Ксения Трохимец, 23/09/19
Ксения Трохимец
Заместитель директора департамента специальных проектов, hh.ru
– Несмотря на то что девушки в информационной безопасности уже давно не новость, все же это воспринимается, скорее, как исключение из правил. Ксения, расскажите о вашем опыте, как вы пришли в информационную безопасность?
– Для меня информационная безопасность напрямую связана с именем компании, в которой я работаю на данный момент. В первую очередь потому, что мне посчастливилось совместно с коллегами стоять у истоков зарождения этого направления как самостоятельной единицы в hh.ru.
Как правило, в случае с нелегальным доступом к любым данным одновременно страдают как создатель и правообладатель информации, в нашем случае это соискатель, так и пользователь-работодатель, через учетные данные которого может совершаться компрометация.
Во-вторых – неподдельный интерес к этой сфере, который породил желание расти и развиваться дальше, трансформируя свой опыт управленца под те задачи и специфику, которые присущи информационной безопасности. Конечно же, не обошлось без дополнительного обучения, начиная с краткосрочных программ и заканчивая вторым высшим по специальности "Информационная безопасность".
И если уж затрагивать гендерную тематику: я придерживаюсь ценностей работы в смешанных или сбалансированных командах, где каждый ценен в первую очередь своим багажом знаний и навыков и является неотъемлемой частью процесса реализации проектов. И если даже у кого-то не так сильны какие-либо компетенции или знания, это легко нивелируется в рамках проектной команды.
– Что сейчас входит в ваши обязанности?
– На текущий момент передо мной стоят задачи эффективного управления командами подразделения, от инженерно-технической защиты и разработки до группы аналитиков, исходя из стратегических целей подразделения.
– Какие интересные проекты по информационной безопасности в компании hh.ru вы можете выделить?
– Что удивительно, я не могу выделить какой-то один проект как интересный. Перед нами зачастую стоят крайне нетривиальные задачи, в них необходимо разобраться и предложить решение, которого иногда нет на рынке либо очень мало подобных кейсов. Его просто нужно создать самим.
Так когда-то я основала направление антифрода и аналитики в компании, создав систему мониторинга и реагирования, которой нет на рынке в готовом виде как некоего программного решения. Изначально многое приходилось делать руками для того, чтобы оценить масштабы и понять основные алгоритмы и поведенческие характеристики. Но эта работа позволила нам реализовать на сегодняшний день комплексную автоматизированную систему, которая работает с минимальным включением со стороны специалистов.
В связке с этим направлением нами была открыта деятельность по защите бренда компании, так как весомую долю публикаций предложений о нелегальном доступе к учетным записям составляли онлайн-источники, где размещались разного рода объявления, сайты, группы по предоставлению услуг парсинга.
– Что такое фрод для hh.ru – проблема, угроза или факт, сопутствующий бизнесу компании?
– Очевидно, что фрод для любой компании – это риск, то есть событие неопределенное как с точки зрения вероятности реализации, так и с точки зрения последствий.
Источник рисков фрода – человек. А значит, никакая угроза не сравнится с фрод-рисками по разнообразию, изобретательности и быстроте адаптации к любым предпринимаемым контрмерам.
Однако для нас это не значит, что мошенничество нельзя прогнозировать и им невозможно управлять. Мы научились с этим работать, понимая и принимая, что отгораживаться можно сколь угодно много и долго. Реальность же такова, что защититься от всего просто невозможно. Поэтому вкупе с митигацией рисков для нас важна скорость реакции и устранения последствий в случае наступления риска, поскольку здесь заложены серьезные репутационные потери.
– Приведите, пожалуйста, несколько примеров мошеннических кейсов, которые были в hh.
– Основным объектом мошеннических кейсов являются данные, собранные компанией на портале, которые представляют ценность не только для добросовестных пользователей, но и для различного рода предприимчивых граждан, которые в лучшем случае не видят ничего зазорного в перепродаже, скачивании и распространении информации, не предназначенной для этих целей. В худшем – это целенаправленная деятельность с широким инструментарием, инструкциями для пользователей нелегальной схемы, системой оповещений и собственной CRM-системой для ведения "клиентов".
– Кто становится самой частой жертвой мошенничества?
– Как правило, в случае с нелегальным доступом к любым данным одновременно страдают как создатель и правообладатель информации, в нашем случае это соискатель, так и пользователь-работодатель, через учетные данные которого может совершаться компрометация. Поэтому не лишним будет напомнить о банальных мерах цифровой гигиены, начиная с отказа от паролей на стикерах и заканчивая созданием более сложных паролей, чем 123qwerty.
– Вы уже рассказали о рисках мошенничества для вашей компании. Можно ли отнести какие-то угрозы к уникальным, присущим только рекрутинговым компаниям?
– Пожалуй, это тот факт, что в нашем кейсе ценность составляют не деньги на счету, как в случае с банковским фродом, а персональные данные. А так в остальном всё как у всех: от технических угроз защититься проще, нежели от антропогенных или социальной инженерии, ибо пресловутый человеческий фактор неиссякаем.
– По каким признакам вы понимаете, что имеет место мошенничество, если не считать обращений пользователей?
– Как правило, мы работаем на опережение, не допуская ситуации, когда пользователь пострадал и пишет жалобу.
Для этой задачи мы создали целую систему мониторинга и предиктивного реагирования, где задействована и поведенческая аналитика, и Machine Learning на весомо больших объемах данных, что позволяет нам оперативно выявлять и принимать меры по недопущению мошеннических активностей на сайте. Если проводить аналогию, то это что-то вроде SIEM-системы для фрода с блоком предиктивной аналитики.
– Какие уникальные разработки в сфере антифрода использует компания hh.ru?
– В целом вся система антифрода в компании уникальна, так как в основе своей является авторской. В этом есть огромный ряд преимуществ: мы не кастомизировали чье-то универсальное решение под наши задачи.
Как правило, мы работаем на опережение, не допуская ситуации, когда пользователь пострадал и пишет жалобу. Для этой задачи мы в hh.ru создали целую систему мониторинга и предиктивного реагирования, где задействована и поведенческая аналитика, и Machine Learning на весомо больших объемах данных, что позволяет нам оперативно выявлять и принимать меры по недопущению мошеннических активностей на сайте.
Мы создали свои, необходимые нам инструменты для мониторинга, аналитики и реагирования с учетом наших особенностей, структуры и типологии фрода. Безусловно, пришлось попотеть в самом начале, когда мы обошли практически весь рынок антифрод-систем и не нашли решения наших задач. Но поверьте, это того стоило.
Сейчас это сложный комплекс, имеющий в ядре алгоритмы на основе машинного обучения, который позволяет нам уже на этапе входа на сайт определять потенциальные угрозы мошенничества и не допускать подобные активности на сайте.
Безусловно, мы не ограничиваемся только собственными разработками: в случае, если находим решения, которые можем адаптировать под наши процессы, внедряем, сопоставляя стоимость, ожидаемый результат и время интеграции. Например, в случае с технологией цифровых отпечатков мы не осуществляли разработку самостоятельно, но провели большой объем работ, связанных с адаптацией под наши нужды.
– Позволяют ли антифрод-мероприятия значительно снизить финансовые потери компании? И как подсчитать их эффективность?
– Не берусь говорить за другие бизнесы, в нашем случае да. Иначе проведение антифрод-кампаний не имело бы никакого смысла. Изначально мы ставили себе цель создать систему не ради системы, поэтому крайне интересно было разработать критерии оценки эффективности.
Методология аналогична системе оценки рисков, включает в себя ряд параметров, связанных с прямыми и косвенными убытками компании, упущенной прибылью, простраивая конверсии от действий тех или иных алгоритмов, поскольку особенность наших антифрод-мероприятий – это не только предотвращать убытки, но и приносить прямой доход компании.
– Как изменилась динамика мошенничества, направленного на hh.ru, за последнюю пару лет? У вас есть конкретные цифры?
– Конечно же, мы оцениваем объемы и динамику происходящего, дабы понимать и владеть оперативной обстановкой на "теневом рынке". Только за последний год нам удалось замедлить данный тренд более чем в два раза.
– Насколько функция противодействия мошенничеству значима для бизнеса? Какое место она занимает в структуре вашей компании?
– На самом деле, данная функция имеет достаточно большой вес в компании, поскольку не только не допускает фрод-инцидентов, но и позволяет приносить прибыль. И дело не в пресловутой экономии.
Магия заключается в том, что воздействие наших алгоритмов позволяет перевести пользователей с темной стороны на светлую и делает экономически невыгодной покупку данных в неофициальных источниках.
Как следствие, клиенты начинают покупать наши услуги официально, а тем, кто пытался на этом сделать свой маленький стартап, хоть и нелегальный, мы создаем максимально невыгодные условия его ведения.
– Что больше влияет на успех фрода: использование мошенниками методов социальной инженерии, новых "технических разработок" или криминальные действия самих сотрудников?
– Я бы сказала так: изобретательности людей нет границ. В случае, если они ставят перед собой цель обойти системы и получить доступ нелегально, все средства хороши. Они будут искать любой инструментарий, который позволит им добиться результата.
Поэтому я не могу утверждать, что тот или иной метод является лучшим. Как правило, используется комбинация вариантов проникновения.
– Большинство компаний обычно отрицают факт внутреннего мошенничества. Как часто вы сталкивались с внутренними угрозами? И, если они имеют место, то куда чаще всего "пролезают" сотрудники?
– Безусловно, сотрудников любой компании можно расценивать как субъектов внутренних угроз, тем более если этот сотрудник имеет привилегированные права доступа к различного рода конфиденциальной информации.
Цифровой отпечаток, или цифровой след, – это уникальное сочетание различных характеристик пользователя, он позволяет нам решать ряд задач, таких как: мошенничество с учетными записями и недопущение до регистрации пользователей, цель которых – нелегальное использование сервисов компании; выявление вредоносных ботов, скомпрометированных аккаунтов; защита личной информации пользователей.
Для нас стандартом качества работы является недопущение такого рода кейсов и превентивное реагирование на подобные ситуации. Мы подходим к этому вопросу системно: это выявление сотрудников, склонных к мошенничеству; организация работы таким образом, чтобы любые попытки нарушений были "на виду" и пресекались превентивно; устранение факторов, провоцирующих совершение противозаконных действий; создание финансовых условий для сотрудников, при которых фрод становится бессмысленным, и тому подобное.
Другими словами, если мы не можем контролировать то, что происходит внутри, то грош цена нам как ответственным за безопасность компании.
– Выше вы упомянули про довольно интересный проект – цифровые отпечатки. Расскажите о нем более подробно, пожалуйста. Какие задачи вашей компании и пользователей это решает?
– Цифровой отпечаток, или цифровой след, – это уникальное сочетание различных характеристик пользователя, он позволяет нам решать ряд задач, таких как: мошенничество с учетными записями и недопущение до регистрации пользователей, цель которых – нелегальное использование сервисов компании; выявление вредоносных ботов, скомпрометированных аккаунтов; защита личной информации пользователей.
– Еще один ваш проект – защита бренда. Это довольно любопытный кейс. Ведь любая компания подвержена многочисленным факторам влияния внешней среды, от мнения работников до слухов и сплетен, которые расползаются по Интернету с огромной скоростью. Но, помимо этого, есть еще и более трудоемкие методы, например создание сайта-двойника. С чем столкнулась компания hh.ru?
– У нас были разные кейсы, когда люди пытались использовать бренд компании в своих целях, от постов в социальных сетях до названий доменов и до рекламных сообщений. Если сгруппировать цели такой деятельности, то это в основном увод трафика и перехват аудитории с целью предложения нелегального доступа/рекламы своих услуг, а также использование популярного бренда компании для прикрытия или статусности.
Выстраивание системы защиты бренда нам позволило взять под контроль данные активности и минимизировать репутационные риски. Как следствие, мы пересмотрели внутреннюю схему работы и взаимодействия с департаментом маркетинга и сейчас в случае появление нетривиальных ситуаций в этой области отрабатываем совместно, что позволяет нам эффективно помогать компании и цивилизованно закрывать подобные инциденты.
– Сейчас одна из популярных тем – повышение ИБ-осведомленности сотрудников компаний. Многие компании проводят собственные семинары или рассылают сотрудникам письма с подозрительными ссылками, а потом объясняют, почему кликать на все подряд, что вам пришло на почту, неправильно. Вендоры разработали различные тренинги онлайн и оффлайн. Как в компании hh обстоит дело с повышением осведомленности сотрудников в вопросах информационной безопасности?
– На мой взгляд, повышение ИБ-осведомленности сотрудников является одной из важных задач информационной безопасности любой организации, поскольку применение различных технических средств защиты не убережет компанию от ошибки, допущенной по причине человеческого фактора. Иногда сотрудники компании, особенно подразделений, не связанных напрямую с ИТ, не всегда адекватно оценивают опасность и возможные риски от необдуманных, неосторожных действий: открыть накопитель, который случайно валяется на столе, или ссылку, хоть и непонятную, но от коллеги же.
В связи с ростом доступности различных хакерских инструментов, бурным развитием социальной инженерии простая неосведомленность сотрудника об актуальных угрозах на сегодняшний день весомо увеличивает риски компании в части применения в отношении нее различных сценариев атак.
Поэтому у нас в компании существует комплексная программа, которая включает в себя и информационные дайджесты, в которых мы делимся свежими новостями из мира ИБ, и цикл семинаров по цифровой гигиене, и, конечно же, не обошлось без учений, которые мы проводим регулярно, поскольку, исходя из нашей практики, опыт – лучший учитель.
Так, в период, когда бушевали WannaCry, Petya, NotPetya и прочие "товарищи", мы провели соответствующую подготовку и не допустили ни одного инцидента в связи с этим.
– Еще одной, не менее важной, является тема нехватки квалифицированных кадров по информационной безопасности. Очень интересно, столкнулась ли онлайн-платформа hh.ru с подобной проблемой?
– Поскольку наша компания является лидирующей на рынке интернет-рекрутмента, мы постоянно держим руку на пульсе происходящих изменений и тенденций. И что я могу сказать по этому поводу: про нехватку квалифицированных кадров говорят представители любой сферы бизнеса вне зависимости от профобласти.
"Война за таланты" имеет место быть:
- молодые соискатели очень амбициозны в своих зарплатных аппетитах, многие не хотят работать "за опыт", хотя багаж знаний несоразмерен с их требованиями;
- для того чтобы "вырастить" сотрудника, не у всех работодателей хватает ресурсов, времени и мудрости, потому что деньги нужно делать сейчас, а не через пару лет;
- действительно "звезды" соискательского рынка, как правило, хорошо и сытно накормлены текущим работодателем, со всеми причитающимися преференциями в виде плавающего графика, расширенного соц-пакета и прочих бонусов, которые заставят на какое-то время забыть о выходе на открытый рынок труда;
- кандидаты "серебряного" возраста сейчас получают новую возможность для развития и переквалификации, в случае если готовы гибко подходить к вопросу обучения сотрудником, который на годы младше.
По совокупности этих факторов работодателям действительно приходится непросто, на своем опыте могу сказать, что весомо сокращает время поиска четкое представление о портрете кандидата, начиная от профессиональных компетенций и заканчивая личными качествами, с учетом тех факторов, на которые вы готовы закрыть глаза, если кандидат по ключевым компетенциям вас явно устраивает. А не просто инженер-сетевик. Чтобы задача не превращалась в "найди то, не знаю, что".
– Как решали данную проблему?
– Во-первых, по каждой из позиций у нас составлен четкий список требований к кандидату для того, чтобы было максимально просто выбирать и фильтровать соискателей в случае несоответствия базовым критериям.
В связи с ростом доступности различных хакерских инструментов, бурным развитием социальной инженерии простая неосведомленность сотрудника об актуальных угрозах на сегодняшний день весомо увеличивает риски компании в части применения в отношении нее различных сценариев атак. Поэтому у нас, в компании hh.ru, существует комплексная программа, которая включает в себя и информационные дайджесты, и цикл семинаров по цифровой гигиене, и, конечно же, не обошлось без учений, которые мы проводим регулярно, поскольку опыт – лучший учитель.
Во-вторых, все собеседования в нашу команду мы проводим самостоятельно, поскольку имеется соответствующий опыт и компетенции для осуществления отбора сотрудников, а также четкое видение, встроится ли человек в команду, так как мы оцениваем вкупе и Hard, и Soft Skills.
В-третьих, мы оцениваем потенциал сотрудника и желание заниматься той или иной деятельностью, поскольку можно обладать огромным пулом компетенций, но при этом быть неэффективным из-за банального нежелания заниматься определенными задачами.
В-четвертых, мы еженедельно проводим обучение внутри команды для того, чтобы устранять пробелы в знаниях, развивать компетенции и обмениваться опытом.
– Что можете посоветовать другим компаниям, которые столкнулись с этой проблемой?
– На мой взгляд, важна готовность гибко подходить к вопросу формирования кадрового состава, понимать, на что вы готовы закрыть глаза, если перед вами неограненный бриллиант.
Так, мы взяли в команду двух аналитиков со студенческой скамьи, сейчас они показывают стремительный рост и потрясающие результаты, хотя на этапе отбора не обладали всем необходимым набором компетенций.
При этом нужно не бояться расставаться с неэффективными сотрудниками, прикрываясь страхом "а вдруг не найду замену", поскольку именно они тянут вас на дно, являясь тем самым блокером.
Для ключевых сотрудников, которые приносят результат, стараться создавать условия, которые позволят удержать их в вашей компании. К слову, не так давно мы проводили опрос среди соискателей на тему того, что им важно для комфортной работы помимо достойной зарплаты, выплачиваемой вовремя, и получили такие результаты: саморазвитие как в горизонтальной, так и вертикальной плоскости, возможность гибко планировать рабочее время (это, кстати, отличная опция, когда ваш сотрудник показывает результат: какая разница, по большому счету, где в это время он находится физически), а также внимание и соответствующая оценка, в случае если работник выходит на работу сверхурочно. И, пожалуй, самое главное: сами не теряйте желание заниматься своей командой, уделяя внимание каждому. Ведь если за садом ухаживать, он обязательно даст плоды.
В завершение нашей беседы хочу обратиться к девушкам, которые рассматривают информационную безопасность как желаемую сферу деятельности: несмотря на то что в силу различных обстоятельств и традиций ИБ является миром мужчин, не стоит этого бояться. Будьте собой, не пытаясь кому-то что-то доказывать, делайте свою работу качественно, обучайтесь, и рост авторитета в глазах коллег на заставит себя долго ждать.
Спасибо за беседу.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2019
