Денис Шефановский, МТС: Мы создали свою платформу, чтобы автоматизировать процесс безопасной разработки

Руководитель центра информационной безопасности продуктовых решений МТС Денис Шефановский на ежегодном SOC-форуме выступил с докладом на тему «Опыт построения SDLC, или как сделать AppSec увлекательным». Порталу Cyber Media Денис Шефановский рассказал о работе подразделения, занятого поддержкой производства безопасных и защищенных продуктов.

О спикере:

Денис Шефановский окончил ВА РВСН им. Петра Великого в 1998 году с красным дипломом по специальности инженер-системотехник-исследователь.

Работает в сфере кибербезопасности с 2005 года. В 2019 году пришел в МТС на позицию Директора по информационной безопасности МТС Digital – подразделения, которое работает над созданием экосистемы цифровых сервисов, мобильными приложениями, продуктами в финтехе, стриминге, гейминге, облачных технологиях, AI и других направлениях. C 2020 года Денис Шефановский перешел на должность Руководителя центра информационной безопасности продуктовых решений МТС. В настоящее время руководит центром информационной безопасности платформ кибербезопасности МТС.

Денис Шефановский – автор ряда патентов и международных стандартов, участник Технического комитета по стандартизации «Криптографическая защита информации» (ТК26) и GSMA’s Fraud and Security Group (GSMA FASG).

Cyber Media: Над какими ИБ-решениями сейчас работает вертикаль кибербезопасности МТС?

Денис Шефановский: Направление кибербезопасности недавно выделилось в отдельную структуру в рамках группы компаний МТС. Новая компания будет выступать в качестве разработчика средств защиты информации и поставщика сервисов кибербезопасности. Я пока не могу раскрыть целевой перечень продуктов и сервисов, которые мы будем предлагать. Могу только сказать, что мы стремимся к экосистемному подходу. При этом подразделения МТС будут выступать как канал продаж решений по кибербезопасности.

Cyber Media: Коснулся ли МТС отток специалистов и удается ли его компенсировать?

Денис Шефановский: Направление кибербеза в МТС новое, у нас пока небольшая команда, и с оттоком специалистов мы не сталкивались.

В МТС большое количество разработчиков и бизнес-вертикалей, более 350 продуктов. Очевидно, что для проверки такого объема кода нужен мощный инструмент автоматизации. Из этой внутренней потребности появилась наша платформа ASOC, о которой я рассказывал на SOC-Форуме. Теперь это рутинный инструмент доступный командам МТС.

Ежедневно платформа проводит более 300 тестов, средний процент устранения уязвимостей вырос с 24% до 70% за 30 дней. С момента запуска платформы было проверено больше 670 млн. строк кода, устранено 14 млн. уязвимостей. Это очень удобный инструмент, без которого процесс безопасной разработки был бы медленным и трудоемким.

Cyber Media: Конкуренты идут по другому пути. Мало кто работает над созданием собственной платформы.

Денис Шефановский: Разработка платформ кибербезопасности – это общий тренд. Приведу пример. Если нужно разрабатывать безопасный код в компании с парой десятков разработчиков, она может купить анализатор кода и проводить анализ в полуавтоматическом режиме. Но если разработчиков несколько тысяч, а продуктов – несколько сотен, как у нас, то команда AppSec вынуждена задумываться о создании такой платформы, чтобы максимально автоматизировать процесс.

В этом случае нужно ориентироваться на принцип Парето: 20% усилий дают 80% результата. Автоматизация проверки безопасности исходного кода, построение SBOM, проверка безопасности компонентов и лицензий в одном автоматизированном процессе как раз и дает возможность с одной стороны контроля защищенности, а с другой – быстрого вывода релизов на рынок. Несомненно, будет возникать технический долг по безопасности у команд, но им можно будет управлять в рамках бэклога.

Cyber Media: А что делать с оставшимися 20% необнаруженных уязвимостей продуктов?

Денис Шефановский: Есть разные подходы. Первый - принять как риск. Второй — запустить программу bug bounty. Её можно использовать, но я бы сказал, что она применима для массовых продуктов или крупных web-ресурсов. Кроме того, в 70% случаев выявляемые уязвимости – это ошибки в бизнес-логике приложений, которые находятся в зоне ответственности антифрода. Третий путь – проводить стандартное сканирование на уязвимости продуктивных систем.

Cyber Media: Как оцениваете текущую ситуацию в отрасли кибербезопасности?

Денис Шефановский: Как и многие другие, мы болезненно переживали уход западных игроков с рынка. МТС – это огромная инфраструктура, и необходимость в ее моментальной перестройке была сложнейшей задачей, с которой компания, к счастью, успешно справилась.

У многих компаний возникли сложности с разработкой из-за ухода большого количества профильных сервисов и продуктов. В некоторых случаях доступы российских разработчиков блокировались без предупреждений. Многие из тех, кто пользовались иностранными облаками и переносили туда часть своего производства, потеряли к ним доступ.

Появились политизированные атаки с применением НДВ в опенсорсном и коммерческом ПО, стали недоступными обновления безопасности в западных продуктах. В этих условиях организация безопасной разработки, реализация принципа security by design – это подходы, которые приобретают все большее значение.