Андрей Акинин, 22/10/21
Что такое Security by Nature, почему безопасная разработка является основой безопасных систем, полезна ли цифровизация бизнесу – эти и другие вопросы мы обсудили с генеральным директором компании Web Control Андреем Акининым.
– Андрей, расскажите немного о себе.
– Я закончил Бауманку (МГТУ им. Н.Э. Баумана. – Прим. ред.) по космической специальности "Информационные измерительные системы", но к моменту завершения обучения космос был слабо востребован, и пришлось уйти в ИТ. До организации собственного бизнеса я успел поработать в разработке и дистрибуции ПО, телекоме, в интеграторской компании, и этот опыт не раз был востребован в дальнейшей деятельности.
Когда мы с партнерами организовывали собственную компанию, поставили перед собой цель создать дистрибьютора с добавленной стоимостью (Value Added Distributor). Тогда это была довольно редкая модель бизнеса, но только она позволяла работать с высокотехнологичными передовыми решениями, с которыми нам интересно было работать. Мы сделали своей миссией продвижение на российском рынке передовых продуктов для корпоративных заказчиков, которые "будут востребованы завтра".
Должен сделать оговорку: отвечая на вопросы, мне трудно разделить свое профессиональное отношение как дистрибьютора систем ИБ и управления разработкой и личный взгляд как владельца бизнеса, поэтому буду говорить скорее с точки зрения владельца бизнеса – предпринимателя, имеющего свой взгляд на вопросы его информационной безопасности.
– Развитие информационных систем постоянно находится под влиянием процессов, происходящих в экономике, бизнесе, политике, обществе и т.д. Как в таких быстро меняющихся условиях обеспечивать полноценную безопасность цифрового бизнеса?
– Давайте определимся, что, говоря о безопасности, мы подразумеваем в первую очередь степень защищенности как главную ценность для бизнеса и клиентов. Прежде всего я бы отметил как проблему для безопасности информационных систем не собственно их развитие как таковое... Наибольшей угрозой для безопасности является именно скорость развития систем.
Когда мы выстраиваем любую безопасность, не только информационную, ее удобно выстраивать в стационарных условиях, когда есть время подумать и проверить. Защищать движущиеся и изменяющиеся объекты всегда гораздо сложнее, впрочем, равно как и атаковать их. По оценке многих экспертов, специалисты идут на компромисс при развитии новых систем, отдавая предпочтение скорости разработки или добавлению новой функциональности в ущерб безопасности. Другими словами, безопасность информационных систем часто приносят в жертву требованиям функциональности и инновационности, что, в общем-то, на первых этапах цифровизации бизнеса и общества было вполне приемлемо.
В современных условиях, когда ИТ становится основным средством производства и доставки ценности, когда информационные активы и цифровые сущности, в том числе и клиентские, становятся основной целью злоумышленников, необходимо радикально изменить подход к обеспечению их безопасности. От наложенной безопасности необходимо переходить к безопасности по природе (Security by Nature).
– Можно ли сделать вывод, что для тех, кто занимается разработкой информационных систем, практически не существует такого понятия, как Security by Nature?
– Я бы не так сказал. Я бы сказал, что классический подход к обеспечению безопасности ИТ уже не работает.
Ведь что такое классическая безопасность? Это защита физических и инфраструктурных активов, выстраивание физических и цифровых периметров – те же самые системы видеонаблюдения, системы разграничения доступа, системы сегментации сетей, Firewall, IDS/IPS и т.д. Все они создают, к сожалению, барьеры, которые мешают бизнес-процессам, да и в целом развитию бизнеса. И именно в условиях ускорения развития в непрерывно меняющемся мире становится критически актуальной концепция разработки информационных систем Security by Nature или, говоря по-другому, интегрированная безопасность.
Поясню свою мысль на примере: для того чтобы автомобиль был безопасен по отношению к водителю, в начале прошлого века достаточно было ограничить скорость его передвижения и поставить ограждения вдоль дороги, чтобы минимизировать потенциальный ущерб. Но в современных условиях, когда потребность в количестве и скорости автомобилей непрерывно растет, в дорожном движении участвует огромное количество автомобилей, скорость перемещения, по сути, стала основной ценностью автомобиля, и ограждение дорог уже не обеспечивает должной безопасности для движения. Это стало возможным благодаря тому, что стали разрабатывать автомобили с интегрированными системами безопасности не только водителя и пассажира, но и других участников движения. Эти автомобили становятся все более и более безопасными по природе, и в конце концов они не смогут причинять вред ни водителям, ни пешеходам.
По сути, сейчас мы подошли к такому же периоду в развитии информационных систем, к эдакой фазе информационных супермагистралей, на которых существует огромное количество взаимодействующих информационных систем и их пользователей. При этом необходимо, чтобы они не мешали другу другу и не несли угрозы. А угрозы безопасности зачастую реализуются неожиданно, их сложно предсказать по времени и нередко невозможно предотвратить. Вспоминается русская поговорка "Знал бы, где упасть, соломки постелил бы"; так вот, в современной динамической информационной среде "соломку" надо носить с собой.
Чтобы повысить безопасность информационных систем, нужно думать о ней в тот момент, когда мы их задумываем, не рассчитывая, что потом их можно будет защитить файрволом или создать для них безопасную среду.
– Считаете ли вы, что безопасная разработка лежит в основе обеспечения безопасности информационных систем?
– Да, конечно. Но я не люблю термин "безопасная разработка", он понятен только профессионалам в информационной безопасности. Вы знаете, очень тяжело переводить на русский язык английские слова, потому что Secure и Security – это разные понятия, а Security Development Lifecycle и Secure Development Lifecycle переводят одинаково – как жизненный цикл безопасной разработки. Но есть разница...
Часто этот термин ассоциируют с разработкой безопасных систем, но это тоже не совсем точно. Потому что это создает иллюзию, что, проверив результат разработки на отсутствие уязвимостей и НДВ, мы можем говорить о его безопасности. Поэтому, когда мы говорим о безопасной разработке, наверное, правильнее было бы иметь в виду, что требования обеспечения безопасности должны учитываться во всех процессах разработки наравне с требованиями функциональности, производительности, надежности и т.д.
Вы верно подметили в начале нашего разговора, что безопасность системы гораздо шире, чем информационная безопасность. Это нужно иметь в виду, когда речь идет о безопасной разработке: безопасность – это не только отсутствие уязвимостей и борьба с утечкой информации, но это также и основная составляющая общей надежности продукта. Почему-то, создавая информационные системы, разработчики всегда думают о надежности работы, об отсутствии ошибок, об удобстве использования и т.д., но ведь наличие уязвимости – та же ошибка, и с ней нужно ровно так же бороться, как с неправильно работающей кнопкой в интерфейсе.
Раньше продукты выпускались на рынок практически без тестирования, потому что нужно было "быстрее-быстрее, вперед-вперед". Что уж говорить о контроле безопасности разработки! Сейчас, когда мы говорим о качественной разработке, то подразумеваем наличие систем автодокументирования, автоматическое тестирование и т.д. Вот точно так же нужно говорить об автотестах на безопасность, как и об автотестах на все остальное. Конечно, это следствие появления Agile-концепции в ИТ, и это неплохо. Просто нужно уметь правильно ей пользоваться. Как? Для этого необходимо вдумчиво читать литературу, а не ограничиваться поверхностным ознакомлением с двенадцатью принципами Agile. Ведь существует огромное количество фреймворков, которые позволяют сделать Agile надежным, безопасным, управляемым, предсказуемым. А еще бережливым – есть даже такой термин, Lean Agile (бережливый), эта тема сейчас очень актуальна.
Последнее время активно развиваются фреймворки, которые позволяют управлять большими проектами разработки. Agile – это хорошо, гибко, быстро и эффективно, когда есть самоорганизующаяся команда, как правило, размером не более десяти человек. Как только в команде оказывается более десяти человек, необходимо тратить дополнительные усилия на их организацию. В этот момент и возникают проблемы нормализации работы. Agile-разработку часто называют хаотичной в противовес "водопаду".
Я заметил, что многие компании стали задумываться о том, как сформулировать новые принципы разработки, во многом заново изобретая велосипед. Например, Sbergile – фреймворк, который Сбербанк создал и позиционирует на российском рынке как систему управления крупной разработкой. Впрочем, Сбербанк, несомненно, может себе позволить потратить большое количество ресурсов и времени на создание собственного фреймворка управления Agile-разработкой. Большинству же компаний, наверное, целесообразней выбрать один из имеющихся.
Есть различные готовые фреймворки, например SAFe, который позволяет командам с десятками, сотнями и тысячами разработчиков выстроить управление и получать запланированный результат в прогнозируемый срок в рамках выделенного бюджета, не забывая при этом про безопасность. И здесь без изменения образа мыслей, культуры разработчиков, представителей ИБ, как, впрочем, и владельцев бизнеса, не обойтись. Это то, чем мы сейчас активно занимаемся. Некоторое время назад один из ведущих мировых производителей систем для управления разработкой подписал с нами дистрибьюторское соглашение, и в данный момент мы активно продвигаем это решение на рынке. Речь о Digital AI. Это название появилось только в прошлом году вследствие объединения нескольких компаний, которые занимались управлением разработкой. Так в нашем портфеле появился новый класс продуктов Intelligent Value Stream Management Platform, но это, наверное, тема другого разговора.
– То есть можно сделать вывод, что безопасность систем заложена в процессе безопасной разработки?
– Именно так. Есть актуальный термин Shift Left, смысл которого можно передать как "давайте думать пораньше". Я уже упоминал русскую поговорку про солому, так вот, давайте думать, где мы можем упасть, заранее, и давайте возьмем с собой правильную "соломку", я говорю об интегрированной безопасности. Концепция Shift Left позволяет в условиях хаотичной разработки смещать контрольные функции, функции дизайна безопасности на более ранние этапы. Другими словами, недостаточно тестировать конечный продукт, тестирование должно происходить на более ранних фазах, когда продукт только начинает разрабатываться, а еще лучше тестировать на безопасность алгоритмические модели, когда они только придумываются. Это, конечно, непросто, это требует изменения культурного кода разработки, но это дает хороший результат, и прежде всего в деньгах, в повышении качества и скорости разработки.
Безопасная разработка – это целый комплекс мероприятий, который требует изменения подхода к процессу разработки. Я горячо поддерживаю ФСТЭК, который вынуждает разработчиков систем безопасности не ограничиваться проверкой кода на уязвимости и недекларированные возможности, но и развивать новый подход к обеспечению уровня доверия к процессу разработки, а это и есть Shift Left. Необходимо расширить этот подход на создание всех информационных систем, критичных для бизнеса, пользователей и нашей страны в целом. То есть мы должны быть уверены в процессе нашей разработки, в ней уже реализован определенный комплекс мер, обеспечивающий безопасность. Вот это и есть Security by Nature!
– Цифровизация образования, экономики, медицины и других сфер – это хорошо или плохо?
– Это отлично! Это повышение доступности.
– И минусов нет?
– Минусы есть везде. Цифровизация – это хороший тренд, но многие путают цифровизацию и автоматизацию, а это абсолютно разные вещи. Так же, как многие берут свои классические команды разработки, называют их Agile-командами или переименовывают программ-менеджеров в продакт-менеджеров, хотя это разные роли и без изменения образа мысли это не работает. Поэтому, когда речь идет о цифровизации, многие думают, что, переведя процессы в автоматизированную систему, они выполнили условия цифровизации. Категорически – нет!
Цифровизация требует не только замены инструментов; замены бумаги на электронные бланки недостаточно. Цифровизация требует радикального изменения в подходах к ведению бизнеса, созданию цифрового продукта, к разработке нового программного обеспечения, отвечающего этому подходу, сейчас ПО становится основным средством производства пользовательской ценности, которым раньше были станки и конвейеры, и его безопасность нужно обеспечивать по-другому. ПО нельзя поставить за забор и нанять охрану, оно гораздо доступней для вторжения извне и внутренней диверсии, именно поэтому вопросы информационной безопасности настолько важны в современном мире. Но при всем при этом не нужно на них зацикливаться, это лишь один из критериев надежности, необходимый, но недостаточный для успеха бизнеса.
– Возрастающая скорость цифровизации – положительный фактор? К чему в итоге это приведет?
– Конечно. Мы движемся к тому, что системы становятся все более совершенными, надежными и безопасными, и скорость цифровизации вынуждает нас уделять все больше внимания интегрированной безопасности, безопасности по природе. Без этого уже сейчас невозможно обеспечить адекватную информационную безопасность бизнеса. Безопасность – это один из базовых принципов, один из критериев качества, и нельзя его отрывать от общих подходов к обеспечению качества. Если мы посмотрим на материалы, которые готовятся нашими и иностранными государственными институтами, то увидим, что в них делается акцент на комплексном подходе к качеству, включая требования к безопасности. Причем западные регуляторы уделяют особое внимание обеспечению качества в условиях гибкой разработки Agile. Безопасность – это неотъемлемая часть любой системы. Поэтому я категорически против того, чтобы обосабливать вопросы информационной безопасности, то есть терминологически отчуждать ее от общих подходов к обеспечению качества разработки.
И я давно повторяю в разговорах со специалистами информационной безопасности: хватит быть препятствием. Так и говорю: хватит тормозить бизнес, давайте думать, что мы можем дать бизнесу, как сделать его более безопасным. Наверное, не всем это нравится, ну уж извините, пора меняться, жизнь вокруг меняется все быстрей, перед бизнесом, а в последнее время и перед государством стоит дилемма "Беги или умри". Другими словами, информационная безопасность должна быть не ограничителем для развития бизнеса, а напротив – деблокиратором (enabler), позволяющим бизнесу двигаться быстрее, без пробок, без угроз, по безопасной траектории. То есть информационная безопасность должна создавать безопасную среду для работы информационных систем там, где и когда это необходимо.
Самый главный положительный фактор этой скорости в том, что мы делаем нашу систему одновременно доступной для всех клиентов в любом месте, но это и главный отрицательный фактор, одновременно мы делаем ее доступной для атак со стороны всех злоумышленников, увеличиваем поверхность атаки.
Масштабы бизнеса меняются, открываются новые возможности для зарабатывания еще большего количества денег. Но, если не думать о безопасности, одновременно увеличивается риск потерять уже заработанное.
– Согласны ли вы с тем, что основными источниками утечек информации являются менеджеры среднего звена?
– Я бы сформулировал немного иначе: велика вероятность того, что утечка произойдет на уровне менеджеров среднего звена. Потому что, во-первых, они многочисленны, а во-вторых, уровень их подготовленности в вопросах ИБ не всегда на высоте. Но я считаю контрпродуктивным возлагать на них всю ответственность за это. Когда на данном уровне происходит утечка, это означает, что система безопасности была плохо продумана и выстроена. Ведь если модель угроз была выстроена правильно, если она адекватна реальной ситуации, то и утечка будет менее вероятна, а ущерб минимален. И кстати, не последнюю роль в этом играет сотрудничество между бизнесом и ИБ, создание надежной защиты – не только вопрос безопасника, но также и вопрос выстраивания безопасных траекторий в бизнес-процессе. Очень часто угрозы безопасности можно минимизировать, перестроив бизнес-процессы и внедрив соответствующие инструменты их автоматизации.
Поэтому здесь правильнее говорить о четко выстроенной системе безопасности бизнес-процессов, поддерживаемых безопасным ПО, а для этого стоит еще раз вспомнить про безопасность по природе. Как я уже говорил ранее, для создания безопасных информационных систем обеспечения бизнеса необходимо думать об их безопасности уже во время разработки.
– Что является основополагающим при выборе вендора, с которым вам предстоит сотрудничать? Какие продукты вас интересуют в первую очередь?
– Прежде всего продукт должен работать. Поэтому мы тщательно испытываем все решения в собственной лаборатории до подписания дистрибьюторского контракта. Там же мы в дальнейшем демонстрируем системы и оборудование своим партнерам и конечным заказчикам. Затем я должен понять, какую пользу от его применения получит наш заказчик, и отсеять те продукты, которые не имеют потребительской ценности для наших заказчиков. Ну и наконец, мы выбираем продукты, которые будут востребованы завтра, а это непростой выбор. Мы изучаем тенденции рынка, аналитические отчеты и прогнозы, общаемся с конечными потребителями, узнаем их потребности. Кроме того, я стараюсь не работать с теми продуктами, которые уже присутствуют на российском рынке: не понимаю, в чем смысл отбирать кусок пирога у действующего дистрибьютора. В наш портфель попадает в лучшем случае одно решение из пяти рассмотренных. Конечно же, бывают и ошибки, но это осознанный риск.
Такая работа требует постоянного обучения, расширения экспертизы. Наши инженеры проходят обучение у вендоров и сертификацию в различных областях. Я сам постоянно обучаюсь, потому что предлагать нашим партнерам и клиентам можно только то, в чем сам хорошо разбираешься. По многим продуктам мы имеем собственных инструкторов и читаем авторизованные курсы. Сейчас, например, я изучаю SAFe – Scaled Agile Framework 5.0, уже получил сертификат SAFe 5 Agilist и готовлюсь к сдаче экзамена на сертификат консультанта по внедрению SAFe – SAFe 5 SPC. Я считаю, что невозможно предлагать на рынке продукты по управлению разработкой, не имея соответствующей квалификации в этой области.
– Как вы считаете, ситуация с коронавирусом отрицательно повлияла на бизнес или открыла новые возможности?
– Действительно, ситуация с коронавирусом и изменением экономического климата очень сильно повлияла и на наш бизнес – существенно снизились обороты, изменилась структура спроса. Но нужно осознать, что мы живем уже в новых условиях, назад пути нет, и сотрудники назад, в офисы, с удаленного режима не вернутся. Буквально вчера я разговаривал с братом, который учится в лондонской бизнес-школе. Там всерьез говорят о том, что главная ошибка людей в современном мире – это надежда, что все будет как прежде, все вернется назад. Не вернется, привыкайте к новым условиям! Как говорил Гераклит, нельзя дважды войти в одну и ту же реку.
Россия оказалась чуть больше подготовленной к этим новым условиям, потому что наше государство имеет сравнительно высокий уровень цифровизации, к тому же мы с 2014 г. живем в критическом окружении в условиях нарастающего санкционного давления. Поэтому каких-либо катастрофических изменений в нашей жизни не последовало. Крупные мировые корпорации тоже не особо пострадали от этих новых условий, потому что уже давно работают удаленно, у них давно распределенная инфраструктура. У них есть головной офис, в котором, возможно, трудятся разработчики, финансисты и т.д., но основная часть европейских офисов территориально распределена. У некоторых компаний региональные офисы располагаются в бизнес-центре аэропорта, причем исключительно для проведения деловых встреч и поддержания документооборота. Все сотрудники, даже имеющие там кабинеты, работают из дома, приезжая в этот офис только ради переговоров.
Так что большинство западных компаний были готовы к подобной работе, как и многие российские компании. Технологии-то у них имелись, но удаленная работа была скорее исключением в силу определенного консерватизма в подходах к обеспечению безопасности такой работы.
В этих условиях оказались актуальными средства обеспечения удаленной работы привилегированных пользователей. Мы достаточно давно занимаемся этими системами. Один из наших вендоров, BeyondTrust, предлагает очень интересное решение, которое не только обеспечивает удаленную работу привилегированных пользователей с инфраструктурой заказчика, но и, в отличие от других поставщиков таких решений, имеет и систему удаленной поддержки пользователей, работающих вне офиса.
Это вообще интересная тема, потому что когда сотрудники уехали в домашний офис, у них стали возникать новые технические проблемы. А как их решать? Как осуществлять поддержку удаленного сотрудника? Как решать проблемы с работой удаленного сотрудника? Использование Zoom или TeamViewer порождает бреши в безопасности!
Поэтому безопасная удаленная поддержка – очень важный аспект безопасности бизнеса. Решать такие вопросы подручными средствами можно, но это может быть небезопасно.
Все уже есть, все придумано. Ребята, не городите огород! Стоит учитывать опыт крупных распределенных международных компаний, чтобы не проигрывать им, чтобы получать выгоду для вашего бизнеса в нашей стране. То есть тот человек, который понимает, что делать с цифровизацией, как сделать бизнес независимым от локации, от квалификации персонала – именно такой человек получит наибольшее конкурентное преимущество в современном мире, заработает больше денег и сохранит их для своих потомков.
– Прислушиваются?
– Гром не грянет – мужик не перекрестится!
– А почему не прислушиваются? С чем это связано? Дело в менталитете?
– Нет, вы знаете, это не только проблема России. С момента организации бизнеса я часто общаюсь на различных партнерских конференциях с европейскими компаниями, дистрибьюторами – у них ровно та же история в Европе, Африке, Латинской Америке. В России в этом смысле ничего специфичного нет, бизнес везде похож, и везде бизнес считает деньги. Но очень тяжело посчитать недополученные деньги, и очень тяжело считать те убытки, которые мы не замечаем. Когда у вас крадут деньги, нужно знать, сколько их было в кошельке. Если не знаете, сколько у вас было денег в кошельке, то никогда не узнаете, взяли ли их оттуда или нет.
Широко известна пирамида потребностей по Маслоу. То есть, условно говоря, когда не в чем выйти на улицу, например ботинки рваные, то вы не станете думать о покупке нового галстука. Я хочу сказать: когда у вас нет хорошо выстроенной системы идентификации пользователей, бессмысленно думать об управлении привилегиями, когда у вас нет системы защиты периметра, бессмысленно думать о системах поведенческого анализа и т.д.
Пандемия спровоцировала ускорение цифровой трансформации бизнеса, необходимость более активного использования распределенных информационных систем, потому что невозможно управлять сотрудниками в распределенных офисах, если у вас нет соответствующей инфраструктуры. Именно необходимость более активного использования распределенных информационных систем спровоцировала потребность в их защите, а значит и изменение подходов в безопасности.
До того момента, пока вы можете оставить свою информационную систему внутри периметра, у вас есть иллюзия, что она принадлежит вам и вы можете ее контролировать. Как только ваш бизнес становится распределенным, вы лишаетесь этой иллюзии. Здесь есть очень важный нюанс, о котором я упоминал ранее, а именно какая часть вашего бизнеса зависит от этих информационных систем. Необходимо здраво оценивать и понимать, насколько ваш бизнес зависит от развития ИТ-систем. Сейчас многие компании начинают активно задаваться вопросом интегрированной информационной безопасности бизнеса, потому что они все больше зависят от его автоматизации и цифровизации.
– Как вы считаете, насколько активно информационная безопасность движется в сторону предоставления сервисов другим подразделениям?
– Это сложный вопрос. Да, они пытаются это делать. Но, мне кажется, это контрпродуктивно. Точнее, такой подход устарел. Потому что этот подход иерархический, когда у нас есть некие функциональные подразделения, которые оказывают друг другу услуги. Мир уже другой. Для того чтобы выжить в современных условиях, компании должны быть клиент-ориентированными, значит должны формировать кросс-функциональные команды, способные решать весь спектр задач в рамках определенного потока создания ценности.
Вы все, наверное, помните этот "страшный" термин "матричная организация производства". Lean Agile – это, по сути, способ формирования команд и гибкого управления, но не проектных, а собранных вокруг создания пользовательской ценности. Как я уже говорил, жизнь меняется очень быстро и скорость этих изменений растет. Чем более жесткая иерархическая структура, чем больше функциональная специализация, тем сложнее перестраивать структуру и контролировать полноту функционального покрытия потребностей бизнеса. Жизнь заставляет нас создавать динамичные кросс-функциональные команды, способные удовлетворять конкретную потребность бизнеса или клиента. Бесполезно бороться с трендом ухода от иерархической системы управления.
Да, я считаю, что информационная безопасность должна двигаться в сторону интеграции с другими подразделениями. И здесь как раз специалисты информационной безопасности могут выступать лидерами перемен, проводниками идеи безопасности по природе. Они должны стать источниками информации и источниками новой культуры в бизнесе.
Мне больше нравится не сервисный, а экспертный подход, который завоевывает все большую и большую популярность. То есть специалисты ИБ должны стать экспертами для других подразделений в вопросах, что и как делать, быть открытыми для конструктивного общения в рамках гибких команд.
Я верю в подход Security by Nature.
