Помимо многочисленных проблем, стоящих перед службой информационной безопасности (ИБ), существует еще и конфликт интересов с ИТ-службой, которого редко удается избежать. Однако данное обстоятельство может стать очень серьезным препятствием на пути решения более важных для бизнеса задач. Об этом, и не только, зашла речь в рамках сентябрьского дискуссионного клуба в АНХ.
Актуальность темы
В конце сентября состоялась первая встреча дискуссионного клуба в РАНХиГС при Президенте РФ. Это совместный проект журнала Intelligent Enterprise и Школы IT-менеджмента. Мои ожидания от такого формата дискуссии сводились к той уникальной аудитории, которую не получается собрать в рамках других мероприятий. И для первой встречи они в общем-то вполне оправдали себя. Кроме приглашенных практиков, ИТ-директоров и руководителей служб ИБ, участие в обсуждении приняли слушатели MBA и преподаватели АНХ. Потому и разговор получился не просто содержательным, но местами даже неожиданным.
Тема, предложенная для первой встречи, звучала так: «Управление ИБ в условиях растущей и изменяющейся инфраструктуры». Может показаться, что она не нова, но это только на первый взгляд. Дело в том, что за минувшие десять-пятнадцать лет ИТ-инфраструктура большинства компаний претерпела серьезные изменения. Изменилось почти всё: экономика, политика, технологии, платформы, решения и кадры, — кроме подхода службы ИБ к вопросам информационной безопасности. Это противоречие заслуживает особого внимания, чтобы обсудить причины, последствия и попытаться найти выход из такой ситуации.
Актуальность данной проблемы легко удалось продемонстрировать на примере проектов по виртуализации. Практически ни одного специалиста по ИБ в этих проектах замечено не было. Я долго пытался понять, в чем же причина. Оказалось, что довольно широко распространена практика, когда подобные проекты начинаются с пилотных экспериментов, инициаторами которых выступают ИТ-специалисты. В стадии «пилота» перед службой ИБ рано ставить задачи и привлекать её компетенции. Цель этих инициатив сводится к тому, чтобы продемонстрировать бизнесу эффективность виртуализированных серверных инфраструктур и получить под это финансирование. И только после того, как на «пилоте» доказана ожидаемая эффективность и получено финансирование, вот тогда к участию приглашают службу ИБ. И тут начинаются сюрпризы. Так как эта служба предписывает обеспечить безопасность, то показатели эффективности, продемонстрированные бизнесу в ходе «пилота», становятся не столь убедительными, а отказываться от фактически развернутых уже работ мало кто захочет. В результате про ИБ вспоминают по остаточному принципу и стараются на ней еще и сэкономить.
С тем, что такие конфликты интересов возникают, были согласны все участники дискуссии, но кому-то удается находить разумные компромиссы. На этих практиках компромиссов и стоит заострить особое внимание.
От конфронтации к разуму
По наблюдению Марии Каншиной из компании «Информзащита», ИТ- и ИБ-службы изначально находятся в разных положениях. Стратегия развития бизнеса тесно связана с ИТ, так что не всегда понятно, с чьей стороны исходят те или иные инициативы. То ли ИТ-подразделение двигает бизнес, обогащая его теми самыми конкурентными преимуществами, которых бизнес от него и ожидает. Или же бизнес мотивирует ИТ-службу к внедрению новых решений. К сожалению, про службу ИБ такого сказать нельзя.
Но как в этих условиях интеграторам встраиваться в стратегию развития бизнеса и ИТ с решениями в области ИБ? Универсального решения нет, и в каждой компании отношения всегда будут выстраиваться уникально. Идти предлагается от простого к сложному, находя точки пересечения ИБ, ИТ и бизнеса, и в этих точках начинать строить диалог.
С этой позицией согласен Александр Лаврушко из компании Trend Micro. По его мнению в компаниях, как правило, всегда есть разделение между ИТ и ИБ даже на уровне бюджетов. Если для ИТ это обслуживание готовых решений или внедрение чего-то нового вместе с бизнесом, то для ИБ в этом процессе места нет.
На рынке де-факто существует два подхода: тот, который привносят интеграторы и вендоры, и тот, какого от них ожидают заказчики. Не всегда эти подходы совпадают. Но от обсуждения проблем на стороне заказчиков в ходе дискуссии решили отказаться в пользу других вопросов. Михаил Никишин, выпускник MBA при АНХ, привел пример из своей практики, когда ему пришлось столкнуться с проблемой взаимоотношений ИБ и ИТ. По его мнению большинство служб ИТ выросло из финансового блока и ему, как правило, и подчиняется. Это не удивительно, так как исторически первые ИТ-системы предназначались для автоматизации финансового и бухгалтерского департаментов. С тех пор у ИТ-подразделений сохранился короткий путь к бизнесу, и они находятся на передовом рубеже всех проблем, стоящих перед бизнесом. Любая же конфронтация для компании глупа и бесперспективна. Достаточно сказать, что проверка или внешний аудит, итогом которых станут непозитивные выводы, поставят обе службы в неудобное положение. Победителей при этом не будет. Кроме того, как только ИБ-отдел влезает в любую технологическую цепочку, он моментально попадает под удар со стороны менеждмента самого высокого уровня. Например, если головная компания не получит данных из удаленного филиала или месторождения, то ИТ всегда может сказать, что виновато ИБ.
Что нужно делать? Прежде всего — умело разделять единую поляну между двумя направлениями. Задача ИБ-отдела при этом должна сводиться к тому, чтобы внедрять технологии безопасности и обязать ИТ-отдел их поддерживать. Это уже совсем иная парадигма ИБ, нежели та, что доминирует в корпоративной среде в настоящее время. Вендоры никогда не смогут ничего предложить заказчику для решения задач, стоящих перед ними. Об этом свидетельствует многолетний опыт взаимоотношений тех и других. Они всегда будут внедрять свои продукты, так как их KPI оценивается именно по этим продажам, а не по уровню удовлетворенности заказчиков с точки зрения решения своих задач. И тем более не всегда в этих продуктах нуждается бизнес, для которого ИБ в списке приоритетов стоит на одном из последних мест. Если перед CEO встает вопрос, где взять деньги на выплату зарплаты сотрудникам, то это самое неподходящее время попытаться утвердить бюджет на приобретение нового фаервола.
Для того чтобы бизнес был готов вести диалог с ИБ-службой, её руководители должны знать ключевые точки бизнеса компании: стратегию, миссию, краткосрочные планы. Имея эти исходные данные, уже можно попытаться идти к бизнесу с проектами, а не с просьбами «возьмите нас с собой». Но даже в этом случае ИБ будет рассматриваться по остаточному принципу, как сервисное подразделение. Поэтому более правильный вопрос — как выстроить службу ИБ в компании? Как из вечно крайнего стать полноправным партнером для бизнеса? А вендоры и интеграторы должны вписываться в этот процесс своими компетенциями и своими продуктовыми решениями раскладывать эти задачи на технические составляющие.
Отказ от вредных привычек
Точку зрения со стороны ИТ на встрече отстаивал Серей Потапов — он привел пример из своей практики, когда в компании «Вимм-Билль-Данн» удалось сделать так, что ИБ-служба не только ставила задачи для ИТ, но и была заказчиком определенных сервисов и своего рода контролером. По его мнению двух человек в службе ИБ было достаточно для того, чтобы эффективно выстроить это взаимодействие между департаментами, а не иметь две параллельные структуры, ибо данный подход абсолютно неправильный и неразумный для бизнеса да и для самих этих структур. Сергей считает, что на базовом уровне вопросы ИБ обычно бывают решены. При этом убедить кого-то, что существуют иные угрозы и на противодействие им нужно тратить деньги, очень сложно. И тогда приходится либо талантливо убеждать, либо использовать ошибки и инциденты, которые случаются. Вот тогда вопросов с финансированием становится намного меньше. Например, если ситуацию, когда компания может быть парализована в связи с DDoS-атаками, перевести на язык денег.
Но с точки зрения Михаила Никишина, это уже не безопасность, так как она должна отличаться от систем защиты. У «безопасников» совсем другие рефлексы. Люди в погонах МВД плохо решают задачи безопасности в целом. Их практика сводится к «посмертному» учету: когда есть труп – будет дело. Служба ИБ не должна допускать подобных событий. Вот почему ИБ затратна, сложна и живет другими рефлексами. Ни один хороший безопасник не доведет ситуацию до того, чтобы в компании что-то случилось и только тогда начать действовать. Он лучше уйдет, подаст в отставку, тем самый эскалируя проблему до уровня первого лица в организации. Но сложно искать профессиональную правду, когда приходится сталкиваться с отношением самого бизнеса к вопросам безопасности, таким же, как и у людей в погонах МВД. Видение мира службой ИБ не совпадает с тем, как его видит бизнес-сообщество и тем более как трактуют и оценивают ситуацию владельцы бизнеса. При этом для всех нужно находить свой язык диалога, свои ценности и свои мотиваторы.
В компаниях малого и среднего бизнеса бюджеты на ИБ — это очень большая проблема, а точнее, она состоит в их обосновании! Если вы хотите что-то реализовать в области ИБ, то отдайте бюджеты в ИТ. Они лучше других умеют закупать программные и аппаратные средства, к тому же они к этому очень трепетно, дотошно, а иногда и болезненно относятся. Так что если не стоит задача из своего бюджета на ИБ набить карманы и договориться об откатах, то лучше эти закупочные функции отдать в ИТ-отдел и таким образом на неком макроуровне получить его себе в союзники. А для ИТ-службы чем больше бюджет, тем выше статус в компании. Отдав им это, можно получить союзника в их лице, а самим успешно решать задачи, которые стоят перед ИБ. Тогда будет толк, и тогда будет исключена одна из причин для конфликта и конфронтации между ИТ и ИБ.
Взросление ИБ
Все советы, как правило, бывают хороши до того момента, пока не начинаешь примерять их на себя. Вот тогда возникает множество вопросов. Дело в том, что сотрудники ИБ-службы сами для себя не являются целевой аудиторией, и очень важно уметь со стороны посмотреть на уникальность тех сегментов рынка, на которых каждый работает. Павел Головлев из СМП-Банка говорил о том, в каких условиях ему приходится работать: по большому счету у них три бюджетные позиции — хозяйственники, реклама и ИТ, так как основными средствами производства современного банка являются ИТ-средства. Поэтому бюджет ИБ находится у ИТ. С другой стороны все рекомендации, как правило, бывают хороши только тогда, когда речь идет об идеальных айтиишниках: «Я с удовольствием отдал бы бюджеты и задачу поддержки ИБ на сторону ИТ, если бы я им доверял на сто процентов».
Присутствовавшая на встрече Анаргуль Балниязова, начальник службы ИБ и коммерческой тайны Национальной компании «Казахстан темир жолы» (Казахстанские железные дороги), привела в пример свою инфраструктуру. По ее словам проблемы ИТ и ИБ в компании нет, так как позиция ИБ выше. При этом ИБ-специалисты вовлечены в деятельность по контролю и мониторингу всех внедренных ИТ-систем, по разработке необходимых регламентов и инструкций для повышения осведомленности сотрудников в вопросах ИБ. Все бюджеты сосредоточены в ИТ-департаменте, но начиная с техзадания и бизнес-планов всё согласовывается со службой ИБ. Проблем много, в частности отдел ИБ состоит из семи человек плюс одиннадцать региональных представителей. Базовая модель угроз, принятая в компании, исходит из того, что основным риск-фактором является внутренний сотрудник или инсайдер. Исходя из этого выстраивается определенный комплекс мероприятий. Но те, кто понимает, согласятся, что отслеживать сеть компании, насчитывающую 150 тыс. сотрудников, силами семи человек — нереальная задача. Чтобы контролировать события, оценивать их и быстро принимать решения, ИБ-служба должна состоять не менее чем из трёх сотен человек. Функций, реализованных на аппаратном уровне, в этом случае недостаточно. Люди перегружены, но сейчас компании реформируется и есть надежда, что численность сотрудников ИБ будет увеличена.
Но пример железной дороги явно ассоциируется со стабильными бизнес-процессами. Существует ряд бизнесов, которым быстрые изменения способны дать конкурентные преимущества фактически в столь же оперативном режиме (розница, туризм, телеком, банки и пр.) В этих условиях и перед службой ИБ ставится задача гибкости.
Рассматривать ИБ с точки зрения масштаба компании тоже было бы не совсем верно. ИБ вообще стоит рассматривать только с определенного уровня «взрослости». Если в банке ИТ-направление сформировано так, что ему нельзя доверить поддержание ИБ-систем и решений, то это не проблема ИБ-службы, а проблема бизнеса. А вот довести до бизнеса все риски и последствия, связанные с этим состоянием дел в банке, должны сотрудники ИБ.
Александр Баскаков, начальник отдела ИБ компании «Комус», чья дипломная работа в АНХ касается международных инструментов и практик оценки модели зрелости, считает, что исходя из уровня зрелости можно найти ответ, где находится или должна находиться служба ИБ в компании в настоящий момент: в составе ИТ-отдела, рядом с ним или сама по себе. На практике любую цифру можно попытаться обосновать перед бизнесом, и многие в это даже поверят. Но чтобы быть убедительным, прежде всего нужно просто обладать авторитетом, чтобы тебя не только слушали с целью понять сказанное. А кроме того, иметь свою собственную «рулетку» для измерения ИБ и уметь ее пользоваться. Тогда у любых цифр появится совсем другая сила убеждения и совсем иной смысл.
Это позицию разделяет Михаил Никишин, веря в то, что взрослость организации можно оценивать по иным признакам. В частности, он против запрещения публичных сервисов в компании. Надо сделать так, чтобы эти сервисы были под контролем, и это не должно достигаться какими-то агрессивными инициативами со стороны ИБ. ИБ-подразделение в компании должно быть невидимо, но сам бизнес не должен при этом быть подвержен каким-то угрозам. Как это сделать? Это внутренний вопрос службы ИБ!
Однако на практике закрыть доступ обычно бывает проще и дешевле, чем контролировать и отслеживать трафик. Но если позиция ИБ-службы не будет сводиться к поиску виновных в инцидентах и к их наказанию, а проявлится в том, чтобы предоставить возможность высказаться, объяснив свои действия, у неё от этого будет масса союзников. Процесс в основе своей, как правило, всегда один, но превалирует либо желание кого-то поймать и наказать, либо дать возможность честному человеку объяснить свои действия и быть услышанным.
Ограниченные тиражи ИБ-практик
Хорошо, когда бизнес понимает, что служба ИБ решает не задачи ИБ, а задачи бизнеса. Например, у ИБ-службы в целом ряде случаев есть возможность грамотно показать, где бизнес что-то теряет. Но чтобы начинать подобный диалог, у неё должна быть безупречная репутация и авторитет, подтвержденный предыдущими проектами, потому что вопрос всегда будет стоять не только о том, что защищает ИБ, но и как глубоко это делается, так как это влияет на затраты. Мария Каншина привела примеры из своей практики, когда в компании постепенно приходили к безопасности бизнес-процессов. При этом всегда была поддержка со стороны первого лица в компании. Но как быть, если через какое-то время бизнес приходит к разочарованию, так как достигнутые результаты не соответствуют его ожиданиям?
По мнению Михаила Никишина подобное случается в том случае, если несмотря на все внедренные в компании процедуры и регламенты ИБ случается катастрофа, например потеря данных или утечка информации, которая приводит к серьезным финансовым потерям. Тогда разговор идет на повышенных тонах, и первым с занимаемой должности слетает руководитель службы ИБ. Остальных не трогают, так как кредит доверия, ресурсы и финансирование инициатив ИБ выдавалось под первое лицо, на этом же основании у бизнеса формировались определенные ожидания. И никакая «бумажная» безопасность от этого не спасает.
Бороться против всех и от всех защищаться невозможно. Нужно разобраться с моделями угроз и утвердить их у руководства компании. Если этого не сделать, то при любом конфликте будут стараться на ИБ-службу свалить и списать всё. Есть соблазн «вбухать» огромное количество ресурсов и построить непроходимую систему безопасности. В то время как какими-то угрозами всегда можно пренебречь и принять риски. Жесткая бизнес-среда быстро учит, что если задача не решена, то всегда есть тот, кто за это «нерешение» отвечает. Если руководитель банка не обеспечивает решение актуальной задачи средствами ИБ, то остается крайний вариант — перекинуть ответственность за это на его сторону, даже если задача при этом так и остается нерешенной…
Тут так или иначе приходится вспомнить про «бумажную» безопасность и про тот факт, что первым, кто запустил бумажные практики, была большая четверка аудиторов. Сейчас по их пути пошли отраслевые регуляторы. От них приходит таблица, в которой нужно поставить «плюс» или «минус» в нужной клеточке. Как же не следовать этому формально, если ИБ безусловно должна удовлетворять требованиям всех мыслимых и немыслимых аудитов? Скорее всего что-то должно оставаться за рамками всех внешних проверяющих аудиторов, и именно это способно сделать систему неуязвимой! Иначе, раскрывая аудиторам все системы ИБ, вы выхолащиваете саму идею безопасности. В западной практике специалисты в области ИБ не тиражируют своих решений. Каждое следующее решение не должно повторять предыдущее. Иначе, зная стратегию предыдущей защиты, можно взломать последующую. Речь идет об очень интеллектуальном искусстве, в котором предстоит постоянно переигрывать противника.
По мнению Михаила Никишина, к слову «безопасность» следует относиться очень серьезно. Сама по себе безопасность не позволяет вольно трактовать предпринимаемые действия. В противном случае вы не понимаете, чем занимаетесь. Вся безопасность рушится, так как вы ступаете на поляну дилетантизма. Безопасность — это легкий диагноз, который всегда должен проявляться в вопросе «а вдруг завтра что-то случится?». И к этому чему-то надо быть постоянно готовым, чтобы не оказаться застигнутым врасплох.
Безопасность — это предметная область людей, которые чувствуют ее кончиками пальцев. Воспитав в себе рефлексы безопасников, люди начинают совсем по-другому жить и относиться к своим обязанностям. И это дает огромные преимущества ИБ над другими службами и подразделениями, потому что тогда от соответствующих проблем просто так уже никому не удастся отмахнуться. Надо иметь стальной каркас внутри себя, чтобы быть готовым за этот профессионализм ответить, в буквальном смысле слова. Поляну ИБ нельзя замусоривать случайными людьми и конъюнктурными идеями, которые часто основаны на банальной профанации. Нужно жестко пресекать любые попытки имитации деятельности и, наоборот, всячески культивировать профессиональный подход.