Контакты
Подписка 2024
Статьи по информационной безопасности

Обычно удается убедить руководство, что затраты на ИБ – это инвестиции

Сергей Матвеев, 26/02/21

Задает вопросы Лев Матвеев, председатель совета директоров «СёрчИнформ»
Отвечает Сергей Матвеев, директор по безопасности ПАО ЧТПЗ, доцент департамента анализа рисков экономической безопасности Финансового университета при правительстве РФ 

Самый интересные ИБ-кейсы за годы работы

За двадцать лет работы у меня скопилось много кейсов, касающихся расследования мошенничества и коррупции менеджеров и руководителей компаний. Например, в «Связном» были интересные кейсы по выявлению карточного и кредитного мошенничества. Тогда, к сожалению, на вооружении у нас не было таких систем, как DLP, и все приходилось расследовать вручную, доказательства собирали по крупицам. Но в расследовании последних кейсов сильно помогла DLP - с ее помощью собирали фактуру для правоохранительных органов.

В ритейловом опыте была история выявления коррупционера в закупках, который забирал до 5% с каждой поставки. Ущерб оценивался в десятки миллионов рублей, но главное – страдала репутации компании, а это самое ценное.

В металлургическом бизнесе ущерб от коррупции тоже может исчисляться десятками миллионов рублей, например, когда коррупционеры изначально дают неправильные заключения по качеству принимаемого товара.

В производстве превалирует критическая инфраструктура, в защищенность которой приходится инвестировать больше денег, чем в ритейле. Здесь есть станки и компьютеризированные цеха, работу которых внутренние и внешние злоумышленники могут остановить, если проникнут в информационные системы. Это приведет к большим убыткам, ведь станки нужно будет перезапустить и перенастроить.

Внешние и внутренние угрозы

На ЧТПЗ 20 тыс. рабочих, большое количество ПК, то есть важность внутренних и внешних угроз сопоставима. Наши системы защиты улавливают и отрабатывают каждый день инциденты разных типов – и фишинговые атаки, и попытки проникновения в нашу информационную сеть, и ошибки сотрудников.

Мой опыт показывает, что большое количество инцидентов связано не столько со злоумышленниками, сколько с халатностью работников. Проводя интерактивные курсы по обучению в области информационной безопасности, мы видим, что наши сотрудники часто ошибаются. Мы стараемся их дообучить, понимаем, что ИБ – сложный предмет. Сложно объяснить, что если сотрудники кликнут на неверную ссылку, это приведет к плохим последствиям. К счастью, фатальных пока мы не имеем.

Отмечу, что эффективность работы сотрудников нас как ИБ не интересует, потому что в первую очередь мы используем наши системы для контроля утечек информации, то есть деятельности сотрудников, которая может нести негативные последствия для компании. Но при этом у нас накапливается статистика по эффективности работы, которая может позволить руководителям и эйчарам  провести анализ нагрузки на людей, оптимальности структуры подразделения, и мы готовы поделиться этими знаниями.

Кроме того, если человек недозагружен, ему могут прийти в голову дурные мысли, которые повлияют на информационную безопасность. Такая аналитика была бы полезна, но это история завтрашнего дня, когда мы разберемся со всеми острыми проблемами и перейдем к более тонким материям, научим нашу систему общаться один на один с каждым сотрудником.

Мы для себя сделали великое открытие, что, оказывается, на удаленке можно работать и производственным компаниям, хотя были и рьяные противники этого, адепты исключительно офисной работы. При этом в первую очередь увеличилась нагрузка на ИТ, поскольку люди из дома начинают чаще заходить в информационную систему, и нужно обеспечивать безопасность всех входов.

С апреля, когда мы ушли на дистанционную работу, пройден большой путь в части понимания защиты сотрудников, работающих из дома. В частности,  мы расширили применение DLP для контроля производственной деятельности и учета рабочего времени. Когда человек трудится дома, проблема контроля стала актуальнее - важно понимать, чем он занимается и на что тратит ресурсы компании.

Окупаемость ИБ-решений

В ЧТПЗ защитные решения развернуты на большом количестве ПК. Мы строим систему безопасности на анализе рисков, и к каждой инвестиционной трате (на DLP, SIEM или другую систему для экономической безопасности) подходим с тех же позиций. Мы говорим руководству, сколько будет стоить реализация обсуждаемого риска в деньгах и какова вероятность его наступления. Если руководитель готов принять риск, то не тратимся на средства защиты от него. Но в большей части случаев нам все же удается убедить топ-менеджемент в том, что небольшие инвестиции позволят перекрыть риск в долгосрочной перспективе.

При этом средний срок окупаемости ИБ-систем у нас – не более двух лет. Но DLP, к примеру, оправдывает себя буквально за пару месяцев, учитывая большое количество выявляемых злоумышленников, коррупционеров и мошенников, а также размер предотвращаемого ущерба.

Налаживать систему безопасности можно и нужно только в тесном взаимодействии с ИТ-отделом. 

ИБ и ИТ на предприятиях – антагонисты. Нельзя сказать, что нам удалось разрешить все противоречия, но нам удалось наладить партнерские взаимоотношения, нам нечего делить, хотя и присутствует здоровый конфликт интересов. Но мы понимаем, что мы не сможем без ИТ-подразделения реализовать практически ни одну свою инициативу. Все, что мы делаем, базируется на ИТ-инфраструктуре, всю информацию мы собираем из нее, поэтому без партнерских взаимоотношений и взаимопонимания не будет результата.

Аутсорсинг ИБ

Если говорить в общем, функции экономической и информационной безопасности нельзя передавать на аутсорсинг. Но вопросы информационной безопасности неоднородные. Например, управление и аналитику DLP я бы никогда не передал партнеру, потому что система собирает много внутренней чувствительной информации. А вот управление инцидентами (то, чем занимается SIEM) можно с удовольствием передать подрядчикам, поскольку инциденты везде одинаковые и обезличенные. Да и у нашего контрагента есть обширная база данных, которую можно использовать в части обработки и лечения этих инцидентов.

То же самое в экономической безопасности. Я со спокойной душой передавал на аутсорсинг проверку персонала и контрагентов, ничего секретного здесь нет. Но, например, антикоррупционную работу, борьбу с мошенничеством я бы не стал передавать. Не потому что не доверяю внешним партнерам, а потому что понимаю: не погрузившись в бизнес, не зная людей, бизнес-процессы, работать качественно по антикоррупционной программе с мошенничеством невозможно.

Для малых компаний, у которых 100-200 ПК и нет ИБ-службы, аутсорсинг - это единственный вариант, потому что небольшой бизнес не может себе позволить выделенные подразделения ИБ и экономической безопасности. Зачастую эти бизнесы вообще не занимаются вопросами безопасности. Для них, конечно, полезны внешние аутсорсеры по ИБ хотя бы в базовом варианте – для управления инцидентами, проверки контрагентов и персонала, элементарной работе по корпоративному мошенничеству и коррупции.

С какого количества ПК в компании надо бросать аутсорсинг и заводить штатную службу ИБ, я не смогу ответить. Это зависит от отрасли, собственника, команды. Известны крупные ритейл-компании, у которых безопасность до сих пор никак не организована.

Но если пытаться привязаться к размеру штата, то 500 сотрудников – это уже серьезный бизнес, для которого нужен контроль информационного периметра и корпоративного мошенничества. Нужно, чтобы несколько человек занимались информационной и экономической безопасностью.

Портрет современного ИБ

В университете мы много обсуждаем, как трансформировался портрет специалиста инфобеза и как он еще будет меняться. Не буду заниматься футурологией, но через 5-10 лет безопасность перейдет в область «цифры», аналитики, защиты информации. Уже сейчас роль офицера безопасности в общей корпоративной безопасности возросла, он становится главным, потому что все крутится вокруг информации – экономической, физической, технической безопасности. Да и сам бизнес крутится вокруг информации.

Отсюда и последствия: кадровый голод и необходимость повышения зарплат для удержания специалистов.

Навыки и знания специалистов зависят от направления, в котором они работают, но в целом речь идет уже не об «опере», а о человеке с профильным специальным образованием в области ИБ, даже если у него нет навыков оперативно-розыскной деятельности. У него другие задачи по защите информационного периметра, добыче информации. А дальше подключаются аналитики с опытом оперативной и следственной работы, которые умеют эту информацию обрабатывать и принимать нужное решение.

Говоря о себе скажу, что главный драйв от работы шефом безопасности, видеть, как складывается работа, когда мы строим гипотезы, собираем по ним информацию, находим проблему. Когда чувствуешь, что идешь в правильном направлении. Сотрудники кайфуют от того, что делают правильные вещи правильными инструментами. А руководитель – от того, что команда слаженная и каждый в ней делает свое дело.
Темы:DLPУправлениеЧТПЗ

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?
  • DLP для эффективной работы с рисками информационной и кадровой безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Нерациональное поведение и ошибки людей – основные слабые стороны, выявляемые в инцидентах безопасности, создающие репутационные риски и являющиеся причинами высоких затрат. Как в решении данной проблемы может помочь DLP?
  • О физиках, лириках и флешках
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Техническая задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. Эта задача решена в защищенной флешке “Секрет Особого Назначения”. Коротко рассмотрим, как.
  • Next Generation DLP. Поспорим о терминах
    Владимир Ульянов, руководитель аналитического центра Zecurion
    Совместное использования DLP и DCAP - это и есть идея DLP следующего поколения: соединить части, которые были искусственно разделены для обеспечения безопасности данных.
  • Атакующий дебют: разбор неразмеченных событий в DLP
    ИИ, машинное обучение и когнитивные технологии для автоматизации работы с большими данными – это не хайп, а реальный инструмент для анализа и классификации большого объема информации, выявления непостижимых для человеческого мозга связей и закономерностей.
  • DLP: маловато будет. Защита персональных данных на протяжении всего жизненного цикла
    Рустэм Хайретдинов, заместитель генерального директора группы компаний “Гарда”
    При защите персональных данных самые мощные аналитические инструменты DLP-систем – контентный анализ и "цифровые отпечатки" недостаточно эффективны.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"