Интервьюер: Лев Матвеев, председатель совета директоров «СёрчИнформ»
Гость: Дмитрий Гладченко, заместитель директора по информационной безопасности дирекции по обеспечению бизнеса компании «Лента»
- Путь в информационную безопасность я начал, как и большинство моих коллег, из ИТ. В школе увлёкся программированием, затем осознанно выбрал профессию и поступил в вуз на специальность, связанную с автоматизированными системами управления. Я работал по профилю в различных компаниях: занимался программированием, консалтингом, внедрял информационные системы, участвовал в ряде интересных проектов по автоматизации процессов на предприятиях. В одной компании я был единственным айтишником, и все задачи, в том числе по ИБ, ложились на мои плечи. В какой-то момент я понял, что информационная безопасность мне особенно интересна, и решил двигаться в этом направлении.
- С точки зрения личного интереса – в обеих сферах. Но комфортнее в ИТ, более человечно, скажем так. Хотя сейчас информационная безопасность меняется, становится клиентоцентричной – «безопасники» понимают важность нахождения партнерских отношений с бизнес-подразделениями. Отношение к безопасности как к карающему органу уходит в прошлое.
- Первое – это обеспечение безопасности данных и платежей в онлайн-сервисах. Пандемия показала, что этот сегмент будет расти. Второй тренд – это защита данных и противодействия мошенничеству: фишингу, социальной инженерии. Нам нужно постоянно информировать пользователей, проводить обучающие мероприятия о том, как распознать фишинг. Делаем мы это в простой и доступной форме. Конечно, для защиты мы применяем и технические средства, работаем с провайдерами. К правоохранителям, к счастью, пока не приходилось обращаться.
- Без «цифры» мы в светлое будущее уже не пойдём, поэтому цифровизация – это плюсы, а не головная боль. Это возможности что-то улучшить, где-то повысить эффективность – и для ИБ, и для бизнеса. Естественно, нам приходится держать руку на пульсе, чтобы понимать, куда развиваются бизнес и отрасль в целом. Для обеспечения ИБ мы используем классическую линейку продуктов: средства антивирусной защиты, анти-спам и системы противодействия DDoS, системы предотвращения вторжений, обязательно встроенные средства защиты.
- Расскажу про смешной кейс. В начале 2000-х годов на одном из онлайн-форумов участник обсуждал возможность взлома электронного ключа антивирусной программы. В ветке с обсуждением его предупредили, что такие вещи не нужно обсуждать публично. На это он ответил: «Если меня вычислят, побреюсь опасной бритвой «Нева». Мы с коллегой поняли, что такие разговоры ведет сотрудник нашей компании, не поленились, купили бритву, пришли с ней к работнику в кабинет. Достали бритву – и он всё понял.
- Наверное, это страшно. Поэтому мы предпринимаем все необходимые организационные и технические меры, чтобы защищать персональные данные покупателей.
- Мы пытаемся донести важность киберкультуры до каждого сотрудника, используем для этого всевозможные каналы коммуникации и форматы: публикации, рассылки. Мы предупреждаем сотрудников о мошенниках, которые уводят деньги с банковских карт, разрабатываем обучающие курсы, где говорим: «коллеги, вы дома можете делать что хотите, но на работе должны придерживаться правил, установленных работодателями». Явных случаев пренебрежения правилами мы в настоящий момент не фиксируем, и это показывает общий рост сознательности сотрудников. Сейчас люди чащу задумываются о последствиях прежде чем где-то оставлять сканы своего паспорта.
- Мы с коллегами строим партнерские отношения, стараемся найти компромисс во всех вопросах на стыке наших зон ответственности, выстраиваем постоянный диалог, проводим анализ и оценку рисков, отслеживаем тренды и альтернативы, которые бы могли заменить небезопасные решения. Какие-то некритичные моменты могут проскочить, но в глобальных мы всегда действуем согласованно. Так мы идём одним фронтом, чтобы обеспечить и функциональность сервисов, которые внедряются в компании, и их безопасность.
- Безопасников всегда не хватает – задач много, и они интересные. Мы пытаемся обосновывать для бизнеса ценность информационной безопасности, показывать те преимущества, которые можно получить. Иногда нас слышат, иногда просят поумерить аппетиты. Поэтому здесь тоже вопрос поиска компромиссов. Как руководитель службы, я хотел бы иметь с десяток сотрудников, которые занимались бы вопросами ИБ и развивали направления, на которые не хватает времени.
- Нужно искать баланс. Когда бизнес отдаёт сервисы ИБ на аутсорсинг, он лишает себя возможности развивать внутреннюю экспертизу. Сторонние специалисты не подконтрольны. Есть риск, что в какой-то момент времени бизнес может остаться ни с чем.
Подрядчики могут быть разные, и уровень формализации работ, которые они проводят, может быть разной. Кто-то документирует свои действия, кто-то нет. Поэтому вся экспертиза оказывается у аутсорсера. Я считаю, что аутсорсинг можно привлекать для решения горящих задач или тех, для решения которых ИБ-сервис востребован постоянно и вписан в бизнес-процессы. Но я сторонник того, чтобы экспертиза развивалась внутри компании.
- Главный драйв от профессии в широком спектре задач, желании помочь бизнесу в достижении бизнес-целей. Мне нравится, что нельзя расслабляться, нужно быть в тонусе, принимать новые вызовы.
- Два года назад я бы сказал «всё запретить». А сейчас всё-таки второй вариант.
- Первое – нужно понять причины и мотивы. Второе – как это соотносится с этической политикой компании. Далее провести переговоры с его руководителем.
- Есть эксперты, которые сильны в определённых областях, у них я бы понемножку набрался опыта.
- Я думаю, такой случай мог произойти и не обязательно взломом. Это внутренняя утечка, инсайд.
- У нас с паролями всё хорошо, мы придерживаемся строгой политики: есть технические ограничения на сложность и уникальность. Также стандартной является практика управления ролями полномочий. Грамотный подход к этому вопросу позволяет уйти от рисков. Для защиты от появления «мёртвых душ» необходима четкая связка с HR-системой. У нас блокировка срабатывает по событию в HR-системе на уровне домена, это позволяет решать проблему.