Задает вопросы Лев Матвеев, председатель совета директоров «СёрчИнформ»
Отвечает Сергей Матвеев, директор по безопасности ПАО ЧТПЗ, доцент департамента анализа рисков экономической безопасности Финансового университета при правительстве РФ
За двадцать лет работы у меня скопилось много кейсов, касающихся расследования мошенничества и коррупции менеджеров и руководителей компаний. Например, в «Связном» были интересные кейсы по выявлению карточного и кредитного мошенничества. Тогда, к сожалению, на вооружении у нас не было таких систем, как DLP, и все приходилось расследовать вручную, доказательства собирали по крупицам. Но в расследовании последних кейсов сильно помогла DLP - с ее помощью собирали фактуру для правоохранительных органов.
В ритейловом опыте была история выявления коррупционера в закупках, который забирал до 5% с каждой поставки. Ущерб оценивался в десятки миллионов рублей, но главное – страдала репутации компании, а это самое ценное.
В металлургическом бизнесе ущерб от коррупции тоже может исчисляться десятками миллионов рублей, например, когда коррупционеры изначально дают неправильные заключения по качеству принимаемого товара.
В производстве превалирует критическая инфраструктура, в защищенность которой приходится инвестировать больше денег, чем в ритейле. Здесь есть станки и компьютеризированные цеха, работу которых внутренние и внешние злоумышленники могут остановить, если проникнут в информационные системы. Это приведет к большим убыткам, ведь станки нужно будет перезапустить и перенастроить.
На ЧТПЗ 20 тыс. рабочих, большое количество ПК, то есть важность внутренних и внешних угроз сопоставима. Наши системы защиты улавливают и отрабатывают каждый день инциденты разных типов – и фишинговые атаки, и попытки проникновения в нашу информационную сеть, и ошибки сотрудников.
Мой опыт показывает, что большое количество инцидентов связано не столько со злоумышленниками, сколько с халатностью работников. Проводя интерактивные курсы по обучению в области информационной безопасности, мы видим, что наши сотрудники часто ошибаются. Мы стараемся их дообучить, понимаем, что ИБ – сложный предмет. Сложно объяснить, что если сотрудники кликнут на неверную ссылку, это приведет к плохим последствиям. К счастью, фатальных пока мы не имеем.
Отмечу, что эффективность работы сотрудников нас как ИБ не интересует, потому что в первую очередь мы используем наши системы для контроля утечек информации, то есть деятельности сотрудников, которая может нести негативные последствия для компании. Но при этом у нас накапливается статистика по эффективности работы, которая может позволить руководителям и эйчарам провести анализ нагрузки на людей, оптимальности структуры подразделения, и мы готовы поделиться этими знаниями.
Кроме того, если человек недозагружен, ему могут прийти в голову дурные мысли, которые повлияют на информационную безопасность. Такая аналитика была бы полезна, но это история завтрашнего дня, когда мы разберемся со всеми острыми проблемами и перейдем к более тонким материям, научим нашу систему общаться один на один с каждым сотрудником.
Мы для себя сделали великое открытие, что, оказывается, на удаленке можно работать и производственным компаниям, хотя были и рьяные противники этого, адепты исключительно офисной работы. При этом в первую очередь увеличилась нагрузка на ИТ, поскольку люди из дома начинают чаще заходить в информационную систему, и нужно обеспечивать безопасность всех входов.
С апреля, когда мы ушли на дистанционную работу, пройден большой путь в части понимания защиты сотрудников, работающих из дома. В частности, мы расширили применение DLP для контроля производственной деятельности и учета рабочего времени. Когда человек трудится дома, проблема контроля стала актуальнее - важно понимать, чем он занимается и на что тратит ресурсы компании.
В ЧТПЗ защитные решения развернуты на большом количестве ПК. Мы строим систему безопасности на анализе рисков, и к каждой инвестиционной трате (на DLP, SIEM или другую систему для экономической безопасности) подходим с тех же позиций. Мы говорим руководству, сколько будет стоить реализация обсуждаемого риска в деньгах и какова вероятность его наступления. Если руководитель готов принять риск, то не тратимся на средства защиты от него. Но в большей части случаев нам все же удается убедить топ-менеджемент в том, что небольшие инвестиции позволят перекрыть риск в долгосрочной перспективе.
При этом средний срок окупаемости ИБ-систем у нас – не более двух лет. Но DLP, к примеру, оправдывает себя буквально за пару месяцев, учитывая большое количество выявляемых злоумышленников, коррупционеров и мошенников, а также размер предотвращаемого ущерба.
Налаживать систему безопасности можно и нужно только в тесном взаимодействии с ИТ-отделом.
ИБ и ИТ на предприятиях – антагонисты. Нельзя сказать, что нам удалось разрешить все противоречия, но нам удалось наладить партнерские взаимоотношения, нам нечего делить, хотя и присутствует здоровый конфликт интересов. Но мы понимаем, что мы не сможем без ИТ-подразделения реализовать практически ни одну свою инициативу. Все, что мы делаем, базируется на ИТ-инфраструктуре, всю информацию мы собираем из нее, поэтому без партнерских взаимоотношений и взаимопонимания не будет результата.
Если говорить в общем, функции экономической и информационной безопасности нельзя передавать на аутсорсинг. Но вопросы информационной безопасности неоднородные. Например, управление и аналитику DLP я бы никогда не передал партнеру, потому что система собирает много внутренней чувствительной информации. А вот управление инцидентами (то, чем занимается SIEM) можно с удовольствием передать подрядчикам, поскольку инциденты везде одинаковые и обезличенные. Да и у нашего контрагента есть обширная база данных, которую можно использовать в части обработки и лечения этих инцидентов.
То же самое в экономической безопасности. Я со спокойной душой передавал на аутсорсинг проверку персонала и контрагентов, ничего секретного здесь нет. Но, например, антикоррупционную работу, борьбу с мошенничеством я бы не стал передавать. Не потому что не доверяю внешним партнерам, а потому что понимаю: не погрузившись в бизнес, не зная людей, бизнес-процессы, работать качественно по антикоррупционной программе с мошенничеством невозможно.
Для малых компаний, у которых 100-200 ПК и нет ИБ-службы, аутсорсинг - это единственный вариант, потому что небольшой бизнес не может себе позволить выделенные подразделения ИБ и экономической безопасности. Зачастую эти бизнесы вообще не занимаются вопросами безопасности. Для них, конечно, полезны внешние аутсорсеры по ИБ хотя бы в базовом варианте – для управления инцидентами, проверки контрагентов и персонала, элементарной работе по корпоративному мошенничеству и коррупции.
С какого количества ПК в компании надо бросать аутсорсинг и заводить штатную службу ИБ, я не смогу ответить. Это зависит от отрасли, собственника, команды. Известны крупные ритейл-компании, у которых безопасность до сих пор никак не организована.
Но если пытаться привязаться к размеру штата, то 500 сотрудников – это уже серьезный бизнес, для которого нужен контроль информационного периметра и корпоративного мошенничества. Нужно, чтобы несколько человек занимались информационной и экономической безопасностью.
В университете мы много обсуждаем, как трансформировался портрет специалиста инфобеза и как он еще будет меняться. Не буду заниматься футурологией, но через 5-10 лет безопасность перейдет в область «цифры», аналитики, защиты информации. Уже сейчас роль офицера безопасности в общей корпоративной безопасности возросла, он становится главным, потому что все крутится вокруг информации – экономической, физической, технической безопасности. Да и сам бизнес крутится вокруг информации.
Отсюда и последствия: кадровый голод и необходимость повышения зарплат для удержания специалистов.
Навыки и знания специалистов зависят от направления, в котором они работают, но в целом речь идет уже не об «опере», а о человеке с профильным специальным образованием в области ИБ, даже если у него нет навыков оперативно-розыскной деятельности. У него другие задачи по защите информационного периметра, добыче информации. А дальше подключаются аналитики с опытом оперативной и следственной работы, которые умеют эту информацию обрабатывать и принимать нужное решение.
Говоря о себе скажу, что главный драйв от работы шефом безопасности, – видеть, как складывается работа, когда мы строим гипотезы, собираем по ним информацию, находим проблему. Когда чувствуешь, что идешь в правильном направлении. Сотрудники кайфуют от того, что делают правильные вещи правильными инструментами. А руководитель – от того, что команда слаженная и каждый в ней делает свое дело.