Контакты
Подписка 2025

Информационная безопасность становится клиентоцентричной

Дмитрий Гладченко, 23/06/21

Интервьюер: Лев Матвеев, председатель совета директоров «СёрчИнформ»
Гость: Дмитрий Гладченко, заместитель директора по информационной безопасности дирекции по обеспечению бизнеса компании «Лента»

- Дмитрий, что привело вас в информационную безопасность?

- Путь в информационную безопасность я начал, как и большинство моих коллег, из ИТ. В школе увлёкся программированием, затем осознанно выбрал профессию и поступил в вуз на специальность, связанную с автоматизированными системами управления. Я работал по профилю в различных компаниях: занимался программированием, консалтингом, внедрял информационные системы, участвовал в ряде интересных проектов по автоматизации процессов на предприятиях. В одной компании я был единственным айтишником, и все задачи, в том числе по ИБ, ложились на мои плечи. В какой-то момент я понял, что информационная безопасность мне особенно интересна, и решил двигаться в этом направлении.

- И где оказалось комфортнее: в ИТ или в ИБ?

- С точки зрения личного интереса – в обеих сферах. Но комфортнее в ИТ, более человечно, скажем так. Хотя сейчас информационная безопасность меняется, становится клиентоцентричной – «безопасники» понимают важность нахождения партнерских отношений с бизнес-подразделениями. Отношение к безопасности как к карающему органу уходит в прошлое.

- Назовите самые большие вызовы ИБ в ритейле.

- Первое – это обеспечение безопасности данных и платежей в онлайн-сервисах. Пандемия показала, что этот сегмент будет расти. Второй тренд – это защита данных и противодействия мошенничеству: фишингу, социальной инженерии. Нам нужно постоянно информировать пользователей, проводить обучающие мероприятия о том, как распознать фишинг. Делаем мы это в простой и доступной форме. Конечно, для защиты мы применяем и технические средства, работаем с провайдерами. К правоохранителям, к счастью, пока не приходилось обращаться.

- Создает ли вам повсеместная цифровизация процессов дополнительную головную боль?

- Без «цифры» мы в светлое будущее уже не пойдём, поэтому цифровизация – это плюсы, а не головная боль. Это возможности что-то улучшить, где-то повысить эффективность – и для ИБ, и для бизнеса. Естественно, нам приходится держать руку на пульсе, чтобы понимать, куда развиваются бизнес и отрасль в целом. Для обеспечения ИБ мы используем классическую линейку продуктов: средства антивирусной защиты, анти-спам и системы противодействия DDoS, системы предотвращения вторжений, обязательно встроенные средства защиты.

- А какой кейс за вашу практику запомнился больше всего?

- Расскажу про смешной кейс. В начале 2000-х годов на одном из онлайн-форумов участник обсуждал возможность взлома электронного ключа антивирусной программы. В ветке с обсуждением его предупредили, что такие вещи не нужно обсуждать публично. На это он ответил: «Если меня вычислят, побреюсь опасной бритвой «Нева». Мы с коллегой поняли, что такие разговоры ведет сотрудник нашей компании, не поленились, купили бритву, пришли с ней к работнику в кабинет. Достали бритву – и он всё понял.

- Да, не надо обещать то, в чём не уверен. В последнее время СМИ часто публикуют данные про утечки. Опасны ли для ритейлера такие публикации?

- Наверное, это страшно. Поэтому мы предпринимаем все необходимые организационные и технические меры, чтобы защищать персональные данные покупателей.

- В «Ленте» 50 тыс. сотрудников и около 20 тыс. компьютеров. Как вы работаете с человеческим фактором?

- Мы пытаемся донести важность киберкультуры до каждого сотрудника, используем для этого всевозможные каналы коммуникации и форматы: публикации, рассылки. Мы предупреждаем сотрудников о мошенниках, которые уводят деньги с банковских карт, разрабатываем обучающие курсы, где говорим: «коллеги, вы дома можете делать что хотите, но на работе должны придерживаться правил, установленных работодателями». Явных случаев пренебрежения правилами мы в настоящий момент не фиксируем, и это показывает общий рост сознательности сотрудников. Сейчас люди чащу задумываются о последствиях прежде чем где-то оставлять сканы своего паспорта.

- В ИТ цель – всё разрешить, а в безопасности – всё запретить. Как «Ленте» удаётся разрешить этот конфликт интересов?

- Мы с коллегами строим партнерские отношения, стараемся найти компромисс во всех вопросах на стыке наших зон ответственности, выстраиваем постоянный диалог, проводим анализ и оценку рисков, отслеживаем тренды и альтернативы, которые бы могли заменить небезопасные решения. Какие-то некритичные моменты могут проскочить, но в глобальных мы всегда действуем согласованно. Так мы идём одним фронтом, чтобы обеспечить и функциональность сервисов, которые внедряются в компании, и их безопасность.

- Ощущаете ли вы кадровый голод, или вам хватает специалистов?

- Безопасников всегда не хватает – задач много, и они интересные. Мы пытаемся обосновывать для бизнеса ценность информационной безопасности, показывать те преимущества, которые можно получить. Иногда нас слышат, иногда просят поумерить аппетиты. Поэтому здесь тоже вопрос поиска компромиссов. Как руководитель службы, я хотел бы иметь с десяток сотрудников, которые занимались бы вопросами ИБ и развивали направления, на которые не хватает времени.

- На Западе в последние несколько лет развивается MSSP-направление. Каково ваше отношение, можно ли отдавать безопасность на аутсорсинг?

- Нужно искать баланс. Когда бизнес отдаёт сервисы ИБ на аутсорсинг, он лишает себя возможности развивать внутреннюю экспертизу. Сторонние специалисты не подконтрольны. Есть риск, что в какой-то момент времени бизнес может остаться ни с чем.

Подрядчики могут быть разные, и уровень формализации работ, которые они проводят, может быть разной. Кто-то документирует свои действия, кто-то нет. Поэтому вся экспертиза оказывается у аутсорсера. Я считаю, что аутсорсинг можно привлекать для решения горящих задач или тех, для решения которых ИБ-сервис востребован постоянно и вписан в бизнес-процессы. Но я сторонник того, чтобы экспертиза развивалась внутри компании.

Блиц-опрос

- Каков у вас главный драйв от профессии?

- Главный драйв от профессии в широком спектре задач, желании помочь бизнесу в достижении бизнес-целей. Мне нравится, что нельзя расслабляться, нужно быть в тонусе, принимать новые вызовы.

- Какой подход вам ближе: всё запретить или всё разрешить и контролировать?

- Два года назад я бы сказал «всё запретить». А сейчас всё-таки второй вариант.

- Человек пишет в соцсети негатив о компании, что будете с ним делать?

- Первое – нужно понять причины и мотивы. Второе – как это соотносится с этической политикой компании. Далее провести переговоры с его руководителем.

- Есть ли люди или человек, у которых вы бы хотели поучиться?

- Есть эксперты, которые сильны в определённых областях, у них я бы понемножку набрался опыта.

- В завершении хотел бы предложить вам кейс. Угадайте, реальный он или нет? В автосалоне узнали, что как только клиенты покидали офис, они получали звонки от конкурентов с более выгодным предложением. Из-за этого было сорвано около 120 сделок. В компании решили, что это взлом хакеров, которые получили доступ к базе клиентов. Правда или нет?

- Я думаю, такой случай мог произойти и не обязательно взломом. Это внутренняя утечка, инсайд.

- По сути, верно. Была другая проблема – очень лёгкие пароли. Любой сотрудник мог войти в CRM-ку и получить всю нужную информацию, не относящуюся к нему напрямую. Кстати, а у вас в «Ленте» как с паролями?

- У нас с паролями всё хорошо, мы придерживаемся строгой политики: есть технические ограничения на сложность и уникальность. Также стандартной является практика управления ролями полномочий. Грамотный подход к этому вопросу позволяет уйти от рисков. Для защиты от появления «мёртвых душ» необходима четкая связка с HR-системой. У нас блокировка срабатывает по событию в HR-системе на уровне домена, это позволяет решать проблему.

Полное интервью

Темы:ИнтервьюCISOНовости компаний

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Стать ИБ-аналитиком: Анастасия Ершова об обучении, услуге ИБ-аутсорсинга, задачах и препятствиях на пути к цели
    Анастасия Ершова, Аналитик информационной безопасности "Джи-Эс-Ти" (GST)
    Аналитик информационной безопасности «Джи-Эс-Ти» (GST) Анастасия Ершова рассказала, почему выбрала для работы направление ИБ-аутсорсинга, когда работа с заказчиками приносит максимальный результат и какие задачи ей приходится решать ежедневно – от рутинных дел до экстренных ситуаций.
  • Департамент счастья для информационной безопасности
    Сергей Замотаев, начальник Отдела управления персоналом АО “ЭЛВИС-ПЛЮС”
    В условиях дефицита квалифицированных специалистов кадровая работа ИТ- и ИБ-компаний становится критически важной составляющей их успешности. Редакция журнала “Информационная безопасность” спросила Сергея Замотаева, начальника Отдела управления персоналом АО “ЭЛВИС-ПЛЮС”, о сегодняшних вызовах в кадровой работе.
  • Цели "Тантор Лабс" – отказоустойчивость и производительность российской СУБД
    Вадим Яценко, генеральный директор “Тантор Лабс”
    Про появление и развитие российской СУБД Tantor, о подходе к ее производительности и безопасности читателям журнала рассказал Вадим Яценко, генеральный директор “Тантор Лабс”.
  • SIEM – это ядро системы информационной безопасности
    Максим Степченков, совладелец компании RuSIEM
    Что сегодня представляет угрозу данным и информации, сильно ли изменил ситуацию уход западных вендоров, насколько успешно импортозамещаются продукты ИБ и на что способна одна из первых в России SIEM-система – рассказал основатель и совладелец компании RuSIEM Максим Степченков.
  • Только правильно внедренный DCAP дополняет DLP
    Роман Подкопаев, Генеральный директор компании Makves
    Последние несколько лет показали, что на безопасности нельзя экономить и о ней нужно думать заранее. Информационная безопасность начинается с безопасности данных. DCAP поможет навести порядок в файловых хранилищах и проследить за доступом к ним. Мы вновь беседуем с Романом Подкопаевым, генеральным директором компании Makves (входит в группу компаний “Гарда”).
  • Автоматизация и ИИ – обязательные элементы современной системы ИБ
    Александр Осипов, директор по облачным и инфраструктурным решениям ПАО “МегаФон”
    Александр Осипов, директор по облачным и инфраструктурным решениям ПАО “МегаФон”, об актуальных угрозах, о защите от кибератак, дефиците кадров, искусственном интеллекте и системах автоматизации.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...