Эдуард Мураховский — директор по информации и ИТ фармацевтической компании СКОПИНФАРМ. На полях форума Security Summit он выступил с докладом «Информационная безопасность как общее дело», в котором рассмотрел ИБ не как функцию отдельного подразделения, а как неотъемлемую часть корпоративной культуры. В интервью для Cyber Media Эдуард рассказал о том, как выстраивать диалог между ИБ и бизнесом, какова специфика кибербезопасности в фармацевтической отрасли, чем опасен бесконтрольный ИИ на рабочих местах и почему Zero Trust — единственная актуальная концепция в эпоху гибридного графика работы.
Кибер Медиа: На полях форума Security Summit звучало много докладов о новых технологиях, хакерских группировках и сложных угрозах. У вашего доклада было концептуальное объединяющее название — «Информационная безопасность как общее дело». Почему именно эту тему вы вынесли на обсуждение?
Эдуард Мураховский: Эта тема мне очень близка. Как управленец я регулярно сталкиваюсь с необходимостью организовывать бесперебойную работу определенных функций в компании. Это всегда требует объединения усилий многих людей. Направление информационной безопасности здесь не исключение — подобный подход применим к любому стратегическому вектору развития.
Безусловно, есть профильное подразделение и заместитель генерального директора, назначенный в соответствии с Указом Президента № 250, который несет персональную ответственность. Но исключительно своими силами и силами своего отдела он не может закрыть весь спектр вопросов, с которыми ежедневно сталкивается предприятие.
Кроме того, при принятии решений о выделении бюджета на ИБ руководство ориентируется не только на мнение профильного директора. Учитываются позиции руководителей всех подразделений, особенно тех, которые приносят компании прибыль. Соответственно, чтобы инициативы директора по ИБ воплощались в жизнь, ему необходимо заручиться поддержкой бизнеса. Когда на уровне топ-менеджмента или совета директоров предложения безопасников встречают понимание со стороны бизнес-подразделений, шансы на реализацию комплексных мер многократно возрастают.
Если между службой ИБ и основным бизнесом нет взаимопонимания, взаимодействие превращается в обмен упреками
Кибер Медиа: Как директору по информационной безопасности правильно транслировать топ-менеджменту идею коллективной ответственности, чтобы ИБ воспринималась не просто как статья расходов или тормоз для бизнеса?
Эдуард Мураховский: Информационная безопасность пронизывает все сферы деятельности компании. К сожалению, зачастую она воспринимается как некая гиря, привязанная к ноге бизнеса и мешающая его развитию. Сотрудники коммерческих подразделений нередко жалуются: «Мы бы сделали больше, но нас ограничивают сложными паролями, запретами на использование личных устройств или удобных программ».
Если между службой ИБ и основным бизнесом нет взаимопонимания, взаимодействие превращается в обмен упреками. Директор по информационной безопасности в глазах коллектива становится человеком, который лишь губит инициативы на корню.
Однако ситуацию можно изменить, если проактивно объяснять бизнес-подразделениям необходимость внедряемых мер. Важно наглядно показывать, какие реальные риски существуют на их уровне и чем может обернуться, например, скачивание несанкционированного приложения или отказ от многофакторной аутентификации. Еще эффективнее — привлекать сотрудников к разработке этих политик. Не просто приносить готовый приказ на подпись, а обсуждать нововведения на этапе их формирования, учитывать специфику работы отделов. В таком случае эффективность мер ИБ значительно возрастает, поскольку люди чувствуют себя их соавторами.
Кибер Медиа: Вы представляете компанию СКОПИНФАРМ. Фармацевтическая отрасль подразумевает высокие риски, связанные с производством, рецептурами и интеллектуальной собственностью. Как вы справляетесь со специфическими киберугрозами в вашей индустрии?
Эдуард Мураховский: Надеюсь, что справляемся хорошо. В нашей работе применим классический подход: с одной стороны, это техническая защита (современные межсетевые экраны и прочее оборудование), с другой — «бумажная» или регламентная безопасность, то есть политики и административные меры.
Фармацевтическая отрасль изначально строго зарегулирована. Мы прекрасно знаем, что такое неукоснительное исполнение регламентов и норм законодательства. В фарме необходимо действовать строго по инструкциям, а при любом отклонении — проводить расследования и разрабатывать корректирующие мероприятия. Этот набор методик для нас привычен, поэтому в компании уже сформирована культура следования правилам. Это серьезно помогает выстраивать ИБ с административной точки зрения.
При этом необязательно использовать самые дорогие или модные технические средства. Гораздо важнее применять их уместно. Например, мы осознаем критические риски при защите АСУ ТП (автоматизированных систем управления технологическим процессом). Несанкционированное вмешательство в работу оборудования может привести к нарушению рецептуры препарата. И хотя у нас внедрено множество стадий контроля каждой партии, мы осознаем высочайшую степень ответственности, ведь речь идет о здоровье и жизни людей. Глубокое понимание своих основных производственных и бизнес-процессов позволяет нам выбирать оптимальные решения и выстраивать максимально эффективную систему безопасности.
Кибер Медиа: Хочется услышать ваше мнение об использовании искусственного интеллекта (например, ChatGPT) на рабочих местах. Какие скрытые риски вы здесь видите?
Эдуард Мураховский: При использовании нейросетей важно осознавать главное: любая информация, отправленная в качестве запроса, потенциально становится общедоступной. В худшем случае, если речь идет о стратегически важных предприятиях, эти данные могут оказаться в распоряжении иностранных разведок. Мы понимаем, в какой геополитической обстановке находимся. Если вы ввели конфиденциальные данные в публичные сервисы вроде ChatGPT, Grok или DeepSeek, контроль над ними утрачивается.
Чтобы минимизировать эти риски, можно пойти двумя путями. Первый — создание локальной (on-premise) версии нейросети. Это оптимально, когда недопустима малейшая утечка за пределы корпоративного контура. Однако возможности такой модели ограничены вашими вычислительными мощностями и отсутствием прямого доступа к глобальной сети. Кроме того, даже в локальных open-source решениях могут скрываться угрозы: практика показывает, что в открытом коде на GitHub регулярно находят бэкдоры и программные закладки.
Второй путь — использование открытых глобальных систем, но с жесткой фильтрацией исходящих данных. Чувствительную информацию необходимо обезличивать, реструктурировать и очищать от значимых атрибутов, а после получения ответа — собирать обратно. В конечном итоге искусственный интеллект не способен полностью заменить человеческий: специалистам по-прежнему необходимо думать головой и грамотно формулировать задачи.
В идеале на базе каждого внутреннего регламента компании следует создавать интерактивный курс
Кибер Медиа: Вы упоминали «бумажную безопасность». Какие инструменты повышения осведомленности (Security Awareness) вы считаете самыми эффективными, чтобы обучение не превращалось в формальную подпись в ведомости?
Эдуард Мураховский: Современные продукты в категории Security Awareness — это отличное направление. Их главное преимущество заключается в том, что обучение перестает быть просто подписью в журнале ознакомления с приказами. Это полноценные интерактивные курсы, тестирование и, что самое важное, имитации фишинговых атак. Это тот самый мостик от «бумажной» безопасности к практической.
В идеале на базе каждого внутреннего регламента компании следует создавать интерактивный курс. Сотрудники должны не просто прочитать сухой текст, а изучить материал в формате, который действительно отложится в памяти. Безусловно, подпись сотрудника необходима для фиксации персональной ответственности, но за ней должны следовать проверки, желательно, в геймифицированной форме.
Мы стараемся периодически «подлавливать» коллег учебными атаками, чтобы проверить усвоение материала. Благодаря этому рутинная безопасность превращается в увлекательный процесс. За успешное прохождение проверок можно поощрять сотрудников: выдавать виртуальные достижения, начислять баллы или выписывать премии. Это также работает на концепцию ИБ как общего дела, помогая формировать правильное корпоративное поведение.
Кибер Медиа: Сейчас во многих компаниях распространен гибридный формат работы. Как удерживать вовлеченность сотрудников в вопросы ИБ, если они работают из домашних сетей и границы периметра размыты?
Эдуард Мураховский: Когда мы говорим о границах корпоративной сети, мы часто опираемся на устаревшую концепцию «Замок и ров». Раньше контур компании представляли как крепость, защищенную межсетевыми экранами, а цифровое пространство делили на внутреннее (доверенное) и внешнее (недоверенное).
Сегодня, в эпоху удаленной работы и глобальных сетей, эта парадигма потеряла актуальность. На смену ей пришла концепция Zero Trust — «нулевое доверие». В ее рамках мы больше не делим устройства на «свои» и «чужие» в зависимости от их расположения. Ко всем узлам применяется принцип недоверия, пока они в каждом акте коммуникации не докажут свою авторизацию и безопасность.
В этой модели сотрудник, работающий из дома, и сотрудник в офисе находятся в абсолютно равных условиях. Технически процесс выстроен так, что каждый пользователь и каждое устройство постоянно проходят фоновую аутентификацию, незаметную для человека. На сегодняшний день это единственный надежный способ обеспечить реальную защиту распределенной инфраструктуры.
Кибер Медиа: Что происходит, когда инцидент всё-таки случается? Как должно быть выстроено взаимодействие ИБ с другими подразделениями в момент кризиса?
Эдуард Мураховский: К кризисным ситуациям необходимо готовиться заранее. Здесь отлично зарекомендовала себя практика разработки планов непрерывности бизнеса (BCP), в которых моделируются инциденты и четко распределяются роли. Однако эти планы не должны оставаться исключительно на бумаге.
Приведу пример из сферы пожарной безопасности. Во время моей работы в структуре РЖД мы ежегодно проводили масштабные учения по эвакуации. Для многих сотрудников становилось настоящим откровением, как правильно размотать пожарный рукав или воспользоваться огнетушителем. В критической ситуации, когда человек находится в состоянии стресса, он может просто растеряться. Далеко не все, например, знают, что если схватиться голой рукой за раструб углекислотного огнетушителя, можно получить серьезное обморожение.
В информационной безопасности необходим аналогичный формат регулярных штабных учений. Регламенты реагирования нужно отрабатывать на практике. Если представители бизнес-подразделений и специалисты по ИБ заранее выстроили взаимодействие и осознали, что делают общее дело, то в момент реального инцидента они сработают максимально слаженно и эффективно. Во всяком случае, шансы на это повышаются многократно!
В информационной безопасности необходим формат регулярных штабных учений
Кибер Медиа: Опираясь на ваш управленческий опыт, какой главный совет вы бы дали компаниям, которые только начинают выстраивать культуру информационной безопасности?
Эдуард Мураховский: Спасибо, что вы используете именно слово «культура», а не «стратегия» или «регламент». Как сказал один из классиков менеджмента: «Культура ест стратегию на завтрак». Можно написать идеальную стратегию, но если в компании нет культуры использования ИТ-инструментов и осознанного поведения, она останется нерабочей.
Мой главный совет: помните, что культура информационной безопасности — это неотъемлемая часть общей корпоративной культуры, наряду с деловой этикой или дресс-кодом. Это можно сравнить с привычкой мыть руки перед едой. Детям не читают отдельный теоретический курс по мытью рук — это просто становится частью их повседневной жизни.
Информационная безопасность должна стать такой же естественной привычкой для каждого сотрудника. Внедрять ее нужно через понятные и приемлемые для всех форматы, разрабатывая их совместно с коллективом. Только тогда каждый сотрудник осознает, что кибербезопасность — это не искусственное ограничение, а важная составляющая его личной профессиональной эффективности.
Алексей Лукацкий, Chief Evangelist Officer, Positive Technologies, в интервью для Кибер Медиа рассказал, как работают «белые списки» VPN, почему ТСПУ не справляются с нагрузкой, и возможна ли монополизация доступа.
В интервью для Кибер Медиа Андрей Лёвкин, руководитель продукта BI ZONE Bug Bounty, рассказал, когда багбаунти станет обязательным инструментом для проверки уровня защищенности, как внутренним командам кибербезопасности работать с внешними исследователями и чего ожидать от багбаунти в будущем.
Российская ИТ-инфраструктура столкнулась с новыми вызовами в обеспечении киберустойчивости.
Классический патч-менеджмент в крупных компаниях часто превращается в войну: ИБ заваливает айтишников тысячами CVE из сканера, а ИТ-отдел включает режим глухой обороны.
Портал Кибер Медиа взял интервью у Кирилла Мякишева, директора по информационной безопасности Ozon.
Геймификация в корпоративном обучении давно перестала быть экзотикой — квесты и рейтинги стали привычной частью рабочей среды.
Анастасия Ашаева, кандидат исторических наук и научный сотрудник Музея криптографии, рассказала Кибер Медиа о том, чьи имена история так и не вернула, какие барьеры сложно преодолеть и почему разговор еще не закончен.
Екатерина Тьюринг, кибердетектив, в интервью для Кибер Медиа рассказала, почему социальная инженерия остается ключевым инструментом мошенников, как устроены современные схемы обмана и что на самом деле происходит с безопасностью пользователей в таких сервисах, как MAX.
Эксперты представили первый аналитический отчет об уровне зрелости ИБ в 52 российских компаниях, выявивший «парадокс роста»: огромные бюджеты корпораций не гарантируют лидерства в безопасности из-за масштабов и сложности их инфраструктуры.
Олег Иевлев, декан факультета КиИБ МТУСИ, в интервью для Кибер Медиа рассказал, как выстраивается баланс между академическим качеством и требованиями индустрии, какую роль в обучении играют киберполигоны и CTF, чего сегодня ждут работодатели от выпускников и почему информационная безопасность в ближайшие годы станет базовой компетенцией для всех технических специалистов.
