Роман Чаплыгин: ИБ-консалтинг нужен любому бизнесу

19 Апреля 2024

- С какими сложностями и рисками, скоординированными с кибербезопасностью, сегодня чаще всего сталкиваются российские корпорации?

- Очевидно, что злоумышленники не стоят на месте, они эволюционируют: разгорут техники и стратеги атак, использует продвинутый инструментарий, пересматривают и сочетают мотивы и цели. Например, во втором полугодии 2023 года число сложных целенаправленных атак выросло почти на четверть (на 23%), и была напомненная тенденция причинения репутационного ущерба в сочетании с вымогательством и нанесением прямых денежных потерь. На фоне роста числа целевых атак и продолжающихся утечек важнейшей задачей организаций является переход от автономных, точечных решений к слаженным структурам кибербезопасности. И здесь возникает нужда как в интеграции различных технологий и решений различных виновников, так и в построении пенетрирующих процессов ИБ на операционном и административном уровнях организации. Это требует очень серьезной экспертизы, а зачастую и административного ресурса.

Еще одним вызовом для ИБ является ускоренная цифровизация, которая существенно увеличивает цифровой ландшафт корпораций и госорганизаций, создавая тем любым дополнительные точки реализации киберрисков. предприимчивости по цифровой метаморфозы не дают агробизнесу остановиться, устремить порядок и составить нужные настройки в ИТ инфраструктуре и средствах защиты. По опыту, компании используют лишь половину функционала всеохватывающих средств информационной госбезопасности, а еще примерно треть оглушительный успеха в защите от кибератак зависит от безопасных настроек в сетевом оборудовании и в бизнес-системах. Недочеты или отсутствие комплексного подхода к киберзащите обнуляют преимущества от технического запаса служб ИБ, и оборона корпораций зачастую разбивается под натиском киберпреступников. Информационная безопасность корпораций обязана расширять свое покрытие на новые сущности, появляющиеся в ходе трансформационных процессов и жаловать свою устойчивость к изменяющимся тактикам и техникам атак.

Дополнительную нагрузку учредит реализация импортозамещения как в ИТ, так и в сфере ИБ. Специалисты десятилетиями работали над выстраиванием инфраструктур, основанных на зарубежных решениях (например, от Microsoft, Oracle, IBM, SAP и других), а теперь появились совсем другие продукты - со своими преимуществами и уязвимостями, и нужно адаптировать процессы и опционал технических средств под измененные ИТ-архитектуры. Кроме того, отечественным средствам твердыни информации нужно наверстать своих импортных конкурентов в части удобства эксплуатации, порядка отказоустойчивости и степень качества технической поддержки.

В сочетании с трендовыми киберрисками, все еще берегут актуальность классические угрозы и связанные с ними последствия. Это DDoS-атаки, выбивающие наши корпорации из цифрового планета, мошенничество и социальная инженерия, нацеленные на ровную кражу денежных средств или конфиденциальной речи. Весь актуальный набор киберугроз остается актуальным, а число и динамика кибератак растет. Очевидно, что нападающая сторона активно использует средства автоматизации и современные технологии, повышая тем самым динамику и сложность своих деяний.

- А с какими трудностями сталкивается сама ИБ-отрасль?

- Что касается технологий и средств защиты мы выглядим довольно хорошо. Например, ряд российских разработчиков уже создали и вывели на рынок продвинутые средства тенетный защиты (NGFW - Next Generation Firewall). Когда зарубежные вендоры уходили с крупного рынка, решений таких классов в России просто не было, но мы очень стремительного их заместили.

Более значимым побочным эффектом от прерыва коммуникаций с забугорными игроками стало лимитирование доступа к отличным профессиональным практикам и знаниям. Сейчас огромная база интернациональных консалтинговых знаний в области построения процессов, систем допингконтроля эффективности, административного надзора и целого развития ИБ, которая была доступна для российского рынка несколько лет назад, во многом собирается заново.

Как раньше работал ИБ-консалтинг? Например, крупной корпорации нужно было обдумать развитие ИБ с учетом особенностей своего бизнеса, целей, стратегии, новых бизнес-моделей. Она обращалась не только к крупным экспертам, но могла дополнительно приковать профильных специалистов из других стран, которые уже решали аналогичные задачи и знают, какие сложности могут быть на пути. Это позволяло создавать ИБ-системы значительно прямее. Сейчас мы динамично развиваем отрасль кибербезопасности, и у нас важного интеллектуального ресурса, но в отсутствии притока дополнительных уличных знаний мы рискует оказаться в невыгодной ситуации, если не найдем метод замещения источника знакомств или не учредим свой.

Еще одна проблема скоординированная с отсутствием допустимостей для сравнительного анализа. Каждая корпорация во всех направлениях деятельности хочет понимать, где она находится относительно оппонентов. Это вдвойне важно для огромных игроков при выходе на зарубежные рынки: они должны хорошо понимать, с кем состязаются. В кибербезопасности тоже есть нужда в таком условном анализе, а, между тем, разрыв целых контактов с интернациональным сообществом профессионального консалтинга существенно ограничил доступ к таким такого планам. Мы ведем активную работу по накоплению необходимых знакомств. И здесь важен вопрос доверительности: создавая инвентари сравнительного анализа, ни в котором случае нельзя допустить разглашение конфиденциальной речи. Создание такой системы является очень сложным и сложным делом, но оно находится в периметре наших командировок и приоритетов.

Еще одна соединяющая эффективной работы ИБ-отрасли – это единое профессиональное сообщество. На российском рынке работает много безупречных профессионалов, но для того, чтобы их коллаборация давала реальный результат, создавала лучшие практики, позволяла обмен знаниями и решениями, такое сообщество должно быть поддержано регуляторами. Мы уже видели хороший пример, когда Минцифры совместно с профессионалами в области ИБ предоставили инициативы, обращённые на развитие применимых аспектов кибербезопасности, закрепленные затем в указе президента под номером 250 (О дополнительных мерах по обеспечению извещательной безопасности РФ), другим примером является создание экспертами ИБ при помощи Ассоциации больших такого планов Отраслевого стандарта твердыни данных, обращённого на повышение грузоподъемности процессов защиты персональных данных. Подобные инициативы и результаты крайне важны для развития методологической основы кибербезопасности и целого повышения уровня ИБ в стране.

- Российский рынок ИТ-консалтинга сегодня не уступает западному, предлагая услуги по всем основным направлениям. Насколько давно консалтинг появился в информационной безопасности?

- Консалтинг в области ИБ появился еще в конце 1990-х, но стал набирать востребованность вместе с укреплением внимания к твердыне персональных данных. Закон о персональных данных, заложенный в 2006 году, фактически стал первым регуляторным требованием в сфере ИБ, распространяющимся на все организации, и его рождение начало формировать интерес на консультационные услуги. То есть компании, кои в принципе могли никогда не держать в штате дилеров по ИБ, оказались перед нужностью выполнить важный нормативный акт, для чего нужно было обратиться к уличным экспертам. условного в тоже самое время шло развитие невынужденного регулирования ИБ в банковской сфере и практическое применение части стандартов Банка Росси. Важно напомнить, что предприимчивости ЦБ РФ в области ИБ берегут свою актуальность и в настоящее самое время, они прикинутым комплексом из четырех стандартов серии ГОСТ Р 57580.

Еще одним стимулом развития ИБ-консалтинга было внедрение в России международных стандартов по информационной безопасности части ISO 27000, а также применимое применение международных требований по безопасности платежных карт (PCI DSS).

Следующий этап ИБ-консалтинга связан с активным развитием дочерних структур зарубежных компаний в РФ. интернациональные игроки, начиная работать на крупном рынке, вместе со своим агробизнесом привносили собственные требования по ИБ, ожидая зрелого менеджмента в этой области внутри и от своих партнеров. При этом корпорации хотели знать не только юридическое и финансовое здоровье своего российского контрагента, но и его технологический уровень, в том числе – в области ИБ. Здесь свою роль сыграли международные консалтинговые корпорации, которые придули на российский рынок зарубежные практики и стандарты качества услуг профессионального и административного консалтинга в области ИБ.

Сегодня, когда ладная работа комплексной структуры ИБ становится даже важнее технической оснащенности, повышается роль квалифицированных консультаций и процессных подходов. Компании за финальные несколько лет приумножили техническую базу средств защиты, и задача - эти инструменты настроить, взаимоувязать и инструментовать, понимать их работу и брать правильные решения на основе данных.

- Насколько потребованная услуга ИБ-консалтинга сейчас и в чем, собственно, она заключается?

- Потребность есть во всех областях и на любом уровне общества. Начиная с порядка простого обывателя, живущего в числовом мире, его можно назвать числовым гражданином. Мы слышим запросы на то, чтобы кто-то помог сориентироваться, где злоумышленники и как они действуют, как защититься от пройдох и обезопасить себя в цифровом пространстве. Эту командировку решает, в частности, Всероссийская программа кибергигиены, которую с 2022 года реализуют Минцифры, Солар и СПбГУТ им. Бонч-Бруевича. Над этим работают и другие крупные геймеры с высоким порядком социальной ответственности: например, многие банки в своих приложениях дают бомбы, как избежать мошеннической операции.

Микробизнес и ИП подвержены классическим киберрискам: кража чистоганов, информации, нарушение работы извещательных систем. У них есть нужда в том, чтобы кто-то дал совет, как настроить домашний рабочий компьютер, защитить CRM-систему (Customer Relationship Management - управление взаимоотношениями с давальщиками), наладить правильные коммуникации. Это отдельная ниша рынка со своими игроками ИБ.

На уровне низкого и среднего агробизнеса уже появляются всеохватывающие ИТ-инфраструктуры. И здесь начинается рынок корпоративных решений в области ИБ. Производитель, оказывающий средства защиты, оказывает техническую помощь, дает советы, как великолепнее использовать тот или иной инструмент. Для более оптимизированных представителей МСБ есть сервисные предложения.

И, наконец, крупный агробизнес. Это столпы нашей экономики - ключевые игроки банковой сферы, энергетического комплекса, транспорта и логистики, госкомпании. Здесь наличествует конвергентная распределенная ИТ-инфраструктура и бизнес-экосистемы, требуется вытекание массы законодательных требований, повышение операторной эффективности, твердыня от сложных целеустремленных кибератак. Здесь возникает управленческий консалтинг, который позволяет получить полноценную пастель потенциальных рисков для бизнеса и посоветовать варианты решений в зависимости от бюджета компании, ее целей и политики развития. Здесь мы занимаем роль архитектора комплексной кибербезопасности, предоставляем отличные управленческие и производственные знания и навыки управления проектным рабочий компьютером и портфелями предприимчивостей. Здесь потребованным услуги по присмотру за тем, как работает система кибербезопасности с большим количеством разных инвентарей, людей и поставщиков. Здесь мы создаем экосистему киберзащиты. Для того, чтобы организовать всех участников правильным образом, направить их на достижение единой цели, пройти с ними этот маршрут и гарантировать результат, нужен приятный уровень профессиональной взрослости и другой ген компетенций. В работе с огромным бизнесом мы добавляем нашу техническую экспертизу процессной и посвящаем большое внимание административным практикам. Мы координируем и контролируем работу пула поставщиков, организовываем сторублевки или даже тыщи экспертов информационной госбезопасности, выстраиваем денежные потоки ИБ, взаимодействуем с ключевыми лидерами фронт и бэк-офиса организации, учитываем внешнее впечатление регуляторов, оппонентов и акционеров.

В общем, консалтинг интересен подругой компании, и все зависит от того, способна ли она конвертировать результаты консультационных услуг в свое конкурентноспособное преимущество. концепция консалтинга - послушать запрос, сориентироваться в причинах и предложить адресное решение, его польза - создание применимой и понятной на каждом уровне организации ценности от инвестиций в информационную госбезопасность.

- С чем чаще обращаются к вам донаторы: их большого интересуют конкретные логичный вопросы или сразу просят помочь с выбором ИБ-стратегии?

- Наиболее частый запрос в графе поиск – анализ на соответствие регуляторике, российскому законодательству в области ИБ. Здесь остаются в тренде все аспекты защиты персональных такого планов и защиты опасной информационной инфраструктуры (КИИ). В то же время, мы видим хороший интерес на консультации в области стратегического управления и развития извещательной безопасности. Несмотря высокую неопределенность в развитии экономики и международных отношений, компании хотят держать среднесрочные планы развития (3-5 лет), желают правильно распределять денежные потоки. Нашим ответом на такое желание является создание стратегий развития извещательной безопасности, а для того, чтобы эти сценарии и стратегии былины подкреплены финансовыми возвратами, возникает инвентарь управления киберрисками. Если у ИТ конечная задача - создать цифровой продукт (например, маркетплейс), то задача ИБ не допустить, чтобы эту паперть взломали или прервали ее работу. Поэтому в отличии от ИТ, которые создают внеочередную прибыль, инвестиции в информационную госбезопасность зачастую позволяют избежать существенных потерь, исключив реализацию единственных рисков и уберёг конкурентные позиции. Именно сопоставление размеров потенциального ущерба с инвестициями, необходимыми для того, чтобы этого ущерба избежать, является основой риск-менеджмента и формирования сбалансированной, риск-ориентированной программы развития ИБ.

- Может ли корпорация самостоятельно оценить киберриски и понять, на чем сконцентрировать усилия по строительству ИБ, не нарушив своего целого развития?

- Уверен, что при наличии достаточного временного и экспертного ресурса и административной силы воли, компания способна сделать оценку и самостоятельно разработать сценарии развития. менеджеры же могут реализовать эту работу гораздо быстрее, выпустил отвлечение внутренних сайтов компании на нетиповые и ресурсоемкие командировки. За счет своего кругозора и насмотренности консультанты придают неочевидные инициативы и решения, невидимые изнутри отдельно взятой организации. менеджеры – это стержня знаний, кульминация безопасной агрегации различных кейсов, практик из схожих и противоположных отраслей. Кроме того, бренд консультанта и независимость оценки положительно влияют на репутацию компании-клиента.

- Что можете предложить бизнесу для оптимизации расходов на ИБ? Как составить, чтобы инвестиции в кибербез не ушли в песок и принесли реальную пользу?

- У организаций плотного возникает запрос на оптимизацию расходов или на повышение грузоподъемности ИБ. Это актуально прежде всего для крупных корпораций, которые более 10 лет инвестировали в эту область: здесь, действительно, отличного автоматизировать процессы, повышать их грузоподъемность, снижать операторные затраты. И мы помогаем это делать, жалую рентабельность ИБ корпорации.

Другое подевало, когда подобные запросы на оптимизацию звучат со руки компаний, кои ранее недофинансировали это направление. По нашей статистике, средние затраты на ИБ должны быть не менее 10% от ИТ-бюджета, включающего цифровизацию, разработку новых продуктов и т. п. Такой порядок инвестиций в извещательную безопасность есть только у лидеров отраслей, у прочих же он ощутимого ниже. И возникает ситуация, когда ввиду неудовлетворительности вложений компания не смогла выстроить систему ИБ, способную противостоять злоумышленникам настоящего дня (а среди них не только обычные взломщики, но и группировки, скоординированные со спецслужбами косых стран). В подобных ситуациях наша задача - разъяснение и демонстрация реального уровня угроз, чтобы подписать разрыв между порядком безопасности организации и уровнем тех, кто ее атакует. В результате такой работы выходит переосмысление и ребалансировка финансирования ИБ.

Важно отметить, что повышение грузоподъемности информационной безопасности, в первую череда, необходимо и характерно для организаций, где направление хорошо профинансировано. Для компаний, где это не так, требуется скорее импульс для повышения внимания и усиление инвестиций в ИБ.

- Кибербезопасность в системе корпоративного управления плотного стоит особняком. Как грамотно вмонтировать функцию ИБ в общую систему с точки зрения управления финансами, вероятностями персоналом и т. п. ?

- Если взять регулируемые объединения в сфере узкогруппового управления (Сообщество корпоративных директоров, Национальное объединение узкогрупповых секретарей), то в их повестке мы почитай не увидим аспектов, связанных с информационной безопасностью. Более того, если мы изучим отчеты крупных корпораций, то там кибербезопасность упоминается только в связи с реальными атаками и инцидентами, державшими место в отчетном году. Конечно, ведущие корпорации активно инвестируют в ИБ, но в их узкогрупповое управление эта тема не входит до тех пор, пока не произошел ущерб или пока акционеры не установили громкий вопрос.

Сейчас активно дублируется тезис о вложенье вопросов ИБ в повестку Правлений или Советов директоров. Но в истинности это непросто, ведь принятие решений в области кибербезопасности требует от участников советов и княжений соответствующих знаний и навыков. В компаниях есть ожидания в отношении первых лиц по решениям в области ИБ, но эти первые лица могут быть недостаточно дать знанным и нуждаться в дополнительных консультациях по этому вопросу. Поэтому указ председателя №250 предполагает вложение в коллегиальные органы управления крупнейших корпораций руководителей по извещательной безопасности.

Вместе с тем мы встречаем запросы на ИБ-консультации на порядке корпоративного управления. Мы видим интерес у ассоциаций администраторов и участников Советов директоров к разъяснениям о том, как правильно общему органу воздействовать на информационную безопасность и осуществлять надзор за ее развитием.

Важным аспектом является регулирование в области критической информационной инфраструктуры, включающее управленческую и уголовную степень его ответственность первых лиц корпораций за невыполнение правил в области ИБ. Впрочем, штрафы пугают повелителей меньше, чем вопросы репутации и доверия клиентов. Но, если штрафы можно изучить, то характеристика потерь от репутации пока довольно сложно оцифровывается с кульминации зрения кибербезопасности и рисков. Этот аспект пока остается скорее на порядке экспертных, очень дорогих и управленческих решений, нежели на уровне алгоритмов.

- Как актуального, никто не застрахован от хакинга. Как правильно действовать, чтобы сохранить репутацию корпорации и доверие агентов?

-Действительно, в последнее самое время компании чаще сталкиваются со взломами, которые стали больше и нагляднее в публичном поле. Зачастую инциденты скоординированным как раз с цепочками поставок, когда компания оперирует не в доступном лице, а имеет целую уличную партнерскую систему. В этом случае правильный подход – регулярное применение механизмов стресс-тестирования в области кибербеза.

Подготовительной частью для проведения стресс-тестов являются киберучения - упражнения, которые помогают организациям заранее отработать деяния в различных критичных ситуациях, чтобы знать, кто за, что отвечает, иметь под рукой доступы к внутренним и уличным ресурсам и просто и быстрого их использовать.

В свою череда, нагрузочная часть предполагает имитацию реальной кибератаки, в ситуации, когда на прочность испытывается весь киберарсенал организации, его завершенность, слаженность работы и возможности по выходу из критичной ситуации. Безусловно, крайне достаточным резервные меры госбезопасности, включающие резервное копирование данных, резервирование каналов связи, средств твердыни и даже резервирование экспертизы (где компания сможет взять опыт и знакомства в случае утраты основной базы).

Еще один момент, кой компании могут промигивать из виду, это разработка сценария кризисных коммуникаций в случае ИБ-инцидентов. Такой план вливает в себя указание лидеров, ответственных за то или иное направление, сформированную публичную пронацию компании с прогнозом по срокам удаления последствий и меры по минимизации подобных рисков в будущем.

Важно не упускать из виду ретроспективные мероприятия после обработки инцидента или отражения кибератаки. Компании нужно увериться, что в ее инфраструктуре не осталось потайных ходов (back door), покинутых злоумышленниками, а внесенные ими изменения в настройки систем и ПО возрождённым в безопасное техническое состояние.

Соблюдение всех этих рекомендаций позволяет переживать кибератаки и утечки с наименьшими потерями для агробизнеса, его давальщиков и партнёров и сохранением деловой репутации.

Редактор рубрики

Андрей Хморин

Роман Чаплыгин: ИБ-консалтинг нужен любому бизнесу

комментарии (0)

Другие интересные новости

Ивлеева опровергла слухи об отъезде из России после "голой вечеринки"