Конфликт службы информационных технологий с информационной безопасностью есть всегда, считают эксперты. И хотя само слово «конфликт» обладает отрицательным оттенком, и многие подсознательно стараются его либо избегать, либо не замечать, имеющиеся противоречия можно не только преодолеть, но и придать им конструктивный характер.

Разный подход к проблематике

«Конфликт есть всегда, между любыми подразделениями, и подразделения ИТ и ИБ в этом плане не уникальны», – считает руководитель группы информационной защиты компании «Ростелеком-Солар» Алексей Пятигорский. Свою точку зрения эксперт высказал в ходе онлайн-конференции «Выгода для бизнеса из-за конфликта ИТ и ИБ после COVID-19», на которой обсуждались проблемы взаимодействия ИТ и ИБ, суть возникающих конфликтов и их последствия.

Любой конфликт, как правило, сложен по своей природе и зиждется на нескольких составляющих, например, личностных (когда люди не умеют договариваться или у кого-то присутствуют чрезмерные амбиции), функциональных (когда неправильно прописаны функциональные обязанности). «Если у ИТ целостность и непрерывность бизнеса связана с необходимостью постоянного функционирования всей системы, то требования ИБ всегда связаны с потерей функциональности. Стандартная причина конфликта – игнорирование безопасности и приоритет нормальной работы всей системы», – подчеркивает Алексей Пятигорский.

По мнению директора департамента цифровой трансформации Счетной палаты РФ Михаила Петрова, конфликт между ИБ и ИТ заключается в разном подходе к проблематике: «То, что с точки зрения ИТ называется восстановлением после сбоя, с точки зрения ИБ может называться уничтожением доказательной базы».

Эксперт рассказал, что в подразделении под его руководством сосредоточены и технологии, и безопасность. При этом конфликт имеет место, но он носит объективный характер, поскольку разные подразделения выполняют разные функции. «Все-таки ИТ всегда старается сделать что-то новое, что зачастую вступает в противоречия с желанием все сохранить, максимально защитить. Всегда есть диалектический конфликт между стабильностью и развитием. Поэтому всегда приходится балансировать, чтобы не качнуть маятник излишне».

Рассматривая данную проблему, необходимо отталкиваться от определения, что такое конфликт, считает СТО ТalentTech Сергей Ахметов: «Конфликт – это, прежде всего, столкновение интересов, и понятно, что у ИТ и ИБ часто интересы расходятся. Но в спорах рождается истина, и понимание того, что люди должны находить какой-то консенсус, рождает уверенность бизнеса в том, что действительно будет найдено самое оптимальное решение».

Если говорить об истории вопроса взаимоотношений ИТ и ИБ, то сначала все-таки появился бизнес, делится своим мнением эксперт по ИБ Павел Куликов. Потом появились «горячие головы» от ИТ, которые предлагали автоматизировать все и вся, здесь как раз начинается эпоха систем, автоматизирующих бизнес. В дальнейшем появилась еще одна сторона, которая предложила все это защищать. При этом никто не рассматривал безопасность как некое конкурентное преимущество. В настоящее время вся система живет по такой схеме: потребность бизнеса, реализация ИТ, обеспечение безопасности. «Мне, например, известны единичные случаи, когда ИТ выступает на этапе проектирования систем», – отметил Павел Куликов.

Как раз очень важно определить место и роль ИБ, считает Алексей Пятигорский, поскольку «никто никогда не говорит ИБ о том, что начинается новый проект, согласование с ИБ откладывают на потом, заранее никто этого не делает».

«Пальцев одной руки хватит, чтобы описать кейсы, когда на проработку самой бизнес-потребности привлекалась ИБ или хотя бы ей задавали вопросы», – подчеркивает эксперт по ИБ Павел Куликов. Например, о характере данных, от кого они поступают, кому направляются, в каких системах функционируют. Однако все это необходимо делать с целью создания информационного потока.

Тенденция, согласно которой ни ИТ, ни ИБ не участвуют в обсуждении проекта, не должна сохраниться, уверен директор по развитию «Ростелеком-Солар» Олег Седов. Но тем не менее ситуация меняется с большим трудом.

Кто кому подчиняется

Исторически так сложилось, что зачастую служба ИТ подчиняется первым лицам организации. У безопасников все сложнее. По мнению эксперта по ИБ Павла Куликова, здесь существует три варианта подчинения.

Первый – ИБ подчиняется общей службе безопасности. Как правило, руководители служб безопасности вообще ничего не понимают в ИБ, и это руководство осуществляется лишь потому, что в словосочетании «информационная безопасность» есть слово «безопасность».

Второй – ИБ подчиняется ИТ, здесь все зависит от личности самого ИТ-директора, насколько вопрос обеспечения безопасности важен для него самого, насколько он готов найти баланс между реализацией бизнес-потребностей и обеспечением безопасности. Третий – ИБ является самостоятельной службой, т.е. подчиняется первому лицу. Таких компаний единицы. Как правило, данная иерархическая структура складывается в случае реализации какого-то инцидента, который мог пошатнуть саму структуру бизнеса.

СТО ТalentTech Сергей Ахметов рассказал о том, что в их компании служба ИБ – важная составляющая, нацеленная на развитие бизнеса. «ИБ в нашей компании находится на том же уровне, что и ИТ, и напрямую подчинена генеральному директору, – отметил эксперт. – И так сделано абсолютно осознанно, исходя из понимания того, что ИБ – это и есть часть бизнеса, и защита информации наших клиентов – это непременный залог успешности. Именно из этих предпосылок ИБ была выведена на такой уровень».

Коронавирус и конфликт

Коронавирус оказал влияние на все сферы нашей жизни, ИБ и ИТ, конечно, не стали исключением.

По мнению Михаила Петрова (Счетная палата РФ), коронавирус обострил конфликт ИТ и ИБ. Во-первых, потому что в условиях удаленной работы все нужно было делать намного быстрее. Во-вторых, у сотрудников возникла необходимость получать доступ к информационным ресурсам не только внутри периметра компании, но и вне его.

«В условиях удаленной работы сотрудникам нужно было иметь полный доступ ко всем информационным ресурсам, которые они использовали, находясь на рабочем месте, – отмечает Михаил Петров. – И организовать такой доступ нужно было в максимально короткие сроки. Хорошо, что наши безопасники поняли и включились в этот процесс не с точки зрения запрета всего и вся, а с точки зрения нахождения возможных вариантов решения вопросов, вызванных сложившейся ситуацией. Речь идет, в том числе, о развертывании новых решений, дозакупке софта и т. д. Был огромный запрос на то, чтобы обеспечить нормальное функционирование и даже развитие информационных систем, и бизнес выступал драйвером нашей деятельности».

«Коронавирус – это кризис. Как известно, в любом кризисе ты не поднимаешься до уровня своих ожиданий, ты падаешь до уровня своей подготовки, – говорит эксперт по ИБ Павел Куликов. – Когда случился кризис, топор войны был зарыт. Я думаю, что первая утечка данных опять встанет клином между службами ИТ и ИБ, и они опять будут обвинять друг друга».

Благодаря кризису, стало ясно, что стоит защищать, а что – нет, какие риски реализуются, какие – нет, кризис выступил в роли лакмусовой бумаги, добавляет Михаил Петров. При этом количество инцидентов, расследованных за определенный период времени, например, за год, не должно быть критерием эффективной работы службы ИБ. Ведь, как известно, лучший сисадмин тот, о существовании которого никто не подозревает. Этот принцип справедлив и по отношению к безопасникам: если нет инцидентов, значит ИБ работает безупречно.

Вообще возникает вопрос, почему ИБ постоянно приходится доказывать свою пользу для бизнеса и свою эффективность?

По мнению профессора бизнес-практики в МШУ СКОЛКОВО Павла Алферова, ответ кроется в национальных особенностях характера: «Понятие вероятности, управление вероятностью, управление рисками не входят естественным образом в обыденную картину мира обычного российского менеджера. В условиях некоего постоянного организационного хаоса, частых изменений внешней среды российский менеджер просто не верит, что его продуманные и спланированные системные действия действительно могут серьезно повлиять на результат, повысят вероятность успеха. Он считает, что результат зависит от непредсказуемых, неуправляемых внешних факторов. Если вдруг не сработает, то есть замечательная формулировка: «авось, небось, как-нибудь». Если и это не сработает, то тогда включается героический аврал, в рамках которого «затыкаются дыры». Все это – злейшие враги системного подхода в информационной безопасности».

Что дальше?

Обострится ли конфликт между ИТ и ИБ после окончания пандемии зависит от того, в каком состоянии находится в конкретной организации ИБ, и какие там работают люди, считает Сергей Ахметов (СТО ТalentTech). Возможно два сценария развития событий. В первом случае конфликт обострится, во втором – его надо будет специально разжигать.

«В самом начале при переходе на удаленный режим ИБ и ИТ начали работать совместно, у них была простая бизнес-цель – обеспечить выживаемость бизнеса, обеспечить переход на удаленку, применить новые инструменты, сделать то, что раньше было немыслимо. Это привело к тому, что ИТ и ИБ сработались и возникли связи, которые ранее, возможно, не были налажены. Конфликт угас».

Возможно и возникновение иной ситуация. «Мы вернемся из карантина в другом состоянии, поскольку люди прошли цифровую трансформацию, обучены делать то, что никогда не делали, – объясняет Сергей Ахметов. – Каждый сотрудник компании умеет теперь настраивать компьютер, устанавливать средства видеосвязи. Люди поняли, что они это могут и умеют. И они будут хотеть делать это еще». В данном случае прежние запреты ИБ будут восприниматься очень странно, потому что в качестве контраргумента теперь можно сказать: «Мы так уже делали и не потеряли бизнес». Здесь функции безопасности придется перестраивать и говорить о том, как они помогают развитию бизнеса.

С таким подходом не согласен Алексей Пятигорский, потому что, по его мнению, «происходит абсолютная подмена понятий. С одной стороны, не вызывает сомнений, что бизнес является основополагающим, что ИБ должна работать на бизнес. С другой стороны, когда мы говорим, что ИБ поступается какими-то своими принципами, чтобы перевести бизнес на удаленку, что соответствует интересам бизнеса, это несостоятельно. Должна быть полная зрелость служб ИТ и ИБ, чтобы осуществить переход на удаленку. Но поступаться принципами ИБ – это неправильно. Специалист по ИБ как сапер. У ИБ нет права на ошибку».

«Если такой конфликт между ИТ и ИБ будет иметь место, и из-за утечек он выйдет на новый качественный уровень, я думаю, бизнес здесь проиграет, потому что нужно будет в новых современных реалиях изменять свои процессы, предлагать новые продукты, – говорит эксперт по ИБ Павел Куликов. – И там не будет времени на выяснение отношений. Нужно будет собраться, консолидироваться и под эгидой бизнеса начать плодотворно работать. Мне кажется, что в этом случае любая из сторон, которая будет идти на конфликт, и бизнес это заметит, проиграет».

Сергей Ахметов (СТО ТalentTech) считает, что после пандемии можно ожидать следующих изменений. Во-первых, точно произойдет переосмысление бизнесом функций ИТ и ИБ. «Бизнес вдруг увидел, что эти службы могут работать совместно, работать очень быстро, могут делать проекты за неделю, а раньше на это потребовался бы год. Это, возможно, поменяет отношение к людям, потому что в ряде организаций конфликт мог вынести на поверхность незрелость одной из служб и ее неготовность адаптироваться, быть бизнес-ориентированной».

Во-вторых, бизнес поймет, зачем этот конфликт нужен, и как он служит интересам бизнеса, и сделает из этого те или иные выводы.

В-третьих, реализация первых двух пунктов позволит более точно и прагматично оценивать те бюджеты и затраты, которые необходимы и на ИТ, и на ИБ.

Текст: Оксана Дяченко

Материал также опубликован в печатной версии Национального банковского журнала (октябрь 2020).