В преддверии конференции «Защита данных: сохранить всё» на вопросы BIS Journal отвечает один из её организаторов Рустэм Хайретдинов.
КРИЗИС НЕДОПРОИЗВОДСТВА
— Рустэм Нилович, вы известный эксперт в области информационных технологий и кибербезопасности. С начала 2023 года вы стали заместителем генерального директора «Гарда Технологии», где отвечаете за реализацию стратегии роста бизнеса компании, а до этого работали в крупных отечественных и западных компаниях, добились там заметных успехов. Что вам больше помогает в работе: опыт, творчество или принципиально новые стратегии и подходы?
— Начнём с того, что если я в чём-то и эксперт, то скорее в выводе технологических компаний на корпоративный рынок, но никак не в кибербезопасности. Я никогда не делал руками ничего, связанного с кибербезопасностью, — не отражал атаки, не искал уязвимости, не анализировал код, не изучал логи и т. п., а последнюю компьютерную программу написал в 1990 году. Поэтому, когда меня спрашивают о технике, я обычно отвечаю, что экспертного мнения на этот счёт не имею. Что, в общем-то, не особо мешает принимать решения о запуске и позиционировании продуктов и довольно успешно их продавать.
До прихода в «Лабораторию Касперского» в 2001 году я активно занимался ИТ, работал в российском вендоре и нескольких интеграторах, у меня был свой бизнес, проданный потом АФК-системе, так что в ИБ я попал сразу на директорскую позицию.
— Значит, опыт?
— Не совсем. Я считаю, что при выводе продукта или компании на рынок прошлый успех нельзя повторить, ведь новые задачи возникают в конкретный момент в уникальной ситуации: экономическая ситуация, зрелость заказчиков, конкурентное окружение, рост или стагнация конкретного рынка, бренд компании или её акционеров — всё это определяет стратегию и тактику вывода продукта или компании.
Сегодня ситуация в стране вообще и в ИТ в частности вообще недоизученная экономистами. У нас в стране сейчас кризис избыточного спроса, в то время как все известные кризисы последних столетий — кризисы недостаточного спроса, говоря словами учебников, кризисы перепроизводства. Рецепты успеха на таком рынке негде подсмотреть и не у кого скопировать, все российские игроки идут на ощупь. Так что сегодня все маркетологи, продуктологи и продавцы находятся в уникальной ситуации, во многом импровизируя.
МЫ БЫСТРО ДОГОНЯЕМ
— В линейке продуктов «Гарда Технологии» есть несколько решений по защите корпоративных баз данных и неструктурированных данных в сети заказчика. Отметили ли вы увеличение спроса на такие продукты в связи с ростом числа утечек данных в России и по всему миру?
— Спрос последний год рос в основном на фоне ухода иностранных конкурентов. То есть те, кто пользовался иностранными решениями, замещают их на отечественные. Ёмкость этого рынка — миллиардов десять рублей, но быстро забрать их все не получится. Клиенты привыкли к определённому набору функций, а наши продукты, как и большинство российских разработок, не уступают иностранным решениям в базовых функциях, но пока проигрывают в удобстве, управляемости и интеграции с другими решениями. Мы их быстро догоняем, но за один год все желания заказчиков исполнить не удастся.
Рынок же первичных покупок пока только формируется, компании должны достигнуть определённой зрелости своей системы ИБ, закрыть первоочередные дыры на периметре и только потом сосредоточиться на том, как используются данные внутри баз данных и приложений. Прошлый год у крупных клиентов ушёл на работу над ошибками, совершёнными в защите периметра заказчиков, поэтому хорошо продавались наши решения по защите от DDoS и сетевой безопасности, а первые покупатели защиты баз данных, у которых никогда не было решений такого класса, уже составляют значимую долю в продажах.
ПРО КОНФЕРЕНЦИЮ
— 23 октября в Москве пройдёт конференция «Защита данных: сохранить всё», где впервые планируется обсудить вопросы только защиты данных. Кто стал идейным вдохновителем мероприятия?
— Это коллегиальное решение, можно сказать, идея витала в воздухе. В России много хороших конференций по информационной безопасности, но все они посвящены защите инфраструктуры, потому что их организаторы и спонсоры — наши уважаемые братья по оружию и одновременно конкуренты — специализируются на этом сегменте рынка. Тема защиты данных на этих конференциях проходит на круглых столах и мастер-классах, но как бы на периферии, на полях этих конференций и представлена небольшими DLP- или DCAP-вендорами. Соответственно, эти не очень массовые секции на полях инфраструктурных конференций, как и отдельные конференции DLP-вендоров, посвящены продвижению конкретных продуктов, что не раскрывает всей широты задачи и вариантов её решений. Поэтому, когда мы пришли с идеей такой конференции к регуляторам и игрокам рынка, все её поддержали, никто не сказал «и так полно конференций, зачем нам ещё одна».
ДАННЫЕ И ОТРАСЛЕВАЯ СПЕЦИФИКА
— Как вы, эксперт в области ИБ, оцениваете ситуацию на рынке защиты данных? Есть ли у вас какие-то предложения и готовые решения, которые вы готовы предложить участникам для обсуждения?
— Данные, в отличие от инфраструктуры, защищать сложнее, защита данных носит контекстный характер в зависимости от индустрии. В банке и в розничной сети инфраструктура может быть похожей, поэтому без особых изменений можно продавать антивирус, анти-DDoS или сканер уязвимостей в обе отрасли. А вот с защитой данных в каждой отрасли есть специфика — разные бизнес-процессы, разные приложения, разные типы данных, разное отраслевое регулирование их использования и т. п. Поэтому систему, успешно защищающую, скажем, данные в банке, просто так перенести на сеть розничной торговли вряд ли удастся. Очевидно, что компании, успешно защищающие цифровые инфраструктуры, не спешат заниматься защитой данных, это удел нишевых компаний, экспертиза сосредоточена именно в них.
ДЛЯ КОГО?
— Как вы полагаете, кого больше должна заинтересовать конференция — представителей ИТ и ИБ или операторов данных из разных отраслей экономики, представителей ФОИВ и юристов?
— Мы формируем программу конференции таким образом, чтобы участие в ней было интересным для всех упомянутых категорий участников. Защита данных — задача комплексная, она задействует многие подразделения компаний:
БЕЗОПАСНАЯ РАЗРАБОТКА — ЭТО БИЗНЕС-РЕШЕНИЕ
— Многие утечки после марта 2022 года связаны с попытками ретейлеров создать новые приложения взамен иностранных. И первое, что происходит после попытки перехода на новое решение, — массовая утечка данных клиентов компаний. Примеров масса. В связи с этим возникает вопрос, как внедрить подход Secure-by-Design в разработку ПО, связанного со сбором, обработкой и хранением персональных данных любого объёма?
— Ретейлерам можно только посочувствовать: до февраля прошлого года почти все они в своих программах лояльности пользовались облачным сервисом польского разработчика и потеряли в одночасье доступ и к функциям, и к данным. Чтобы сохранить в действии программы лояльности, все спешно занялись собственной разработкой, и приоритет тут, очевидно, отдавался скорости разработки, а не безопасности. Результаты этого мы сейчас, к сожалению, и пожинаем.
Если же говорить о безопасной разработке, то это сегодня одна из самых горячих тем, спрос на неё гораздо выше, чем могут предложить игроки российского ИТ-рынка. Собственной разработкой сегодня занимаются практически все крупные не ИТ-компании, в них работают сотни тысяч программистов, разрабатывающих десятки тысяч приложений. Поэтому не хватает не только инструментов, но и специалистов, умеющих обслуживать эти инструменты и организовывать процессы.
Безопасная разработка довольно затратное занятие, сами разработчики жалуются, что она в полтора раза замедляет разработку, то есть продукт позже выходит на рынок и на 30% увеличивает стоимость разработки за счёт дополнительных специалистов, инструментов анализа приложения, тестов и инфраструктуры под это. То есть делать разработку безопасной или нет — это бизнес-решение, которое должны принимать руководители компаний, а не разработчики или безопасники.
КНУТ УДАРИТ ПО ГОРДОСТИ СТРАНЫ
— Как вы полагаете, нужны ли для реализации таких подходов законодательные нормы или требования регуляторов? Может ли отрасль ИТ саморегулироваться или в любом случае необходим кнут?
— Область ИТ в России с самого начала саморегулировалась, потому что государству просто не было до неё дела. Так что традиции саморегулирования у нас очень сильны. Сейчас маятник качнулся в другую сторону: государство вдруг активно стало участвовать в ИТ-индустрии как многочисленными льготами и другими формами поддержки, так и запретами и штрафами, даже уголовным преследованием провинившихся. Совсем без кнута, то есть ответа на вопрос «а что нам будет, если мы не подчинимся требованиям», обойтись не удастся, но налегать на это с рыночной точки зрения неправильно. Это просто остановит цифровизацию и отразится на удобстве цифровых сервисов, как коммерческих, так и государственных, а сегодня такие сервисы — гордость страны, мы одни из лидеров цифровизации в мире.
— Необходимо ли, по вашему мнению, ввести некие этические нормы и правила информирования об утечках данных не только регуляторов, но и клиентов?
— Лучший регулятор этики — конкуренция. В таких высококонкурентных отраслях, как банки, телеком, розничная онлайн- и офлайн-торговля, клиент быстро голосует ногами. Я сам как пользователь очень чувствителен к отношению сервиса ко мне и быстро нахожу альтернативу.
В мало- и неконкурентных отраслях с этим сложнее: нам некуда уйти от государственных сервисов и от монополистов типа железнодорожных перевозок, энергокомпании и агрегатора такси. Их надо, на мой взгляд, в соглашениях с пользователями заставлять брать на себя обязательство в случае утечки информации отрабатывать заранее определённый процесс информирования клиентов по заранее определённым каналам.
ЕСТЬ ОПЫТ ДРУГИХ ОТРАСЛЕЙ
— Массовых утечек данных из-за незакрытых уязвимостей в инструментах и сервисах можно избежать, если вовремя закрыть уязвимости и обновить ПО. Как бороться с нерадивостью ИТ-и ИБ-служб на местах, в конкретных организациях?
— Нерадивость — слово, которого не должно быть там, где автоматизируются важные процессы. Чёткие, не допускающие неоднозначных толкований требования, постоянный контроль за их исполнением, чувствительные санкции за неисполнение — человечество придумало, как избегать «нерадивости» за сотни лет до изобретения ИТ. Противопожарная безопасность, требования к охране труда на производстве, обращение с опасными материалами, медицинские регламенты — люди руководствуются этой методикой много лет. Это не помогает полностью избегать инцидентов даже в таких регулируемых областях, как атомная энергетика, но делает их существенно более редкими, а ущерб от них — минимально возможным.
Надо понимать, что такие меры сделают цифровизацию медленнее и дороже, но таково требование времени. Раньше автомобили тоже продавались без встроенных средств безопасности и потому были дешевле, но количество погибших в авариях взывало к увеличению расходов на безопасность, и сегодня купить автомобиль без подушки безопасности, антиблокировочной системы, специальных стёкол невозможно.
СИТУАЦИЯ ИЗМЕНИЛАСЬ
— Утечки — это не только уязвимости в ПО или хакерские атаки, но и человеческий фактор. Есть ли у вас предложения, как быть с этим явлением?
— Отрасль давно имеет лучшие практики противодействия утечкам, просто их применение должно быть осознанным и комплексным. Недостаточно просто купить какое-то наложенное средство и думать, что проблема будет решена. Противодействие утечкам — проблема больше организационная, чем техническая: процессы сбора и обработки данных должны быть автоматизированы так, чтобы никто и никак не смог получить доступ к большому массиву данных. Все нужные технологии для этого есть: управление доступом, мониторинг и блокирование транзакций в базе данных, обезличивание данных, проверка ПО и инфраструктуры на уязвимости, защита привилегированных учётных записей, контроль трафика и операций на рабочих станциях и т. п. Их нужно бесшовно встроить в цифровые системы, наложить на это регламенты их использования и постоянно обучать пользователей.
Нынешние цифровые системы проектировались лет десять назад, во время бума цифровой трансформации бизнеса, когда эффект от внедрения «цифры» — экономия, охват, масштабирование, ускорение транзакций — был важнее защищённости этих систем. Поэтому действующие системы часто не готовы быть защищёнными архитектурно.
Новые системы строятся уже с пониманием масштабности проблем информационной безопасности, и, думаю, по мере перехода с нынешних цифровых систем на новые проблемы с массовой утечкой данных уйдут в прошлое, хотя полностью проблема не решится, как она не решилась с пожарами и инцидентами на опасном производстве.
И КРИПТОГРАФИЯ, И АРХИТЕКТУРА
— Специалисты всё больше говорят о внедрении в ПО отечественной криптографии. Для этого создана АНО «Национальный технологический центр цифровой криптографии». Поможет ли массовое внедрение криптографических методов предотвращать массовые утечки?
— Шифрование — одно из самых старых и эффективных средств безопасности, но оно решает только часть проблем — с хранением и передачей данных. Для обработки данные должны быть расшифрованы, поэтому дело не столько в самом шифровании, сколько в такой организации процесса обработки, при которой пользователь получает только те данные, которые ему нужны в конкретный момент, да и то максимально обезличенные. Администратор вообще не имеет доступа к расшифрованному содержимому СУБД, аналитик получает не сырые данные, а подготовленные и обезличенные. Разработчики для тестирования ПО получают данные «испорченными», замаскированными, поскольку им нужны данные конкретного типа структуры, а не сами данные. Это дело вовсе не криптографов, а архитекторов цифровых систем.
ОБ ОБОРОТНЫХ ШТРАФАХ
— Закон об оборотных штрафах. Нужен или нет и с какими нормами? Не получится ли, что отрасль ИБ предлагает один вариант законопроекта, а на выходе депутаты примут абсолютно другой документ, идущий вразрез с первоначальными идеями, как это уже не раз случалось?
— Оборотные штрафы — одна из самых обсуждаемых сегодня мер регуляторов. У меня к ней противоречивое отношение. С одной стороны, требования, не подтверждённые карательными мерами за невыполнение, выполняться не будут, а нынешние штрафы в 50 тысяч рублей за утечку миллионов записей не мотивируют заниматься их защитой. С другой стороны, в экономике с большой долей государства штрафы на госпредприятия — это просто перекладывание денег из кармана в карман. Ну хорошо, оштрафуют энергетическую, скажем, компанию за утечку данных из биллинга. Денег на штраф у неё нет. Если она заплатит из текущих операций, у неё не будет денег на поддержку непрерывности подачи энергии, и государство деньги ей обязательно выделит — либо через повышение тарифов, либо просто из госбюджета. Получается, что штраф заплатим мы с вами.
А полностью частная компания после начисления такого оборотного штрафа подаст на банкротство. Пострадают и клиенты, и сотрудники — мы точно хотим этого?
На мой взгляд, персональная ответственность гораздо эффективнее. Начислить ответственному за утечку руководителю персональный штраф в несколько годовых окладов с принудительным отчислением половины в доход пострадавших от утечки — действенная мера. Или запретить человеку занимать должности, связанные с проектированием или обслуживанием цифровых систем, как это происходит, например, с аннулированием медицинских лицензий. Но при таком подходе должен быть обязательно прозрачный механизм независимых расследований инцидентов, чтобы можно было выяснить и доказать в суде халатность сотрудника, ответственного за утечку.
Хотите поговорить об утечках информации? Приглашаем вас на конференцию «Защита данных: сохранить всё», которая пройдет 23 октября в Москве. Это первая в России конференция с фокусом на защите данных на всём их жизненном цикле: хранение, контроль доступа, обнаружение, инвентаризация, структурирование, передача. Организаторы — ГК «Гарда», Медиа Группа «Авангард» при поддержке ФСТЭК России.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных