Леонид Ухлинов: Без привлечения первых лиц компаний защитить бизнес будет всё сложнее

Леонид Ухлинов, вице-президент и исполнительный директор компании «Информзащита», поделился своим экспертным мнением с читателями Anti-Malware.ru и рассказал, как компания из-за небольшой оплошности может потерять миллионы долларов, чего ожидать бизнесу в эпоху цифровизации и кто в первую очередь станет мишенью для киберпреступников. Это интервью продолжает цикл публикаций «Индустрия в лицах».

Что, на ваш взгляд, наиболее сильно повлияет на российский рынок ИБ в ближайшие 2-3 года?

Л. У.: Есть три фактора, влияющих на рынок. Это нормативно-правовые (новые законы и требования регуляторов), технологические (появление новых технологий) и психологические (требования бизнеса). О последних говорят мало. Хочется остановиться на этом подробнее.

На сегодняшний день владельцы крупного бизнеса (ритейл, банки, промышленность, энергетика) начали понимать, что будущее их компаний зависит от информационных технологий, которые предопределяют и напрямую влияют на успешность компании в целом. В этих больших организациях руководители осознали, что теперь безопасность — это не только безопасность информации, но и защита самого производства, гарантия непрерывности бизнес-процессов, малейший сбой в работе которых приносит ощутимые убытки. Мир все больше зависим от цифровых технологий, и с наращением цифровизации влияние ИБ на бизнес будет только прирастать.

Так, кибератака, остановившая бизнес на непродолжительное время, совершенно точно приведет к непредсказуемому для компании результату и потерям. Результат здесь нужно рассматривать в ракурсе дальнейшего восстановления производства. К примеру, остановка по той или иной причине работы доменной печи означает, что такая печь попросту закоксуется и перестанет работать. А если произойдет сбой, который приведет к остановке операционного дня в крупном банке, то простой в течение одного часа может выражаться в десятках миллионов долларов потерь.

Как считаете, дозрел ли весь рынок до понимания, что бизнес зависим от ИБ?

Л. У.: Часть рынка осознает, что системам сейчас не просто доверяют какие-то данные и профессиональные секреты, но и сам бизнес. Но, к сожалению, не все руководители понимают, что задача начальника службы ИБ или ИТ — чтобы к нему не было претензий, а у владельцев компаний — чтобы бизнес процветал. Поэтому зачастую глава компании передает сферу информационной безопасности на откуп ИТ- или ИБ-службе со словами: «Меня это не касается, сами решайте, что делать. А мне потом доложите». Особенно это актуально для больших компаний. Как и в случае с обнаружением у себя болезни, они мыслят подобно большинству людей: «Меня это точно не затронет». Но, увы, мы знаем много обратных примеров.

Как минимизировать риски для бизнеса, если на первый взгляд с ним все хорошо?

Л. У.: Любая атака на предприятие — не стихийное, а подготовленное мероприятие. И те, кто их готовят — предварительно анализируют возможности созданного ими вредоносного кода, тестируют и дорабатывают функциональность, изучают бизнес-логику используемых систем, чтобы наверняка заполучить доступ к нужным системам и добиться поставленной цели (хищение денег, информации, конфиденциальных данных и т. д.). Поэтому каждая организация на сегодняшний день должна иметь выверенный план действий при возникновении любой угрозы. Нужен именно план отработанных действий, когда обнаружено, что атака уже идет. В этом случае в компании должна быть отлажена процедура перекрытия тех или иных каналов поступления вредоносного кода, локализации зараженных машин, оперативно предприняты меры по восстановлению поврежденной инфраструктуры. На сегодняшний день, по моему наблюдению, даже у некоторых крупных организаций такого плана просто не существует. Поэтому, когда в мае-июне 2017 года произошла череда всем известных атак, наши эксперты оперативно готовили рекомендации, как действовать в такой ситуации. Мы их отправляли не только нашим клиентам, но и в СМИ, чтобы помочь в сложной ситуации максимальному количеству компаний.  Хотя по-хорошему, регламенты реагирования должны быть в каждой компании.

В текущих реалиях я бы советовал обратить внимание на важность процессов мониторинга событий ИБ и управления инцидентами: своевременное обнаружение и реагирование на инцидент способны минимизировать потери организации от целенаправленной атаки. А еще лучше — сконцентрировать усилия на проведении сбалансированного комплекса превентивных мер и вышеописанных процессов.

Можете привести пример, когда небольшая оплошность и пренебрежение информационной безопасностью привели к большим потерям для компании?

Л. У.: Знаю поучительную историю, которая произошла в 2014 году в одной из стран на нефтеналивной компании. То предприятие сотрудничает со множеством перевозчиков нефтепродуктов. На тот момент никаких средств защиты у компании установлено не было. Один из сотрудников скачал себе на флешку конфигурационный файл, определяющий порядок работы системы учета нефтепродуктов нефтеперевозчикам. На основании этого конфигурационного файла злоумышленники из числа сотрудников написали небольшие скрипты, которые внедрили по результатам анализа этого конфигурационного файла в систему управления учетом. Таким образом, периодически меняя небольшие параметры этого конфигурационного файла, мошенники сливали сумасшедшее количество нефтепродукта. Это продолжалось четыре месяца, и за это время было слито нефти на 80 миллионов долларов. 

Вот еще пример: в конце декабря 2016 года из-за неправильных настроек серверов в открытый доступ попали данные компании (в том числе совершенно секретные), которая занимается медицинским обслуживанием офицеров минобороны США. Остается только догадываться, каков реальный масштаб ущерба от такой оплошности.

Какова, по вашей оценке, динамика объема рынка ИБ в России?

Л. У.: В 2015-м году, например, рынок ИТ в России вырос на 11%, а рынок ИБ — на 30%. В 2016-м он вырос еще на 15%. Темп чуть замедляется, но тенденция роста рынка ИБ в ближайшие годы будет сохраняться. Особенно в ИБ-решениях будут нуждаться ритейл, промышленность, финансовый и государственный сектора экономики. То есть организации, чей бизнес серьезно зависит от правильно выстроенных процессов информатизации.

Частично на всплеск спроса повлияла череда инцидентов, которые были обнародованы в СМИ и активно обсуждались в последнее время. Говорят не только об атаках на компании, но и о вмешательстве разных хакеров в дела других государств. И это заставляет владельцев бизнеса задумываться о приобретении средств защиты информации, а государство — о необходимости развития отрасли и поддержании своих разработчиков. Основная же причина роста рынка заключается в том, что на информационную безопасность стали смотреть не как на дополнительную функцию, но как на свойство любой информационной системы. Тогда как раньше про ИБ вспоминали по остаточному принципу.

Как будет трансформироваться деятельность ИБ-интеграторов в условиях импортозамещения?

Л. У.: Дело в том, что без развития собственных российских ИТ-продуктов безопасность становится достаточно ущербной. Мы видим, что отечественные продукты в области ИБ становятся всё более конкурентоспособными. Но импортозамещение как таковое — то есть отказ от зарубежных продуктов и переход на отечественные — не самоцель. Реалии нашей жизни — мультивендорные платформы. И необходимости в полном переходе на российские продукты (за исключением нескольких государственных компаний и силовых структур) у рынка нет.

Сущность интеграторской деятельности в том, чтобы создавать и объединять решения из многочисленных продуктов оптимальным для заказчиков образом. И трансформация в сторону импортозамещения не изменяет принципы и подходы интеграторской (читайте — инженерной, экспертной, проектной) деятельности. Мы в «Информзащите» всегда предлагаем нашим заказчикам лучшее решение из той линейки продуктов, которая у нас есть. И если клиент говорит, что он хочет сделать проект только на российских продуктах, мы демонстрируем как плюсы, так и минусы таких решений. Если при этом в нашей линейке продуктов есть более подходящие технологии, которые позволят ему за меньшие деньги решить все его задачи, то мы об этом также ему обязательно скажем. Потому что наша многолетняя положительная репутация как исполнителя проектов на максимально качественном уровне для нас важнее, чем просто следование пожеланиям заказчика.

Что может повлиять на стабильность бизнеса ИБ-интегратора?

Л. У.: Есть три фактора, которые влияют на бизнес любой компании. Это зависимость от одного заказчика, зависимость от уникального продукта и от уникального персонала. Вот если два фактора в какой-то компании совпали — тушите свет. Компанию можно закрывать!  

У нас, к счастью, такого нет, и мы выживем в любой ситуации. Крупных клиентов у нас много, а не один. Мы сотрудничаем с 90 производителями со всего мира, у нас огромное количество экспертов, которые друг друга дополняют — какого-то одного гуру, от мнения и действий которого зависит будущее компании, у нас нет. Такой подход к делу позволил нам стать ИБ-интегратором №1 в стране.

Как вы оцениваете перспективы развития рынка ИБ-услуг?

Л. У.: Интеграторский бизнес однозначно движется в сторону сервисной модели. Для этого в Группе компаний «Информзащита» мы выделили Сервисный центр в отдельную бизнес-единицу. С его помощью мы оказываем заказчикам комплекс услуг, в том числе техническую поддержку и аутсорсинг, обслуживание систем безопасности, мониторинг, управление безопасностью и т. д. Это однозначно перспективно: доля выручки от продажи услуг у нас растет быстрее, чем от продажи продуктов и аппаратных средств.

Еще одно перспективное направление — создание центров управления безопасностью и реагирования на инциденты информационной безопасности (так называемые SOC). В рамках SOC мы оказываем комплексные услуги, которые ориентированы на разные сектора бизнеса. Например, в финансовой сфере это все, что связано с угрозами банковской инфраструктуре, в том числе платежной, и, как следствие, обеспечением непрерывности операционного дня. Если говорим про телеком, то там вектор смещается в сторону выстраивания работы с информацией о трафике, с работой телекоммуникационной аппаратуры и т. д. И важно понимать, что на базе SOC оказываются самые разные услуги, а уже создание этих услуг — задача той экспертной организации, которая использует этот инструмент. По аналогии с гитарой: в разных руках она остается одним и тем же инструментом, а вот играть на ней можно с разной степенью виртуозности.

В отличие от проектной, сервисная модель подразумевает иные бизнес-процессы внутри компании. Готова ли «Информзащита» идти дальше по этому пути?

Л. У.: Важно понимать, что с приходом сервисной модели меняется философия бизнеса. Для того чтобы предоставлять услуги, нужно не только очень хорошо понимать, чего именно хочет заказчик, знать все об устройстве его бизнеса, но непременно важно выстроить внутренние бизнес-процессы своей компании так, чтобы они тоже были удобны клиенту.

Неотъемлемая часть сервисной модели — клиентоориентированность по отношению к заказчикам любого размера. С приходом сервисной модели мы расширили спектр наших заказчиков в сторону малого и среднего бизнеса и делаем все, чтобы при этом оставаться эталоном по предоставлению услуг как для крупного бизнеса, так и для малого. Для нас это означает, что у нас есть пакет услуг, который должен решать проблемы с ИБ таких компаний, и с другой стороны — не ударять по их кошельку. В этом случае наша прибыль формируется за счет масштабирования предоставления такой услуги и автоматизации процессов.

Как эволюционирует портфель услуг компании «Информзащита»?

Л. У.: Мы активно развиваем направление промышленной безопасности. Для этого был создан Центр промышленной безопасности. Внутри него есть несколько направлений, одно из которых — безопасность автоматизированных систем управления технологическими процессами (АСУТП). Абсолютно отличающаяся от традиционной ИБ сфера.

Различие заключается в том, что традиционные офисные системы работают по открытым стандартам (связные протоколы, стандарты на структуру данных или типы электронных документов), в то время как для каждой АСУТП характерен собственный набор внутренних протоколов. Причем в зависимости от отрасли они тоже разнятся. Кроме АСУТП есть еще безопасность производства. И это другой класс задач, который позволяет решить проблему по защите управления ядерными реакторами или гидроэлектростанциями.

Мы решили усиленно развивать направление промышленной безопасности, потому что наши эксперты достаточно глубоко разбираются в разных типах таких систем для различных отраслей. И, приходя на объект, мы можем провести ИБ-аудит и предложить заказчику меры по обеспечению безопасности критически важных объектов инфраструктуры.

Успех любой технологической компании основывается на высокой экспертности ее сотрудников. Как вы боретесь с утечкой ценных кадров?

Л. У.: Кардинально с этим бороться невозможно. Человек выбирает сам, где ему завтра работать. Мы стараемся сделать так, чтобы нашим сотрудникам было интересно работать над теми проектами, которые у нас есть.

Мы также создаем внутренние проекты развития. Если человек показывает креативность и предлагает новые идеи по развитию того или иного направления, то мы не глушим их. Наоборот, создаем необходимые условия, чтобы такие люди развивались внутри компании. Еще у нас в «Информзащите» очень большое внимание уделяется повышению квалификации. Мы одна из тех немногих компаний, которая непрерывно обучает своих специалистов на базе нашего Учебного центра и с привлечением внешних тренеров. Плюс у нас очень хороший социальный пакет, и он не изменился даже в кризис. А также в сентябре мы переехали в новый современный красивый офис.

По прогнозам американских футурологов, с развитием технологий (онлайн-камеры повсеместно, фотосъемка любого места на Земле со спутника, интернет вещей) физическая безопасность отойдет на второй план или исчезнет вовсе. Глобально: люди перестанут убивать других людей или обворовывать дома для того, чтобы украсть вещи и деньги. По мнению футурологов, существенно возрастет число киберпреступников — тех, кто сконцентрирует свои усилия на взломе наших счетов через компьютеры и смартфоны. Согласны ли вы с такими прогнозами?

Л. У.: Физическая преступность не исчезнет никогда. Однако футурологи правы в том, что влияние киберпреступности на жизнь людей будет безусловно увеличиваться. Свои усилия киберпреступность будет концентрировать в отношении тех, кто действительно связан с цифровизацией нашей жизни: всех, кто регулярно пользуется мобильным банком и сервисами интернет-торговли, обладателей беспилотных автомобилей.

Количество киберугроз будет расти. Нынешнее поколение детей с малых лет погружено в элементарное программирование. Их мозги уже настроены по-другому. С детства они окружены всевозможными гаджетами, быстро учатся обращению с ними и любопытства ради начинают пытаться получить доступ к тем или иным устройствам или системам. Не без их участия в будущем будут появляться новые изощренные киберугрозы. И они будут продолжать появляться раньше, чем средства защиты от них.

Но предвосхитить их появление можно. Важно не просто устранить последствия сбоя конкретной системы, но изначально создавать такую систему защиты, которая была бы настроена на обнаружение конкретной модели нарушителя, описывала и предотвращала угрозы, которые он может потенциально создать. Тем более что такой подход обойдется компаниям гораздо дешевле. И ключевая задача тех, кто работает на рынке ИБ — предопределить развитие тех или иных инструментов информационной атаки и помогать клиентам в формировании точечных требований к будущим современным системам защиты от них.

Спасибо за интервью и успехов в работе!