Журнал "Директор по безопасности" Февраль 2020 | Page 12
ТЕМА НОМЕРА: БЕЗОПАСНОСТЬ
КАДРОВАЯ
ЦИФРОВОЙ ЭКОНОМИКИ
БЕЗОПАСНОСТЬ
Мы говорим Бизнес,
подразумеваем – Информация
Современная информационная
безопасность: состояние, тренды,
прогнозы
Говоря сегодня об информационной
безопасности, мы имеем в виду не
защиту информации, как раньше,
а фактически защиту бизнеса в
целом. Этот факт в значительной
мере поменял роль, место и порядок
взаимоотношений этой отрасли с
бизнесом. Об этом – в статье Сергея
Шерстобитова.
СЕРГЕЙ ШЕРСТОБИТОВ,
генеральный директор компании
Angara Technologies Group
Е
сли дать емкое и актуальное
определение современной эконо-
мике, состоящее из одного слова,
я бы предложил прилагательное «циф-
ровая». А ведь еще пару десятилетий
назад «аналоговость» экономики счи-
талась незыблемым фундаменталь-
ным свойством: прибыль приносят ма-
териальные активы, «серый кардинал»
в любой компании – главный бухгал-
тер, а информационные технологии –
пусть и удобные, но, всего лишь, вспо-
могательные инструменты.
Сейчас все по-другому: наиболее
ценные активы бизнеса – информаци-
онные, а второй человек по значимо-
сти в компании после генерального –
ИТ-директор. Такое положение дел не
могло не отразиться на принципах
обеспечения безопасности бизнеса и,
в частности, на информационной без-
опасности. В этой статье я хочу пого-
ворить о том, какие трансформации
претерпела отрасль за это время, в
каком состоянии она находится сейчас
и чего нам ждать в будущем.
Вчера и сегодня
В конце прошлого века тема инфор-
мационной безопасности была, с од-
ной стороны, модной, «на слуху», все
понимали необходимость защиты на-
бирающих силу информационных ак-
тивов, а с другой стороны – мы имели
довольно смутное представление о
том, что конкретно и как защищать.
Собственные нормативные требова-
ния в России отсутствовали, приходи-
лось отталкиваться от зарубежных ме-
тодик и стандартов, таких, как книги
Радужной серии 1 . Хотя эти докумен-
ты не всегда хорошо работают в на-
ших реалиях. Используя современный
сленг, можно сказать, что это была та-
кая «хайповая» тема, как сейчас блок-
чейн или искусственный интеллект, о
которых все говорят, но мало кто на
самом деле в этом понимает.
Еще одной сложностью в то вре-
мя был кадровый разрыв поколений.
Когда я окончил университет в 1998
году и пошел работать по специаль-
ности на предприятие Минатома
России, ближайшим ко мне по возра-
сту коллегой оказался руководитель
отдела в возрасте 53 лет. Наиболее
грамотные и перспективные кадры
вымывались из профессиональной
индустрии волнами рыночной эко-
номики. Этот разрыв способствовал
интенсивному поиску знаний, нако-
плению нового опыта. Это не очень
было похоже на то, что параллельно
происходило за рубежом. Но огляды-
ваясь назад, я могу сказать, что в этом
была дополнительная ценность: в
России сформировалось зрелое про-
фессиональное сообщество людей,
разбирающихся в информационной
безопасности. Эти люди – самый цен-
ный ресурс, который на сегодня есть
в отрасли, они являются объектом
хантинга, их зарплаты сопоставимы с
зарплатами топ-менеджеров средних
компаний, именно они определяют
все, что происходит в индустрии.
Упомянутая выше трансформа-
ция информационных технологий из
вспомогательного инструмента в ба-
зовую функцию бизнеса не могла не
сказаться и на информационной без-
опасности. Если раньше критичными
для корпоративной безопасности были
какие-то физические вещи, вроде ох-
раны периметра, качества инкассации,
защищенности материальных средств,
то сегодня во главе угла стоит инфор-
мационная безопасность – именно
уровень защищенности информацион-
ных ресурсов может ключевым обра-
зом повлиять на устойчивость бизнеса.
Что дальше?
Недавно ко мне обратился за сове-
том знакомый, сын которого выби-
рает дальнейшую специальность. И
выбор этот стоит между экономиче-
ской безопасностью и безопасностью
информационной. Я, разумеется, по-
советовал второй вариант. И дело тут
не только в личной профессиональ-
ной принадлежности. Возможно, это
прозвучит радикально, но я не очень
верю в будущее экономической без-
опасности, как области деятельности
в том виде, в каком она существует
сейчас. Автоматизация невероятными
темпами проникает во все сферы де-
ятельности: беспилотные автомобили,
автономные отделения банков, кассы
самообслуживания в супермаркетах,
роботы-охранники, наконец. Соответ-
ственно, ландшафт рисков меняется
кардинально, что в ближайшее время
неизбежно приведет к изменению об-
щепринятого профиля специалиста
по безопасности – потребуется если
не владение языками программиро-
вания, то, как минимум, уверенное
ориентирование в современных ин-
формационных технологиях.
Отраслевые различия
Конечно, все вышесказанное в раз-
ной степени справедливо для разных
отраслей. Я бы здесь выделил три ос-
новных сегмента. Первый – это госу-
дарство со своими требованиями, со
своей регуляторкой, с требованиями
по регламентам, процедурам и по ис-
пользуемым инструментам. Второй –
это коммерческий сегмент: телеком,
банки, страховые компании. В таких
организациях в целом подходы к обе-
спечению безопасности примерно
схожи – критической является инфор-
мация о клиентах, а репутация брен-
да – это самостоятельный и дорого-
стоящий актив. И третий сегмент – это
информационная безопасность про-
мышленных систем – область, которая
сегодня активно формируется.
Несомненно, подходы к защите ин-
формации в этих секторах отличают-
ся. Но вместе с тем, по моим прогно-
зам, в течение следующих 5–10 лет эти
различия будут стираться, подходы и
инструменты будут становиться более
или менее универсальными. И сей-
час эта унификация уже постепенно
происходит. Например, такие слова,
как «киберучение», «тестирование на
проникновение» – это то, что когда-то
начиналось с банковской сферы. Сей-
час этим пользуются и промышленни-
ки, и госкорпорации, и государствен-
ные структуры.
Финансовая сфера неслучайно
идет в авангарде современных про-
цессов в области ИБ, происходящих в
России. Эта отрасль в некоторой сте-
пени сейчас является драйвером раз-
вития. Основных причин здесь две.
Во-первых, большое влияние на все
происходящее оказывает регулятор.
Центральный Банк РФ провел очень
большую работу для того, чтобы за-
щищенность наших финансовых ин-
ститутов была на должном уровне.
Во-вторых, и это, наверно, самое
главное, банки несли и продолжают
нести реальные, а не гипотетические
потери из-за проблем с информаци-
онной безопасностью. Этим, кстати,
во многом и объясняется такая актив-
ность регулятора, как мне кажется.
Как известно, некоторое время назад
банки несли огромные потери через
уязвимости АРМ КБР 2 . Это, конечно,
способствовало приведению в тонус
всей финансовой сферы и поднятию
уровня систем безопасности. То есть,
финансы – это та индустрия, где зло-
умышленники могут получить живые
деньги наиболее понятным и прямым
путем. Как только здесь будут воз-
двигнуты достаточно непреодолимые
барьеры для злоумышленников, они
переключатся на другие отрасли.
Безопасность промышленных
предприятий
И наиболее «перспективная» в этом
смысле отрасль – промышленные
предприятия. Сегодня руководители
таких организаций считают киберу-
грозы недостаточно серьезным по-
водом для беспокойства. В первую
очередь, из-за отсутствия серьезных
прецедентов в близком окружении.
Здесь очень точно работает послови-
ца: «Пока гром не грянет, мужик не
перекрестится». Между тем, «гром»
может грянуть очень громко. Дело в
том, что хоть пока, можно сказать, не
было серьезных потерь на этом фрон-
те, потенциально такие потери могут
быть огромны. Доказано, что сегодня
технически возможно, например, уда-
ленно, столкнуть два поезда или пере-
хватить управление самолетом, были
случаи остановки доменной печи, на-
рушения работы электростанций. По-
тери в этих случаях могут быть ката-
строфическими.
Инциденты могут более безобид-
ными, но тем не менее, чувствитель-
ными – перехват управления системой
видеонаблюдения или СКУД – можно,
например, заменить картинку на виде-
окамере или использовать эту систему
видеонаблюдения в качестве ботсети
для организации DDoS-атаки – произ-
водительность устройств это позволя-
ет. Но сейчас о реальном серьезном
ущербе говорить пока не приходится.
В основном это относительно неболь-
шие локальные инциденты. Дело ос-
ложняется тем, что АСУ ТП 3 – традици-
онно достаточно слабо защищенные с
точки зрения безопасности системы.
Это обусловлено приоритетом высо-
кой производительности промышлен-
ных систем и все тем же отсутствием
серьезных прецедентов. Возможно,
злоумышленники пока слабо интересу-
ются такими системами из-за сложной
монетизации прилагаемых усилий.
Другая вероятная причина – для
того, чтобы осуществить серьезную
атаку на промышленное предприя-
тие, требуются огромные, непосиль-
ные одиночкам или мелким группам
ресурсы, а это задача более высокого
уровня, возможно, на уровне госу-
дарств. То есть тут возникает полити-
ческая подоплека – вероятно для это-
го просто пока не созрели какие-то
политические условия. Я надеюсь, что
такие условия и не созреют, но, тем
не менее, проблема серьезная и нуж-
но четко осознавать масштаб угрозы.
Импортозамещение
Если уж мы говорим о политике, стоит
упомянуть еще одну связанную с по-
литикой тему, напрямую влияющую на
уровень ИБ в стране – импортозаме-
щение. Могут быть разные мнения по
поводу качества ИБ-инструментов и
решений, но я считаю, что импортоза-
мещение – это совершенно насущное,
необходимое движение. Я бы сказал,
поступательное движение, в стратеги-
ческом смысле. Мы немного упустили
время. Этим надо было заниматься
еще в нулевые годы, тогда для этого
были все условия и предпосылки. И,
на мой взгляд, это является благом
для локального российского рынка,
по крайней мере для потребителей.
Да, многие ИБ-компании пострадали
из-за невозможности реализоваться
на западном рынке, но для нашего по-
требителя это благо.
Можно ли обеспечить безопас-
ность только на российских решени-
ях? Я уверен, что можно. Возможно,
мы в чем-то потеряем, но именно ИБ –
это та индустрия, которая изначально
была в более привилегированном по-
ложении, поскольку российская систе-
ма сертификации изначально базиро-
валась на определенных барьерах для
зарубежных поставщиков.
Оценка эффективности
Конечно, тема импортозамещения
неизбежно поднимает вопрос эконо-
мической эффективности, и, навер-
но, без поддержки государства здесь
не обойтись. Это вообще извечный
вопрос: как посчитать или оценить
экономическую эффективность безо-
пасности и должна ли эффективность
безопасности оцениваться только с
экономической точки зрения? Я бы
в основу системы оценки положил,
все-таки, экономическую модель. Ка-
кой смысл вкладывать в систему без-
опасности 2 млн долларов, если весь
бизнес стоит 1 млн? Критерий про-
стой: совокупная стоимость решений
безопасности должна как минимум не
превышать суммы потенциально пре-
дотвращаемых потерь. Ну а дальше
все зависит от отрасли, размера ком-
пании, активов, конкретного бизнеса
и т. п. Система может быть формаль-
но «дырявой», например, могут быть
не защищены целые направления –
электронная почта, скажем или доку-
ментооборот. Но если это некритично
для конкретного бизнеса, если это не
влияет на потери или влияет незначи-
тельно, то такая система будет более
эффективна для компании, за счет
снижения затрат.
Сейчас все по-другому:
наиболее ценные
активы бизнеса –
информационные,
а второй человек по
значимости в компании
после генерального –
ИТ-директор