Александр Хрусталев, 22/04/21
Герой интервью: Александр Хрусталев, директор департамента информационной безопасности ПАО МГТС.
Интервьюер: Лев Матвеев, председатель совета директоров «СёрчИнформ».
– Александр, год назад мы все переходили на удаленку. У вас тысячи сотрудников, как вам дался переход?
– Это не стало для нас неожиданностью, поскольку возможность удаленной работы была у сотрудников и до этого. А единственной сложностью оказалось масштабирование, поскольку потребовалось единовременно отправить на удаленную работу несколько тысяч сотрудников.
У нас и сейчас часть персонала остается на удаленной работе в связи с тяжелой эпидемиологической обстановкой. То, что сотрудник работает удаленно в наших информационных системах, не означает, что он остался бесконтрольным.
– Каких инсайдерских инцидентов в МГТС больше – по халатности или намеренных?
– Основная масса инцидентов, с которыми мы сталкиваемся, это халатность. Преднамеренные инциденты и жесткие попытки воздействовать на нашу инфраструктуру – достаточно редкие явления. В основном люди совершают проступки по незнанию или из-за того, что им просто удобнее делать что-то небезопасным образом. Но с этим мы стараемся бороться. Сначала выясняем причину, почему человек так поступил. Если ему действительно необходим какой-то функционал, мы стараемся обеспечить его, – удобный для человека и безопасный с точки зрения ИБ.
К примеру, человек хочет поработать из дома, и для этого он, не задумываясь о последствиях, может скопировать рабочую документацию себе на флешку или отправить ее на личную почту. Он это сделал из благих намерений, но для службы информационной безопасности это утечка информации из защищаемого периметра. Поэтому в таком случае мы проводим воспитательную беседу с сотрудником и объясняем, что для удаленной работы с информацией у нас есть соответствующие инструменты.
– А какие классы защитного ПО вы используете?
– Мы используем широкий спектр программного обеспечения. В первую очередь хотелось бы отметить DLP, как инструмент противодействия утечкам конфиденциальной информации. Используем также различные сетевые решения, а также антивирусы, файрволы, то есть решения, которые позволяют анализировать трафик, выявлять в нем аномалии и оперативно реагировать на них. Кроме того, мы перепроверяем себя и проводим пентесты.
– Что приносит больше вреда – внешнее или внутреннее воздействие?
– Самое критичное для оператора связи – остановка деятельности через воздействие на инфраструктуру оказания услуг связи. В качестве потенциальной модели угроз нарушителя мы рассматриваем как внешнюю угрозу, так и внутреннюю. И для каждого типа угроз применяем компенсирующие меры.
– Кевин Митник, которого называют лучшим хакером всех времен и народов, говорил, что никакую внешнюю атаку невозможно провести без пособника изнутри. Вы согласны с ним?
– Я с ним согласен лишь отчасти. Когда у тебя есть пособник изнутри, тебе эту атаку проще провести: инсайдер обладает большим перечнем прав, полномочий и знаний, чем злоумышленник снаружи. Есть такое понятие как стоимость атаки. Если сотрудник понимает, что его никто не контролирует, хакеру с ним будет договориться относительно дешево. Условно, за сто долларов инсайдер будет готов предоставить нужный документ. Если же сотрудник понимает, что есть служба безопасности, которая контролирует его деятельность, что нужные права доступа нужно запросить и объяснить, для чего, – далеко не каждый пойдет на подобный риск. Стоимость атаки возрастает.
– Бизнес мыслит сроками окупаемости. Как мотивируете бизнесу, зачем тратить деньги на защитные программы? Каким должен быть срок окупаемости?
– В безопасности больше всего подходит рисковая модель. Решения информационной безопасности направлены на снижение вероятности наступления рисков. Поэтому при принятии решения о внедрении той или иной системы мы, естественно, смотрим на вероятность наступления рисков, на эффект по снижению данного риска. На мой взгляд, система может окупиться как в первый месяц, так и в течение года. Но, как правило, окупаемость происходит достаточно быстро. С точки зрения бизнеса система, которая не окупится через два года, – это неэффективная система.
– Давайте немного пофилософствуем. В России есть сильные решения по информационной безопасности, Россия даже немного впереди всего остального мира. Почему, несмотря на это, у нас так много инцидентов?
– Помимо качественного решения по информационной безопасности, важнейшую роль играет персонал, который обслуживает это решение. Молоток в умелых руках может строить замки, а в неумелых – оставит человека без ногтя. Поэтому все зависит от того, как настроена система безопасности, как она реагирует на возникающие события.
– Какой класс компаний в России наименее защищен: большие, средние, или маленькие структуры?
– Наименьшее внимание вопросам информационной безопасности уделяет сегмент СМБ. Причина простая: компания со штатом в 100—200 человек и небольшим оборотом, может, и рада бы заняться безопасностью, но зачастую не может себе позволить какое-то дорогостоящее ИБ-решение. Выходом для таких компаний был бы аутсорсинг, разовые внешние услуги, например, пентесты, а также услуги по подписке.
– На западе аутсорсинг информационной безопасности часто предоставляют телеком-провайдеры. Вы как раз представитель этой отрасли, на ваш взгляд, насколько это разумно и правильно?
– Предоставление пакета услуг со стороны телеком-провайдера – это зрелое и разумное решение, поскольку для заказчика удобнее платить единым счетом одной компании, а не покупать услуги различных поставщиков. Но в России пока недостаточен уровень зрелости и озабоченности по поводу информационной безопасности в малых компаниях. Пока у них не возникнет понимания, что превентивные меры защищают бизнес от закрытия, условий для массового оказания подобных услуг не возникнет.
– Вы упомянули про повышение ИБ-грамотности сотрудников. На практике какие плоды оно приносит компании?
– Курсы по информационной безопасности у нас проходит каждый сотрудник. Мы смотрим на результат, выявляем сильные и слабые стороны. По слабым – проводим дополнительное информирование, ведем разъяснительную работу с сотрудниками. Кроме того, мы периодически проводим проверку – выявляем, какой процент сотрудников перейдет по фишинговой ссылке.
– Раз обучение такое масштабное, наверное, набралась статистика, какой процент сотрудников кликает по ссылкам среди низшего звена, среднего и высшего?
– Такая статистика не показательна – все мы люди, всегда можно найти ту тему письма, на которую большинство из нас среагирует.
– Обучение касается непреднамеренных инцидентов. Есть такие сотрудники, которые по своей воле совершают нарушения?
– Конечно такие люди есть. Есть категория обиженных на компанию сотрудников. С такими людьми обучение вряд ли поможет. Но для таких ситуаций у нас есть кнут в виде контрольно-технических мер, благодаря которым мы можем оперативно выявлять подобный тип злоумышленников и превентивно предотвращать вред от их деятельности.
– Какой инцидент за время вашей работы вы могли бы выделить как наиболее любопытный, интересный?
– Историями про поиск коррупционеров и утечки информации я, наверное, мало кого удивлю. Мне лично, запомнился случай, когда в мою почту в течение пары недель начали сыпаться уведомления от Интернет-магазина, в котором я никогда не регистрировался. Как нормальный человек я решил отписаться, но присмотрелся к ссылке под кнопкой и обнаружил форму для введения учетных данных почты. Вот таким хитрым методом пытались выведать данные от почтового ящика. У своих сотрудников мы тренируем навык видеть такие уловки. Ну и антиспам отсекает подавляющее большинство подобных писем.
– Как у вас выстроено взаимодействие ИТ и ИБ?
– Мы достаточно хорошо понимаем друг друга и осознаем, что необходимо построить бизнес-процесс не только качественным, но и безопасным. Это можно сделать, только договорившись «на берегу», потому, что если служба ИБ начинает вмешиваться в процесс где-то посередине, приходится вносить много переделок. Тогда и начинается конфликт. ИТ говорит: «Мы уже начали процесс, а вы пришли и все поломали. Зачем?»
Чтобы не создавать такую ситуацию, мы включаемся в проекты на старте и сразу выдвигаем требования. Со своей стороны мы отлично понимаем, что задача не загубить проект, а сделать его безопасным для компании.
– А как меняется роль ИБ в бизнесе? Понятно, что прошло время мордоворотов с автоматами за колючей проволокой. Как цифровизация влияет на информационную безопасность?
– Еще Ротшильд говорил: «Кто владеет информацией – владеет миром». Поскольку информация переходит в цифровую сферу, становится все больше желающих ее получить. А наша задача, службы информационной безопасности, – ее защитить. Вы правильно сказали, что в 90-е информационная безопасность, да и безопасность в целом была представлена мордоворотами с принципами, и было важно не допустить, запретить!
Сейчас люди, которые приходят в информационную безопасность, – это выпускники технических вузов. Кроме того, ИБ сегодня – это творческая работа, здесь нет большой пользы от действий по шаблону. Да, стандарты необходимы, но существуют задачи, которые нельзя решить в лоб. Необходимо искать компромисс между тем, что мы хотим сделать и что нужно бизнесу. Время запретов прошло.
– Что мотивирует вас в профессии?
– Поиск правильного, эффективного решения. Есть работа по принципу «бить по хвостам»: случился инцидент – отработали, затем следующий. И так можно действовать годами, но будет ли это эффективно? На мой взгляд нужно искать системную причину, строить регламенты так, чтобы риски информационной безопасности были снижены, но качество процессов не было нарушено.
– Традиционный итоговый блиц-опрос. В инфобезе есть дилемма – все запретить или разрешить и контролировать. Вы в каком лагере?
– Изначально запретить. При необходимости разрешить, а что разрешено – контролировать.
– Вы заметили, что топ-менеджер или сотрудник среднего звена начал рассылать резюме конкурентам. Что делать: уволить сразу или необходимо разобраться, почему так случилось?
– Необходимо разобраться в причинах, и только после принять решение.
– Сотрудник создал фирму-боковичок. Которая берет подряды из-за чего основной бизнес теряет деньги. Что с ним нужно делать: сразу уволить или попытаться повоспитывать?
– На мой взгляд, в компании нет места конфликту интересов, поэтому увольнять.
Полное видео интервью:
