Дмитрий Кузеванов, UserGate: Самое сложное было показать, что кибербезопасность материальна

Работа специалиста по ИБ в компании-вендоре и компании-заказчике имеет свои особенности. Насколько сильна разница, какова специфика задач и с чем может столкнуться ИБ-специалист? Дмитрий Кузеванов — в настоящее время CISO, руководитель Центра мониторинга и реагирования (MRC) UserGate, российского разработчика ИБ-решений, ранее — CTO и CISO «Азбуки Вкуса», поделился своим опытом в интервью Cyber Media.

Cyber Media: Какова разница между работой специалиста по информационной безопасности в компании вендоре и компании заказчика?

Дмитрий Кузеванов: Разница в степени ответственности и масштабе последствий в случае ошибки. Если в компании заказчика произойдет инцидент, то какие риски? Могут украсть данные этой компании, парализовать ее работу. Риски касаются конкретно этой маленькой организации.

У специалистов, которые отвечают за информационную безопасность вендора, ответственность намного больше. Потому что вендор производит программно-аппаратные комплексы, средства защиты информации, которые потом ставятся в компаниях заказчиков — это и коммерческие предприятия, и государственные организации, и объекты КИИ. Риски гораздо масштабнее — если произойдет инцидент, то под угрозой могут оказаться все клиенты этого вендора.

Cyber Media: В одном из предыдущих интервью Вы рассказывали, что до Вашего прихода в «Азбуку Вкуса», в компании никто не отвечал за ИБ. И Вам пришлось выстраивать всю инфраструктуру с нуля. Как думаете, насколько типична такая ситуация для компаний?

Дмитрий Кузеванов: Востребованность информационной безопасности в коммерческих предприятиях за последнее время сильно выросла. Владельцы компаний и топ-менеджеры понимают, что если не уделять ИБ должного внимания, то рано или поздно произойдет инцидент. Количество инцидентов растет, как мелких, так и больших и они на слуху. Люди начинают осознавать риски, понимать, что информационная безопасность материальна и начинают этот путь с нуля. К нам приходят клиенты с просьбой провести аудит, выстроить информационную безопасность — это сейчас распространенный кейс.

Cyber Media: Есть ли какая-то разница с точки зрения требуемых компетенций и навыков, при работе в компании заказчика или в ИБ-компании?

Дмитрий Кузеванов: Нужно помнить, что в вендоре и компании-заказчике в целом различается средний уровень подготовки специалистов всей компании.

Например, на моем предыдущем месте работы уровень подготовки по ИБ-направлению среднестатистического сотрудника был достаточно низок. Я не говорю про IT-департамент — там люди, конечно, понимают, что такое IT, разработка, архитектура, ИБ и понимают риски. Но у всех остальных специалистов, которые не связаны с IT-деятельностью, этого понимания нет. И, к сожалению, таких сотрудников большинство: из 2000 человек офисного персонала, на IT-департамент приходится 200. То есть 90% не имеют профильного образования в сфере информационных технологий. И это, если не считать сотрудников магазинов. До этой части сотрудников нужно доносить ценность ИБ, показывать риски, нанимать людей, которые будут помогать продвигать эти ценности, разъяснять, обучать.

В компании вендоре не нужно объяснять, что такое информационная безопасность и зачем она нужна. Специалисты, которые разрабатывают продукт, очень хорошо знают IT и намного лучше знают ИБ, потому что делают для нее продукты, понимают сферу своей деятельности. Поэтому уровень минимальной безопасности выше, так как она строится, в том числе, и на компетенциях людей.

Cyber Media: Если говорить о Вашем опыте работе в компании не ИБ-компании, с какими отделами или департаментами безопасники легко находят общий язык, а с какими — нет?

Дмитрий Кузеванов: В компании-заказчике проще находить язык с IT-специалистами или с людьми, которые работают с этой сферой. Потому что им проще донести, что такое риски в ИБ и к чему может привести то или иное действие. И труднее находить общий язык с людьми, которые никак не связаны с IT — бухгалтерия, кадры, продавцы в магазине. Потому что для них информационные технологии в целом достаточно сложная штука, несмотря на то, что они их ежедневно используют. А ИБ – это новый уровень, до которого многие еще не дошли.

Cyber Media: А что было самое сложное во взаимодействии?

Дмитрий Кузеванов: Самое сложное было показать, что кибербезопасность материальна. Раньше, когда IT было мало и ИБ практически не существовало, была только физическая безопасность. Люди работали в физическом мире и признавали физические риски. Например, человек приходит на стройку. Какие там физические риски? Каску не наденет, ему на голову упадет что-нибудь — это будет инцидент и у этого будут последствия.

Мир меняется в сторону цифровизации, технологии пронизывают каждый аспект нашей жизни: мы связываемся друг с другом в мессенджерах, заказываем такси через приложение в телефоне, оплачиваем покупки картой. А понимание, что вместе с этими технологиями риски из физического мира переходят в цифровой, и они также существенны, пришло еще не до конца. Очень трудно донести людям, что условный хакер, воздействуя на информационную систему, может устроить аварию на промышленном предприятии, заблокировать работу больницы, перекрыть федеральную трассу.

Сложно поменять понимание людей, что ИБ важно уделять время и уже нельзя пренебрегать. Если человек идет на стройку, то надевает каску, потому что может прилететь физический кирпич и он это понимает. И нужно, чтобы он также понимал, что нельзя использовать пароль «123456» на свой рабочий аккаунт — это может привести к реальным последствиям. Поменять мировоззрение людей, для которых IT не является профильным направлением достаточно сложно.

Cyber Media: Донести ценность ИБ сложно только до рядовых сотрудников или до топ-менеджмента тоже?

Дмитрий Кузеванов: Руководители — такие же обычные люди, которым нужно доносить и показывать, что риски ИБ существуют. На моем предыдущем месте работы мне повезло, что генеральный директор до этого был IT директором, и с ним проще было договориться. Но не везде так. К счастью, сейчас все больше руководителей понимают важность ИБ и стараются обеспечить защиту заранее, а не после того, как инцидент уже произошел. Донести ценность кибербезопасности до людей помогают не только громкие истории, что кого-то зашифровали или украли базу клиентов. Но и информационное поле, в котором я и мои коллеги рассказываем, что риски в ИБ материальны. Ситуация постепенно меняется в лучшую сторону.

Cyber Media: Есть ли какая-то разница в уровне сложности работы в компании-заказчике или в ИБ-компании?

Дмитрий Кузеванов: Работа в заказчике с одной стороны проще, а с другой труднее. Работая руководителем ИБ в заказчике, я могу выбрать одно из средств защиты информации из доступных вендоров. Взять пятерку крупных вендоров, выбрать любого и внедрить у себя в компании. Работая в ИБ-компании у меня выбор средств защиты уже ограничен, какие-то решения я не могу использовать, потому что компания — прямой конкурент, или, потому что они зарубежных производителей и не подходят под определенные требования. Как минимум, выбор решений для обеспечения ИБ сильно сужается в сторону своих разработок. И это требует повышенный уровень компетенций, чтобы создавать средства защиты информации, которые можно применять.

В компании-заказчике требуются более глубокие компетенции с точки зрения работы с персоналом. 90% сотрудников не связаны с IT и им надо рассказывать об ИБ, начиная с базы и продвинутой базы. Сотрудники ИБ-компаний, как правило, уже находятся на достаточно высоком уровне, используют в своей работе продвинутые технологии, в том числе с точки зрения защиты. Нужно быть минимум на уровень выше, чем они, и уметь им помогать защищаться и их защищать.

Если смотреть с точки зрения интереса злоумышленников, то компании-вендоры в среднем лучше защищены. И атакующие вендора — это подготовленные группировки, которые могут обойти все эшелоны защиты. У них достаточно знаний и компетенций, чтобы взять вишенку на торте в виде вендора, решения которого стоят у тысяч заказчиков. С обычными компаниями чуть попроще — у них могут украсть данные или попросить выкуп за то, чтобы расшифровать информацию. Импакт меньше и атаки попроще.

Cyber Media: На кого чаще совершают атаки?

Дмитрий Кузеванов: Сложные атаки больше на ИБ-компании, более примитивные — на компании заказчика. Простые атаки на вендоров тоже совершаются, но вероятность успешного завершения таких атак сильно ниже. При этом есть и компании-заказчики, где хорошо выстроена информационная безопасность, есть команда, процессы, средства защиты информации и совершенно не факт, что сложные атаки там будут иметь успех. Но таких компаний меньшинство. А вот среди вендоров, таких компаний большинство, если не все.

Cyber Media: Если говорить о преимуществах и недостатках трудоустройства в ту или иную компанию, какие Вы могли бы выделить?

Дмитрий Кузеванов: Сложно говорить о преимуществах и недостатках, но разница в трудоустройстве есть. Сотрудники, которые устраиваются в вендора, проходят более тщательную проверку при приеме на работу с точки зрения благонадежности, репутации, чистоты перед законом и т.д. из-за более высокого уровня ответственности. Вендор отвечает перед тысячами заказчиков, если произойдет какой-то инцидент. Поэтому оценка сотрудника более детальная, чтобы не мог устроиться инсайдер или неблагонадежный сотрудник. Зато если есть опыт работы в вендоре, значит прошел тщательную проверку и на следующих местах трудоустройства это учитывают.

Если говорить о формате работы, то в компании вендоре чуть более строгие правила. Например, операции, которые опасно выполнять удаленно, сотрудники должны производить только находясь в офисе. В коммерческих компаниях-заказчиках с этим попроще. Большинство может вообще на удаленке работать, никогда в офис не приходить.

Cyber Media: В плане карьерного роста, где проще развиваться? С работы в компании вендоре или заказчике лучше начинать молодому специалисту?

Дмитрий Кузеванов: Свой переход от заказчика в вендор я рассматриваю как карьерный рост, как следующую ступеньку. Но возможны оба варианта. Не обязательно начинать работу в компании-заказчике. Например, студент может прийти в ИБ-компанию на первую линию SOCa, дойти до третьей линии, вырасти еще, а потом перейти к заказчику на должность CISO. Возможно, в компании-вендоре расти специалисту будет проще за счет окружения и коллектива — почти все сотрудники так или иначе связаны с ИБ, и у них можно многому научиться. Нет каких-то универсальных правил. Это зависит от человека, его интересов и возможностей, которые присутствуют на рынке труда.

Cyber Media: Есть ли в Вашей практике кейс, наиболее наглядно демонстрирующий разницу работы специалиста по кибербезопасности в компании-вендоре и в компании заказчике?

Дмитрий Кузеванов: Простой пример. Когда я работал в компании-заказчике мне нужно было внедрить защиту почты — проверку на вирусы, защиту от флуда и тому подобное. Я изучил рынок, пропилотировал несколько систем от разных вендоров и внедрил. Сейчас мне бы хотелось усилить существующую защиту почты в моей компании, но я не могу ничего выбрать из предложений вендоров. Мне нужно прийти к коллегам и самому ее сделать, внедрить все, что я хочу.