Intelligent Enterprise: В чем специфика вашего бизнеса? Какого рода информацию приходится защищать? Что представляет собой комплекс ИТ-инфраструктуры PwC?
Владимир Наймарк: Основная специфика нашего бизнеса состоит в том, что мы храним большой объем информации своих клиентов. В таких условиях крайне сложно выделить ту, что наиболее критична. В итоге приходится считать высококритичными абсолютно все данные, с которыми мы работаем. И любая их утечка несет невосполнимые репутационные потери. Вот в этом и состоит главная наша специфичная особенность.
Но зато требования к доступности несколько мягче, чем в производственном секторе с непрерывным технологическим процессом. В PwC я пришёл из компании, где фабрики работали в режиме 24×7 и даже незначительный простой вел к существенным убыткам. Здесь требования уже не такие жесткие. Во всяком случае простой в течение нескольких часов в принципе допустим. Но если счет пойдет на сутки, то это уже плохо.
В нашей компании около восьми тысяч сотрудников, и в общей сложности она объединяет пятьдесят офисов PwC в Центральной и Восточной Европе, штат персонала в которых колеблется от одного человека до двух тысяч. Соответственно в офисах используются разные решения и подходы. Всё это, естественно, значительно усложняет задачи, связанные с техническим обслуживанием. Да и с защитой информации тоже.
Как строилась стратегия защиты информации в вашей компании?
Мы проанализировали разного рода инциденты в области информационной безопасности, которые нанесли крупный ущерб. И в ходе данного анализа пришли к выводу, что большая часть этих инцидентов была выявлена слишком поздно, так что полноценно расследовать уже практически ничего нельзя. В итоге приходится предполагать худшее и исходить из того, что или атака идет сейчас, или вторжение уже произошло. Таковы реалии современного мира. При этом мы понимаем, что драйверами киберпреступности являются попытки взлома, связанные с этим заражения вредоносным кодом и использование методов социальной инженерии.
На основании данных постулатов мы и разрабатывали стратегию защиты. Она сводится к контролю критичных точек нашей инфраструктуры, к быстрому реагированию на выявленные атаки и появляющиеся новые угрозы, к постоянному самотестированию и самопроверке. Мы используем системы мониторинга и корреляции событий (SIEM), которые помогают нам отслеживать подозрительную активность. В нашей компании применяется несколько таких решений: Juniper STRM, RSA Envision, а также система собственной разработки. Для RSA Envision, которую в будущем году снимают с технической поддержки, мы активно ищем замену.
При использовании систем мониторинга мы максимально взаимодействуем с владельцами ресурсов, информируя их о любых изменениях, связанных со сменой привилегий по доступу к серверам, объектам виртуальной инфраструктуры, базам данных и бизнес-системам. Надо сказать, что именно изменение прав доступа обычно является одним из первых симптомов вредоносной активности.
Хотя бывают и ошибки, в том числе со стороны администраторов. Например, не так давно внешнему аудитору, который пришел нас проверять, дали полный доступ ко всему содержимому файлового сервера. Естественно, эти права были явно избыточны. Через час данный факт был выявлен и всё исправлено.
Кроме того, мы проводим регулярное сканирование на различного рода уязвимости и закрываем те, что нашли. К этой работе мы также активно привлекаем владельцев ресурсов, всячески подчеркивая то обстоятельство, что защита информации напрямую зависит от технической защиты их ресурсов. Данный процесс идет непрерывно. Установка патчей у нас проходит ежемесячно, иногда чаще, и для тех случаев, когда требуется перезагрузка, выделяются технологические окна по согласованию с бизнес-пользователями, чтобы они ощущали минимум неудобств. При этом проводится и анализ конфигураций оборудования и ПО.
Естественно, мы используем антивирусное ПО. Но готовые антивирусные решения мы дополняем другими инструментами, которые позволяют выявлять те серверы и рабочие станции, на которых антивирус не запущен, вовремя не обновлялся или имели место другие нештатные моменты. Помимо этого SIEM и IDS/IPS-системы позволяют выявлять и при необходимости локализовать подозрительную сетевую активность, за которой может скрываться вирусная атака или деятельность узлов бот-сети.
Важной задачей является быстрое оповещение сотрудников о новых угрозах. Например, у нас не так давно имела место вирусная атака. Несколько пользователей получили фишинговые письма, которые в итоге приводили к скачиванию вредоноса из «популярного» семейства Winlocker. И мы в течение нескольких часов оповестили всех пользователей, в том числе с помощью SMS, о том, чтобы они не открывали любые письма от незнакомых отправителей. Так угрозу удалось локализовать и предотвратить заражения, пока вендор антивируса обновлял сигнатуры.
А как быть с внутренними нарушителями? Тем более, что очень часто внешние злоумышленники действуют через внутренних, которые, впрочем, могут об этом и не подозревать…
Начнем с того, что под внешним доступом мы понимаем любую нелигитимную попытку обратиться к тем или иным ресурсам. Это касается и тех, кто работает внутри сетевого периметра. Но в этом случае те подходы, о которых я говорил, тоже вполне применимы. Тем более, что мы предотвращаем инциденты уже на стадии попытки вторжения. Утечка или уничтожение данных — это следующий этап, до которого мы стараемся не доводить.
Но все же внешние нарушители для нас опаснее. Да и рискуют они меньше, по крайней мере в России и в других странах бывшего СССР. Это связано с недоработками в законодательстве и благодушным отношением судов. Внутренние злоумышленники для нашего бизнеса менее характерны. Ведь те, кто имеет доступ к действительно ценным данным, очень сильно рискуют: ни больше, ни меньше разоблачение может означать конец карьеры, и это не преувеличение. Рынок консалтинговых и аудиторских услуг весьма узок. Работодателей не так уж и много, и большинство из них никогда не возьмут того, кто был уличен в краже данных. Так что необходимости в мощных системах предотвращения фрода вроде тех, что применяются в финансовом или телекоммуникационном секторах, в нашем бизнесе, пожалуй, нет. Скорее более важны решения, предотвращающие случайные утечки данных и позволяющие сотрудникам обмениваться информацией с клиентами безопасно.
Участвуете ли вы в мероприятиях по борьбе с мошенничеством и всяческого рода злоупотреблениями?
Мы мало проводим прямых денежных операций, с которыми можно было бы совершить мошеннические действия. Однако можно украсть информацию, чтобы затем продать её или использовать для шантажа. Так что всё опять сводится к борьбе с утечками. Как правило, группа риска хорошо известна. Это те, кто часто меняет место работы или ищет новую, особенно у конкурентов. Ну и отдельная категория — носители всяческих ноу-хау.
Кроме того, многие вопросы вынесены в компетенцию других подразделений — риск-менеджмента, экономической безопасности. Они занимаются в том числе подбором специалистов, которые работают с конкретными клиентами, контролем финансовых потоков. Всё это относится к области репутационных рисков. Естественно, мы с ними сотрудничаем в рамках общего процесса.
Так что отвечая на ваш вопрос, я сказал бы, что да, в мероприятиях участвуем, но это более широкая задача, нежели просто функция отдела ИБ.
Используете ли вы системы защиты от утечек — DLP?
Да, мы используем и DLP-систему. Причем это комплексное решение. Вот, например, у нас допускается применять флэш-накопители только от строго определенных производителей. Данные на накопителе при этом защищаются паролем, так что если диск попадет в чужие руки, посторонние не смогут воспользоваться корпоративной информацией.
Такая система внедрена во всех компаниях Центральной и Восточной Европы. Это касается внедрения любых технических решений, поскольку действуют единые стратегии и стандарты.
Мы внедрили нашу DLP-систему около пяти лет назад. Проект длился год, но и потом проводились всякого рода тюнинги и тонкие настройки — без этого не обойтись, поскольку ландшафт угроз постоянно видоизменяется.
Сейчас много говорят о корпоративной мобильности, в том числе об использовании собственных устройств сотрудников. Насколько много головной боли они вам доставляют?
Да, проблем немало. Мы активно тестировали готовые системы управления мобильными устройствами (MDM) и пришли к выводу, что эти решения пока не достигли должного уровня зрелости. Если на традиционном межсетевом экране установка флажка напротив той или иной опции означает, что потенциальная проблема закрыта, то в случае MDM это не совсем так. И выявить эти «дыры» может только тест на проникновение, что при внедрениях такого рода решений делают крайне редко. Мы же проводим такие испытания часто, иногда несколько раз в год. Иначе на адекватную защиту рассчитывать нельзя. К слову, мы активно используем тесты на проникновение для оценки защиты и других объектов нашей ИТ-инфраструктуры, и подобная практика будет расширяться еще больше.
Очень хочется практику тестов на проникновение распространить и на поставщиков облачных услуг. Но, к сожалению, тут мы не всегда встречаем понимание, особенно у российских провайдеров.
Как у вас решается проблема взаимодействия ИТ и ИБ в том, что касается управления техническими решениями? И как тут избежать всяческого рода конфликтов?
В целом на глобальном уровне у нас две группы, занимающиеся безопасностью. Одна из них разрабатывает стандарты и контролирует их исполнение, другая внедряет. Так вот, первая занимает довольно высокое положение в иерархии компании, являясь подразделением департамента риск-менеджмента. А вторая — часть ИТ-отдела. За счёт такого двойного подчинения удаётся избежать многих конфликтов и противоречий. Я по крайней мере с нерешаемыми проблемами не сталкивался.
Из кого получаются лучшие специалисты по информационной безопасности?
Из умных и компетентных людей. Но сейчас все больше таких сотрудников приходит из ИТ-службы. Да, информационная безопасность — это далеко не только технические решения. Да, нужно уметь составлять регламенты и политики, чем «чистые» ИТ-специалисты заниматься не очень любят. Нередко бывает необходимо осваивать методы оперативной работы, что тоже не у всех сразу получается. Но со временем доля ИТ-специалистов увеличивается. По моим оценкам сейчас она близка к 90%. То же самое происходит и с бизнесом, где через ИТ-отдел идёт всё взаимодействие с заказчиками. Типичный пример — интернет-банки. И в таком бизнесе вопрос безопасности — это в очень большой степени ИТ-безопасность.
Немного о планах на будущее…
Мы будем расширять практику тестирования. О тестах на проникновение я уже говорил. Но этим ограничиваться мы не собираемся. Будут тесты различных направлений, обучение пользователей, возможно, имитация фишинговых атак. Мы планируем постоянно обучать наших пользователей тому, как выявлять действия злоумышленников и не попадаться на их приемы. Естественно, всё это будет делаться с санкции руководства.