В рамках подготовки к конференции «Защита данных: сохранить всё» обозреватель BIS Journal поговорил о проблемах утечек данных и их защиты, вопросах этики, кнута и пряника в сфере ИТ и ИБ с заместителем генерального директора группы компаний «Гарда» Рустэмом Хайретдиновым.
— В октябре в Москве пройдет конференция «Защита данных: сохранить всё», где впервые планируется обсудить комплекс вопросов по защите данных. Кто стал идейным вдохновителем мероприятия?
— Это коллегиальное решение, можно сказать, идея витала в воздухе. В России много хороших конференций по информационной безопасности, но все они посвящены защите инфраструктуры, потому что их организаторы и спонсоры — наши уважаемые братья по оружию и одновременно конкуренты, специализируются на этом сегменте рынка. Темы защиты данных на этих конференциях проходят на круглых столах и мастер-классах на полях этих конференций и представлены небольшими DLP- или DCAP-вендорами. Соответственно, эти не очень массовые секции на полях инфраструктурных конференций, как и отдельные конференции DLP-вендоров, посвящены продвижению конкретных продуктов, что не раскрывает всей широты задачи и вариантов её решений. Поэтому, когда мы пришли с идеей такой конференции к регуляторам и игрокам рынка, все её поддержали, никто не сказал «и так полно конференций, зачем нам ещё одна».
— Как вы оцениваете ситуацию на рынке защиты данных?
— Данные в отличие от инфраструктуры, защищать сложнее, защита данных носит контекстный характер в зависимости от индустрии. В банке и в розничной сети инфраструктура может быть похожей, поэтому без особых изменений можно продавать антивирус, анти-DDoS или сканер уязвимостей в обе отрасли. А вот с защитой данных в каждой отрасли есть специфика — разные бизнес-процессы, разные приложения, разные типы данных, разное отраслевое регулирование их использования и т. п., поэтому систему, успешно защищающую, скажем, данные в банке, просто так перенести на сеть розничной торговли вряд ли удастся. Очевидно, что компании, успешно защищающие цифровые инфраструктуры, не спешат заниматься защитой данных, это удел нишевых компаний, экспертиза сосредоточена именно в них.
— Кого больше должно заинтересовать мероприятие — представителей ИТ и ИБ или операторов данных из разных отраслей, представителей ФОИВ, юристов, кого-то ещё?
— Мы формируем программу конференции таким образом, чтобы участие в ней было интересным для всех упомянутых категорий участников. Защита данных задача комплексная, она задействует многие подразделения компаний:
— Как внедрить подход Secure-by-Design в основу разработок всего ПО, связанного со сбором, обработкой и хранением персональных данных любого объема?
— Если же говорить о безопасной разработке — то это сегодня одна из самых горячих тем, спрос на неё гораздо выше, чем могут предложить игроки российского ИТ-рынка. Собственной разработкой сегодня занимаются практически все крупные не ИТ-компании, в них работают сотни тысяч программистов, которые разрабатывают десятки тысяч приложений, поэтому не хватает не только инструментов, но и специалистов, умеющих обслуживать эти инструменты и организовывать процессы. Безопасная разработка — довольно затратное занятие, на недавней конференции разработчики жаловались, что она в полтора раза замедляет разработку, то есть продукт позже выходит на рынок, и на 30% увеличивает стоимость разработки за счёт дополнительных специалистов, инструментов анализа приложения и тестов и инфраструктуры под это. То есть делать разработку безопасной или нет — это бизнес решение, которое должны принимать руководители компаний, а не разработчики или безопасники.
— Как вы полагаете, нужны ли для реализации таких подходов законодательные нормы или требования регуляторов? Может ли отрасль ИТ саморегулироваться или в любом случае необходим кнут?
— Область ИТ в России с самого своего создания саморегулировалась, потому что государству просто не было до неё дела. Так что традиции саморегулирования у нас очень сильны. Сейчас маятник качнулся в другую сторону — государство вдруг активно стало участвовать в ИТ-индустрии, как многочисленными льготами и другими формами поддержки, так и запретами, и штрафами, даже уголовным преследованием провинившихся. Совсем без кнута, то есть ответа на вопрос «а что нам будет, если мы не подчинимся требованиям», обойтись не удастся, но налегать на это с рыночной точки зрения неправильно. Это просто остановит цифровизацию и отразится на удобстве цифровых сервисов как коммерческих, так и государственных, а сегодня такие сервисы — гордость страны. Мы одни из лидеров цифровизации в мире.
— Необходимо ли ввести некие этические нормы и требования информирования об утечках данных не только регуляторов, но и клиентов?
— Лучшей регулятор этики — конкуренция, в таких высококонкурентных отраслях, как банки, телеком, розничная онлайн и офлайн-торговля, пользователь быстро голосует ногами. Я сам, как пользователь, очень чувствителен к отношению сервиса ко мне и быстро нахожу альтернативу.
В мало- и неконкурентных отраслях с этим сложнее — нам некуда уйти с государственных сервисов и от монополистов, типа железнодорожных перевозок, энергокомпании и агрегатора такси. Их надо, на мой взгляд, в соглашениях с пользователями заставлять брать на себя обязательство в случае утечки информации отрабатывать заранее определённый процесс информирования клиентов по заранее определённым каналам.
— Массовых утечек данных из-за незакрытых уязвимостей в инструментах и сервисах можно избежать, если вовремя закрыть уязвимости и обновить ПО. Как с бороться с нерадивостью ИТ- и ИБ-служб на местах, в конкретных организациях?
— Нерадивость — слово, которого не должно быть там, где автоматизируются важные процессы. Чёткие, не допускающие неоднозначных толкований, требования, постоянный контроль их исполнения, чувствительные санкции за неисполнение. Человечество придумало, как избегать «нерадивости» за сотни лет до изобретения ИТ. Противопожарная безопасность, требования к охране труда на производстве, обращение с опасными материалами, медицинские регламенты – люди руководствуются этой методикой много лет. Это не помогает полностью избегать инцидентов даже в таких регулируемых областях, как атомная энергетика, но делает инциденты существенно более редкими, а ущерб от них – минимально возможным. Надо понимать, что такие меры сделают цифровизацию медленнее и дороже, но таково требование времени. Раньше автомобили тоже продавались без встроенных средств безопасности, и потому были дешевле, но количество погибших при автопроисшествиях взывало к увеличению расходов на безопасность. Сегодня купить автомобиль без подушек безопасности, антиблокировочной системы, специальных стёкол невозможно.
— Утечки — это не только уязвимости в ПО или хакерские атаки, но и человеческий фактор. Есть ли у вас предложения как быть с этим явлением?
— Отрасль давно имеет лучшие практики противодействия утечкам, просто их применение должно быть осознанным и комплексным. Недостаточно просто купить какое-то наложенное средство и думать, что проблема будет решена. Противодействие утечкам — проблема больше организационная, чем техническая: процессы сбора и обработки данных должны быть автоматизированы так, чтобы никто и никак не смог получить доступ к большому массиву данных. Все нужные технологии для этого есть: управление доступом, мониторинг и блокирование транзакций в базе данных, обезличивание данных, проверка ПО и инфраструктуры на уязвимости, защита привилегированных учётных записей, контроль трафика и операций на рабочих станциях, и т. п. Все это нужно бесшовно встраивать в цифровые системы, наложить на это регламенты их использования и постоянно обучать пользователей. Нынешние цифровые системы проектировались лет десять назад, во время бума цифровой трансформации бизнеса, когда эффект от внедрения «цифры» — экономия, охват, масштабирование, ускорение транзакций — был важнее защищённости этих систем. Поэтому нынешние системы часто не готовы быть защищёнными архитектурно. Например, делали проект по защите данных в одной компании — там центральная база данных серьёзно защищена, но каналы между точками присутствия по всей стране слабые, поэтому для надёжности любой сотрудник в региональном офисе, а таких сотни, может выгрузить любые данные себе локально и работать с ними. Отменишь возможность выгрузки и переведёшь всех на онлайн доступ к центральной базе — при отсутствии связи работа офиса остановится, в такой архитектуре все средства безопасности неэффективны. Новые системы уже строятся с пониманием масштабности проблем информационной безопасности и, думаю, по мере перехода с нынешних цифровых систем на новые, проблемы с массовой утечкой данных уйдут в прошлое, хотя полностью проблема не решится, как она не решилась с пожарами и инцидентами на опасном производстве.
Полный текст интервью будет опубликован в печатной версии журнала BIS Journal №4/51 за 2023 год, который получат все участники конференции «Защита данных: сохранить всё».
Хотите поговорить об утечках информации и поспорить с Рустэмом Хайретдиновым? Приглашаем вас на конференцию «Защита данных: сохранить всё», которая пройдет 23 октября в Москве. Это первая в России конференция, посвященная всему комплексу вопросов по защите данных: хранение, контроль доступа, обнаружение, инвентаризация, структурирование, передача.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных