Источник фото: Shutterstock
14 апреля 2023 года в Москве состоится XVI Межотраслевой форум директоров по информационной безопасности CISO – Forum – бутик–мероприятие для рынка ИБ, по традиции объединяющее главных трендсеттеров российской кибербезопасности.
В преддверии мероприятия мы запускаем цикл интервью с экспертами, которым задаем главные для развития отрасли вопросы: как обеспечить информационную безопасность в условиях оттока талантов? Какие сценарии кибератак необходимо предусмотреть? И как выстраивать современную и эффективную систему защиты? Ответы в интервью Trinity Events Group дает спикер грядущего форума Лев Палей, руководитель службы информационной безопасности «СО ЕЭС».
– Лев, как давно и почему вы пришли в информационную безопасность?
В IT-безопасность я пришел в 2009 году – то есть 14 лет назад. Сейчас я задействован не только как человек, который организовывает процессы службы информационной безопасности в СО ЕЭС, но, кроме этого, состою в Ассоциации руководителей служб информационной безопасности (АРСИБ), веду экспертную группу Ассоциации «Цифровая Энергетика» и небольшое профессиональное сообщество. Также преподаю в университете РАНХиГС по профилю MBA.
В информационную безопасность пришел стихийно. У меня была своя компания (тоже из IT-сферы), но в какой-то момент я понял, что слишком неопытен, чтобы сделать бизнес эффективным, и ушел работать в найм, – как раз по профилю информационной безопасности.
– За эти 14 лет в отрасли были кризисы, сопоставимые с кризисом 2022 года?
2022 год уместно охарактеризовать фразой: «Все и сразу» (фильм такой вышел недавно, «Оскара» получит, говорят). В минувшем году нужно было думать и работать быстро и по всем тем сценариям, которые раньше казались одновременно невозможными.
Ближайший сопоставимый год по нагрузке для нас был 2020, особенно по объему внимания, уделяемого теме информационной безопасности. В 2017 году было тоже нечто подобное, если иметь в виду популяризацию основных атак и большее выведение темы информационной безопасности в публичную область.
– Вы упомянули сценарии, которые ранее было сложно представить. Какие оказались наиболее чувствительными для отрасли: утечка кадров, санкции, уход западных вендоров?
Вы перечисляете только то, что находится в публичном поле. Но то, что не так очевидно, это сами подходы по конструированию атак, к примеру хактивизм. Кибератаки могут идти не только от заинтересованных лиц, и быть спродюсированными определенными преступными группами. Они могут быть и массово организованными, с использованием сочувствующих пользователей, когда на их устройства загружаются элементы кода или скрипта, например, для генерации нагрузки на выбранный информационный ресурс. Такие сценарии впервые были массово реализованы в 2022 году.
Второй популярный тренд – серьезное увеличение сложности атак как таковых. Атаки стали более целевыми и фиксируются в большем количестве. Все мы помним ситуацию, когда большой видеохостинг обнулился на несколько дней. И это признанный пример сложного вектора, с конкретным флагом.
– Значит ли это, что отечественные сервисы в условиях санкций и нехватки иностранного ПО становятся более уязвимыми?
Это, как ни странно, наоборот – свидетельствует о том, что российские сервисы становятся и будут становиться все более защищенными. Здоровая реакция организма (в нашем случае – системы), – укрепление иммунитета после того, как на нее произошла атака вирусов. Если вас атаковали, если вы учитесь на своих или чужих ошибках, следующий раз это уже не будет такой неожиданностью. Такой коллективный иммунитет.
Плюс, общее внимание к теме информационной безопасности повышается. В большинстве компаний уже ставят акцент на мероприятия, связанные с повышением уровня защищенности.
На этом фоне более явным становится фактор того, что информационная безопасность начинает в какой-то степени корректировать автоматизацию и цифровизацию. Если раньше мероприятия, связанные с ИБ, были скорее вторичными, относительно движения вперед к светлому цифровому будущему, то после примеров прошедшего года вторичными их уже не назовешь.
– Какие кейсы оказались наиболее резонансными?
Таких кейсов было за последний год было огромное количество. Уже упомянутый видеохостинг, громкие случаи, связанные с дефейсами сайтов, утечками из разных компаний. Все они одновременно похожи и не похожи друг на друга – смотреть всегда нужно в контексте.
– Есть ли в этих случаях какие-то типовые уязвимости, которые ставят под угрозу систему безопасности?
Самым главным «ключом» во всех этих случаях становится человек.
Например, злоумышленники получили доступ к какому-то ресурсу, который находится на периметре, через уязвимость нулевого дня, и в этом случае кажется, что уязвимость нулевого дня – это что-то неизвестное, что предохраниться от этого было нельзя. Но нет. В любом сценарии есть возможность наблюдать за ресурсом и реагировать на аномальные события (если реализацию такой возможности предусмотрели). Как минимум, злоумышленника всегда можно остановить в начале развития атаки. Даже в том случае, если первичный доступ получен с использованием неизвестной уязвимости. Если специалист успевает среагировать, инцидент становится уже не так критичен: да, получили доступ, может, где-то успели зацепиться, но присутствие было устранено.
Я не говорю, что всему виной – чисто человеческая ошибка, но всегда есть огромное количество факторов, когда негативные последствия можно было сгладить или вообще их избежать. Зачастую многие «эксперты» постфактум сводят все к тому, что возможные атаки можно и нужно было предусмотреть. Но предусмотреть все невозможно. Всегда найдется какая-то открытая ниша, какой-то потайной ход или лазейка, через которую можно в систему постучаться.
На мой взгляд, главное решение – вовремя, правильно и динамично реагировать, учитывать свои и чужие ошибки.
– Но все-таки что-то можно предусмотреть? В чем-то себя можно застраховать?
Конечно, все зависит от широты взглядов специалиста. Застраховать себя можно от всего, но ведь компании не существуют ради информационной безопасности. Если попробовать такую страховку применить «в лоб», работа компании будет парализована. И чем такой специалист отличается от гипотетического злоумышленника?
Любому бизнесу нужны пути коммуникации с внешним миром, и все эти пути могут потенциально являться проводниками той или иной атаки. И тут нет универсального совета: чтобы дать рабочую рекомендацию, нужно детально знать работу компании, ее задачи и потребности. Система координат, в которой такая компания работает, очень важна.
Приоритеты в коммерческой компании и в государственной различаются. К примеру, если выстроить в порядке очередности, для коммерческой компании: сначала защита критических для бизнеса ресурсов, затем защита финансовых активов и коммерческой информации и в самом конце – нормативная составляющая, необходимость соответствовать внешним регуляторным документам. В государственной организации свое распределение: защита критических ресурсов, защита охраняемой информации и нормативная составляющая делят второе место.
Нужно предметно анализировать каждый конкретный случай, затем – придумывать либо техническое решение, либо проводить организационное и процессное изменение, которые совокупно позволят быстро и адекватно реагировать, а в конечном итоге – в случае атаки не допустить развития негативного сюжета в полной мере.
– Изменились ли за минувший год ваши подходы к управлению командой? Пришлось переосмыслить роль руководителя?
Думаю, эту роль сильно переосмыслить вряд ли возможно. Команда, которую мы формировали с 2019 года, всегда состояла из совершенно различных специалистов, территориально распределенных по стране.
Значительно увеличилась нагрузка, претерпела изменения система мотивации и постановки задач. Этот процесс стал гораздо больше ориентироваться на эмоциональное состояние каждого человека, который находится внутри коллектива. Большая внешняя нагрузка, которую пережил каждый в минувшем году, безусловно повлияла. Одно можно сказать точно – директивные методы, с учетом постоянно возрастающей потребности выполнять все более творческие задачи (ведь информации и вводных, на которые можно опереться, критически мало), больше не работают. К счастью у нас такого и не было, хотя в нашей сфере многие злоупотребляют такими методами.
– Могли бы вы назвать три ключевых тренда в информационной безопасности, за которыми вы посоветовали бы следить в наступившем 2023 году?
Давно наметился тренд на популяризацию безопасной разработки программного обеспечения – SSDLC (Secure software development lifecycle). Есть огромное количество стартапов, которым нужно оперативно что–то импортозамещать. Потребность в разработке новых решений, связанных с информационными технологиями, очевидна, но во время создания нового программного обеспечения естественным образом всплывает большое количество уязвимостей и ошибок, которые исправлять нужно быстро и в большом объеме.
Еще один логичный вопрос «А почему сразу не сделать хорошо?» порождает запрос на безопасную архитектуру (подходы zero trust, security by design и др.). Безопасная архитектура в нашем случае – это скорее про разум, про правильное отношение к проектируемой сущности, соответственно, в цене будут архитекторы, которые умеют учесть большое количество сложных вопросов и собрать все компоненты в конструкцию, которая будет прочно стоять на ногах и динамично реагировать на новые всплески внешних воздействий.
Также думаю, важный момент, – это правильная информационная политика, некая цифровая гигиена. С учетом все большего выведения на свет темы информационной безопасности, нужны люди, процессы, сформулированная система взаимоотношений, которая будет описывать правила реакции на публичные инциденты, связанные с кибербезопасностью. Очень важно, чтобы эти действия не наносили дополнительного урона компаниям после совершенных в их отношении действий.
Межотраслевой форум директоров по информационной безопасности – полный обзор главных новостей и трендов, актуальная повестка, дискуссии на сцене и в кулуарах, неограниченные возможности для общения, ответы и прогнозы экспертов – из первых уст. 14 апреля 2023 года очно и в онлайн-формате.
Подключайтесь, чтобы быть в курсе!