Николай Нашивочников, 23/10/25
В интервью с Николаем Нашивочниковым, экспертом в области ИБ, заместителем генерального директора – техническим директором компании “Газинформсервис”, мы обсудили слабые места в защите компаний, особенности выстраивания комплексной системы безопасности, нюансы моделирования инцидентов, а также выбор между внутренней командой, внешним Red Team и автоматизированными решениями для защиты от киберугроз. И многое другое.
– Начнем с небольшой биографической сводки. Николай, расскажите о себе: где родились, учились. Чем занимаетесь в компании "Газинформсервис"?
– Я родился в Краснодарском крае в пос. Западный Тихорецкого района. В 2001 г. окончил Краснодарский военный институт. Инженер по специальности "Организация и технология защиты информации".
В компании "Газинформсервис" работаю с 2006 г. Начинал с позиции ведущего специалиста в области защиты информации. В данный момент руковожу службой технического директора численностью более 250 сотрудников, которая включает в себя департамент системной интеграции, центр мониторинга, аналитический центр кибербезопасности. Под моим контролем находятся портфели проектов по информационной безопасности отраслевого, федерального и международного значения. Кроме этого, я занимаюсь исследованиями программных продуктов и технических решений, курирую инновационную и проектно-изыскательную деятельность.
Неотъемлемая часть моей работы (и всей компании "Газинформсервис") – решать заявленную проблематику заказчиков по комплексной информационной безопасности, работать над созданием современных средств защиты данных, в том числе с технологиями ИИ.
Сейчас мы активно продвигаем тренд на разработку, настройку и оптимизацию правил обнаружения киберинцидентов на основе поведенческого анализа. Развиваем собственные центры компетенции и профессиональный сервис по расследованию киберинцидентов, аналитике угроз; создаем базу знаний по информационной безопасности и киберполигон.
– Исходя из вашего опыта, где чаще всего проседает защита в российских компаниях: в технологиях, в процессах, в людях, в управлении рисками?
– Сложно выделить что-то одно. К сожалению, это всегда комплекс проблем, которые требуют комплексного решения. Например, управление рисками и процессами. Самая большая проблема здесь в том, что многие заказчики подходят к кибербезопасности формально, не осознавая реальных рисков. Можно выделить еще одну проблему – используемые технологии. Закупка продуктов кибербезопасности часто ведется для выполнения формальных нормативных требований, что, кстати, не лишено логики. В последние годы атаки методом социальной инженерии также вышли на новый уровень. Сотрудники становятся новым распространенным вектором атак.
К сожалению, сегодня кибербезопасность не является частью бизнес-процессов, а воспринимается как обуза, навязанная извне. А ведь даже самые передовые технологии окажутся бесполезными без эффективной системы управления рисками, интеграции безопасности в бизнес-процессы и обучения сотрудников. В противном случае эти технологии не смогут обеспечить должную защиту, а взлом станет лишь вопросом времени.
– В связи с этим, можно ли считать молчание SOC признаком устойчивости?
– Нет. Молчание SOС – это всегда тревожный признак. Если у компании есть ИТ-инфраструктура и опубликованные в Интернете сервисы, то центру мониторинга всегда есть чем заняться. Существует распространенное заблуждение: если инцидентов нет – значит, все хорошо. Но на самом деле долгое молчание SOC должно скорее насторожить, чем успокоить.
Даже идеальная защита (которой, кстати, не существует) не исключает вероятности, что злоумышленник сможет ее обойти через слабое звено в виде человеческого фактора. На практике аудиты показывают, что ошибки конфигурации встречаются не только в ИТ-сервисах, но и в средствах защиты информации, не говоря уже об отсутствии обновлений на ключевых объектах инфраструктуры. Злоумышленники постоянно ищут такие недостатки, а SOC эту активность видят и должны если не звонить клиенту среди ночи из-за попыток преодолеть защиту, то уж точно подсвечивать общую обстановку в рабочем порядке.
Кроме того, объемы обрабатываемых центрами мониторинга данных колоссальные, поэтому возникновение ложноположительных срабатываний и обращение к клиенту для уточнений – неизбежно.
Если ваш SOC молчит, то необходимо проверить, а работает ли он вообще: все ли важные источники подключены, все ли нужные типы событий поступают, учитывает ли контент обнаружения актуальные угрозы, обогащены ли события индикаторами компрометации и, в конце концов, не переполнен ли ящик, в который приходят уведомления SOC?
– Где проходит граница между зрелостью и иллюзией зрелости в ИБ? Порекомендуйте, какими способами можно вернуть себя в реальность?
– Граница между зрелостью и иллюзией зрелости в ИБ – это понимание, что кибербезопасность не определяется формальными признаками. В современном мире мало соответствовать стандартам, установить средства защиты информации и проводить регулярные тренинги персонала. Необходимо обладать реалистичной оценкой рисков. Зрелость в ИБ – это понимание, что формальное соответствие не равно реальной защите.
Чтобы вернуться к реальности, можно задать себе несколько вопросов. Как часто мы делаем тестирование инфраструктуры на проникновение? Как часто мы не просто обучаем сотрудников, а проводим внезапные проверки на знание кибербезопасности, например рассылаем фишинговые письма? И как сотрудники реагируют на эти письма? Если завтра случится серьезный инцидент, то как будет реагировать инфраструктура, персонал? Кто будет ответственным за инцидент?
Проблема заключается в отсутствии культуры безопасности на уровне высшего руководства. Если топ-менеджмент не осознает значимости киберрисков для бизнеса, то ресурсы распределяются по остаточному принципу, процессы работают неэффективно, а сотрудники не соблюдают правила должным образом.
Нельзя забывать, что даже зрелые организации, соответствующие международным и российским стандартам информационной безопасности, допускают критические ошибки, потому что путают "наличие мер" с результатом защиты.
– Как часто нужно проверять свою защиту на прочность? И кто должен этим заниматься: внутренняя команда, внешний Red Team или автоматизированные решения?
– Для ответа на этот вопрос надо уточнить множество критериев, таких как размер организации, последствия тех или иных атак на ее инфраструктуру, какой бюджет выделяется на проведение регулярного тестирования, готова ли организация держать у себя в штате высококвалифицированных специалистов по ручному пентесту? И еще ряд других вопросов.
Лучше всего, конечно, держать внутреннюю Red Team, которая будет регулярно тестировать инфраструктуру, находить уязвимые места, помогать их закрывать. Но это дорогостоящая команда. Если углубленное тестирование необходимо проводить несколько раз в год, то лучше воспользоваться услугами сторонней Red Team. Для регулярного тестирования лучше всего подойдут автоматизированные решения, такие как продукты класса BAS (Breach and Attack Simulation – поиск уязвимостей и симуляция атак).
– Идея моделирования инцидентов в рабочее время без предупреждения – это хорошая практика или экстрим?
– Моделирование инцидентов без предупреждения (их еще называют незапланированными учениями или слепыми тестами) – это ни в коем случае не экстрим. Это как раз хорошая передовая практика, которая поможет проверить реальную готовность к отражению атаки. Такой подход не позволит команде кибербезопасности действовать по заранее заготовленному сценарию, зато отлично покажет, как специалисты себя поведут в случае реального инцидента. В случае неожиданной проверки можно выявить скрытые проблемы: неправильно составленные алгоритмы реагирования, незакрытые точки отказа оборудования и т. д. Регулярные и непредсказуемые тестирования повышают общую культуру безопасности. Такая практика позволяет провести проверку защиты в боевых условиях. Часто выясняется, что все работает до тех пор, пока не начнется атака.
Стоит учесть возможные риски при внезапных проверках. Например, неудачная проверка может привести к значительным потерям рабочего времени на устранение последствий моделирования. При этом может остаться нерешенной реальная проблема. Вместо отработки слаженных действий может возникнуть хаос, если процессы не отлажены даже на базовом уровне. Но, конечно, и сотрудники, и сама инфраструктура должны быть готовы к проверке.
Если организовать такое моделирование без должной подготовки, то это может привести к реальному простою или потере данных.
Чтобы практика моделирования инцидентов без предупреждения приносила пользу, необходимо внедрять ее поэтапно, начиная с малого и предупреждая о предстоящих учениях без указания точной даты. Важно четко определить сценарий, границы, а также создать культуру обучения. Все участники должны быть подготовлены и обучены процедурам реагирования, а руководство должно полностью поддерживать эту практику. Цель моделирования инцидента без предупреждения – найти слабые места, а не виновных.
Моделирование инцидентов без предупреждения – признак зрелости компании в управлении рисками и инцидентами.
– Как убедить бизнес в эффективности ИБ, не скатываясь в отчеты о проделанной работе? Можно ли визуализировать устойчивость так же наглядно, как уязвимости?
– Чтобы в чем-то убедить бизнес, надо прежде всего говорить на языке бизнеса. Если мы подходим к киберзащите не формально, а обдуманно, понимая реальные угрозы, то следствием наших действий будет сокращение количества инцидентов, предотвращение потенциальных убытков, избежание возможных скандалов, связанных с утечкой конфиденциальных данных.
Визуализировать устойчивость довольно сложно. Это как подтвердить, что чего-то нет. Для уязвимостей, например, можно показать тепловую карту рисков. Для визуализации устойчивости можно использовать, например, диаграмму, показывающую, как ИБ-контроль закрывает ключевые угрозы. В этой диаграмме должны быть такие оси, как: "защита данных", "отказоустойчивость", "скорость реагирования", "соответствие требованиям регуляторов".
График снижения инцидентов поможет показать, как продукты и услуги кибербезопасности помогают бизнесу уменьшить длительность инцидентов, финансовые потери и время восстановления после инцидента.
– Что такое для вас комплексный подход к кибербезопасности?
– Комплексный подход к безопасности представляет собой не просто совокупность мер, а полноценную стратегию, охватывающую все аспекты защиты информации и систем. Он позволяет оперативно выявлять уязвимости и эффективно реагировать на инциденты, минимизируя их влияние. Этот процесс требует постоянного внимания и усилий, так как надежная киберзащита не может быть временной мерой.
В компании "Газинформсервис" мы на основе экспертного опыта сформулировали семь шагов к обеспечению эффективной киберзащиты любой инфраструктуры. Эти шаги образуют непрерывный цикл, который позволяет вовремя реагировать на новые угрозы и оптимально настроить средства защиты информации. Успешность комплексного подхода зависит от накопленного опыта и экспертизы, особенно в работе с реальными инцидентами. Анализ прошедших случаев помогает выявить слабые места и наметить пути их устранения.
Таким образом, комплексный подход к безопасности является основой для создания устойчивой и надежной цифровой инфраструктуры, способной противостоять современным вызовам.
– Над чем работает ваша команда прямо сейчас? Что интересное стоит ожидать в ближайшее время?
– "Газинформсервис" уделяет особое внимание отслеживанию последних тенденций как в области информационной безопасности, так и в области киберугроз. Поэтому одновременно ведется сразу несколько интересных, а главное важных проектов. В то же время совершенствуются уже существующие продукты.
Сейчас в компании "Газинформсервис" разрабатывают BAS SimuStrike, который позволит проводить регулярное тестирование инфраструктуры на наличие уязвимостей, а также – симуляцию атак. BAS SimuStrike позволяет оценить защищенность инфраструктуры внутренними силами службы информационной безопасности. Результатом работы данного продукта является подробный отчет с указанием найденных незакрытых уязвимостей с рекомендациями по настройке как средств защиты информации, так и инфраструктуры в целом. "Газинформсервис" не только разрабатывает новые продукты кибербезопасности, но и развивает уже существующие, чтобы всегда предлагать заказчикам актуальную проактивную защиту. Например, сейчас идет модернизация многофункционального модульного комплекса SafeERP, который осуществляет защиту бизнес-приложений для контроля ERP-систем, размещенных на платформах 1C и SAP. На сегодняшний день, когда число атак на ERP-системы растет каждый год, данный продукт показывает свою актуальность и востребованность.
Мы также развиваем GSOC [1] и его услуги. От наращивания зрелости мы перешли к автоматизации и подключению ИИ в помощь аналитикам, чтобы разгрузить первую и вторую линию. Активное развитие за последний год получила услуга выявления следов компрометации – Compromise Assessment. И, сейчас мы убедились, что не зря вложили в нее столько усилий, – спрос колоссальный.
– Как повлияет развитие ИИ на кибербезопасность?
– ИИ уже сейчас влияет на продукты кибербезопасности. Причем влияет, если можно так сказать, с двух сторон.
С одной стороны, встроенный в продукты кибербезопасности искусственный интеллект позволяет оптимизировать работу специалистов. Например, помогает автоматизировать обнаружение угроз – анализирует большой объем логов и поведение пользователей в реальном времени, выявляя скрытые аномалии.
С другой стороны, сам искусственный интеллект требует контроля и защиты. Сейчас очень остро стоит проблема доверия как к самому ИИ, так и к программным продуктам, которые его содержат. Для повышения доверия к продуктам с ИИ необходимо разработать новые подходы к киберзащите. При этом под безопасностью ИИ подразумевается не только то, что система не взломана, а еще и то, что система работает исправно, надежно и предсказуемо, делая то, для чего она была создана.
Не стоит забывать, что искусственный интеллект используется и для хакерских атак. С помощью ИИ можно создавать стилистически грамотные фишинговые письма. Он также позволяет создавать самообучающиеся вредоносные программы, которые адаптируются под атакуемую инфраструктуру для маскировки и нанесения максимального вреда.
Новые вызовы потребуют от специалистов новых идей для решения сложных задач. Мы сейчас наблюдаем своеобразные гонки: ИИ против ИИ. Атакующие создают новые угрозы с помощью искусственного интеллекта, а защитники обнаруживают и предотвращают их опять-таки с помощью искусственного интеллекта.
В итоге ИИ кардинально меняет сферу кибербезопасности. С одной стороны – повышает эффективность защитных мер, делая их более проактивными. С другой стороны – порождает новые, сложные и масштабные угрозы. В результате кибербезопасность становится одной из наиболее динамичных и критически значимых областей для применения и исследования искусственного интеллекта.
– Какие рекомендации вы могли бы дать нашим читателям?
– Обеспечение информационной безопасности – это постоянный процесс, требующий непрерывного внимания и высокой компетентности. Формальный подход может создать лишь видимость защищенности и поддерживать иллюзию: "если ничего не происходит, значит все хорошо".
Наш опыт показывает, что правило Парето применимо и к информационной безопасности: 20% усилий обеспечивают 80% защиты. Важно правильно определить, куда направить эти усилия.
Соответствие инфраструктуры формальным признакам защищенности на протяжении многих лет не гарантирует защиты от простых атак, если никто не проверил, как разработанные политики применяются на практике.
В области управления уязвимостями важно стремиться к балансу между идеальными практиками и реальными возможностями. Ваша задача: создать систему, в которой затраты на взлом будут выше потенциальной выгоды для злоумышленника, а не стремиться к совершенству. Но и тут возможны исключения. На практике можно встретить атаки со стороны APT-группировок, которые финансируются спецслужбами недружественных стран. В этом случае затраты на взлом могут в несколько раз превышать потенциальную выгоду от взлома. Не стоит забывать и про терроризм, для которого основная цель – запугивание. В этом случае атака, например, для вывода из строя промышленного объекта может носить демонстрационный характер и не принести никакой финансовой выгоды атакующему.
Не существует универсальных решений. Подход должен быть гибким и адаптированным к конкретным условиям бизнеса и имеющимся ресурсам. Экспертиза команды "Газинформсервис" позволяет найти оптимальное решение для безопасности именно вашей инфраструктуры.
Разовые мероприятия не приносят результатов – только непрерывный цикл анализа, контроля и устранение уязвимостей обеспечивает эффективную защиту.
Реклама: ООО «Газинформсервис». ИНН 7838017968. Erid: 2SDnjex5ody
