже ИТ как некую обособленную функцию, такую, например, как охрану зданий. Уровень взаимодействия между ИТ, ИБ и бизнесом явно не соответствует современным вызовам.

Кроме указанных субъективных причин, есть и объективные: недостаток финансовых ресурсов для крупных инновационных проектов, ограниченность внутреннего рынка и, соответственно, высокий риск не окупить инвестиции.

По всему остальному я бы не сказал, что мы в тупике. Есть недостатки в регулировании, эффективности государственных проектов, не хватает квалифицированных кадров.Но появление и решение проблем,  совершенствование – это естественные процессы развития. Я считаю, положительное движение здесь есть по всем направлениям.

 

ПРО ОБЩЕСТВЕННОЕ МНЕНИЕ

- Какую роль в процессе развития отрасли играет общественное мнение: конференции, форумы, отраслевые СМИ?

- Для развития отрасли необходима обратная связь – взаимодействие регуляторов c потребителями услуг и производителями, общественными организациями. Очень важно не растаскивать информационную безопасность по ведомствам и сферам интересов. Наличие конференций, форумов, СМИ – одна из основ существования отрасли как единого целого.

- Сейчас популярны веб-конференции. Как вы считаете, вытеснят ли они очный формат?

- На очной конференции всё же другая атмосфера. Больше личного общения,возможности для неформального обмена мнениями. Поэтому, хотя дистанционный формат существенно экономит время на дорогу и будет, безусловно, развиваться, я бы не хотел, чтобы он полностью вытеснил очные мероприятия.

 

«РОССИЯ – РОДИНА СЛОНОВ»

- Сергей Владимирович, в последнее время часто приходится слышать, что российская банковская ИБ – лучшая в мире. Не повторяется ли история про «Россию – родину слонов»?

- На состояние информационной безопасности банковской системы России оказали влияние следующие факторы:

  • Минимальное технологическое наследие в области защиты информации, что позволяло сразу внедрять современные решения. В качестве примера можно привести внедрение Банком России электронной подписи на основе открытых ключей в 1994 году, в  то время как в мировой банковской системе продолжалось использование технологий предыдущего поколения. Например,международная система межбанковских коммуникаций SWIFT перешла на цифровую электронную подпись при взаимодействии с банками только в 2003 году. Также эффект «чистого листа» использовался при построении Национальной платёжной системы.
  • Имевшийся в стране уровень  образования, а также задел в обеспечении безопасности государственных систем.
  • Высокий уровень криминального давления, который не позволяет относиться к защите информации легкомысленно.
  • Наличие у Банка России полномочий регулятора, в том числе и в вопросах защиты информации.

И, наконец, банковской сфере повезло, что вопросами ИБ занимаются компетентные специалисты и руководители. Большое внимание вопросам ИБ уделяется лично председателем Банка России Э. С. Набиуллиной, а в работе ключевого мероприятия в области банковской ИБ – уральского форума «Безопасность финансовой сферы» регулярно принимают участие заместители председателя банка России. На Форуме FINOPOLIS на самом высоком уровне рассматриваются возможности применения современных цифровых технологий в финансовом секторе. Поэтому сказанное мною ранее про непонимание роли ИТ и ИБ – это точно не про Банк России.

Сочетание указанных обстоятельств привело к тому, что российская банковская система – одна из наиболее устойчивых к кибератакам. Вместе с тем сравнение с другими странами не совсем корректно, так как различаются подходы к обеспечению ИБ. Недостаток осознания проблем безопасности на уровне руководителей компаний государство пытается компенсировать детальным регулированием, что по определению не может привести к успеху. Запускается давно знакомый российский механизм, когда строгость законов компенсируется необязательностью их исполнения. Поэтому ограничимся утверждением: если «слоны» родились в России, то именно в банковской системе как передовой отрасли в части применения ИТ и ИБ.

 

ПРО ЭКСПЕРТОВ

- Вы возглавляете на общественных началах экспертную группу BIS Journal. В чём вы видите её предназначение? Расскажите, пожалуйста, об этой деятельности подробнее?

- «Возглавляете», наверное, не совсем подходящее слово. Я был инициатором создания экспертной группы, так как в настоящее время явно не хватает качественной информации. Это относится не только к ИБ. Интернет и другие средства массовой информации захлёстывает поток хайпа, халтуры и часто откровенного бреда психически нездоровых людей. Это в целом объяснимо – основная масса читателей не является профессионалами в любой конкретной области. СМИ в погоне за кликами и рейтингом ориентируются на массовое сознание. Я думаю, многие заметили, насколько упал уровень новостных порталов после того, как интернет стал по-настоящему массовым. Поэтому, на мой взгляд, очень важно создавать условия для того, чтобы мнение профессионалов отрасли присутствовало в медиапространстве. Принадлежность автора к экспертной группе журнала – это знак качества предоставляемой информации.

Что касается «руководства» экспертами журнала, то я могу высказать замечания до публикации, но согласиться с ними или нет – право эксперта, за ним окончательное решение. И даже включение новых экспертов осуществляется при согласии участников экспертной группы. Лично я предпочитаю общаться с людьми, которые лучше меня разбираются в интересных мне вопросах.

- В журнале инициирована полемика «Смена парадигмы ИБ» (Статьи Курило А.П.). Эксперты высказывают разные мнения, а вы как считаете, правильно устроена наша отрасль или нет?

- Трудно не согласиться с Андреем Петровичем в оценке имеющихся проблем и с тем, что отрасль не имеет единого центра координации. В настоящее время важные решения в ИБ принимаются как результат взаимодействия различных групп интересов. Появление единого административного органа может разрушить имеющийся баланс и поэтому имеет смысл только в том случае, если возглавившие этот орган люди смогут подняться над интересами отдельных групп влияния и проводить разумную политику на благо всего общества. 

Есть известная концепция, суть которой в том, что в период кризиса наиболее эффективна жёстко централизованная модель управления,а для успешного развития необходима свобода мнений, конкурентная среда. И если говорить о принятии решений, важных для отрасли, то необходимо развивать независимую экспертизу. Ключевые решения и законопроекты должны проходить публичное обсуждение. Необходимо учитывать мнение ведущих специалистов отрасли.  И если создавать новый орган, то не как новую бюрократическую структуру, а как авторитетную площадку для обсуждения и принятия совместных решений. Что, в общем, не противоречит высказанным в статье предложениям.

- Если бы вы обладали достаточными полномочиями, что изменили бы в первую очередь? В каком направлении и как двинули отрасль?

- Дело здесь не в полномочиях, любые полномочия не снимают ограничений, связанных с контекстом, в котором приходится действовать. Это только наивные люди считают, что можно стать большим начальником и сразу решить все проблемы. Наиболее важным сейчас для отрасли я считаю формирование экспертного сообщества, и для работы в этом направлении не нужно иметь никаких особых полномочий – мы уже ведём её на базе журнала, и есть примеры, когда мнение наших экспертов учитывалось на самом высоком уровне.

 

ПРО РИСК-ОРИЕНТИРОВАННЫЙ ПОДХОД

- Как вы оцениваете перспективы применения подхода на основе анализа рисков в информационной безопасности?

- Для бизнеса подход на основе анализа рисков более понятен, чем ссылки на требования стандартов. Но возможность использования такого подхода ранее ограничивалась рядом объективных и субъективных причин. Во-первых, меньше было взломов, риски ИБ для бизнеса представлялись чем-то эфемерным. Десять лет назад абсолютная величина рисков ИБ не шла ни в какое сравнение, например, с валютными рисками или другими операционными рисками. Соответственно, не было полноценного рискового мышления в области ИБ – предложение принять риски безопасности воспринималось как попытка подставить. Во-вторых, не хватало данных и опыта для проведения анализа рисков.

К настоящему времени пришло понимание необходимости анализировать, обрабатывать и принимать риски ИБ. Поэтому работы по внедрению модели ИБ на основе анализа рисков в банковской системе я считаю своевременными. Анализ и принятие рисков является одним из механизмов взаимодействия ИБ, ИТ и бизнеса.

- Какие ещё особенности вы бы отметили в организации современной системы ИБ крупной компании?

- В настоящее время практически любое бизнес или ИТ-решение должно приниматься с учётом необходимости обеспечения ИБ. ИБ должна сопровождать внедрение новых сервисов с момента постановки задачи, участвовать в проектировании, разработке, внедрении и сопровождении соответствующих автоматизированных систем. В связи с высокой конкуренцией решения необходимо принимать в кратчайшие сроки.  Поэтому, если мы говорим о банках, то сложность и разнообразие решаемых задач уже не позволяют свести процесс обеспечения ИБ к «механическому» соблюдению установленных правил. К этому добавляется необходимость предоставления современных сервисов безопасности, таких как услуги удостоверяющего центра, контроля утечек, анализа информационных потоков на предмет выявления вредоносного ПО, защиты рабочих мест, обработки инцидентов.Последние несколько лет в банках осуществляется переход от модели взаимодействия ИБ, ИТ и бизнеса, в которой ИБ устанавливает правила и контролирует их исполнение, к модели активного участия подразделений ИБ в формировании бизнес-процессов и принятии ИТ-решений, предоставлении сервисов безопасности.

 

ПРО ВТБ

- Насколько успешно данные преобразования идут в ВТБ?

- С 2017 года в банке осуществляется активная технологическая трансформация, проведены два крупных присоединения (Банка Москвы и ВТБ24). Поэтому необходимо было не только обеспечить соответствие модели ИБ новым угрозам и новым форматам взаимодействия ИБ, ИТ и бизнеса, но и принять участие в непростом процессе присоединений и при этом не приостанавливать процесс цифровой трансформации банка. Уже несколько лет у нас нулевой уровень потерь от кибератак на банк и нулевое время простоя критических систем банка в результате кибератак. Несмотря на такой уникальный результат, совершенствование процессов информационной безопасности продолжается. Банк развивается, и ИБ вместе с ним.  В настоящее время идёт активное формирование новых направлений и привлечение в команду ИБ как опытных квалифицированных специалистов, так и молодых и амбициозных, которым, я думаю, есть чему научиться в нашем коллективе.

 

ПРО АУТСОРСИНГ

- Последнее время много говорят об аутсорсинговой модели в ИБ. Как вы видите её перспективы?

- Считаю, что применение аутсорсинга ИБ для компаний, имеющих собственную ИТ-инфраструктуру, достаточно ограничено. Аутсорсинг эффективен при внедрении и настройке приобретаемых средств защиты, когда содержать соответствующих специалистов в штате невыгодно, так как нет постоянных задач, чтобы их загрузить полностью.  Вторая область, где привлечение внешних специалистов является целесообразным, – это проведение тестов на проникновение, помощь в противодействии атакам, проведение расследований по взломам. Здесь вопрос уже не столько в загрузке, сколько в наличии необходимой практики, которой внутри даже большой организации не всегда достаточно. Аутсорсинг может также помочь, когда необходимо срочно выстроить процессы ИБ с «нуля», например, когда речь идёт об обработке инцидентов. Во всех других случаях, если речь идёт о достаточно крупной компании, дешевле и эффективнее взять специалистов ИБ в штат организации. Кроме чисто экономических соображений, необходимо учитывать недостаточность полномочий внешних сотрудников, наличие ограничений по доступу к коммерческой, банковской тайне, персональным данным, недостаточность знания внутренних процессов компании. 

 

ПРО КАРАНТИН И УДАЛЁНКУ

- Несколько месяцев назад отраслевая общественность была уверена: после карантина мир ИБ серьёзно изменится, по крайней мере, не будет прежним. Откуда взялась такая уверенность?

- Я как раз не отношусь к этой части общественности. Карантинные мероприятия и переход на удалённую работу не привели к появлению принципиально новых задач в части информационных технологий и безопасности. И удалённая работа, и «безофисное» обслуживание клиентов не являются порождением COVID-19. Пандемия лишь форсировала те процессы, которые уже шли в финансовом секторе.

Последние десятилетия возможности информационных технологий и средств обеспечения безопасности меняются настолько быстро, что наблюдается существенный разрыв между этими возможностями и реальным их использованием. Если вернуться опять же к технологии электронной подписи на основе открытых ключей, то она появилась десятки лет назад. Но при этом при заключении договоров между организациями до настоящего времени преобладал бумажный документооборот. Или взять ежедневную миграцию в час пик офисных работников. Как правило, в компаниях уже используется электронный документооборот, коммуникации осуществляются через почту, мессенджеры, с помощью ВКС и по телефону, что позволило многие рабочие места перевести на удалённую работу. Также карантинные мероприятия  дали дополнительный импульс расширению использования облачных сервисов.

Сложившаяся кризисная ситуация приводит к необходимости слома необоснованных ограничений и перехода на новый уровень взаимодействия и организации работы. Эпидемия выступила катализатором изменений: те изменения, которые назрели, закрепятся после пандемии, а те, которые не лежат в тренде, быстро забудутся по окончании, даже если карантинные ограничения затянутся ещё на много месяцев. То есть первопричина изменений – не коронавирус, а новые технологические возможности.

- Можно ли сделать вывод из ваших слов, что вы сторонник ликвидации офисов и перехода на удалённую работу?

- Не совсем так. Непосредственное общение тоже очень важно, особенно для формирования команды, понимания общих целей. Я за смешанную систему. Когда я работал над диссертацией в очной аспирантуре, у нас на кафедре была одна небольшая комната на 4 или 5 рабочих столов. Все 15 человек собирались только на семинар по четвергам во второй половине дня, который проходил в отдельной аудитории. В другое время присутствовало не более 2–3 человек, которые приезжали встретиться с научным руководителем, обсудить вопросы с коллегами, провести занятия со студентами.

Понятно, что бизнес во многих случаях подразумевает более тесное взаимодействие, чем научная работа, но и средства коммуникации за 30 лет значительно изменились. Я знаю компании, которые эффективно работают, притом что сотрудники вообще никогда не встречались, они даже живут в разных государствах. Как часто бывает в жизни, в данном случае нет универсального решения, которое подходит для всех. Главное, не создавать самим себе искусственных ограничений, развиваться и максимально использовать имеющиеся возможности, в том числе технические.

 

О БУДУЩЕМ

- Полностью с вами согласен – мир действительно быстро меняется. А какие конкретно изменения в ИБ нас могут ожидать в ближайшем будущем?

- Делать прогнозы – занятие неблагодарное. Тем не менее, думаю, не ошибусь, если скажу, что возможности применения криптографических алгоритмов далеко не исчерпаны. Это не только шифрование, блокчейн и электронная подпись, но и другие направления, которые не на слуху.  Если обеспечение ИБ сравнить с домом – это будет дом из мусора (нагромождение разнообразных элементов разной прочности, зачастую мало сочетающихся друг с другом, с множеством подпорок и щелями, заткнутыми паклей). Криптографические элементы в этом здании будут стальными балками – единственное, на что можно положиться, но не всегда они имеют под собой твёрдую опору. Чем больше их будет, тем прочнее здание безопасности.

Одним из узких мест обеспечения ИБ по-прежнему остаётся задача аутентификации пользователя. Я хочу подчеркнуть – не устройства, а пользователя на устройстве. Задача аутентификации устройства эффективно решается криптографическими методами, с пользователями сложнее.  Пароли никогда не были надёжным и удобным средством, а в условиях сплошного видеонаблюдения и скученности, распространения шпионских программ риски компрометации только растут. Растёт также количество информационных ресурсов, которыми мы вынуждены пользоваться, требующих аутентификации.

Кардинально проблема аутентификации может быть решена только на основе неотчуждаемых характеристик пользователя. Здесь пути только два: использование имеющихся биометрических характеристик или вживление искусственных меток (надеюсь, сможем обойтись первым вариантом). Появление надёжного и удобного способа биометрической аутентификации на персональном устройстве было бы настоящим прорывом. При этом передавать биометрические данные за пределы устройства не обязательно, так как аутентифицировать устройства мы уже умеем.

Необходимо также решать проблему доверенной программно-аппаратной среды. Здесь могут быть различные варианты: создание специальной защищённой области (как в смартфонах Samsung), использование сим-карты в качестве доверенного вычислителя (такие работы ведутся рядом отечественных компаний). Или идти путём жёсткого ограничения возможности загрузки программного обеспечения на устройства (как это делает компания Apple).

Будет расширяться использование облачных платформ. В текущих условиях дефицита квалифицированных кадров по профилю ИТ и ИБ, высокой стоимости приобретения и эксплуатации средств защиты многие организации не могут обеспечить необходимый уровень киберустойчивости. Для них переход к использованию облачных платформ – меньшее из зол, даже при всех их недостатках. В использовании сторонних облачных решений заинтересованы даже крупные организации, масштабы которых позволяют создавать собственные корпоративные облака и вкладывать достаточно средств в обеспечение ИБ. Кстати, для физических лиц облачная революция уже практически завершилась – информация о наших счетах, недвижимости, наша переписка, наши рабочие документы, маршруты передвижения, штрафы, личные фотографии, медицинские анализы и история болезни и т. д. – всё это уже хранится на неподконтрольных нам облачных ресурсах. Переход большей части малого и среднего бизнеса тормозится лишь ассортиментом соответствующего предложения и частично регуляторными ограничениями. Поэтому необходимо научиться решать технологические вопросы защиты информации внутри облака, развивать сервисы безопасности, а также обеспечить юридическую защищённость личных данных и данных компаний.

Последнее время открываются также новые возможности по использованию «больших данных». Во-первых, появились сами массивы данных, во-вторых, технические возможности их обработки. Соответственно, открылось множество областей для применения результатов обработки больших данных и технологий машинного обучения, в том числе в интересах ИБ.

Будет изменяться нормативное регулирование, управление отраслью, будет расти роль ИБ и углубляться взаимопроникновение ИТ, ИБ и бизнеса. Когда меня спрашивают, почему так выросла потребность в специалистах ИБ, я отвечаю: разве вы не видите, что всё больше профессий осваивают «роботы», а ИТ-специалисты и безопасники нужны, чтобы обслуживать роботов. Потом роботы научатся сами себя обслуживать, и останутся только безопасники, чтобы присматривать за роботами…

- Спасибо!

Вопросы задавал Игорь Некрасов

Смотрите также