Михаил Фиделик, независимый специалист: У бизнеса появляется собственный «firewall» в лице выделенного эксперта ИБ

Михаил Фиделик, независимый специалист, cluster lead SecArch, рассказал порталу Cyber Media о преимуществах выделенных экспертов в командах разработки, о требованиях к таким специалистам и ошибкам, которые мешают интегрироваться в команду.

Cyber Media: Практика интеграции в команду разработки выделенного специалиста по информационной безопасности: в чем ее ценность? Какие преимущества и недостатки она влечет?

Михаил Фиделик: Ценность выделенных экспертов заключается в том, что они являются единой точкой входа/выхода для команд в процессы информационной безопасности компании. Это значит, что они покрывают собой все связанные с информационной безопасностью (ИБ) вопросы, снимая львиную долю нагрузки. К примеру:

• проработка мер защиты для продукта (опираясь на процессы моделирования угроз и управления рисками, реализация мер становится экономически целесообразной);
• взаимодействие с различными направлениями ИБ (настройка средств защиты, проведение внешних тестов на проникновение или ответы на запросы проверяющих);
• вопрос адаптации и последующего тиражирования практик и стратегии ИБ на конечный продукт;
• консультации команд на любом из этапов жизненного цикла продукта.

Недостатков у такой практики, на мой взгляд, нет. У бизнеса появляется собственный «firewall», в лице выделенного эксперта, который помимо процессов ИБ погружен в продукт, знает его специфику и действует в интересах обеих сторон (развеивается миф о том, что любые активности в ИБ идут вразрез с интересами бизнеса).

В своей работе я делаю все, чтобы максимально близко коммуницировать с командами, понять их потребности и сложности, с которыми они сталкиваются, погрузиться в их процессы и плавно погрузить их в процессы ИБ.

Сложность, с которой можно столкнуться: не каждая компания или продукт может позволить себе отдельную штатную единицу. Например, если продукт пилотный, то в него закладывают только основные, базовые потребности: разработчик, дизайнер, DevOps и т. д. В таких случаях вместо подключения в процесс выделенного эксперта идут в департамента ИБ (обращение по почте или какая-нибудь унифицированная заявка в ServiceDesk, в рамках которой можно запросить консультацию или экспертизу в связном с ИБ вопросом).

Cyber Media: Какие основные требования предъявляют работодатели к специалисту по ИБ в команде разработки или продуктовой команде?

Михаил Фиделик: Не самый простой вопрос, потому что в команде может быть несколько экспертов по информационной безопасности. Например, одни занимаются проработкой мер защиты и покрытием комплаенс рисков, другие отвечают за защиту конвейера CI/CD, третьи проводят настройку средств защиты, четвертые проводят тесты на проникновение и т. д.

Направлений много, поэтому попробуем унифицировать:

• знание сетевых технологий;
• понимание основных техник, тактик и векторов атак;
• знание подходов к построению защищенных информационных систем (к примеру, внедрение процесса безопасной разработки, применение средств защиты);
• знание нормативной базы в области ИБ, в том числе практик и рекомендаций (всегда опционально, можно обращаться к ним в случае производственной необходимости).

Cyber Media: AppSec-аналитики, DevSecOps-инженеры, пентестеры, AppSec-инженеры, архитекторы — все эти специалисты работают с командами разработки. В каких случаях компании нужно нанимать всех, а в каких можно обойтись одним специалистом?

Михаил Фиделик: Все зависит от целей и возможностей компании. Нужен кто-то, кто возьмет на себя вопрос разработки, реализации и управления стратегией информационной безопасности, исходя из которой можно будет определять приоритеты по развитию направлений, в том числе направления безопасной разработки (в крупных компаниях эту роль выполняет CISO).

Кроме того, можно обратиться на внешний рынок и воспользоваться услугами компаний, которые работают в области информационной безопасности, проводят аудиты и выстраивают процессы с нуля.

В любом случае в целях оптимизации затрат, нужен хотя бы в черновой вариант стратегии.

Cyber Media: Какие навыки и знания необходимы специалисту по безопасной разработке?

Михаил Фиделик: Работодатели хотят видеть не просто квалифицированного специалиста, который обладает знаниями в IT/ИБ, но еще и командного игрока с развитыми soft skills, так как ему нужно будет маневрировать между техническими специалистами и представителями бизнеса. Кроме того, не стоит забывать о том, что

такой эксперт не всегда является прямым руководителем для команд разработки, а, значит, нужно уметь заинтересовать, убеждать, договариваться и идти на компромиссы там, где это возможно. Если этого нет, то выстроить рабочий процесс не получится.

Cyber Media: Как специалист по ИБ взаимодействует с другими членами команды? Как он координирует свои действия с разработчиками, тестировщиками и менеджерами проектов?

Михаил Фиделик: Примерный план:

1. Необходимо познакомиться с продуктом и участниками команды, входящих в состав этого продукта.
2. Изучить их стратегию и боль, с которой приходится сталкиваться, — возможно это как-то связано с ИБ.
3. Подготовить свои предложения по развитию продукта и/или процессов в части ИБ и обсудить их с теми, кто принимает решения.
4. Договориться о сроках и ответственных.
5. Не забывать про контроль (к примеру, с помощью Jira).

Cyber Media: Какие сложности чаще всего возникают у ИБ-специалиста, который работает как выделенный специалист в разных командах разработки?

Михаил Фиделик: Любые вложения в ИБ должны быть экономически целесообразными. Экспертам ИБ, помимо прочего, следует доказывать свою эффективность и эффективность предлагаемых мер защиты:

• готовить разбор инцидентов;
• объяснять преимущества того или иного решения;
• обсуждать стратегию развития;
• презентовать результаты своей деятельности.

Если этого не делать, то бизнес не будет видеть ценности и не будет заинтересован что-либо менять в своих процессах.

Простой пример. Есть веб-приложение, в котором работает клиент и которое уже несколько лет как торчит в интернете без каких-либо средств защиты (рудимент, кто-то когда-то так согласовал). Все работает как нужно, никаких инцидентов, довольный клиент и тут приходит эксперт ИБ и рассказывает про необходимость применения WAF’а. Для бизнеса это дополнительные траты и без нормального объяснения ничего не изменится.

Cyber Media: Какие советы вы можете дать ИБ-специалистам для успешной интеграции в команду разработки?

Михаил Фиделик: Не забывайте, что цель любого бизнеса — прибыль, а значит, вам следует выстраивать взаимоотношения таким образом, чтобы бизнес видел в вас друга. Кроме того, бизнес должен понимать то, что вы хотите до него донести. Поэтому говорите на понятном языке и не занимайтесь запугиванием абстракциями вида «конфиденциальности, целостности и доступности». Делайте акцент на плюсах того или иного решения с точки зрения бизнеса и предлагайте конкретные действия, предпринимайте конкретные шаги, которые помогут продукту быть надежным с точки зрения ИБ.

Не раз слышал от экспертов ИБ других компаний о том, что у них не получается выстроить конструктивный диалог с командами.

Cyber Media: Какую самую большую ошибку совершают новички, которые только начинают выполнять роль выделенного специалиста по ИБ в команде разработки?

Михаил Фиделик: Новички совершают следующие ошибки:

1. Не вникают в продукт.
2. Не коммуницируют с командой.
3. Подсвечивают проблему, но не предлагают решения.
4. Отсутствие вариативности в решениях.

Я встречал экспертов, которые приходили в команду разработки и просто озвучивали набор требований. Их не волновало то, как это будет реализовано, и какое влияние окажет на продукт, просто бери и делай. Но какой в этом смысл? Зачем тратить на это время и силы?

Например, в нормативных документах компании может быть требование о том, что при использовании любой БД следует аутентифицировать потребителей, но без деталей для ClickHouse. Как поступить, если в ClickHouse ее можно по-разному настраивать?

Задача выделенного эксперта — оценить это и планомерно распределить задачи в бэклог команды (выделить то, что следует реализовать, предварительно обсудив с командой).

Cyber Media: Изменения в законодательстве в сфере информационной безопасности, а также импортозамещение как-то усложнили работу специалистов по ИБ в командах разработки? Если да, то как?

Михаил Фиделик: Изменения в законодательстве неизбежны, к ним надо быть готовым.

Обычно регулятор дает время на то, чтобы ознакомиться с изменениями и/или собрать обратную связь. Это время можно использовать с пользой, перестроив процессы и подготовив инфраструктуру заблаговременно.

Если мы говорим про импортозамещение, то не все можно заменить в моменте, так как аналоги или отсутствуют, или не поддерживают необходимый уровень надежности. Не исключаю вариант того, что в перспективе на нашем рынке появится все необходимое и мы перестанем думать про использование зарубежных аналогов.