Павел Куликов, СДЭК: информационная безопасность – это коллективная игра, в которую нужно вовлечь всех сотрудников компании

В рамках конференции BIS SUMMIT журналисту Cyber Media удалось побеседовать с  директором по информационной безопасности СДЭК Павлом Куликовым. Эксперт рассказал, как российские компании справляются с растущим количеством кибератак, какие практики могут помочь справиться с кризисными явлениями и как подготовиться к новым вызовам.

Cyber Media: Количество кибератак, по сравнению с предыдущим годом, выросло в несколько раз. На Ваш взгляд, как российские компании справились с этим периодом?

Павел Куликов: Российские компании справились вполне успешно, поскольку их цифровые продукты все еще доступны, услуги оказываются, а перебои не имели массовый или продолжительный характер.

Но время на подготовку и адаптацию у всех было разное. Если говорить о СДЭК, то с первой атакой на нашу инфраструктуру мы столкнулись 24 февраля в 15:34. Причина, по которой мы оказались в числе первых, довольно проста. Поскольку наша компания присутствует во всем СНГ, чтобы выбрать ее в качестве цели, достаточно было выглянуть в окно и заметить вывеску над пунктом выдачи заказов.

В дальнейшем ситуация изменилась. Если посмотреть профильные Telegram-каналы, через которые проходила кооперация DDoS-атак на российские сервисы, то первичный подход был хаотичным: кто-то предложил компанию, ряд активистов поддержали – атака пошла. Затем тренд сменился, выбор целей перестал быть спонтанным.

Появились элементы так называемых целевых атак, а именно:

• Цели для атаки определяются «непрозрачно», возможно – с участием экспертов или «на заказ»;

• Сосредоточение на конкретном секторе;

• Предварительная оценка целей в рамках этого сектора, от разведки до OSINT-методов.

Интенсивность атак в течение последнего полугодия тоже заметно изменилась. Если в конце февраля и первых неделях марта они шли постоянно, то сейчас – уже гораздо реже, всплесками.

Такая скачкообразная статистика атак позволяет хактивистам «держать в тонусе» все российские компании. Попытки навредить сервисам происходят ежедневно, и кто станет следующей целью – трудно предугадать.

Но и российская кибербезопасность не стоит на месте. Сейчас риски ИБ в полной мере осознаются как бизнесом, так и специалистами, вопрос их нивелирования не стоит так остро, как это было в первые недели марта.

Cyber Media: Как актуальная ситуация в интернет-среде повлияла на российские компании?

Павел Куликов: Важно понимать, что текущие тренды в бизнес-среде относительно информационной безопасности не «родились» в феврале, просто их актуальность стала расти ускоренными темпами.

ИБ-повестка все чаще стала появляться в непрофильных СМИ. Читатели РБК и других популярных бизнес-изданий теперь знают, что если не вкладывать деньги в защиту – есть риск вложить куда больше средств в ликвидацию последствий от шифровальщиков или других злоумышленников, которые атакуют ресурс.

И эта осознанность присутствует на всех уровнях: от небольших интернет-магазинов до акционеров крупных компаний. Принцип «меня это не коснется» постепенно сходит на нет, все больше компаний осознанно относятся к своей безопасности.

Можно заметить и встречный тренд со стороны государства. Указы и регламенты последнего полугода задают тренд на отказ от формальной защиты и уклон в сторону практической работы над безопасностью. Это не отменяет того факта, что многие законы просто сложны для осознания даже специалистами, имеют пробелы и прочие недочеты, которые приходится «проходить на практике». Но сам переход к «реальной кибербезопасности», в частности 250-й указ Президента – это очень важный шаг для всех компаний.

От ИБ-специалистов в такой ситуации требуются встречные шаги. В первую очередь – умение говорить с аудиторией, которая не знает что такое SIEM, как настроить межсетевой экран и понятия не имеет о методах шифрования информации. Для них нужны понятные примеры и практическая информация. Если человек будет воспринимать свои учетные данные как ключи от квартиры, он будет относиться к ним ответственнее.

Если тот же человек поймет, что цифровой ресурс компании – это стабильность бизнес-процессов, то и к их защите он будет относиться осознаннее. Потому что он не выполняет формальную политику безопасности, чтобы не получить «выговор» от ИБ-службы, а учится защищать деньги компании. Потому что лично ему это выгодно.

Cyber Media: Вопрос защиты инфраструктуры в условиях роста количества атак стал обсуждаться гораздо чаще. Как на корпоративном уровне, так и на уровне государства. В связи со всеми факторами, можете ли Вы порекомендовать, какие изменения в ИБ-стратегию стоит внести российскому бизнесу?

Павел Куликов: Исходные позиции у всех разные. Количество ИБ-специалистов, насыщенность инфраструктуры защитными инструментами, доступные мощности, бюджет, и множество других параметров разнятся от компании к компании. 

Можно дать два универсальных совета:

• Регулярная оценка рисков

Методы могут быть самые разные, от классического риск-менеджмента в формате SWOT или PEST-анализа (в контексте информационной безопасности) до коллективной игры в формате «Что если?». 

Как только ИБ-служба компании начинает вести регулярную оценку рисков – пропадает чувство неопределенности. Событий, которые могли бы стать неожиданностью, становится на порядок меньше, а значит – повышается готовность компании к разного рода атакам и другим критическим событиям.

• Отказ от формализма

Важно понимать, что времена «бумажной безопасности», когда ИБ-специалист занимался бесконечным приведением инфраструктуры в соответствие со всеми профильными указами – постепенно уходят. Определяющий фактор сейчас – это реальная защищенность, потому что документами можно прикрыться от условной проверки и не получить штраф в 5 тысяч рублей, но отбить ими атаку совершенно точно не получится.

Если политика безопасности в компании состоит из ста страниц и содержит четыре приложения, одно из которых «загрифовано», то это уже сигнал к тому, что большая часть сотрудников ничего об этой политике не знает. Самое лучшее, что можно сделать: оставить «тяжелую» часть для регулятора и сделать на ее основе информативную презентацию на 7-10 слайдов для реальной работы.

Есть еще один совет, который может пригодиться ИБ-специалистам – общайтесь со своими коллегами. «Народный threat intelligence» позволяет коллективно решать общие задачи. В конечном итоге, с позиции ИБ компании не конкурируют, а решают общую задачу – защищают бизнес в цифровой среде.

Cyber Media: Ландшафт кибератак: есть ли какие-то изменения, с которыми в этом году ИБ-специалисты столкнулись впервые?

Павел Куликов: С одной стороны, в части реализации кибератак нет каких-то принципиально новых вещей, которые были бы обусловлены именно политическим кризисом. Главная сложность в контексте последнего полугода – это разрыв поставок с иностранными поставщиками ПО.

Ситуация складывается дуалистическая. С одной стороны, ФСТЭК, в том числе и в рамках BISSUMMIT, говорит о курсе на абсолютную импортную независимость, от железа до программных продуктов. Иностранные компании, на мой взгляд, как минимум, не торопятся заявлять о намерениях вернуться, и вопрос их возвращения на российский рынок может занять не меньше десятка лет. Российский бизнес, который уже «обжегся» о проблемы с иностранными вендорами, такой курс в целом поддерживает. Но хочет внятного ответа на целый ряд вопросов, из которых я бы выделил три основных:

1. Неизбежные риски при интеграции новых продуктов. Будет ли какая-то амортизация, как они будут распределены между вендором, потребителем и государством?

2. Часть продуктов уже есть на рынке, и с ними не возникает проблем. А где компаниям взять «дешевых и долгих денег» на разработку новых, особенно условно вторичных продуктов, которые точно не будут пользоваться большим спросом на национальном рынке, но потребуют больших затрат на разработку?

3. Производственные мощности. У нас уже есть конкретные сроки достижения импортной независимости в ряде направлений, например для КИИ, коих не меньше полумиллиона. Сможет ли производство удовлетворить такой огромный спрос в эти сроки?

Ответы на эти вопросы ищутся в экспертных группах, ведомственных аналитических центрах, во время публичных слушаний и, в том числе, на профильных форумах, таких как BISSUMMIT. И здесь очень важно, чтобы государство, как модератор, дало возможность всем интересантам внести свою лепту в принятие конечных решений.

Если такой подход будет реализован, то мы сможем избежать большого количества критических событий уже на старте. Впрочем, и излишнего оптимизма испытывать не стоит – некоторые проблемы все же придется решать прямо в процессе, находить оптимальные решения в период «притирки» новой аппаратуры и софта.

Cyber Media: Если говорить о дальнейшем развитии событий, предполагаете ли Вы дальнейший рост количества кибератак и какие шаги считаете оптимальными для их нивелирования?

Павел Куликов: Количество кибератак растет последние несколько лет. Геополитика внесла свои коррективы, и теперь, помимо тенденции на рост, стоит ожидать и разной продолжительности всплесков хакерской активности, причиной для которых может стать огромное количество инфоповодов.

Наиболее эффективным вектором защиты в таких условиях мне видится консолидация IT-специалистов компании. Если директор по ИБ сможет донести до всех разработчиков в компании, что информационная безопасность – это важно, то результат превзойдет все ваши ожидания.

Как только весь штат, от Devops-специалистов до Backend-разработчиков, от дужниора до тимлида, осознает что он тоже часть безопасности – защита перестанет быть формальной – она станет насущной. Потому что никто не хочет, чтобы плоды его работы были сломаны и разрушены.

Я говорю не только о внедрении SSDLC и других инструментов «фундаментальной безопасности», но и об изменении в сознании сотрудников, на которые их должен мотивировать директор по ИБ. Как только сотрудники перестанут видеть в кибербезопасности побочное требование, и начнут считать ее неотделимым свойством каждой строчки кода – внешние риски значительно сократятся.

Потому что над безопасностью будет работать не ограниченное число ИБ-специалистов, а весь штат компании.