Дмитрий Кузеванов, «Азбука вкуса»: Кибербезопасность должна присутствовать везде, наравне с мерами физической и экономической безопасности

Дмитрий Кузеванов, технический директор «Азбука вкуса» рассказал порталу Cyber Media о том, зачем не ИТ-ориентированным компаниям развивать культуру информационной безопасности, какое место среди инструментов защиты занимает программа Bug Bounty и какие преимущества компания может получить от платформы. Беседа прошла в рамках мероприятия Standoff 10.

Cyber Media: Список участников программ Bug Bounty в России, в основном, состоит из ИТ-ориентированных компаний: социальных сетей, поисковых систем и других сервисов. Насколько нужно для не ИТ-ориентированной компании участвовать в Bug Bounty?

Дмитрий Кузеванов: Я не перестаю из года в год повторять, что информационная безопасность – это прерогатива не только финтеха или IT-компаний. Кибербезопасность должна присутствовать везде, наравне с мерами физической или экономической безопасности.

Например, когда вы идете на стройку – вы надеваете каску, потому что хорошо представляете последствия падения кирпича. Сейчас любой бизнес, да и повседневная жизнь, погружены в цифровое пространство: смартфоны, компьютеры, разного рода IoT-устройства, от кассового аппарата до датчиков. Каждое устройство выполняет ту или иную необходимую нам функцию и может содержать в себе конфиденциальную информацию. Неправомерный доступ к ним, например — может привести к нарушению работы магазина, аптеки, завода или раскрытию коммерческой тайны.

Задача информационной безопасности – это нивелирование рисков. В первую очередь – рисков остановки бизнес-процессов. Например, если в инфраструктуру «Азбуки вкуса» или любой другой компании, попадет шифровальщик и зашифрует все оборудование в офисе или кассовые аппараты, то, скорее всего, бизнес остановится, либо временно потеряет в эффективности. Это критично скажется и на стабильности, и на функционировании, и на дальнейшее работе компании.

Вторая большая группа – это репутационные риски. «Азбука Вкуса» – это сильный бренд, которому доверяют не только при выборе товаров или сервиса, но и личные данные при оформлении заказов. Мы должны их защищать не только потому что этого требует государство, но и потому что наши клиенты ждут этого от нас. Тем более, что в этом давление на российские компании в киберпространстве только возросло, и прецеденты были, в том числе, и в нашей отрасли.

Поэтому участие в Bug Bounty – это один из логичных шагов, в рамках комплексного подхода, для обеспечения информационной безопасности компании. Независимо от того, чем именно она занимается.

Cyber Media: Какие преимущества участие в Bug Bounty несет для компании?

Дмитрий Кузеванов: Главное преимущество – это, конечно, возможность максимально быстро и с минимальным ущербом найти уязвимости, которые не были выявлены на предыдущих этапах.

Своим выходом на Bug Bounty компания показывает, что в ней развита культура кибербезопасности, что она занимается вопросами безопасности комплексно, а не точечно.

Bug Bounty – это еще и маркер зрелости компании с точки зрения информационной безопасности. Здесь важна комплексность подхода: на мой взгляд, в Bug Bounty правильно входить, когда в компании уже существуют зрелые процессы кибербезопасности, взаимодействия IT и бизнеса, внедрен цикл безопасной разработки программного обеспечения. Без выстроенного взаимодействия и функционирующего отдела информационной безопасности компании нет смысла выходить на платформу Bug Bounty, это будет контрпродуктивно.

Cyber Media: Если говорить о первом опыте взаимодействий с платформой Bug Bounty, какие преимущества она дает?

Дмитрий Кузеванов: Если сравнивать с самостоятельным ведением программы Bug Bounty, то плюсов масса. Например, платформа снимает с компании всю рутину по документальному учету и оформлению выплат, другим аспектам взаимодействия с хакерами.

Важный плюс в том, что привлечением багхантеров также занимается платформа. Для централизованной площадки это проще, чем для отдельных программ, о чем говорит и большое количество участников с десятками сервисов.

И третий аспект – это урегулирование спорных моментов, которые неизбежно возникают между компанией и багхантерами. Платформа выступает арбитром, который может объективно оценить ситуацию и предложить решение, которое защищает как интересы багхантеров, так и интересы владельца программы, то есть компании.

Cyber Media: Насколько сложно обосновать необходимость участия и расходы на Bug Bounty?

Дмитрий Кузеванов: Если мы говорим о том, что называется «бюджет на информационную безопасность», то Bug Bounty – это не отдельная статья расходов, она входит в общий бюджет.

Bug Bounty – это один из этапов и элементов комплексного подхода к безопасности. Это инструмент, который закрывает те или иные риски и, совместно с другими инструментами, позволяет бизнесу спокойно функционировать.

Будет не совсем правильно разговаривать о бюджете отдельно на Bug Bounty, он должен быть цельным, и Bug Bounty – это только один из его элементов.

Cyber Media: Если говорить о правовом регулировании в сфере багхантинга, что, на Ваш взгляд, могло бы сделать государство в этом направлении?

Дмитрий Кузеванов: Да, к сожеланию, деятельность багхантеров сейчас слабо защищена. Есть сразу несколько статей уголовного кодекса, которые позволяют привлечь хантера к ответственности, но нет никакой законодательной базы, которая позволяет защитить багхантера.

В этом плане актуальная практика взаимодействия между компанией и хантерами через программу Bug Bounty опережает законы, которые существуют. Было бы здорово, если у государства нашлась возможность уделить больше внимания этим вопросам.

Как мне кажется, такая возможность уже прорабатывается, поскольку регуляторы несколько раз заявляли о подготовке ГИСов к запуску программ Bug Bounty. Участвовать в них без соответствующих правовых основ будет попросту маловозможно.