Артём Калашников, независимый эксперт: Без культуры кибербезопасности все технологические решения малоэффективны, потому что человек — самое слабое звено

Работа службы ИБ в группах компаний имеет свою специфику — нужно не только выстроить единую архитектуру системы безопасности, но и поддерживать ее на высоком уровне. С какими сложностями приходится сталкиваться специалистам ИБ и как они их решают, в рамках форума АнтиФрод Россия 2023, рассказал Артём Калашников, независимый эксперт.

Cyber Media: Какие сложности в обеспечении информационной безопасности можно назвать специфичными для групп компаний или экосистем?

Артём Калашников: Во-первых, нам нужно определить, что такое экосистемы, потому что закрепленного понятия нет. В данном ключе корректнее говорить о группах компаний, которые по какому-то принципу объединены в единое целое. В таком случае, сложности касаются нескольких моментов: 

1. Компании имеют различный ландшафт как IT, так и в сфере информационной безопасности, если она вообще присутствует..
2. Ведут совершенно разную деятельность и, как следствие, имеют разные функциональные и хозяйственные задачи.
3. У компаний разные возможности по кадровым, финансовым и техническим ресурсам.

Основную сложность создает, конечно, различие ландшафтов, IT-решений. Например, кто-то может уже давно работать в облаке, а другие до сих пор на собственной IT-инфраструктуре в плоской реализации. Архитектуры совершенно разнородные и это создает определенные сложности — невозможность синхронизации и выбора средств, которые могли бы централизованно проводить хотя бы мониторинг.

Cyber Media: Как в таком случае обеспечивается информационная безопасность?

Артём Калашников: Сейчас можно наблюдать тенденцию к унифицированию ландшафтов. Все мы идем к пути централизации в IT-сфере — это перевод всех на облачные решения, потому что они находятся, скажем так, в едином макроклимате IT. Выстроить информационную безопасность становится намного проще — встроенные в облачное решение средства закрывают часть задач, и плюс можно использовать некоторые наложенные средства защиты. 

Но всегда остаётся вопрос конечных пользователей. Именно они представляют одну из основных сложностей для компаний по комплексному обеспечению информационной безопасности.

Cyber Media: В чем именно заключается сложность? 

Артём Калашников: Здесь две составляющие: обеспечить безопасность на конечных устройствах, используя технические или технологические средства, и привить конечному пользователю хорошую привычку об обязательном соблюдении кибергигиены и установленными компанией правил по обеспечению информационной безопасности.

Второй аспект касается не только работы человеко-машинного взаимодействия, но и информации, которую можно передать мобильными устройствами, в устной речи и другими способами. Это тоже информационная безопасность. 

Cyber Media: Можете ли вы привести примеры рисков, связанные с конечными пользователями и рассказать, как их снизить? 

Артём Калашников: Если пользователь работает удаленно и подключается к ресурсу, он может использовать параллельно сессию соединения с внешним миром и оттуда прихватить какой-нибудь вирус, зловред на своё устройство, которое в перспективе уже от его имени будет подключаться к системе компании. Поэтому разделяют контуры работы с системой и внешнего мира. Есть много решений, которые позволяют пользователю работать и с внешним миром, и системой организации, но при этом они разделены настолько, что невозможно информацию копировать. Все файлы контролируются на стороне компании, поскольку пользователь в этот момент работает не со своим компьютером, а с сервером системы. На компьютере пользователя хранятся только временные файлы, которые невозможно перенести в другой контур.

Вторая угроза — это намеренный слив данных со стороны пользователя, например, когда ему угрожают злоумышленники. С этим мы бороться практически не можем, но в наших силах минимизировать риск. Наша задача в таком случае сделать так, чтобы пользователь не смог технологически осуществить слив, или так, чтобы затраты злоумышленников были несоизмеримо большими по отношению к потенциальной выгоде. Хотя этот принцип применим и в том и другом случае.

Cyber Media: Если говорить об общем уровне информационной безопасности в крупных компаниях, насколько он, на ваш взгляд, неоднороден? Зависит ли это от размера группы компаний? 

Артём Калашников: На первом этапе, когда мы снимаем статистику с группы компаний, чтобы понять в каком состоянии находится информационная безопасность, уровень совсем неоднородный. В ГК, как правило, компании разного масштаба деятельности, разного ресурсного наполнения, от этого однородности там в принципе нет. 

Однородность ландшафта не зависит напрямую от размера компании. Например, если в ГК 20 компаний и все из разных сфер разного размера, у них все может быть разнородно. Если в группу входит 150 компаний, то выше вероятность того, что разнообразие сфер деятельности больше. И при этом разнородность может быть как намного больше, так и в принципе такой, как в маленькой группе. Вопрос зависит от отраслей компании и масштаба их деятельности. Но в сумме, конечно, если ГК большая, то там, естественно, намного здоровее ландшафт.

Cyber Media: Если в группе компаний уровень ИБ сильно неоднороден, то может ли менее защищенная компания стать слабым звеном и дать доступ к остальным компаниям? Как это предотвратить?

Артём Калашников: Из теории надежности есть золотое правило — надежность системы оценивается по самому низкому показателю надежности какого-либо компонента. Если в группе компаний есть одна, у которой нулевой уровень, то, соответственно, вся ГК имеет нулевой уровень, потому что они между собой взаимодействуют в информационном обмене. При таком режиме получается, что если компанию с нулевым уровнем безопасности вскрывают, то получают доступ ко всем остальным компаниям.

Чтобы обезопасить себя от этого риска нужно или повышать уровень безопасности компании, или использовать принцип нулевого доверия — каждый раз при любом соединении информационного обмена проходить полный полный цикл авторизации и идентификации.

Такой же принцип используется и с поставщиками услуг. Есть схема атаки на цепочку поставок ПО (Software Supply Chain Attacks), когда вскрывают подрядчика. Далее от подрядчика, вскрывают какую-то компанию группы, группа вскрывает головную организацию. Чтобы через подрядчиков не могли добраться до головной организации, применяют принцип нулевого доверия.

Cyber Media: Можете ли вы привести примеры, когда взламывали компании именно таким способом?

Артём Калашников: У нас есть масса известных случаев в мире. В Бразилии через разработчика ПО одного из крупных холдингов произошла такая история — вскрыли разработчика ПО, зашли через его инфраструктуру в одну из компаний холдинга, и через нее попали в головную организацию, и там уже начали свои целевые действия.

Такие же истории были у нас в стране, например, GitHub. Причем случилась утечка не информации GitHub, а тех, кто у них обслуживался и хранил файлы.

Цепочка может выглядеть следующим образом, если какой-то разработчик ПО попал под атаку, у него могут ничего не украсть, а просто в его программный код, который он на рынок предоставляет, могут встроить какие-нибудь бэкдоры. И это ПО расходится потом по его заказчикам. Соответственно, потенциально все пользователи этого ПО рискуют быть взломанными.

Cyber Media: В случае взаимодействия компании с внешним контрагентом заказчик может выдвинуть требования к уровню информационной безопасности потенциального исполнителя а как быть, если взаимодействие происходит внутри группы компаний? 

Артём Калашников: Здесь два варианта. Если головная компания не занимается общей информационной безопасностью группы, то вся группа, которая с этим поставщиком работает, может к нему предъявить требования. Если группа компаний занимается своей безопасностью, то они помимо требований будут стараться поднять уровень информационной безопасности этого поставщика до приемлемого уровня.

Cyber Media: С технической стороной понятно, а как проходит подготовка по информационной безопасности сотрудников в группе компаний? Есть ли какие-то общие стандарты?

Артём Калашников: Сейчас очень крупные холдинги и ГК разрабатывают для своих компаний, входящих в группу, стандарты и требования по информационной безопасности. И они связаны с тем, как государство регулирует информационную безопасность в стране. Головная компания выставляет требования, все компании проходят обязательный аудит, получают рекомендации, затем планируется и тратится бюджет на обеспечение информационной безопасности. То же самое делается и в группах.

Соответственно, помимо требований, есть рекомендации, в некоторых случаях и помощь со стороны головной компании в обеспечении необходимыми ресурсами всей группы для обеспечения ИБ. А также популяризация культуры информационной безопасности среди сотрудников и первых лиц. Есть практика внедрения kpi для первых лиц компании группы по обеспечению информационной безопасности.

Cyber Media: Есть ли у групп компаний сложности с «зоопарком устройств» и как они решаются? 

Артём Калашников: У некоторых компаний из-за их масштаба деятельности не хватает ресурсов на обеспечение ИБ. И зачастую имеющиеся средства безопасности не в полной мере покрывают все риски или неправильно настроены, потому что нет квалифицированного кадрового ресурса. 

Компании покупают средства исходя из своих возможностей. Например, есть решение от отечественных вендоров за 30 миллионов рублей. Небольшая компания, такое себе позволить не может. Поэтому она ставит более дешевое средство, которое может быть основано на опенсорсе и работать локально. Чтобы централизованно обеспечить безопасность группы компаний, приходится такие локальные установки как-то объединять, а некоторые просто не объединяются, они не могут друг с другом работать.

Такой ландшафт нужно выравнивать. Не обязательно ограничивать компанию работать только на одном виде, пусть их будет несколько, но по крайней мере они должны между собой как-то взаимодействовать технически и технологически. Тогда можно выстроить общую систему безопасности.

Есть группы компаний, где головная организация даже предоставляет возможность покупать необходимые средства с большой скидкой и в некоторых случаях предоставляет бесплатно централизованные сервисы по обеспечению информационной безопасности.

Cyber Media: С уходом иностранного ПО с российского рынка возникли новые сложности? Их как-то уже решили или они еще решаются? 

Артём Калашников: У нас многие специалисты были обучены именно на работу с продуктами западных вендоров. Когда те резко ушли, то не оказалось компетенций нужных для быстрого перехода на отечественные продукты.

Самым сложным вопросом импортозамещения для небольших компаний стала стоимость российского ПО. Западные вендоры достаточно широко были представлены у нас. поэтому могли держать небольшую стоимость своих продуктов. Соответственно, компаний, которые могли позволить себе западные ПО было намного больше, чем тех, кто мог приобрести дорогостоящее российское ПО. Поэтому компании, которые не могут себе позволить российские решения вынуждены искать другие продукты, что существенно повышает риски. 

С другой стороны для очень больших компаний отечественное ПО функционально и вычислительно еще не дотягивает до западного. Российские вендоры стараются придумывать новые версии продуктов, которые смогут уложиться в возможности всего рынка для больших компаний для небольших компаний.

Cyber Media: Если говорить о лучших практиках при построении информационной безопасности компании какие рекомендации вы можете дать?

Артём Калашников: Здесь могу дать несколько рекомендаций:

1. Определить целеполагание. Для чего это нужно?
2. Определить общие требования, которым должна следовать следовать группа компаний.
3. Не забыть посчитать экономический эффект.
4. Правильно спроектировать, выстроить архитектуру сервисов информационной безопасности для группы компаний
5. Обеспечить инструментами контроля за выполнением требований обязательно. Потому что если есть требования, но нет, контроля, то эта мера не работает.

Я бы добавил, что нужно обязательно работать с кадровым составом в части обучения, повышения квалификации и внедрения культуры кибербезопасности обязательно на местах. Встраивать культуру кибербезопасности в общую корпоративную культуру. Я думаю, что без этого все эти технологические решения будут мало малоэффективны, потому что человек — самое слабое звено в этой истории.

Поскольку человек это существо, которое подвержено эмоциям и психологическим воздействиям, поэтому это очень важный момент, который нельзя упускать.