Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

Обычно удается убедить руководство, что затраты на ИБ – это инвестиции

Сергей Матвеев, 26/02/21

Задает вопросы Лев Матвеев, председатель совета директоров «СёрчИнформ»
Отвечает Сергей Матвеев, директор по безопасности ПАО ЧТПЗ, доцент департамента анализа рисков экономической безопасности Финансового университета при правительстве РФ 

Самый интересные ИБ-кейсы за годы работы

За двадцать лет работы у меня скопилось много кейсов, касающихся расследования мошенничества и коррупции менеджеров и руководителей компаний. Например, в «Связном» были интересные кейсы по выявлению карточного и кредитного мошенничества. Тогда, к сожалению, на вооружении у нас не было таких систем, как DLP, и все приходилось расследовать вручную, доказательства собирали по крупицам. Но в расследовании последних кейсов сильно помогла DLP - с ее помощью собирали фактуру для правоохранительных органов.

В ритейловом опыте была история выявления коррупционера в закупках, который забирал до 5% с каждой поставки. Ущерб оценивался в десятки миллионов рублей, но главное – страдала репутации компании, а это самое ценное.

В металлургическом бизнесе ущерб от коррупции тоже может исчисляться десятками миллионов рублей, например, когда коррупционеры изначально дают неправильные заключения по качеству принимаемого товара.

В производстве превалирует критическая инфраструктура, в защищенность которой приходится инвестировать больше денег, чем в ритейле. Здесь есть станки и компьютеризированные цеха, работу которых внутренние и внешние злоумышленники могут остановить, если проникнут в информационные системы. Это приведет к большим убыткам, ведь станки нужно будет перезапустить и перенастроить.

Внешние и внутренние угрозы

На ЧТПЗ 20 тыс. рабочих, большое количество ПК, то есть важность внутренних и внешних угроз сопоставима. Наши системы защиты улавливают и отрабатывают каждый день инциденты разных типов – и фишинговые атаки, и попытки проникновения в нашу информационную сеть, и ошибки сотрудников.

Мой опыт показывает, что большое количество инцидентов связано не столько со злоумышленниками, сколько с халатностью работников. Проводя интерактивные курсы по обучению в области информационной безопасности, мы видим, что наши сотрудники часто ошибаются. Мы стараемся их дообучить, понимаем, что ИБ – сложный предмет. Сложно объяснить, что если сотрудники кликнут на неверную ссылку, это приведет к плохим последствиям. К счастью, фатальных пока мы не имеем.

Отмечу, что эффективность работы сотрудников нас как ИБ не интересует, потому что в первую очередь мы используем наши системы для контроля утечек информации, то есть деятельности сотрудников, которая может нести негативные последствия для компании. Но при этом у нас накапливается статистика по эффективности работы, которая может позволить руководителям и эйчарам  провести анализ нагрузки на людей, оптимальности структуры подразделения, и мы готовы поделиться этими знаниями.

Кроме того, если человек недозагружен, ему могут прийти в голову дурные мысли, которые повлияют на информационную безопасность. Такая аналитика была бы полезна, но это история завтрашнего дня, когда мы разберемся со всеми острыми проблемами и перейдем к более тонким материям, научим нашу систему общаться один на один с каждым сотрудником.

Мы для себя сделали великое открытие, что, оказывается, на удаленке можно работать и производственным компаниям, хотя были и рьяные противники этого, адепты исключительно офисной работы. При этом в первую очередь увеличилась нагрузка на ИТ, поскольку люди из дома начинают чаще заходить в информационную систему, и нужно обеспечивать безопасность всех входов.

С апреля, когда мы ушли на дистанционную работу, пройден большой путь в части понимания защиты сотрудников, работающих из дома. В частности,  мы расширили применение DLP для контроля производственной деятельности и учета рабочего времени. Когда человек трудится дома, проблема контроля стала актуальнее - важно понимать, чем он занимается и на что тратит ресурсы компании.

Окупаемость ИБ-решений

В ЧТПЗ защитные решения развернуты на большом количестве ПК. Мы строим систему безопасности на анализе рисков, и к каждой инвестиционной трате (на DLP, SIEM или другую систему для экономической безопасности) подходим с тех же позиций. Мы говорим руководству, сколько будет стоить реализация обсуждаемого риска в деньгах и какова вероятность его наступления. Если руководитель готов принять риск, то не тратимся на средства защиты от него. Но в большей части случаев нам все же удается убедить топ-менеджемент в том, что небольшие инвестиции позволят перекрыть риск в долгосрочной перспективе.

При этом средний срок окупаемости ИБ-систем у нас – не более двух лет. Но DLP, к примеру, оправдывает себя буквально за пару месяцев, учитывая большое количество выявляемых злоумышленников, коррупционеров и мошенников, а также размер предотвращаемого ущерба.

Налаживать систему безопасности можно и нужно только в тесном взаимодействии с ИТ-отделом. 

ИБ и ИТ на предприятиях – антагонисты. Нельзя сказать, что нам удалось разрешить все противоречия, но нам удалось наладить партнерские взаимоотношения, нам нечего делить, хотя и присутствует здоровый конфликт интересов. Но мы понимаем, что мы не сможем без ИТ-подразделения реализовать практически ни одну свою инициативу. Все, что мы делаем, базируется на ИТ-инфраструктуре, всю информацию мы собираем из нее, поэтому без партнерских взаимоотношений и взаимопонимания не будет результата.

Аутсорсинг ИБ

Если говорить в общем, функции экономической и информационной безопасности нельзя передавать на аутсорсинг. Но вопросы информационной безопасности неоднородные. Например, управление и аналитику DLP я бы никогда не передал партнеру, потому что система собирает много внутренней чувствительной информации. А вот управление инцидентами (то, чем занимается SIEM) можно с удовольствием передать подрядчикам, поскольку инциденты везде одинаковые и обезличенные. Да и у нашего контрагента есть обширная база данных, которую можно использовать в части обработки и лечения этих инцидентов.

То же самое в экономической безопасности. Я со спокойной душой передавал на аутсорсинг проверку персонала и контрагентов, ничего секретного здесь нет. Но, например, антикоррупционную работу, борьбу с мошенничеством я бы не стал передавать. Не потому что не доверяю внешним партнерам, а потому что понимаю: не погрузившись в бизнес, не зная людей, бизнес-процессы, работать качественно по антикоррупционной программе с мошенничеством невозможно.

Для малых компаний, у которых 100-200 ПК и нет ИБ-службы, аутсорсинг - это единственный вариант, потому что небольшой бизнес не может себе позволить выделенные подразделения ИБ и экономической безопасности. Зачастую эти бизнесы вообще не занимаются вопросами безопасности. Для них, конечно, полезны внешние аутсорсеры по ИБ хотя бы в базовом варианте – для управления инцидентами, проверки контрагентов и персонала, элементарной работе по корпоративному мошенничеству и коррупции.

С какого количества ПК в компании надо бросать аутсорсинг и заводить штатную службу ИБ, я не смогу ответить. Это зависит от отрасли, собственника, команды. Известны крупные ритейл-компании, у которых безопасность до сих пор никак не организована.

Но если пытаться привязаться к размеру штата, то 500 сотрудников – это уже серьезный бизнес, для которого нужен контроль информационного периметра и корпоративного мошенничества. Нужно, чтобы несколько человек занимались информационной и экономической безопасностью.

Портрет современного ИБ

В университете мы много обсуждаем, как трансформировался портрет специалиста инфобеза и как он еще будет меняться. Не буду заниматься футурологией, но через 5-10 лет безопасность перейдет в область «цифры», аналитики, защиты информации. Уже сейчас роль офицера безопасности в общей корпоративной безопасности возросла, он становится главным, потому что все крутится вокруг информации – экономической, физической, технической безопасности. Да и сам бизнес крутится вокруг информации.

Отсюда и последствия: кадровый голод и необходимость повышения зарплат для удержания специалистов.

Навыки и знания специалистов зависят от направления, в котором они работают, но в целом речь идет уже не об «опере», а о человеке с профильным специальным образованием в области ИБ, даже если у него нет навыков оперативно-розыскной деятельности. У него другие задачи по защите информационного периметра, добыче информации. А дальше подключаются аналитики с опытом оперативной и следственной работы, которые умеют эту информацию обрабатывать и принимать нужное решение.

Говоря о себе скажу, что главный драйв от работы шефом безопасности, видеть, как складывается работа, когда мы строим гипотезы, собираем по ним информацию, находим проблему. Когда чувствуешь, что идешь в правильном направлении. Сотрудники кайфуют от того, что делают правильные вещи правильными инструментами. А руководитель – от того, что команда слаженная и каждый в ней делает свое дело.

Темы:DLPУправлениеЧТПЗ

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2021
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...