Андрей Корабельников, 12/05/21
Интервьюер: Лев Матвеев, председатель совета директоров «СёрчИнформ»
Гость: Андрей Корабельников, руководитель службы информационной безопасности Аэропорта Шереметьево.
- Андрей, как вы пришли в информационную безопасность, и сильно ли отличается ИБ в аэропорте от предыдущих мест работы?
- Я всю свою карьеру занимаюсь информационной безопасностью. Мне посчастливилось одному из первых в России получить профильное образование в 1998 г. в институте МИРЭА. Тогда профессия только создавалась, и было интересно, какой она станет. Новизна мне импонировала. С тех пор мне удалось пройти долгий путь обеспечения информационной безопасности в разных организациях.
В аэропорту, наверное, наиболее суровые требования к информационной безопасности, какие только бывают. Аэропорт – это объект КИИ, здесь особенно высоко внимание к вопросам безопасности, поскольку риски выше. Правила очень строги, и нет той вольности, которая для других видов бизнеса может быть позволительна.
- В аэропорту работать сложнее?
- Конечно сложнее. Исключения в правилах не допустимы, ведь цена ошибки крайне высока. В ритейле, где я работал раньше, могут случаться инциденты ИБ, но в аэропорту риски прямо связаны с жизнями людей, и ответственность намного больше.
- Какие основные задачи стоят перед службой ИБ Шереметьево, одного из ведущих аэропортов страны?
- Когда человек приезжает в аэропорт, он своими глазами видит принимаемые меры физической безопасности, и пусть меры ИБ менее заметны, но при этом информационная безопасность не менее важна. Начнем с того, что физическая безопасность в аэропорту зависит от информационной, так как все современные средства физической безопасности – это сложные ИТ-системы, и их нужно очень серьезно защищать, причем не только от террористов – вообще ото всех.
Например, в рамках подготовки к чемпионату мира по футболу мы обновляли модель потенциального нарушителя и всерьез рассматривали варианты атаки от стран, которые раньше не попадали «на радар». Например, сборная России теоретически могла обыграть кого угодно, даже Бразилию, – и мы должны были быть готовыми к действиям со стороны бразильских хакеров. И пусть Бразилию мы не обыграли, но к защите были готовы.
Главное отличие информационной безопасности от физической заключается в свойствах нарушителя: в случае физической безопасности мы его видим, он сам к нам пришел. А злоумышленник с точки зрения ИБ – потенциально любой человек из почти восьми миллиардов населения Земли. Эта ситуация намного сложнее, ведь нужно предусматривать больше рисков и принимать больше превентивных мер защиты.
- Собственные сотрудники часто угрожают ИБ?
- Это происходит нечасто, но последствия могут быть существенными, поэтому таким случаям уделяется больше внимания. Внешний нарушитель прежде чем добраться до систем должен пройти много этапов, где его можно обнаружить и остановить. Собственный же сотрудник уже находится внутри. Его возможности, если он захочет стать злоумышленником, гораздо шире, особенно если ему выданы повышенные привилегии. Повторюсь, такие случаи возникают очень редко, но каждый раз они требуют большого расследования, и на выходе всегда формируется кейс, который надолго остается в памяти.
- Все ли расследования приводят к уголовным делам?
- Далеко не все, ведь чтобы дошло до уголовного дела, действия сотрудника должны привести к ущербу, а мы до ущерба не доводим. У нас есть возможности препятствовать злоумышленнику на ранних стадиях, когда еще у человека только формируется замысел: мы видим, что он начинает сидеть на хакерских форумах, гуглить подозрительные темы. И если срабатывают подобные триггеры, мы обращаем на сотрудника повышенное внимание.
Есть несколько кейсов, которые мне особенно запомнились. Их общая черта в том, что нам бросили вызов, и это всегда самое увлекательное. Вот пример: когда только появились USB-модемы с сим-картой, один наш сотрудник решил, что если он будет выходить в интернет с помощью такого модема, его не удастся отследить. Он уделял своим личным проектам огромное количество времени и очень был удивлен, когда ему все-таки начали задавать вопросы.
Был еще случай, когда человек стал целенаправленно искать информацию о видах систем безопасности и способах их обхода, устанавливал специальное ПО, которое автоматически делало снимки экранов в определенные моменты. Конечно, и эта ситуация не прошла мимо нашего внимания.
- Для аэропорта важно использовать DLP-системы в целях контроля сотрудников, или это лишняя трата денег?
- Я никакие системы ИБ не считаю лишней тратой денег. Для аэропортов уровень рисков максимален, а сами риски разнообразны, – именно на их основе мы делаем выводы о приобретении тех или иных средств ИБ. DLP вообще обязательная система для любого крупного бизнеса, а иногда и для среднего, и даже малого. Но в аэропортах DLP-система может использоваться не только по прямому назначению как средство защиты от утечек, а еще и как система контроля и мониторинга ситуации в целом – она хорошо для этого подходит. Этот контроль очень важен.
- На ваш взгляд, за какое время должна окупаться DLP-система и другие системы в информационной безопасности?
- Срок окупаемости порой очень сложно посчитать, но, как говорит статистика, в среднем раз в год где-нибудь в мире случается громкий кибер-инцидент в аэропорту, в авиакомпании или вообще в крупном бизнесе, и примерно понятно, какими могут быть финансовые потери. С этой точки зрения DLP-система должна окупаться, по моим оценкам, за год или два – где-то быстрее, где-то медленнее, но так как в аэропорту риски очень дорогостоящие, то и средства их предотвращения окупаются очень быстро.
- Как у вас в отделе распределяются роли между специалистами по ИБ? Какие направления вы контролируете?
- Своей деятельностью мы закрываем все направления современной ИБ. Есть защита от утечек информации, защита конфиденциальных, персональных данных, – и это не только требования законодательства, но вопрос безопасности для всех нас. Системных попыток увести на сторону персональные данные у нас не было, но периодически возникают случаи, когда кто-то отправляет ПДн по незнанию письмом, на внешний носитель и т.д. Но системы отрабатывают такие случаи, проблем с пресечением таких инцидентов нет, ведь часть сотрудников занимаются только этим.
Другое большое направление – это обеспечение непрерывности работы, ведь все ИТ-системы должны работать гарантированно непрерывно, и это в том числе забота ИБ-службы. У нас есть внутренний пентест, но мы привлекаем и внешних подрядчиков. Наши сотрудники оценивают инфраструктуру, вносят предложения по ее модернизации. В принципе в авиационной отрасли такая культура – мы постоянно готовимся к нештатным ситуациям. Эта готовность со временем у сотрудников впитывается и становится нормой жизни.
Кроме того, мы выделили направление по реагированию на инциденты. Как я говорил, непрерывность – это наша религия, и для нас очень важно реагировать на инциденты мгновенно. Так что мы сформировали Security Operation Center – сейчас это модное словосочетание. Выделенные сотрудники круглосуточно отслеживают инциденты кибербезопасности, получая данные от всех систем мониторинга. Их задача – быстро принять решение, максимально оперативно пресечь нежелательную активность. Дальше мы уже не спеша расследуем причины.
- Что изменилось, когда в прошлом году вы переходили на удаленку?
- Сюрпризом для нас удаленка не стала, поскольку часть сотрудников и до этого работала дистанционно, но, конечно, нагрузка на нас возросла. Каждому сотруднику нужно было обеспечить нормальную работу, объяснить, что можно, а что нельзя, отслеживать активность. Было важно, чтобы на удаленке уровень информационной безопасности не падал. Чтобы каждый удаленщик был «отмониторен» так же, как человек, который приехал в офис.
Мы к этому пришли и уже не видим разницы между офисным и удаленным сотрудником. Разница есть разве что в том, что для удаленщиков нужно четче отслеживать доступы. Ведь одно дело, когда сотрудник в офисе и рядом сидят его коллеги, а когда он «на том конце провода», то в лучшем случае вокруг него телевизор, холодильник, дети, кошки. Но у нас, у безопасников, есть профессиональное заболевание – паранойя, и мы не можем считать, что рядом с сотрудником только кошки. Поэтому некоторые критичные данные для удаленного доступа мы не предоставляем, сотрудник должен приехать и работать с ними только на нашей территории.
- Останется ли удаленка с нами навсегда?
- Тренд наметился до всякой эпидемии и сейчас только ускорился. Пандемия дала ему толчок, но с удаленкой теперь придется иметь дело всегда, и в ближайшей перспективе большая часть сотрудников будет находиться вне периметра. Это вызов для информационной безопасности, на который нам предстоит найти комплексные ответы.
- Какой главный вывод вы можете сделать по прошедшему 2020 году?
- В 2020 году кибербезопасность стала еще более важной, чем раньше. В 2021 году всем компаниям на ИБ нужно будет выделять еще больше ресурсов, и не только нам, аэропорту.
По разным данным число кибератак в мире растет от 50% до 100% в год. Отсюда главный вывод: дальше кибербезопасностью придется заниматься больше и, наверное, всем. Звонки от якобы службы безопасности банка – это тоже кибератака, только с использованием социальной инженерии. Поэтому сейчас каждый человек, а не только представитель бизнеса или банка, должен быть в курсе, что происходит в информационной безопасности. Так что будущее ИБ – в постоянном росте.
- Предыдущее поколение специалистов по ИБ представляли по сути выходцы из правоохранительных структур. Вы никогда не носили погонов поэтому относитесь скорее к новому поколению. Каким будет следующее?
- Я считаю, что тенденция продолжится, информационная безопасность становится все более «айтишной». Новые «безопасники» по сути родом из ИТ, они должны очень хорошо разбираться во всех системах. Мой портрет нового специалиста в ИБ – это «гик».
Блиц
- Вы видите, что сотрудник стал рассылать резюме в другие компании. Какие твои действия – уволить сразу или пытаться разобраться?
- Пытаться разобраться с руководителем.
- Как поступить с нарушителем, который что-то сливает, возможно, за деньги: уволить сразу или попытаться сделать информатором?
- Личное мнение – уволить сразу.
- Какой подход тебе ближе: все запретить или все разрешить, но контролировать?
- Мне лично ближе разрешить и контролировать, но у нас строгие регламенты, и так получается не всегда, поэтому некоторые вещи приходится жестко запрещать.
- Какой у тебя основной драйв от профессии, что доставляет больше всего морального удовлетворения?
- Когда случается настоящий инцидент и приходится постараться для того, чтобы реально предотвратить угрозу. Это заводит.
