Евгений Зайцев, «Селигдар»: Многие пропускают этап строительства ИБ-фундамента

В 2022 году многие российские компании впервые задумались об информационной безопасности: установили лучшие решения на рынке, но столкнулись с другой проблемой — нехватка специалистов. Начальник управления информационной безопасности ПАО «Селигдар» Евгений Зайцев поделился своим мнением с порталом Cyber Media о том, как выстроить защиту компании и что делать с нехваткой квалифицированных ИБ-кадров.

Cyber Media: Каков минимальный набор инструментов, применив которые можно сказать, что компания защищена изнутри?

Евгений Зайцев: На самом деле, об этом существует много статей, а также довольно много научных и околонаучных документов. Считается, что базой для ИБ в компании являются: межсетевые экраны, антивирусы, обязательно должна быть система инвентаризации ИТ-шная — не бухгалтерская, а ИТ-шная, чтобы мы всегда знали, что есть внутри инфраструктуры, чтобы не оказывалось неизвестных систем, узлов и чего-то подобного. Конечно, нужны сканеры защищенности для поиска уязвимостей во внешнем и во внутреннем периметре. Это такой минимальный, базовый, джентльменский набор инструментов. 

Но мой ответ будет неполным без следующих замечаний:

1. При принятии решения, что мы покупаем, что берем из OpenSource, а что нам не нужно — необходимо отталкиваться от требований и возможностей бизнеса. 

2. К каждому инструменту необходимо найти эксперта (собственного или на аутсорсе). 

3. Определить правила мирного сосуществования с ИТ и остальными подразделениями (проще говоря, выстроить и формализовать процессы). 

Все вышесказанное — фундамент ИБ, без которого нельзя сказать, что у тебя в компании безопасно, потому что что-то важное ты всегда будешь пропускать или не успевать отреагировать. 

Очень часто забывают, что ИБ/ИТ-решения — это лишь инструмент автоматизации деятельности работников, и чтобы инструмент корректно работал, нужна экспертиза — сотрудники, которые будут ежедневно работать с этими инструментами. 

А поскольку ИБ существует не само по себе — нужны процессы, насколько они должны быть формализованы зависит от объемов, но без процессов подразделение ИБ превращается в пожарную часть, а в идеальной картине мира руководство должно вспоминать о существовании ИБ в компании не чаще одного раза в год, — во время формирования бюджета.  

Дальше речь пойдет о следующем слое ИБ. Это тоже системы, которые скорее должны быть, чем нет. Это, соответственно, SIEM-система: либо собственная, либо как внешний сервис. Это системы контроля привилегированных пользователей, повышения осведомленности работников, песочницы и т.д. — но они уже строятся на фундаменте, требуют гораздо больше финансовых и интеллектуальных усилий на внедрение и следующий уровень зрелости от ИБ-подразделения, а именно опыта в эксплуатации и построении процессов обеспечения ИБ. 

Очень многие, к сожалению, пропускают этап строительства фундамента и «кидаются» в какие-то модные темы: берут и начинают строить SOC, когда нет даже полноценного антивирусного покрытия. В таком случае «здание ИБ» получается «кривое», потому что фундамент не выстроен. Из-за этого очень много денег тратится на построение сложных дорогих систем, которые из-за незаконченного фундамента попросту не могут быть эффективны. Вследствие чего такие решения больше вредят, чем приносят пользы, например: внедрили систему, но не обеспечили ее сопровождение внутренней или внешней экспертизой, в итоге имеем неэффективно потраченный бюджет и риски для ИТ-инфраструктуры, если некорректно работающая ИБ-система окажет негативное воздействие на ее работу, а так часто случается. 

Подводя итог, скажу, что обязательно должно быть - понимание, а что мы собственно защищаем и какова цена, которую бизнес готов заплатить. Причем не только за инструменты ИБ, но и за сопутствующую экспертизу, и за смежные ИТ-системы, которые потребуются в рамках организации процессов. Без комплексного подхода вместо ИБ мы будем получать набор неэффективных систем и коллектив поедателей печенек. 

Cyber Media: Получается, нужен SOC не каждой компании?

Евгений Зайцев: Чем дальше мы будем идти по пути цифровизации нашего общества, тем быстрее мы придем к тому, что SOC нужен всем и каждому, но без фундамента, то есть, если мы не обеспечили ИБ базовыми процессами и базовыми инструментами, SOC не будет эффективен, просто не будет видеть некоторые инциденты и неважно - собственный или коммерческий SOC нас защищает. Это все может приводить к крайне негативным последствиям. 

Не будет у нас данных по уязвимостям, — работа SOC опять будет неэффективна, потому что где-то будет уязвимость на внешнем периметре, которая будет вести к системе, про которую мы знать не знаем и SOC не собирает эти данные. В таком случае, и что толку, что у нас есть SOC? Злоумышленник попадет в ту часть инфраструктуры, которая этим сервисом не покрыта, потому что нет прочного фундамента.

К появлению SOC в компании нужно подходить, обладая очень хорошим фундаментом, в противном случае вся задача SOC сводится к выявлению неочевидных проблем в инфраструктуре. И сразу возникает вопрос: «А насколько быстро Заказчик будет готов их исправлять?» Это же дополнительные затраты, а мы уже купили SOC на «все деньги». На рынке у многих компаний есть поверье, что можно купить себе какую-то волшебную систему, «серебряную пулю», «вундерваффе» — «Вот оно стоит дорого, называется классно, его на каждом форуме, семинаре пиарят, а значит с помощью этой системы можно решить все проблемы». Но так не бывает, к сожалению. ИБ растет слоями. Не эффективно бороться с угрозами на верхнем уровне, не пройдя уровни зрелости. Чем выше уровень, тем выше стоимость, тем больше интеллектуальных ресурсов нужно затратить на выстраивание процессов ИБ, чтобы это работало эффективно, тем больше зарплата работников и т.д.. Но если мы не осилили нижние уровни, то зачем штурмовать вершины? Это выкидывание денег на ветер.

Cyber Media: В мире ИБ считается, что ключевая причина всех утечек данных — это человек. Как можно и возможно ли с помощью систем и решений уменьшить роль человека?

Евгений Зайцев: Безусловно, можно. Действительно, основная масса проблем в ИТ (и в ИБ, соответственно, тоже) связана с человеческим фактором. И это как рядовые сотрудники, которые попадаются на фишинг, приносят из дома зараженные флешки, которые подобрали на улице, просто совершают какие-то необдуманные действия, так и ИБ/ИТ-специалисты, которые совершают ошибки по разным причинам: у кого-то недостаток квалификации, кто-то просто перегружен работой, он просто в запаре делает какую-то ошибку. Около 80-90% инцидентов происходят не из-за проблем системы безопасности, а именно из-за человеческого фактора. 

Основная причина — перегруженность специалистов. Компании внедряют себе кучу технических средств, а количество специалистов при этом не растет. И, соответственно, человеку раньше нужно было одним средством заниматься, — он хорошо его освоил. Ему дают второе, третье, четвертое, и в какой-то момент у него не хватает сил, специалист выгорает.

Важно донести эту мысль до руководства. Если мы внедряем себе какое-то средство защиты, то да, это средство автоматизации нашей деятельности, но это не значит, что можно уменьшить количество людей. Наоборот, вы должны его увеличить, от этого вырастет эффективность. И чем меньше будет у сотрудника или эксперта ИБ технических средств, тем эффективнее это средство будет работать. Если мы не можем увеличивать штат — значит нам необходимо обратиться к аутсорсингу, аутстафингу и прочим сервис-провайдерам.

Я считаю, что сначала следует понять стоимость защищаемого актива, потом оценить риски и рассчитать необходимый бюджет. И если бизнес с этим согласен, то набирать людей (покупать сервисы), выстраивать процессы, а потом уже автоматизировать их деятельность, приобретая новые системы.

Cyber Media: Ощущаются ли сейчас проблемы с набором людей?

Евгений Зайцев: Катастрофически. 

Cyber Media: Именно с квалифицированными кадрами или в том числе с молодежью, со студентами?

Евгений Зайцев: Со студентами-то проблем нет. Просто когда ты берешь студента, ты должен его доучивать. Любой российский ВУЗ дает некую теорию, которая, к сожалению, оторвана от практики. Более того, зачастую знания, которые студент получает в университете, отстают от реальности. И когда такой студент приходит устраиваться, то сразу возникает две проблемы: ты сразу понимаешь, что его надо доучивать. Доучивать — это потратить полгода в том случае, если попался очень сообразительный человек, а обычно этот процесс занимает год. Год нужно платить человеку зарплату, тратить свое время и время других работников на дообучение, рассказывать ему те вещи, которые он должен был знать, придя на работу. А вторая проблема — студенты престижных ВУЗов хотят большую зарплату, они твердо убеждены, что диплом можно монетизировать, особенно если он красный. Зачем много платить человеку, которого нужно доучивать? 

Это дорого и неэффективно, потому что ты начинаешь работать бесплатным лектором. Студенты обижаются: «Как так, где нам взять опыт?». Я им отвечаю, что нужно на старших курсах института идти на подработки, чтобы там какую-то практику получить и знания дополнительные, которым в ВУЗе не уделяют внимания. ВУЗам необходимо озаботиться практикой для своих студентов, возможно, даже с первого-второго курса.

Cyber Media: Как дела на рынке кибербезопасности с квалифицированными кадрами?

Евгений Зайцев: Специалисты, работавшие на западные компании, уехали вместе с ними. Очень много людей теперь работают в Казахстане, Грузии, в других странах. На самом деле немножко раньше даже был такой небольшой исход компаний с российского рынка, когда вывозили офисы компаний в Прибалтику, и, соответственно, забирали с собой людей. Не вчера это началось, в общем-то. И, безусловно, рынок именно квалифицированных специалистов обеднел и очень перегрет. 

Специалистов, которых можно сразу взять и поставить на рабочее место, — их очень мало. Обучать никому особо не хочется, да и времени на это зачастую нет. Получается безвыходная ситуация. Действительно квалифицированные специалисты могут работать, сейчас они имеют прекрасный шанс постоянно менять компании, увеличивая себе зарплату. И ничто их в этом не остановит. 

Cyber Media: Какой Вы видите выход из этой ситуации?

Евгений Зайцев: ВУЗы должны делать то, что им давным-давно сказало делать государство: они должны иметь компании, с которыми у них есть соответствующий договор о прохождении практики студентами. Возможно, нужно увеличить целевой набор, чтобы студент после выпуска, а лучше до выпуска, был привязан к предприятию и там, хочешь-не хочешь, но получил бы эту практику. Я бы сам поработал со студентами, мы звали их на летнюю практику, но им это неинтересно. Приходят и говорят: «Пожалуйста, подпишите нам бумаги о прохождении практики, мы не хотим работать, совсем». Потом эти же люди приходят и говорят: «Возьмите меня на работу за 100 тысяч рублей, у меня красный диплом».

Текущий четырехгодичный курс обучения — крайне короткий. За 4 года вырастить специалиста из вчерашнего школьника — это невозможно. Программы обучения очень сильно отстают от реальности. Я в 2020 году на одном форуме общался с преподавателями нескольких университетов и узнавал, почему наши учебные программы не соответствуют реальности. Они говорят: «Ты понимаешь, Евгений, мы эти программы не для студентов делаем, мы их для преподавателей делаем, потому что если мы сделаем другие программы, то мы преподавателей не найдем. Поэтому учим тому, что знают преподаватели». 

Cyber Media: Давайте немного перейдем к «Селигдару». Я читал, что недавно вы внедрили российское ИБ-решение Makves DCAP. Есть ли разница между этим продуктом и западными аналогами? В чем-то наше решение отечественное лучше или хуже?

Евгений Зайцев: Безусловно, западные решения появились сильно раньше, они гораздо более зрелые, там больше функций, продукты сами более проработанные, чем наши, отечественные. Наши продукты — молодые все, потому что процесс импортозамещения начался не так давно. Например, еще в 2010 году российские заказчики отказывались от покупки отечественных ИБ-решений. 

«Мы просто не хотим. У нас есть американские, они отлично работают». Засилье Windows, Microsoft — это все оттуда. И, соответственно, отечественные продукты менее функциональны, они проще, но есть у них и свои плюсы. Во-первых, зачастую заказчикам не нужны все 100% функций, которые есть в западных решениях. Многие функции вообще отечественному потребителю не нужны совсем. К примеру, на западе они повсеместно используют GDPR — есть такой закон применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС.

И где у нас GDPR? зачем он нам нужен? Какие-то особенности западных продуктов связаны с тем, что некоторые продукты начали свой жизненный цикл довольно давно, и они были заточены на особенности технологий, которые были современны в момент их рождения, что сейчас уже либо слабо применимо, либо вообще уже не нужно. Старые продукты обычно ресурсоемки из-за того, что там много устаревшего кода, который никто не может переписать.

Помимо этого, западные вендоры менее охотно адаптируют свои продукты под нужды российских компаний. Общаться с таким разработчиком невозможно, зачастую мы контактируем с каким-либо российским представителем, но они занимаются продажами, а поддержка им малоинтересна. Тем более объем российского рынка не очень большой относительно мирового. Плюс, конечно, языковой барьер, разные часовые пояса и т.д.

С отечественным разработчиком все по-другому. Его можно встретить на какой-то конференции вроде нашего SOC-форума, прийти на стенд и узнать все о продукте. И он согласится сделать все доработки, просто потому что у него не так много заказчиков, и если он одного заказчика как-то не удовлетворит, то эта волна недовольства очень быстро приведет к «смерти» его бизнеса. 

Поэтому им невыгодно быть к нам, российским компаниям, невнимательными. Когда мы российскому разработчику присылаем какие-то запросы и говорим о своих пожеланиях, то это реализуется очень быстро. Нам вот не хватало одной функции по выгрузке отчетов в Makves DCAP — коллеги нам за неделю ее сделали. 

Cyber Media: Сейчас «Селигдар» защищен решениями исключительно российских разработчиков?

Евгений Зайцев: У нас остались несколько межсетевых экранов западного производства. Российский рынок межсетевых экранов очень сильно отставал от западных решений, отечественные решения, по функционалу очень сильно отстают от того, что предлагают лидеры мирового рынка. 

Но в остальном да, мы используем отечественные решения или ресурсы отечественных сервис-провайдеров, и я не могу сказать, что мы потеряли в качестве. Нам даже удалось достичь существенной экономии в ряде случаев, не буду говорить в каких, а то коллеги вернуться ко мне с «другим» ценником.  

Думаю, что у нас есть все основания смотреть с оптимизмом в будущее российской ИБ.