Генеральный директор Security Vision Руслан РАХМЕТОВ в интервью Национальному банковскому журналу рассказывает, в чём суть конфликта между директорами по информационной безопасности (CISO), которые отвечают за разработку и реализацию политики безопасности финансовых организаций, и директорами по информационным технологиям (CIO), и как они могут достичь взаимопонимания в совместной работе.

NBJ: Часто приходится слышать о конфликте подразделений ИТ и ИБ. В чём причина этого противостояния?

Р. Рахметов: Вся суть информационных технологий состоит в предоставлении цифровых сервисов сотрудникам, партнёрам и клиентам. Суть же информационной безопасности в том, чтобы данные в этих сервисах сохраняли должную конфиденциальность, целостность и были доступны непрерывно. Так что различная направленность лежит в самой природе двух этих служб: с одной стороны, предоставление «как можно более широко», с другой – ограничение «как можно безопаснее».

Стремительная цифровизация финансовой отрасли создала небывалые требования бизнеса к показателю вывода решений на рынок (Time-to-Market). ИТ-департамент постепенно приспосабливается к новым реалиям и вводит гибкие методологии, cost-центры ресурсов и DevOps практики. Для большинства же менеджеров по ИБ такой поток проектов и новых технологий стал серьёзной проблемой. Причина кроется в том, что для эффективной защиты системы нужно обладать значительно большей компетенцией, чем для её внедрения.

В результате ИБ становится стоп-фактором, причиной удлинения сроков согласования и прерывания доступности систем, за которые ответственно ИТ. А значит, конфликт переходит в активную фазу. Стоит ли говорить, что выход сотрудников на удалёнку «подлил масла в огонь».

NBJ: Расскажите, что является наиболее болезненными точками соприкосновения CISO и CIO.

Р. Рахметов: У каждой компании своя специфика, но основные проблемы практически у всех одинаковы. Это проектная деятельность, учёт имеющихся активов, процесс устранения уязвимостей и проведение регулярных аудитов. Проектной деятельности мы уже коснулись: от ИБ теперь требуется погружение в технологии как никогда раньше, а результаты анализа нужны в кратчайшие сроки.

Что касается управления активами, то недостаток информации об имеющейся инфраструктуре – это повсеместная проблема в компаниях. И страдают от этого все: бизнес не знает, на что именно выделяет ИТ-бюджет; ИТ не знает приоритетов в проектировании и обслуживании систем; ИБ не знает, что именно защищает.

Следующей точкой соприкосновения я бы назвал процесс управления уязвимостями. Он является, пожалуй, самым конфликтным, так как требования по установке тысяч обновлений ложатся на плечи ИТ. Впрочем, как и шишки за потенциальную недоступность систем в результате этих действий.

Сбор же информации для прохождения аудитов не столь конфликтен, но отнимает значительную часть времени сотрудников всех департаментов. И заполнение опросных листов – далеко не та задача, ради которой хочется перерабатывать.

NBJ: Решение конфликтов лежит больше в сфере вербальных коммуникаций. Могут ли технологии помочь наладить диалог между противоборствующими подразделениями?

Р. Рахметов: Технологии, конечно, не помогут, если нет желания работать на общий результат. Если же все участники готовы к диалогу, то нужно обеспечить благоприятную среду: простоту взаимодействия и достаточность данных. Когда мы разрабатывали платформу Security Vision, первоочередной для нас была возможность системы создавать единое удобное пространство взаимодействия всех участников, обеспечивая прозрачность анализируемой информации и автоматизацию рутинных операций. Когда правила игры понятны, выводы обоснованны, а рутина отдана роботам, в большинстве ситуаций конфликт исчерпывается сам собой.

NBJ: Первыми точками конфронтации вы назвали управление проектами и активами. Какой потенциал для улучшения этих процессов вы видите?

Р. Рахметов: Новые технологии безопасности, появившиеся вместе c DevOps инструментами, позволяют интегрировать лучшие практики безопасности уже на этапах проектирования приложений и сервисов. Но как получить исходные данные для будущей архитектуры? Создаём мы высоконагруженный платёжный шлюз или тестовый лэндинг, хранилище документов или систему онлайн скоринга? Стоимость ИТ-решений и средств защиты для них напрямую зависят от обрабатываемой на данном сервисе информации и требуемой доступности. Метод анализа таких вводных называется BIA (Business Impact Analysis). На его основе можно автоматически формировать стоимость архитектуры и список требований для обеспечения должного уровня защищенности.

Ряд наших заказчиков, пользуясь собственными методиками или привлекая внешних консультантов, на базе платформы Security Vision успешно реализовывали функционал проектного управления, интегрируя в него стандарты безопасности и данные ИТ cost-центров. Такой подход позволяет в разы уменьшить время согласования и повышает для бизнеса прозрачность расчетов.

Для существующих ИТ-сервисов BIA так же необходим. Он лежит в основе эффективного управления активами. Но не менее важно получение информации об активах из всех возможных источников, её обогащение, выявление недостатков и узких мест. Сколько в данный момент у компании имеется серверов, сколько из них были созданы для уже закрытых проектов, сколько систем не имеют последних обновлений или актуальных антивирусных баз, какова утилизация ресурсов систем? Вся эта информация должна быть доступна в режиме реального времени, так как от нее зависят принимаемые решения. Благодаря модулю «Активы» платформы Security Vision специалистам разных подразделений больше нет необходимости тратить часы на подготовку отчётов о собственной эффективности, а менеджерам – сомневаться в достоверности этих данных.

NBJ: Вы говорили о проблеме управления уязвимостями. Последнее время эта тема выходит за пределы обсуждения только в среде информационной безопасности и всё чаще попадает в повестку СМИ. Расскажите об этом подробнее.

Р. Рахметов: Киберпреступники сегодня как никогда эффективны. От появления в Сети первого описания уязвимости до его встраивания в арсенал шифровальщика иногда проходит всего несколько дней. Сумма требуемых выкупов в последних инцидентах с Acer и Quanta достигла уже 50 миллионов долларов, так что от СМИ эти истории не ускользают.

Процесс управления уязвимостями во многих компаниях пытаются организовать, что называется, «в лоб», заваливая службу ИТ десятками тысяч заявок на устранение. Однако вывод многих экспертов неутешителен: у ИТ никогда не будет достаточно ресурсов, чтобы закрыть все уязвимости, даже те, что имеют высокую критичность. Нужна интеллектуальная приоритизация, а значит – дополнительные данные.

Информация о ландшафте инфраструктуры, связанных бизнес-процессах, владельцах, окне обслуживания, а также способе эксплуатации уязвимости и данных о фактах её использования при хакерских атаках – всё это теперь учитывается при планировании действий в модуле «Уязвимости» платформы Security Vision. В результате вопросы, действительно ли эта уязвимость опасна, кто будет согласовывать процесс и где лежат резервные копии, снимаются автоматически.

NBJ: Для сбора данных при прохождении аудитов вы используете такой же подход?

Р. Рахметов: Совершенно верно. В нашем модуле «Аудиты» мы старались автоматизировать всё то, что можно автоматизировать, и сделать максимально удобным то, что автоматизировать нельзя. Контроли, одинаковые для различных аудиторских проверок, теперь нет необходимости заполнять повторно. Благодаря коннекторам данных система может самостоятельно получать информацию от аудируемых систем. Это снимает с исполнителей рутинные задачи и позволяет избежать случайных или преднамеренных искажений. Выявленные в результате проверок несоответствия принимают в платформе форму задач с назначенным исполнителем и сроками выполнения.

NBJ: Похоже, что у вас есть решение для всех проблем?

Р. Рахметов: Конечно, панацеи от всех болезней не бывает. Но если все готовы играть по общим правилам в интересах бизнеса, то конструктивный диалог вполне возможен. Платформа управления процессами информационной безопасности Security Vision предоставляет для этого диалога всё необходимое и размывает границы между ИБ и ИТ, обеспечивая эффективное взаимодействие и автоматизацию.

Беседовал: Виктор Суворов

Материал также опубликован в печатной версии Национального банковского журнала №199 (апрель 2021)