Информационная безопасность становится клиентоцентричной

Интервьюер: Лев Матвеев, председатель совета директоров «СёрчИнформ»
Гость: Дмитрий Гладченко, заместитель директора по информационной безопасности дирекции по обеспечению бизнеса компании «Лента»

- Дмитрий, что привело вас в информационную безопасность?

- Путь в информационную безопасность я начал, как и большинство моих коллег, из ИТ. В школе увлёкся программированием, затем осознанно выбрал профессию и поступил в вуз на специальность, связанную с автоматизированными системами управления. Я работал по профилю в различных компаниях: занимался программированием, консалтингом, внедрял информационные системы, участвовал в ряде интересных проектов по автоматизации процессов на предприятиях. В одной компании я был единственным айтишником, и все задачи, в том числе по ИБ, ложились на мои плечи. В какой-то момент я понял, что информационная безопасность мне особенно интересна, и решил двигаться в этом направлении.

- И где оказалось комфортнее: в ИТ или в ИБ?

- С точки зрения личного интереса – в обеих сферах. Но комфортнее в ИТ, более человечно, скажем так. Хотя сейчас информационная безопасность меняется, становится клиентоцентричной – «безопасники» понимают важность нахождения партнерских отношений с бизнес-подразделениями. Отношение к безопасности как к карающему органу уходит в прошлое.

- Назовите самые большие вызовы ИБ в ритейле.

- Первое – это обеспечение безопасности данных и платежей в онлайн-сервисах. Пандемия показала, что этот сегмент будет расти. Второй тренд – это защита данных и противодействия мошенничеству: фишингу, социальной инженерии. Нам нужно постоянно информировать пользователей, проводить обучающие мероприятия о том, как распознать фишинг. Делаем мы это в простой и доступной форме. Конечно, для защиты мы применяем и технические средства, работаем с провайдерами. К правоохранителям, к счастью, пока не приходилось обращаться.

- Создает ли вам повсеместная цифровизация процессов дополнительную головную боль?

- Без «цифры» мы в светлое будущее уже не пойдём, поэтому цифровизация – это плюсы, а не головная боль. Это возможности что-то улучшить, где-то повысить эффективность – и для ИБ, и для бизнеса. Естественно, нам приходится держать руку на пульсе, чтобы понимать, куда развиваются бизнес и отрасль в целом. Для обеспечения ИБ мы используем классическую линейку продуктов: средства антивирусной защиты, анти-спам и системы противодействия DDoS, системы предотвращения вторжений, обязательно встроенные средства защиты.

- А какой кейс за вашу практику запомнился больше всего?

- Расскажу про смешной кейс. В начале 2000-х годов на одном из онлайн-форумов участник обсуждал возможность взлома электронного ключа антивирусной программы. В ветке с обсуждением его предупредили, что такие вещи не нужно обсуждать публично. На это он ответил: «Если меня вычислят, побреюсь опасной бритвой «Нева». Мы с коллегой поняли, что такие разговоры ведет сотрудник нашей компании, не поленились, купили бритву, пришли с ней к работнику в кабинет. Достали бритву – и он всё понял.

- Да, не надо обещать то, в чём не уверен. В последнее время СМИ часто публикуют данные про утечки. Опасны ли для ритейлера такие публикации?

- Наверное, это страшно. Поэтому мы предпринимаем все необходимые организационные и технические меры, чтобы защищать персональные данные покупателей.

- В «Ленте» 50 тыс. сотрудников и около 20 тыс. компьютеров. Как вы работаете с человеческим фактором?

- Мы пытаемся донести важность киберкультуры до каждого сотрудника, используем для этого всевозможные каналы коммуникации и форматы: публикации, рассылки. Мы предупреждаем сотрудников о мошенниках, которые уводят деньги с банковских карт, разрабатываем обучающие курсы, где говорим: «коллеги, вы дома можете делать что хотите, но на работе должны придерживаться правил, установленных работодателями». Явных случаев пренебрежения правилами мы в настоящий момент не фиксируем, и это показывает общий рост сознательности сотрудников. Сейчас люди чащу задумываются о последствиях прежде чем где-то оставлять сканы своего паспорта.

- В ИТ цель – всё разрешить, а в безопасности – всё запретить. Как «Ленте» удаётся разрешить этот конфликт интересов?

- Мы с коллегами строим партнерские отношения, стараемся найти компромисс во всех вопросах на стыке наших зон ответственности, выстраиваем постоянный диалог, проводим анализ и оценку рисков, отслеживаем тренды и альтернативы, которые бы могли заменить небезопасные решения. Какие-то некритичные моменты могут проскочить, но в глобальных мы всегда действуем согласованно. Так мы идём одним фронтом, чтобы обеспечить и функциональность сервисов, которые внедряются в компании, и их безопасность.

- Ощущаете ли вы кадровый голод, или вам хватает специалистов?

- Безопасников всегда не хватает – задач много, и они интересные. Мы пытаемся обосновывать для бизнеса ценность информационной безопасности, показывать те преимущества, которые можно получить. Иногда нас слышат, иногда просят поумерить аппетиты. Поэтому здесь тоже вопрос поиска компромиссов. Как руководитель службы, я хотел бы иметь с десяток сотрудников, которые занимались бы вопросами ИБ и развивали направления, на которые не хватает времени.

- На Западе в последние несколько лет развивается MSSP-направление. Каково ваше отношение, можно ли отдавать безопасность на аутсорсинг?

- Нужно искать баланс. Когда бизнес отдаёт сервисы ИБ на аутсорсинг, он лишает себя возможности развивать внутреннюю экспертизу. Сторонние специалисты не подконтрольны. Есть риск, что в какой-то момент времени бизнес может остаться ни с чем.

Подрядчики могут быть разные, и уровень формализации работ, которые они проводят, может быть разной. Кто-то документирует свои действия, кто-то нет. Поэтому вся экспертиза оказывается у аутсорсера. Я считаю, что аутсорсинг можно привлекать для решения горящих задач или тех, для решения которых ИБ-сервис востребован постоянно и вписан в бизнес-процессы. Но я сторонник того, чтобы экспертиза развивалась внутри компании.

Блиц-опрос

- Каков у вас главный драйв от профессии?

- Главный драйв от профессии в широком спектре задач, желании помочь бизнесу в достижении бизнес-целей. Мне нравится, что нельзя расслабляться, нужно быть в тонусе, принимать новые вызовы.

- Какой подход вам ближе: всё запретить или всё разрешить и контролировать?

- Два года назад я бы сказал «всё запретить». А сейчас всё-таки второй вариант.

- Человек пишет в соцсети негатив о компании, что будете с ним делать?

- Первое – нужно понять причины и мотивы. Второе – как это соотносится с этической политикой компании. Далее провести переговоры с его руководителем.

- Есть ли люди или человек, у которых вы бы хотели поучиться?

- Есть эксперты, которые сильны в определённых областях, у них я бы понемножку набрался опыта.

- В завершении хотел бы предложить вам кейс. Угадайте, реальный он или нет? В автосалоне узнали, что как только клиенты покидали офис, они получали звонки от конкурентов с более выгодным предложением. Из-за этого было сорвано около 120 сделок. В компании решили, что это взлом хакеров, которые получили доступ к базе клиентов. Правда или нет?

- Я думаю, такой случай мог произойти и не обязательно взломом. Это внутренняя утечка, инсайд.

- По сути, верно. Была другая проблема – очень лёгкие пароли. Любой сотрудник мог войти в CRM-ку и получить всю нужную информацию, не относящуюся к нему напрямую. Кстати, а у вас в «Ленте» как с паролями?

- У нас с паролями всё хорошо, мы придерживаемся строгой политики: есть технические ограничения на сложность и уникальность. Также стандартной является практика управления ролями полномочий. Грамотный подход к этому вопросу позволяет уйти от рисков. Для защиты от появления «мёртвых душ» необходима четкая связка с HR-системой. У нас блокировка срабатывает по событию в HR-системе на уровне домена, это позволяет решать проблему.

Полное интервью