Андрей Зеренков, Rubytech: ИБ «поверх» ИТ как квадратная крышка на круглой кастрюле
2020 год надолго запомнится ИТ- и ИБ-специалистам: пандемия кардинально изменила устоявшиеся бизнес-процессы — от планирования и проведения совещаний до заключения сделок, согласования и подписания документов.
Сегодня многие признают, что переход на «удалёнку» не был гладким. Предоставление безопасного доступа к ИТ-инфраструктуре, удалённый контроль работы персонала, обеспечение надёжного и бесперебойного взаимодействия с сотрудниками и клиентами при полной безопасности данных и информационных систем стали ключевыми задачами технических подразделений.
Несмотря на серьёзное секвестирование и перераспределение бюджетов, а в некоторых случаях и на частичное сокращение персонала, сотрудников служб ИБ эти проблемы практически не коснулись. Кадровые и консалтинговые агентства подтверждают[1] устойчивый спрос на таких специалистов. Аналитики даже говорят о росте бюджетов в ИБ примерно в половине российских компаний — если не в абсолютных величинах, то уж в процентном отношении точно. А в планах компаний — заметное расширение штата ИБ-служб (22% компаний в мире и 18% в России планируют увеличить их численность на 5% и более).
С какими технологическими проблемами сталкивается бизнес в эпоху «всеобщей удалёнки»? Какие факторы вызывают перегрузку сотрудников служб ИБ и почему специалисты в этой сфере стали настолько востребованы на рынке труда? На эти вопросы в интервью TAdviser отвечает директор по развитию Департамента информационной безопасности Rubytech Андрей Зеренков.Как, по вашему наблюдению, поменялись приоритеты служб информационной безопасности заказчиков в связи с удалёнкой? Почему это произошло?
Андрей Зеренков: Важно отметить, что в последние месяцы нагрузка на службы ИБ заказчиков существенно возросла. Этому способствует целый ряд причин. Первая и главная — существенное расширение бизнес-взаимодействия за пределами корпоративной ИТ-инфраструктуры. Вторая — не всегда адекватное с точки зрения ИБ изменение бизнес-процессов. Третья — срочное, а потому не до конца технически продуманное и просчитанное внедрение новых интегрируемых в контур компании решений. Среди прочих, но не менее значимых факторов: вывод значительного объёма устройств пользователей из-под централизованного мониторинга и управления; подключение различных неподконтрольных устройств пользователей к корпоративной сети. Каждая из этих причин связана с возможностью появления новых для компании киберугроз, требующих анализа и тщательного выбора мер противодействия. Всё это легло дополнительным грузом на плечи сотрудников служб информационной безопасности, расширение штата которых, как правило, не было предусмотрено. Сегодня такая ситуация характерна для большинства предприятий в России.
Из-за перегрузок ИБ-службы способны решать лишь часть своих задач. Как правило, наиболее приоритетных. В то время как часть других не менее важных вопросов «подвисает» или даже не попадает в их поле зрения. Но лишь до возникновения более-менее серьёзного инцидента ИБ, непосредственно связанного с отложенными вопросами.
Как сегодня решается эта проблема? Какие продукты или услуги становятся востребованы больше других?
Андрей Зеренков: С точки зрения технологий наиболее эффективным в условиях «удалёнки» является использование VDI-решений, которые предоставляют сотрудникам среду доверенного взаимодействия и защищённого использования корпоративных ресурсов и внутренних информационных систем. Они позволяют обеспечить дополнительный уровень изоляции корпоративных данных, а также соответствие требованиям регуляторов к защите персональных данных и иной конфиденциальной информации.
Одним из таких решений является СКАЛА-Р Виртуальное Рабочее Место (ВРМ), интегрированное с отечественными средствами защиты информации. Всё, что выстроено внутри компании, будет безопасно предоставлено для работы сотрудникам на «удалёнке». TAdviser выпустил Гид по российским операционным системам
С точки зрения бизнеса сегодня нужны решения, позволяющие соответствующим образом изменить бизнес-процессы компании. Например, обеспечить подтверждённое электронное взаимодействие с удалённых устройств. Конечно, для этого можно построить систему электронного документооборота с электронным архивом в придачу, но сделать это быстро невозможно в принципе. Альтернативой в этом случае может стать внедрение VDR-решения (Virtual Data Room), позволяющего упорядочить работу с документами, выстроить контроль авторства, версионности и управления доступом. Причём даже с предоставлением доступа, ограниченного по времени и возможным действиям, к документу внешнему контрагенту. С точки зрения ИБ эти решения дополнительно можно усилить интеграцией с системами DLP и/или SIEM.
Однако начать всё равно придётся с фундаментальных основ — строгой многофакторной аутентификации каждого сотрудника с помощью MFA-решения (если это ещё не сделано, разумеется). Потребуется развернуть инфраструктуру открытых ключей (PKI) и выпустить электронные сертификаты для каждого сотрудника. Это позволит сотрудникам компании подписывать документы собственной электронной подписью и использовать шифрование. В том числе, и для электронной переписки. Наиболее уместными для интеграции будут отечественные решения на ГОСТ-криптоалгоритмах.
Следующий шаг — создание единой среды управления доступом к корпоративным ресурсам и информационным системам. Однако, сейчас это целесообразно лишь для компаний с большим количеством пользователей и множеством корпоративных сервисов и систем.
Применение технологий и инструментов MFA (многофакторной проверки подлинности) в совокупности с реализацией механизмов SSO и WebSSO позволят отказаться от многочисленных паролей к различным системам и ресурсам, что помимо улучшения безопасности существенно повысит комфорт работы сотрудников. Вплоть до отказа от использования паролей при аутентификации пользователей в пользу OTP-токенов.
Сегодня на рынке существует множество известных отечественных и зарубежных решений. Однако мы в Rubytech рекомендуем обратить внимание на разработки российской компании Avanpost[2], в арсенале которой — полный набор продуктов для управления доступом: FAM, IdM, SSO, WebSSO и PKI.
Именно на базе продуктов и решений Avanpost нами были реализованы масштабные проекты для компаний с десятками и даже сотнями тысяч пользователей.
Эти же решения позволяют выстраивать доступ к ресурсам в соответствии с принципом минимизации привилегий, что является одним из основных требований информационной безопасности при массовом доступе к корпоративным ресурсам извне.
Пользователю будут предоставлены лишь минимально необходимые для его работы с системами и документами привилегии, что заметно снизит риски реализации киберугроз.
В ситуациях, когда необходимо предоставить привилегированный доступ к корпоративным системам и ресурсам извне, следует использовать средства управления такими сеансами доступа и инструменты контроля действий привилегированных пользователей. Это особенно актуально при использовании внешних подрядчиков.
Нельзя также оставить без внимания и защищённость удалённых пользовательских устройств – необходимо обеспечить непрерывный контроль их состояния, а также предоставить сотрудникам возможность автоматизированно вносить необходимые изменения: применять доменные политики, устанавливать из карантинной зоны средства защиты или их обновления и т.п. Такой подход реализуется с помощью компонентов NAC, расширяющих возможности современных NGFW.
Какие классы решений сейчас востребованы более других — вопрос, скорее, к аналитикам. Поскольку каждый интегратор имеет свой набор предпочтительных направлений ИБ и работает с собственным пулом заказчиков, дать оценку по рынку в целом довольно сложно. Что же касается услуг, то сегодня высоким спросом среди заказчиков пользуется создание новых или модернизация уже имеющихся решений в связке ИТ+ИБ. И здесь я имею в виду весь комплекс услуг: разработку решения, его внедрение, интеграцию и дальнейшее сопровождение.
Растут ли бюджеты на ИБ в связи с массовой удалёнкой? Каковы новые статьи расходов?
Андрей Зеренков: Бюджеты в целом, ещё в первой половине года, компании начали существенно сокращать[3]. Сначала это коснулось и информационной безопасности. Однако свежие исследования говорят о том, что бюджеты на ИБ постепенно начали восстанавливаться: чаще всего это происходит за счёт внутреннего перераспределения средств. Более того, на рынке заметно увеличился спрос на специалистов в области ИБ. Очевидно, что причиной стал заметный рост объёма задач, выполняемых ИБ-службами. Пришло всеобщее осознание того, что изменения этого года не временные, на полгода или год, а, скорее всего, уже навсегда.
Новые задачи и, соответственно, новые статьи расходов обусловлены значительными изменениями в бизнес-процессах, и, как следствие, в ИТ-инфраструктуре. Сегодня всё чаще приходится наблюдать, как длительные и менее приоритетные ИБ-проекты приостанавливаются в пользу более срочных, закрывающих самые опасные риски. Заметную часть бюджета «съедает» закупка и внедрение новых решений в области информационной безопасности, а также вопросы их интеграции с уже существующими в компании системами и решениями.
Попробуйте представить себе, насколько сегодня должен быть расширен мониторинг событий и инцидентов ИБ, сколько новых правил корреляции необходимо создать в SIEM-системах, сколько процедур и процессов реагирования на инциденты ИБ необходимо модернизировать! Причём сделать все это нужно так, чтобы ИТ-инфраструктура продолжала работать бесперебойно, надёжно обеспечивая бизнес-деятельность компании.
Этот год ознаменовался появлением новых угроз?
Андрей Зеренков: Новые киберугрозы появляются постоянно. Обсуждать их разновидности сейчас смысла нет. Проблема, скорее, в другом: сегодня всё чаще возникают угрозы, которых можно было бы с лёгкостью избежать, опираясь на концепцию создания решений Secure-by-Design. Аналитики Gartner впервые начали говорить о ней ещё в конце прошлого века.
Любые изменения в ИТ-инфраструктуре и бизнес-процессах компании, включая запуск новых процедур и процессов, должны происходить при непосредственном участии ИБ-специалистов. Иначе «содержимое круглой кастрюли приходится прикрывать квадратной крышкой», а при таком подходе у вас либо останутся неприкрытые щели, либо избыточный размер крышки превысит допустимые пределы. В соответствии с принципом Secure-by-Design, все свои решения в области ИБ мы разрабатываем в тесном сотрудничестве с нашим ИТ-департаментом. Такой подход позволяет заметно экономить ресурсы и средства клиентов, ведь так называемая «наложенная безопасность» при эксплуатации обходится дороже, чем встроенная изначально.
Другой моделью безопасности, которой мы следуем, является Zero Trust («модель нулевого доверия»). Она тоже далеко не нова, однако COVID-19 лишний раз подчеркнул её значимость. Когда за пределами корпоративной сети находится множество слабоконтролируемых устройств, используя которые сотрудники, недостаточно разбирающиеся в вопросах ИБ, выходят в Интернет, а затем осуществляют доступ в локальную сеть компании, то верить, что угрозы нет — просто безумие. Поэтому мы создаём комплексные решения, учитывающие все аспекты противодействия актуальным киберугрозам на основе оценки рисков ИБ.
Как в целом изменился рынок ИБ и запросы заказчиков в связи с удалёнкой?
Андрей Зеренков: Весной всё было довольно однозначно: компании начали искать решения для работы в условиях массовой «удалёнки». Кто-то внедрял новые решения, кто-то расширял имеющиеся. Многие воспользовались специальными акциями вендоров, предлагавших бесплатные пакеты лицензий на ограниченный срок. При этом вносились изменения и в бизнес-процессы, не всегда оправданные с точки зрения ИБ.
Теперь стало понятно: не всё, что было внедрено и изменено тогда, соответствует требованиям информационной безопасности. Где-то были допущены ошибки, что-то внедрялось силами ИТ-департаментов без привлечения служб ИБ. В результате, нагрузка на подразделения ИБ существенно возросла. Нередко она превышала реальные возможности персонала. Да и действие временных бесплатных лицензий уже закончилось. Поэтому сегодня вопрос выбора решения, способного компенсировать допущенные недочёты, стал актуален как никогда.
Что было упущено в плане ИБ? Каких элементов защиты не хватает обновлённой ИТ-инфраструктуре? Как с минимальными затратами исправить внесённые некорректные изменения? Это, пожалуй, основные вопросы заказчиков, с которыми они сегодня приходят к интеграторам. И мы успешно их решаем!
Каковы ваши прогнозы на ближайшее будущее? Станет ли ситуация с COVID дополнительным катализатором всеобщей цифровизации?
Андрей Зеренков: В одном из своих последних отчётов эксперты McKinsey заявили, что пандемия стала мощным катализатором процесса цифровой трансформации для 85% компаний по всему миру[4]. И российский бизнес — не исключение. Точно также как зарубежные коллеги, сотрудники отечественных компаний массово выведены на «удалёнку», а перед службами ИТ и ИБ стоит задача обеспечить бесперебойность бизнес-процессов с опорой на защищённое цифровое взаимодействие.
Поэтому в ближайшее время заказчикам, интеграторам и производителям оборудования и ПО для защиты от киберугроз придётся решать эту проблему сообща. Главное, что сейчас все мы уже хорошо понимаем: текущая ситуация не является временной. А значит, все внедряемые решения должны быть ориентированы на длительный срок эксплуатации и быть хорошо продуманными и правильно спроектированными, чтобы не порождать новых угроз, влекущих за собой дополнительные затраты.
Бытует мнение, что на рынке ИБ стремительно растёт число отечественных игроков. Вы согласны? Как Вы считаете, чем обусловлено это явление?
Андрей Зеренков: Разумеется, это так – спрос всегда рождает предложение. Если у компаний-заказчиков обнаруживается нехватка собственных ресурсов, знаний и опыта — рынок получает новый запрос. И, естественно, отвечает на него. Сегодня на волне спроса появляются всё новые игроки. Зачастую это совсем молодые компании уровня стартапов. И здесь я бы хотел дать заказчикам совет: различайте многолетнюю успешную профессиональную деятельность проверенных игроков рынка ИБ и предложения свежеобразованных компаний. Стартапам можно доверить относительно простые задачи, с которыми они вполне успешно могут справиться. Однако за серьёзными комплексными решениями, требующими многолетнего опыта и широкого спектра знаний, следует обращаться к доверенным профессионалам.
Будучи признанными экспертами в сфере информационной безопасности, мы в Rubytech обладаем достаточным опытом разработки и внедрения высокой сложности комплексных масштабных систем для крупнейших заказчиков страны. Поэтому мы отлично понимаем, что внедрить какое-то отдельное решение и тем самым закрыть все имеющиеся у бизнеса проблемы, нереально. Чтобы удовлетворить потребности заказчика требуется учесть все аспекты бизнес-деятельности и построения ИТ-инфраструктуры, все уже имеющиеся средства и системы – как ИТ, так и ИБ. Это и есть настоящая интеграция, доступная лишь целому штату высококвалифицированных специалистов при налаженном партнёрстве с ведущими поставщиками решений. Ничего плохого не хочу сказать про новичков, но и смысла сравнивать их с лидерами рынка нет. Возможно, для решения некритичных вопросов можно обойтись уровнем хорошо подготовленных студентов, однако в большинстве случаев требуется куда более высокая квалификация исполнителя. Как бы то ни было, все мы работаем над тем, чтобы наш цифровой мир стал безопаснее и дружественнее.
Как бы вы прокомментировали ситуацию с импортозамещением в сфере ИБ?
Андрей Зеренков: Прежде всего, отмечу, что в России много хороших вендоров, продукты которых известны далеко за пределами страны. Мы в Rubytech в рамках проектов плотно взаимодействуем с R&D-подразделениями многих из них. Среди наших партнёров есть как признанные мировые лидеры, так и те, кто только поднимается в рейтингах. Все эти игроки будут продолжать активное развитие своих продуктов.
Что же касается требований к тотальному переходу исключительно на отечественные средства защиты, то здесь есть один важный нюанс. Если в бизнес-продуктах примириться с временным отсутствием функционала ещё как-то возможно, то с безопасностью всё обстоит иначе. Когда защиту от какого-либо вида угроз невозможно обеспечить полностью российскими средствами, приходится применять импортные решения. Геополитические риски пока ещё заметно уступают угрозам информационной безопасности, ведь регулярные и весьма изощрённые атаки киберпреступников куда опаснее потенциальных политических провокаций.
Исключение здесь может быть лишь одно: выполнение требований отечественных регуляторов в области ИБ. И мы эти требования беспрекословно соблюдаем, разрабатывая собственные решения в области информационной безопасности вместе с надёжными российскими партнёрами.