Сергей Демидов, Московская биржа: Открытый код может быть доверенным только после тщательной внутренней проверки

Сергей Демидов, Директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса Московской биржи, в рамках Security Summit, рассказал порталу Cyber Media об особенностях обеспечения кибербезопасности биржи, уровне доверия к открытому коду и лучших практиках работы с ним в контексте кибербезопасности.

Cyber Media: Хакерская атака может серьезно повлиять на биржевые торги, даже если цель – это не сама биржа, а одна из «торгующихся на ней» компаний. Насколько актуальны такие риски и есть ли инструменты для их контроля?

Сергей Демидов: С учетом той специфической роли, которую на себе несет Московская биржа, мы изначально уделяли много времени построению безопасной системы. И что на самом деле важно, ключевое слово – «построению».

То модное направление, которое существует несколько последних лет – Security by design – это то, от чего мы отталкивались. Мы изначально строили систему таким образом, чтобы она во многом была киберустойчивой к разным типам атак: не только непосредственно на ядро наших систем, но и на сегменты подключения участников. 

Это очень помогло нам впоследствии. Мы смогли с определенной степенью уверенности пройти через турбулентное время, не допустить каких-то серьезных инцидентов.

Cyber Media: Можно ли говорить о том, что open-source инструменты, которые принято считать «доверенными для комьюнити» (в силу репутации, количества пользователей и тд) могут быть априори доверенными и для конкретной компании?

Сергей Демидов: Мы никогда не считали инструменты open-source сколь-либо доверенными. И изначально всегда уделяли много внимания развитию инструментов и концепции Security by design. То есть, когда в архитектуру конкретного технологического решения встроены элементы безопасности, которые позволяют защищаться от разного рода атак. 

Если кратко об основе – это Security Git’ы. То есть, этапы проверки программного обеспечения на безопасность – они были изначально. Просто текущая реальность, она во многом потребовала усиления контроля и использования более эффективного инструментария, чтобы снизить негативные влияния потенциальных атак на нашу инфраструктуру.

Cyber Media: Есть ли какой-то баланс между «авторским» и открытым кодом, который должна соблюдать компания, чтобы минимизировать риски информационной безопасности?

Сергей Демидов: Плоскость ответа на этот вопрос лежит не в том, что может определить информационная безопасность, либо IT. Во многом это определяется бизнесом. 

Если бизнес-модель построена таким образом, что компания вынуждена динамично развиваться, предлагать новые цифровые продукты, то в этом случае процент использования открытого исходного кода, он будет больше просто за счет того, что такой код развивается большим числом специалистов, чем любая компания может себе позволить. 

С другой стороны, если компания сосредоточена на том, чтобы работали ее ключевые системы – это, например, очень часто случается в рамках АСУ ТП, – то тогда, вероятно, открытый исходный код либо вообще недопустим, либо допустим в очень ограниченном количестве. 

Мы нашли баланс в том, что наши ключевые системы – торговые, биллинговые, депозитарные – это системы, написанные нами самостоятельно с минимальным использованием открытого исходного кода. 

Вместе с тем типовые веб-сервисы – во многом одни и те же в индустрии, – они уже включают в себя достаточно большой объем открытого исходного кода. Но опять же такой код мы считаем недоверенным. Он проходит все необходимые проверки безопасности. 

Cyber Media: Если основываться на вашем опыте, то как стоит выстраивать практику работы с открытым исходным кодом? Практику его интеграции?

Сергей Демидов: Здесь важна интеграция с IT. Я встречал такие практики в своей жизни, когда зачастую информационная безопасность была не в курсе тех новаций, которые происходят внутри IT. Это на текущем этапе недопустимо. 

Необходимо, чтобы информационная безопасность понимала технологии, которые IT использует и собирается использовать. Практику внедрения нужно выстраивать таким образом, чтобы процессы, связанные с IT, соответствовали бизнес-требованиям. 

А информационная безопасность, в свою очередь, выстраивала процессы IT с учетом того, что будут пройдены все необходимые проверки для обеспечения безопасности конечного решения, которым будет пользоваться компания и ее клиенты, если речь идет о клиентских решениях.

Cyber Media: На Ваш взгляд, как следует выстроить корпоративные взаимодействия, чтобы бизнес, разработка и безопасность «дружили» друг с другом?

Сергей Демидов: Простого ответа на этот вопрос не существует, правильное выстраивание отношений между всеми основными стейкхолдерами – это длительная задача, которая в большей степени относится к задаче построения правильной культуры компании. 

Для нас главное – обеспечить всем подразделениям компании прозрачность принятия тех или иных решений. То есть все контрагенты должны понимать, по каким причинам вводятся те или иные ограничения, предлагаются те или иные архитектурные решения. 

Для взаимодействия с бизнесом также важно найти общий язык, что с точки зрения информационной безопасности означает умение оцифровать свои риски и перевести их на язык денег. Тогда становится гораздо проще объяснять те решения, которые реализуются в рамках обеспечения информационной безопасности.