Традиционно задача «непрерывности бизнеса» считается скорее зоной ответственности ИТ-подразделения, нежели ИБ-служб. Однако DDoS-атаки являют собой примеры непридуманных угроз, способных парализовать практически любой бизнес. В этих условиях уже не так очевидно, где проходит грань ответственности за обеспечение непрерывности бизнеса с точки зрения руководителей служб ИТ и ИБ. Эти и другие вопросы стали поводом для обсуждения в формате «Дискуссионного ИТ-клуба» в АНХ совместно со Школой IT-Менеджмента.
Особенность «Дискуссионного ИТ-клуба» заключалась в том, что в обсуждении приняли участие руководители как ИТ-, так и ИБ-служб. Несмотря на то что модели угроз для различных предприятий могут отличаться друг от друга, их объединяет задача защиты бизнеса. По мнению эксперта в вопросах ИБ Михаила Никишова, ни для кого не должен быть новым тезис, что необходимо поделить поляну между ИТ и ИБ. Как это сделать — отдельный разговор, но сделать это необходимо. Вытекающий из этого второй очевидный тезис заключается в том, что каждая служба должна заниматься свойственными именно ей функциями. Однако довольно часто можно столкнуться с ситуацией, когда функции одних возложены на других. Вот тогда возникают коллизии и конфликты.
Иными словами, служба ИБ не должна заниматься полировкой технологических решений, всё следует передать в ИТ. Специалисты ИБ-службы ответственны за обнаружение проблем, оповещение о них на ранних стадиях и их эскалацию до нужной уровня. В этом случае активность ИТ и ИБ легко разделить. Если не обнаружили и вовремя не сообщили, то ответственность на ИБ-службе. Если вовремя сообщили и этот процесс в соответствии с ISO 9000 прописан, то дальше ответственность лежит на ИТ-специалистах.
По мнению советника генерального директора ОАО «Северсталь» Александра Кириллова, это настолько очевидные правила, что даже нет предмета для спора или возражений. Когда удается сразу договориться о том, как действовать, то и в дальнейшем многое будет проще решаться. В «Северстали» договоренности между ИТ- и ИБ-подразделениями основаны, в частности, на известном стандарте ISO 27001 для ИБ, но с поправкой на реалии российского бизнеса. К слову сказать, тот же стандарт действует и на зарубежных предприятиях в Европе, Африке и Америке. При его внедрении в «Северстали» старались сделать так, чтобы он удовлетворял требованиям экстерриториальности. Эти документы определяют в том числе и зоны ответственности, и технические регламенты служб ИТ и ИБ, в результате между ними нет конфликтов.
Торговая сеть «Утконос» недавно была подвержена DDos-атаке. Предварительно был шантаж менеджмента этого бизнеса с целью получить определенную сумму. По признанию Кириллова Александра, который занимался этой проблемой, с его стороны была одна недоработка: так как контакт-центр находится в другом часовом поясе, информация о начальном периоде задержалась. Но потом всё происходило по классическому сценарию: была выявлена атака, проведены мероприятия по определению её инициатора, подготовлены документы, необходимые для возбуждения уголовного дела, и пр. Этот процесс полностью сопровождали специалисты со стороны ИТ, при этом их зона ответственности была связана с тем, что бизнес необходимо поддерживать и он должен приносить деньги. Если ИБ-служба проводила мероприятия по минимизации потерь, то служба ИТ — по восстановлению бизнеса.
В то же время непрерывность бизнеса в разных странах трактуется по-разному. Например, у «Северстали» есть активы в одной из стран Африки, на границах с которой периодически происходят боевые действия, нарушающие нормальную работу предприятий. В этом случае непрерывность бизнеса подразумевает особые инициативы. В частности, приходится разрабатывать план эвакуации, поддерживать «горячий» режим вертолетного парка на случай подобного рода инцидентов. Словом, приходится продумывать во многом уникальные решения.
Кроме того, существуют особенности и локальных нормативных требований, в том числе в Европе. Там традиционно не принято специалистов по ИБ держать в штате компании. Обычно эти задачи решаются путём аутсорсинга. Пришлось менять отношение к ИБ, когда компания вроде бы поддерживает непрерывность вашего бизнеса и вроде бы как какие-то инициативы по ИБ проводит, но с финансовой точки зрения за нарушение SLA никаких компенсаций не предусматривается. И здесь большие неудобства для бизнеса, потому что если случаются потери, то их кто-то должен компенсировать. Для этого пришлось менять свою политику, введя в штат новых сотрудников.
Примеры в кейсах
Строго говоря, непрерывность — это один из аспектов ИБ, который является небольшой частью данного направления. Вопреки убеждениям специалистов по продажам, как правило, страшные цифры потерь от нарушения непрерывности бизнеса страшными для самого бизнеса не являются и бизнесом эти страхи не воспринимаются. Больше в вопросах непрерывности разговор идет об ИТ-средствах. Это и интересно, потому что вопрос в этом случае сводится к тому, что ИБ и ИТ могут и должны продаваться бизнесу в комплексе как средство снижения издержек
Если вы способны показать бизнесу, как он может заработать деньги, то это ему становится уже интересно. И речь в данном случае не идет о возможных потерях, которые с точки зрения бизнеса обычно воспринимаются как некие виртуальные убытки, которые он, может быть, понесет, а может, и нет А вот «как заработать» — это сильный аргумент, это принципиально другой диалог с бизнесом. И это для бизнеса более понятно и интересно.
Виктор Лазников, руководитель департамента ИТ ООО «Стройгазмонтаж», привел пример DDos-атаки, которая недавно случилась в его компании. Если для Лазникова этот случай стал поводом для оценки реальных мощностей оборудования, способного противостоять подобным инцидентам, то для участников встречи в дискуссионном клубе это своеобразный кейс для комментариев специалистов. Можно поставить излишние мощности, которые выдержат такую атаку, но это затраты, которые заморожены в аппаратных платформах. Поэтому с точки зрения Лазникова всегда существует баланс между затратами на ИТ и непрерывностью бизнеса. ИБ-служба в данном случае — это скорее некая методология в подходах к обеспечению безопасности в области ИТ, а ИТ-служба обеспечивает реализацию этой методологии и подходов. В случае DDoS-атаки в рамках имеющихся процедур и регламентов специалисты ИТ полностью выполнили свою часть. ИБ-подразделение — это не участник обеспечения непрерывности бизнеса, а разработчик методологий. По факту атаки служба ИБ была поставлена в известность, чтобы они могли проанализировать ситуацию на своем уровне и провести работы, которые считают необходимыми. При этом непосредственно анализом «логов» занималась автоматизированная система, которую настраивали специалисты из ИТ-отдела по определенным правилам, полученным от службы ИБ.
От ИБ — к управлению рисками
Все бизнесы разные, но как быть с правилами и регламентами, если бизнес не стоит на месте и постоянно меняются процессы? Как в этом случае сохранить выстроенные взаимоотношения ИТ и ИБ для обеспечения непрерывности? Но с точки зрения Александра Кириллова больших проблем в этом вопросе нет. За те двенадцать лет, что он работает в «Северстали», с этими вопросами сталкиваются постоянно, в частности, при объединении разных предприятий. Но подходы-то везде однотипные.
По мнению Михаила Никишова нередко складывается ложное мнение, что каждая компания (пусть даже простой ларёк) должна иметь свою службу ИБ. Разговор об ИБ в этих случаях стазу переходит на очень высокий уровень задач и решений. Но это одно из больших заблуждений. В действительности серьезно можно говорить о трех основных сценариях.
Во-первых, если речь идет о крупном предприятии с территориально разветвленной инфраструктурой, а сложными бизнес-процессами в то же время необходимо централизованно управлять из одной точки. Во-вторых — о банковском бизнесе, где основные процессы завязаны на каналах связи, где реальны потери от мошенничества или от фрода и где служба ИБ способна зарабатывать на поднятии репутации банка или бренда, что в свою очередь помогает привлекать новых клиентов. И наконец, мы говорим о телеком-операторах, бизнес которых полностью построен на современных ИТ. Пожалй, к этому можно еще добавить пример компаний из ритейла. Но в целом речь идет о ситуациях, где служба ИБ не только технологически поддерживает непрерывность бизнеса, но и защищает его. Потому что если что-то не выполнили по законодательству, то это грозит потерей лицензии, что может оказаться страшнее, чем банкротство или стихийное бедствие.
Бизнес руководителя департамента информационных технологий НПФ «Благосостояние» Алексея Лобачева — это работа с информацией. Поэтому вопрос, строить ИБ или нет, не стоит. Потому что когда регулятором является государство, непрерывность — это не пустые слова. Практики ИБ выстроены на высоком уровне, и при этом они гибкие, так как бизнес постоянно меняется. В компании исходят из той парадигмы, что ни один сотрудник не может контролировать свою собственную работу.
С точки зрения Романа Чаплыгина, руководителя ИБ-службы банка Delta Credit, непрерывность можно связывать с одним из рисков, например с риском доступности. В этом случае на уровне менеджмента управлять данным процессом должно подразделение, отвечающее за управление рисками. По сути ИБ-отдел — такой же пользователь и также нуждается в непрерывности. Отодел ИТ всё это обеспечивает, а изменения в процессах могут эффективно контролироваться со стороны специалистов по управлению рисками. Например, происходит изменение бизнес-процессов, что влечет за собой пересмотр определенных рисков, а вслед за этим изменяются характеристики доступности сервисов. И далее на уровень ИТ и ИБ спускается определенный набор параметров, которые должны быть заложены в систему непрерывности.
Но Алексей Лобачев склонен в этом видеть еще один административный барьер. Требование к непрерывности выдает функциональный заказчик, а это, как правило, функциональное подразделение. Как его требования будут реализованы, его не сильно волнует. Департамент управления рисками может сделать свою работу — оценить риски, но никогда не может сказать, что должны делать ИТ- или ИБ-служба.
С этим категорически не согласен Михаил Никишов: он отказывается принимать группу людей, которые занимаются управлением рисками и не знают, что предложить в том или ином случае. За что они тогда получают деньги? Кто в этой цепочке будет заниматься оценкой рисков, выбором решений? «Я убежден, что служба ИБ будет дрейфовать в сторону управления рисками. И это прежде всего спасет ИБ от того, что ее в компании могут попросту разрушить как некий атавизм. Считаю, что ИБ может занять очень достойное место в корпоративной среде, найдя себя именно в службе управления рисками!» — утверждает он.
Но Алексей Лобачев пояснил свою позицию удачным примером, задав вопрос, что такое служба управления рисками — барьер или консультант? Подобно тому, как родители для ребенка — это кто? Если ребенок вырвался и побежал через дорогу, его надо консультировать или схватить за руку и спасти от трагедии? Его можно консультировать, но если он ослушался, то пора действовать. Особенно если детей много. С этим полностью согласен Михаил Никишов, считая, что ни одна служба в корпоративной среде не может быть подобным барьером! Это всё — партнеры, объединенные единой бизнес-идеей!
При чем тут непрерывность?
В рыночных условиях бизнесу важно управление издержками. Тут хорошим примером является металлургическая отрасль. Эта отрасль, как индикатор влияния кризиса, опережает других на шесть-восемь месяцев. В металлургии раньше других начинают чувствовать приближение кризиса. Поэтому, по словам Александра Кириллова, борьба с издержками на «Северстали» стоит на одном из первых мест, начиная с административных издержек и заканчивая производством, складскими запасами, сбытом и пр. Тут и возник вопрос, возможно ли автоматизировать бизнес-процессы так, чтобы своевременно выявлять подобные издержки. И является ли это вопросом поддержания непрерывности бизнеса?
С одной стороны, любая ERP-система, работающая по-честному, позволяет всё это контролировать. Но честность в данном случае подразумевает, что пользователями ERP- системы являются люди, которые зачастую готовы «погреть руки» на подконтрольном ими процессе. В результате, когда они начинают осознавать, что внедренная ERP сжимает кольцо вокруг их интересов, эта система в один прекрасный момент начинает рушиться по целому ряду причин — от повреждения конечных измерительных устройств до саботажа ввода актуальных данных в систему. Практически во всех ERP-системах предусмотрена возможность контроля. Но по мнению Кириллова практически нигде нет людей, которые занимаются этим, даже обладая соответствующими возможностями. Обычно контрольные функции вменяются владельцу процесса. Но как часто он это делает? Внедренная ERP настроена на выполнение определенных стандартов и регламентов, но как выглядит контроль и анализ отклонения от бизнес-процессов, анализ их состояния? Парадокс в том, что в ERP вроде бы возможность контроля издержек существует, но на самом деле всё зависит от сотрудника, обладающего теми или иными компетенциями. Если верно сформулированы показатели KPI, то, может быть, эти функции будут соблюдаться. Но чаще всего нет, так как текучка обычно съедает любого. Контроль — дело не первостепенное, главное — выполнять план.
Поэтому данный пример, который лишь на первый взгляд имеет очень отдаленное отношение к непрерывности, свидетельствует не только о том, что в ИБ-отрасли не может быть дилетантов, но и о том, что современные условия экономики и бизнеса остро нуждаются в талантливых людях, способных видеть в традиционных вещах что-то непривычное. И преодолевая сопротивление скептиков, подтверждать свою правоту реальными проектами. Но всё начинается с того, что кто-то спрашивает «кто, если не я?», Интересно жить, когда наступает время талантливых людей!