https://ria.ru/20240419/chaplygin-1940461376.html

Роман Чаплыгин: ИБ-консалтинг нужен любому бизнесу

Роман Чаплыгин: ИБ-консалтинг нужен любому бизнесу - РИА Новости, 19.04.2024

Роман Чаплыгин: ИБ-консалтинг нужен любому бизнесу

Российские компании продолжают работать в обстановке постоянно растущих киберугроз, что повышает запрос на информационную безопасность (ИБ). О том, как... РИА Новости, 19.04.2024

2024-04-19T15:27

2024-04-19T15:27

2024-04-19T16:04

интервью

россия

технологии

microsoft corporation

oracle corporation

ibm

гк «солар» (ранее "ртк-солар")

кибербезопасность

https://cdnn21.img.ria.ru/images/07e8/04/13/1941039746_0:177:1000:740_1920x0_80_0_0_5a1bd535da05f652e045ee71fec816b3.jpg

Российские компании продолжают работать в обстановке постоянно растущих киберугроз, что повышает запрос на информационную безопасность (ИБ). О том, как консалтинговые услуги в сфере ИБ помогают бизнесу оценить риски, организовать защиту и оптимизировать расходы на кибербез, в интервью РИА Новости рассказал директор по консалтингу компании "Солар" Роман Чаплыгин.- С какими сложностями и рисками, связанными с кибербезопасностью, сегодня чаще всего сталкиваются российские компании?- Очевидно, что злоумышленники не стоят на месте, они эволюционируют: развивают техники и тактики атак, использует продвинутый инструментарий, пересматривают и совмещают мотивы и цели. Например, во втором полугодии 2023 года число сложных целенаправленных атак выросло почти на четверть (на 23%), и была отмечена тенденция причинения репутационного ущерба в сочетании с вымогательством и нанесением прямых финансовых потерь. На фоне роста числа целевых атак и продолжающихся утечек важнейшей задачей организаций становится переход от разрозненных, точечных решений к слаженным архитектурам кибербезопасности. И здесь возникает потребность как в интеграции различных технологий и решений различных производителей, так и в построении сквозных процессов ИБ на операционном и управленческом уровнях организации. Это требует очень серьезной экспертизы, а зачастую и административного ресурса.Еще одним вызовом для ИБ является ускоренная цифровизация, которая существенно расширяет цифровой ландшафт компаний и госорганизаций, создавая тем самым дополнительные точки реализации киберрисков. Инициативы по цифровой трансформации не дают бизнесу остановиться, навести порядок и сделать нужные настройки в ИТ инфраструктуре и средствах защиты. По опыту, компании используют лишь половину функционала комплексных средств информационной безопасности, а еще примерно треть успеха в защите от кибератак зависит от безопасных настроек в сетевом оборудовании и в бизнес-системах. Недочеты или отсутствие комплексного подхода к киберзащите обнуляют преимущества от технического арсенала служб ИБ, и оборона компаний зачастую разбивается под натиском киберпреступников. Информационная безопасность компаний обязана расширять свое покрытие на новые сущности, появляющиеся в ходе трансформационных процессов и повышать свою устойчивость к изменяющимся тактикам и техникам атак.Дополнительную нагрузку создает реализация импортозамещения как в ИТ, так и в сфере ИБ. Специалисты десятилетиями работали над выстраиванием инфраструктур, основанных на зарубежных решениях (например, от Microsoft, Oracle, IBM, SAP и других), а теперь появились совсем другие продукты - со своими преимуществами и уязвимостями, и нужно адаптировать процессы и функционал технических средств под измененные ИТ-архитектуры. Кроме того, отечественным средствам защиты информации нужно нагнать своих импортных оппонентов в части удобства эксплуатации, уровня отказоустойчивости и качества технической поддержки.В сочетании с трендовыми киберрисками, все еще сохраняют актуальность классические угрозы и связанные с ними последствия. Это DDoS-атаки, выбивающие наши компании из цифрового мира, мошенничество и социальная инженерия, нацеленные на прямую кражу денежных средств или конфиденциальной информации. Весь известный набор киберугроз остается актуальным, а число и скорость кибератак растет. Очевидно, что нападающая сторона активно использует средства автоматизации и современные технологии, повышая тем самым динамику и сложность своих действий.- А с какими трудностями сталкивается сама ИБ-отрасль?- Что касается технологий и средств защиты мы выглядим довольно неплохо. Например, ряд российских разработчиков уже создали и вывели на рынок продвинутые средства сетевой защиты (NGFW - Next Generation Firewall). Когда зарубежные вендоры уходили с российского рынка, решений таких классов в России просто не было, но мы очень быстро их заместили.Более значимым негативным эффектом от разрыва коммуникаций с зарубежными игроками стало ограничение доступа к нужным профессиональным практикам и знаниям. Сейчас огромная база международных консалтинговых знаний в области построения процессов, систем контроля эффективности, управленческого надзора и системного развития ИБ, которая была доступна для российского рынка несколько лет назад, во многом собирается заново.Как раньше работал ИБ-консалтинг? Например, крупной компании нужно было спланировать развитие ИБ с учетом особенностей своего бизнеса, целей, стратегии, новых бизнес-моделей. Она обращалась не только к российским экспертам, но могла дополнительно привлечь профильных специалистов из других стран, которые уже решали аналогичные задачи и знают, какие сложности могут быть на пути. Это позволяло создавать ИБ-системы значительно быстрее. Сейчас мы динамично развиваем отрасль кибербезопасности, и у нас достаточно интеллектуального ресурса, но в отсутствии притока дополнительных внешних знаний мы может оказаться в невыгодной ситуации, если не найдем способ замещения источника знаний или не создадим свой.Еще одна проблема связана с отсутствием возможностей для сравнительного анализа. Каждая компания во всех направлениях деятельности хочет понимать, где она находится относительно конкурентов. Это вдвойне важно для крупных игроков при выходе на зарубежные рынки: они должны хорошо понимать, с кем соревнуются. В кибербезопасности тоже есть потребность в таком сравнительном анализе, а, между тем, разрыв системных контактов с международным сообществом профессионального консалтинга существенно ограничил доступ к таким данным. Мы ведем активную работу по накоплению необходимых знаний. И здесь важен вопрос конфиденциальности: создавая инструменты сравнительного анализа, ни в коем случае нельзя допустить разглашение конфиденциальной информации. Создание такой системы является очень сложным и трудоемким делом, но оно находится в периметре наших задач и приоритетов.Еще одна составляющая эффективной работы ИБ-отрасли – это единое профессиональное сообщество. На российском рынке работает много отличных профессионалов, но для того, чтобы их коллаборация давала реальный результат, создавала лучшие практики, позволяла обмен знаниями и решениями, такое сообщество должно быть поддержано регуляторами. Мы уже видели хороший пример, когда Минцифры совместно с профессионалами в области ИБ сформировали инициативы, направленные на развитие практических аспектов кибербезопасности, закрепленные затем в указе президента под номером 250 (О дополнительных мерах по обеспечению информационной безопасности РФ), другим примером является создание экспертами ИБ при поддержке Ассоциации больших данных Отраслевого стандарта защиты данных, направленного на повышение эффективности процессов защиты персональных данных. Подобные инициативы и результаты крайне важны для развития методологической основы кибербезопасности и системного повышения уровня ИБ в стране.- Российский рынок ИТ-консалтинга сегодня не уступает западному, предлагая услуги по всем основным направлениям. Насколько давно консалтинг появился в информационной безопасности?- Консалтинг в области ИБ появился еще в конце 1990-х, но стал набирать популярность вместе с усилением внимания к защите персональных данных. Закон о персональных данных, принятый в 2006 году, фактически стал первым регуляторным требованием в сфере ИБ, распространяющимся на все организации, и его появление начало формировать спрос на консультационные услуги. То есть компании, которые в принципе могли никогда не иметь в штате специалистов по ИБ, оказались перед необходимостью выполнить важный нормативный акт, для чего нужно было обратиться к внешним экспертам. Примерно в тоже время шло развитие добровольного регулирования ИБ в банковской сфере и практическое применение серии стандартов Банка Росси. Важно отметить, что инициативы ЦБ РФ в области ИБ сохраняют свою актуальность и в настоящее время, они представлены комплексом из четырех стандартов серии ГОСТ Р 57580.Еще одним стимулом развития ИБ-консалтинга было внедрение в России международных стандартов по информационной безопасности серии ISO 27000, а также практическое применение международных требований по безопасности платежных карт (PCI DSS).Следующий этап ИБ-консалтинга связан с активным развитием дочерних структур зарубежных компаний в РФ. Международные игроки, начиная работать на российском рынке, вместе со своим бизнесом привносили собственные требования по ИБ, ожидая зрелого менеджмента в этой области внутри и от своих партнеров. При этом компании хотели знать не только юридическое и финансовое "здоровье" своего российского контрагента, но и его технологический уровень, в том числе – в сфере ИБ. Здесь свою роль сыграли международные консалтинговые компании, которые принесли на российский рынок зарубежные практики и стандарты качества услуг профессионального и управленческого консалтинга в сфере ИБ.Сегодня, когда слаженная работа комплексной архитектуры ИБ становится даже важнее технической оснащенности, повышается роль квалифицированных консультаций и процессных подходов. Компании за последние несколько лет нарастили техническую базу средств защиты, и задача - эти инструменты настроить, взаимоувязать и оркестровать, понимать их работу и принимать правильные решения на основе данных.- Насколько востребована услуга ИБ-консалтинга сейчас и в чем, собственно, она заключается?- Потребность есть во всех сферах и на каждом уровне общества. Начиная с уровня простого обывателя, живущего в цифровом мире, его можно назвать цифровым гражданином. Мы слышим запросы на то, чтобы кто-то помог разобраться, где злоумышленники и как они действуют, как защититься от мошенников и обезопасить себя в цифровом пространстве. Эту задачу решает, в частности, Всероссийская программа кибергигиены, которую с 2022 года реализуют Минцифры, "Солар" и СПбГУТ им. Бонч-Бруевича. Над этим работают и другие крупные игроки с высоким уровнем социальной ответственности: например, многие банки в своих приложениях дают подсказки, как избежать мошеннической операции.Микробизнес и ИП подвержены классическим киберрискам: кража денег, информации, нарушение работы информационных систем. У них есть потребность в том, чтобы кто-то дал совет, как настроить домашний офис, защитить CRM-систему (Customer Relationship Management - управление взаимоотношениями с клиентами), выстроить правильные коммуникации. Это отдельная ниша рынка со своими игроками ИБ.На уровне малого и среднего бизнеса уже появляются комплексные ИТ-инфраструктуры. И здесь начинается рынок корпоративных решений в области ИБ. Производитель, предоставляющий средства защиты, оказывает техническую поддержку, дает советы, как лучше использовать тот или иной инструмент. Для более продвинутых представителей МСБ есть сервисные предложения.И, наконец, крупный бизнес. Это столпы нашей экономики - ключевые игроки банковской сферы, энергетического комплекса, транспорта и логистики, госкомпании. Здесь наличествует конвергентная распределенная ИТ-инфраструктура и бизнес-экосистемы, требуется соблюдение массы законодательных требований, повышение операционной эффективности, защита от сложных целенаправленных кибератак. Здесь возникает управленческий консалтинг, который позволяет получить полноценную картину потенциальных рисков для бизнеса и предложить варианты решений в зависимости от бюджета компании, ее целей и стратегии развития. Здесь мы занимаем роль архитектора комплексной кибербезопасности, предоставляем нужные управленческие и экономические знания и навыки управления проектным офисом и портфелями инициатив. Здесь востребованы услуги по надзору за тем, как работает система кибербезопасности с большим количеством разных инструментов, людей и поставщиков. Здесь мы создаем экосистему киберзащиты. Для того, чтобы организовать всех участников правильным образом, направить их на достижение единой цели, пройти с ними этот маршрут и гарантировать результат, нужен особый уровень профессиональной зрелости и другой набор компетенций. В работе с крупным бизнесом мы дополняем нашу техническую экспертизу процессной и уделяем большое внимание управленческим практикам. Мы координируем и контролируем работу пула подрядчиков, организовываем сотни или даже тысячи экспертов информационной безопасности, выстраиваем финансовые потоки ИБ, взаимодействуем с ключевыми лидерами фронт и бэк-офиса организации, учитываем внешнее влияние регуляторов, конкурентов и акционеров.В общем, консалтинг интересен любой компании, и все зависит от того, способна ли она конвертировать результаты консультационных услуг в свое конкурентное преимущество. Суть консалтинга - услышать запрос, разобраться в причинах и предложить адресное решение, его польза - создание практической и понятной на каждом уровне организации ценности от инвестиций в информационную безопасность.- С чем чаще обращаются к вам заказчики: их больше интересуют конкретные вопросы или сразу просят помочь с выбором ИБ-стратегии?- Наиболее частый запрос – анализ на соответствие регуляторике, российскому законодательству в области ИБ. Здесь остаются в тренде все аспекты защиты персональных данных и защиты критической информационной инфраструктуры (КИИ). В то же время, мы видим хороший спрос на консультации в области стратегического управления и развития информационной безопасности. Несмотря высокую неопределенность в развитии экономики и международных отношений, компании хотят иметь среднесрочные планы развития (3-5 лет), хотят правильно распределять финансовые потоки. Нашим ответом на такое желание является создание стратегий развития информационной безопасности, а для того, чтобы эти планы и стратегии были подкреплены финансовыми возвратами, возникает инструмент управления киберрисками. Если у ИТ конечная задача - создать цифровой продукт (например, маркетплейс), то задача ИБ не допустить, чтобы эту площадку взломали или остановили ее работу. Поэтому в отличии от ИТ, которые создают дополнительную прибыль, инвестиции в информационную безопасность зачастую позволяют избежать существенных потерь, исключив реализацию стратегических рисков и сохранив конкурентные позиции. Именно сопоставление масштабов потенциального ущерба с инвестициями, необходимыми для того, чтобы этого ущерба избежать, является основой риск-менеджмента и формирования сбалансированной, риск-ориентированной программы развития ИБ.- Может ли компания самостоятельно оценить киберриски и понять, на чем сконцентрировать усилия по построению ИБ, не нарушив своего системного развития?- Уверен, что при наличии достаточного временного и экспертного ресурса и административной силы воли, компания способна сделать оценку и самостоятельно разработать планы развития. Консультанты же могут выполнить эту работу гораздо быстрее, исключив отвлечение внутренних ресурсов компании на нетиповые и ресурсоемкие задачи. За счет своего кругозора и "насмотренности" консультанты привносят неочевидные инициативы и решения, невидимые изнутри отдельно взятой организации. Консультанты – это база знаний, точка безопасной агрегации различных кейсов, практик из схожих и противоположных отраслей. Кроме того, бренд консультанта и независимость оценки положительно влияют на репутацию компании-клиента.- Что можете посоветовать бизнесу для оптимизации расходов на ИБ? Как сделать, чтобы инвестиции в кибербез не ушли в песок и принесли реальную пользу?- У организаций часто возникает запрос на оптимизацию расходов или на повышение эффективности ИБ. Это актуально прежде всего для крупных компаний, которые более 10 лет инвестировали в эту область: здесь, действительно, нужно автоматизировать процессы, повышать их эффективность, снижать операционные затраты. И мы помогаем это делать, повышая рентабельность ИБ компании.Другое дело, когда подобные запросы на оптимизацию звучат со стороны компаний, которые ранее недофинансировали это направление. По нашей статистике, средние затраты на ИБ должны быть не менее 10% от ИТ-бюджета, включающего цифровизацию, разработку новых продуктов и т.п. Такой уровень инвестиций в информационную безопасность есть только у лидеров отраслей, у остальных же он заметно ниже. И возникает ситуация, когда ввиду недостаточности вложений компания не смогла выстроить систему ИБ, способную противостоять злоумышленникам сегодняшнего дня (а среди них не только обычные хакеры, но и группировки, связанные со спецслужбами недружественных стран). В подобных ситуациях наша задача - разъяснение и демонстрация реального уровня угроз, чтобы показать разрыв между уровнем безопасности организации и уровнем тех, кто ее атакует. В результате такой работы происходит переосмысление и ребалансировка финансирования ИБ.Важно отметить, что повышение эффективности информационной безопасности, в первую очередь, необходимо и характерно для организаций, где направление хорошо профинансировано. Для компаний, где это не так, требуется скорее импульс для повышения внимания и усиление инвестиций в ИБ.- Кибербезопасность в системе корпоративного управления часто стоит особняком. Как грамотно встроить функцию ИБ в общую систему с точки зрения управления финансами, рисками персоналом и т. п.?- Если взять регулируемые сообщества в сфере корпоративного управления (Сообщество корпоративных директоров, Национальное объединение корпоративных секретарей), то в их повестке мы почти не увидим аспектов, связанных с информационной безопасностью. Более того, если мы посмотрим отчеты крупных компаний, то там кибербезопасность упоминается только в связи с реальными атаками и инцидентами, имевшими место в отчетном году. Конечно, ведущие компании активно инвестируют в ИБ, но в их корпоративное управление эта тематика не входит до тех пор, пока не произошел ущерб или пока акционеры не задали громкий вопрос.Сейчас активно озвучивается тезис о включении вопросов ИБ в повестку Правлений или Советов директоров. Но в реальности это непросто, ведь принятие решений в области кибербезопасности требует от членов советов и правлений соответствующих знаний и навыков. В компаниях есть ожидания в отношении первых лиц по решениям в области ИБ, но эти первые лица могут быть недостаточно информированы и нуждаться в дополнительных консультациях по этому вопросу. Поэтому указ президента №250 предполагает включение в коллегиальные органы управления крупнейших компаний руководителей по информационной безопасности.Вместе с тем мы встречаем запросы на ИБ-консультации на уровне корпоративного управления. Мы видим интерес у ассоциаций управленцев и участников Советов директоров к разъяснениям о том, как правильно коллегиальному органу воздействовать на информационную безопасность и осуществлять надзор за ее развитием.Важным аспектом является регулирование в области критической информационной инфраструктуры, включающее административную и уголовную ответственность первых лиц компаний за невыполнение правил в области ИБ. Впрочем, штрафы пугают руководителей меньше, чем вопросы репутации и доверия клиентов. Но, если штрафы можно просчитать, то оценка потерь от репутации пока довольно сложно оцифровывается с точки зрения кибербезопасности и рисков. Этот аспект пока остается скорее на уровне экспертных, профессиональных и управленческих решений, нежели на уровне алгоритмов.- Как известно, никто не застрахован от взлома. Как правильно действовать, чтобы сохранить репутацию компании и доверие контрагентов?-Действительно, в последнее время компании чаще сталкиваются со взломами, которые стали масштабнее и нагляднее в публичном поле. Зачастую инциденты связаны как раз с цепочками поставок, когда компания оперирует не в единственном лице, а имеет целую внешнюю партнерскую систему. В этом случае правильный подход – регулярное применение механизмов стресс-тестирования в области кибербеза.Подготовительной частью для проведения стресс-тестов являются киберучения - упражнения, которые помогают организациям заранее отработать действия в различных кризисных ситуациях, чтобы знать, кто за что отвечает, иметь под рукой доступы к внутренним и внешним ресурсам и оперативно их использовать.В свою очередь, нагрузочная часть предполагает имитацию реальной кибератаки, когда на прочность проверяется весь киберарсенал организации, его готовность, слаженность работы и возможности по выходу из кризисной ситуации. Безусловно, крайне важны резервные меры безопасности, включающие резервное копирование данных, резервирование каналов связи, средств защиты и даже резервирование экспертизы (где компания сможет почерпнуть опыт и знания в случае утраты основной базы).Еще один момент, который компании могут упускать из виду, это разработка плана кризисных коммуникаций в случае ИБ-инцидентов. Такой план включает в себя указание лидеров, ответственных за то или иное направление, сформированную публичную позицию компании с прогнозом по срокам устранения последствий и меры по минимизации подобных рисков в будущем.Важно не упускать из виду ретроспективные мероприятия после обработки инцидента или отражения кибератаки. Компании нужно убедиться, что в ее инфраструктуре не осталось потайных ходов (back door), оставленных злоумышленниками, а внесенные ими изменения в настройки систем и ПО возвращены в безопасное состояние.Соблюдение всех этих рекомендаций позволяет переживать кибератаки и утечки с наименьшими потерями для бизнеса, его клиентов и партнёров и сохранением деловой репутации.

россия

2024

Новости

ru-RU

https://ria.ru/docs/about/copyright.html

https://xn--c1acbl2abdlkab1og.xn--p1ai/

интервью, россия, технологии, microsoft corporation, oracle corporation, ibm, гк «солар» (ранее "ртк-солар")