Дмитрий Сафронов: Передача ИБ на аутсорсинг работает, но первичный анализ должен быть внутри компании

Начальник отдела защиты информации производственно-технологического департамента ВГТРК Дмитрий Сафронов рассказал Anti-Malware.ru о специфических задачах по обеспечению ИБ на медиарынке, об отечественном и импортном софте и о проблемах современного федерального законодательства.

Дмитрий, расскажите о холдинге: что туда входит, какая инфраструктура под вашей защитой?

Д. С.: Исторически на осколках Гостелерадио СССР образовалось несколько сотен местных телекомпаний. Со временем они реорганизовались и превратились в государственные телекомпании в регионах. Далее все это было объединено в единый холдинг под эгидой ВГТРК, и каждая региональная телекомпания стала филиалом ВГТРК.

Обеспечение информационной безопасности в филиале является прерогативой самого филиала. Но поскольку айтишная инфраструктура по сути единая, всегда существует серьезный риск того, что со стороны регионов могут появиться угрозы и беды, которые мы не сможем контролировать. Структура обеспечения безопасности должна быть централизована и мы стремимся к построению такой структуры управления ИБ в компании.

Какие специфические задачи по ИБ есть на медийном рынке? Какие специфические угрозы, риски существуют для вашей организации?

Д. С.: Ничего специфического на самом деле нет. Те угрозы, которые существуют в отношении любой крупной компании, занимающейся производственной деятельностью (а телевидение и радиовещание — это производственная деятельность, в которой задействовано большое количество людей, в ней есть производственные активы, которые используются для производства медийного продукта), существуют также и для ВГТРК.

Все риски, которые есть в отношении производственно-технической базы или людей, работающих в компании, однотипны для компаний, занимающихся любой деятельностью. Здесь специфики не просматривается. Отличие в том, что есть определенный круг работников, в том числе журналистов и медийных персонажей, которых люди видят на экранах. По идее их тоже нужно защищать, но здесь возникают определенные проблемы, связанные с тем, что персонажи отдалены от ИБ. Проблема защиты VIP, думаю, знакома любому ИБ-шнику.

Наша работа в большей степени связана с защитой информации, которую обрабатывает офис (договора, данные и пр.). Кроме того, компания является владельцем ряда информационных веб-ресурсов, безопасность которых мы обеспечиваем, и является оператором связи, и, соответственно, федеральное законодательство требует обеспечения требований безопасности, например, в части ограничения доступа к запрещенным ресурсам, находящимся в списках Роскомнадзора, ограничения полномочий в публикации того, что нарушает федеральное законодательство.

Ваша компания подпадает под действие Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» N 187-ФЗ?

Д. С.: Как оператор связи, по идее, мы должны подпадать, но тут есть проблема. Федеральный закон составлен таким образом, что организация или госкомпания должна сама себя обозначить как субъект КИИ, определить категории всех своих информационных систем и оценить все свои риски — как критические, так и не критические. Однако никто не заставляет это делать принудительно, и если компания не считает нужным это делать, то компания этого делать не будет. Хотя я считаю, что мы как организация, действующая в области связи должны подпадать под закон о КИИ, и реализуем с учетом возможностей те способы защиты и возможности по взаимодействию с госорганами, которые необходимы. Но наши возможности всегда, как, наверное, и у всех, ограничены имеющимися ресурсами.

Основные угрозы и риски для СМИ связаны с тем, что пропадет сигнал, инфраструктура выйдет из строя и будет невозможно обеспечить непрерывность вещания?

Д. С.: Рисков намного больше. Поскольку вся производственная инфраструктура компании — это IT, беспокоит вопрос, связанный с системным софтом. К сожалению, пока преобладает парадигма, при которой кажется, что производственный контур необходимо изолировать физически от айтишного, исключить его взаимодействие с внешним миром. Однако стоит учитывать, что люди, которые участвуют в процессе производства контента, подвергаются, как и все обычные люди, определенным рискам, будь то настроение или жизненные ситуации. Под влиянием таких рисков человек может принести вред как сознательный, так и бессознательный, оборудованию, с которым он работает.

Изолировать контур теоретически возможно. Можно, например, создать изолированную сеть, которая физически и гальванически развязана от офисной сети, от сети, в которой работают журналисты, входят в интернет. Можно физически отвязать ее от интернета, но это не спасет потому, что на большинстве рабочих станций есть точка доступа Wi-Fi, то есть человек может принести роутер или раздать интернет с телефона, подключиться к Wi-Fi-сети соседей, найти открытую точку доступа Beeline. Это говорит о невозможности изолировать его физически, только внедрять контроль ИБ внутрь производственно-технической сферы. Считается, что в изолированном контуре риски отсутствуют, и убедить людей и руководство в обратном очень сложно. Если нет интернета, это не значит, что нет рисков. Интернет — это один и рисков. Подключение к сетям доступа — это один из рисков, который мы условно «купировали». Мобильный Wi-Fi и доступ к свободным сетям при этом ограничить практически невозможно, и человек, у которого формально нет доступа в интернет, подключится к нему со своего рабочего места — дырка в защите? Дырка. Внешние устройства, принесенный из дома ноутбук, который человек подключит в сеть и т. п.

Поскольку все взаимосвязано, это все подвержено рискам. Рискам того, что прикладной софт ставится на конкретную версию операционной системы. Софт в ходе поддержки развивается и вендор-производитель прикладного софта зачастую гарантирует стабильную работу на определенной версии операционной системы. Чтобы прикладное программное обеспечение развивалось, вендор зачастую экономит на том, что не тестирует его. Существует производственный риск: сейчас Windows выпустила обновление, но никто не знает, как оно отразится на работоспособности комплекса в целом. Основная причина изоляции производственно-технологического контура — попытка закрыть его от угроз извне. Но это самообман. Пока же удается избегать серьезных последствий, связанных с чем-то вроде WannaCry, у нас не было ничего такого критически повлиявшего на производственный процесс, но, возможно, я чего-то не знаю, поскольку существуют некоторые ограничения доступа к ИБ в производственный контур.

Само производство, очевидно, связано с использованием большого количества софта, и все оно импортное, как я понимаю. Как вас в данном контексте затронула ориентация на импортозамещение и используете ли вы принудительно отечественные средства защиты?

Д. С.: В производственной сфере прикладной софт импортный, да. Появляются отечественные разработки, связанные с телевидением, насколько я знаю, в компании они тоже внедряются. Есть комплексы, построенные на отечественном софте. На долю отечественного софта приходится довольно маленький процент, но движение в эту сторону есть. В любом случае на данный момент используется импортный софт. С точки зрения обеспечения ИБ в России все неплохо.

Мы давно сотрудничаем с Positive Technologies, уже лет семь или восемь достаточно плотно работаем. В рамках сотрудничества получали от них софт разной степени готовности, являемся некими тестерами отдельных продуктов. Не все покупаем, но стараемся все попробовать с их позволения. Мы брали потестировать их SIEM и долго обсуждаем вопрос о возможности его использования на основе сервисной модели, как услугу. Все прекрасно понимают, что внедрение SIEM — это серьезный этап в развитии ИБ, до которого нужно дорасти. Этот шаг подразумевает под собой большое количество человеческих ресурсов, которые необходимы при эксплуатации такого рода системы, так как она должна круглосуточно мониториться. Необходимы аналитики, люди, которые разбираются в системе и могут интерпретировать выдаваемую информацию, необходима служба, которая измеряется в десятках человек. Чтобы это обеспечить, нужно желание и финансирование. Хотя наиболее реалистичной является именно сервисная модель. Необходимы специально обученные люди, которые могли бы мониторить ситуацию по инцидентам и давать рекомендации с точки зрения оптимальных решений с нашей стороны, чтобы купировать тот или иной риск, который обнаруживается в результате мониторинга ИБ средствами SIEM.

С вашей точки зрения, все необходимое можно сейчас составить из отечественных продуктов?

Д. С.: По ИБ, конечно, нет. С точки зрения железа тут все гораздо хуже. Сейчас начали появляться интересные вещи, например, в сетевой безопасности. Они выглядят вполне достойно, но находятся на начальной стадии развития.

По поводу сервисной модели и аутсорсинга — очень интересная тема для рынка в целом. Как вы к ней относитесь?

Д. С.: Мы придерживаемся достаточно консервативной сервисной модели и не против отдать эту историю на аутсорсинг, но с некоторыми ограничениями. Мы не можем отдать на аутсорсинг первичную информацию в виде системных логов.

Непонятно, кто сидит на том конце, и это очень дорого и долго, ведь человека нужно погрузить в происходящее.

Аутсорсинг предоставляет две вещи: экспертизу и контроль 24/7. При этом реагирование на моей стороне, поскольку только внутри сети я могу что-то просмотреть. Это долгий и продолжительный процесс отсеивания ложных срабатываний, систематизации инцидентов и выявления действительно значимых, градирование по критичности. Даже если все это сделать, у меня нет ни времени, ни сил, ни возможностей выяснения возможных последствий. Здесь мне нужна экспертиза на стороне аутсорсинга, так как они видят инцидент и могут предложить план реагирования, который поможет купировать атаку или минимизировать ущерб от ее развития.

В этом аспекте передача задач ИБ на аутсорсинг работает, но мое убеждение таково, что первичный анализ должен производиться внутри компании.

Как вы смотрите на то, чтобы отдать на аутсорс функции контроля и обслуживания базовых систем защиты?

Д. С.: У нас ситуация в этом отношении лучше. В нашей компании ИБ-подразделение функционировало в рамках ИТ. В компании есть специальное подразделение, занимающееся безопасностью, но есть четкое разделение: вопросы ИБ, ИТ, и защиты информации — существует в рамках ИТ. Именно ИТ оперирует информацией, информационными потоками, проводами, оборудованием и т. д. Мы защищаем информацию.

ИБ охватывает более широкий объем задач: камеры, микрофоны, — это объектовая безопасность.

Получается, что непрерывность бизнеса — забота ИТ в вашей компании?

Д. С.: Да. В объектовой безопасности нет своих айтишников, следовательно, наше взаимодействие основано на том, что все задачи, которые связаны с информационной безопасностью, ложатся на нас, и мы их в рабочем порядке решаем. Мы выступаем в качестве экспертов для решения их задач. Все вопросы касаемо персоналий находятся в зоне ответственности ИБ.

В этом есть плюс: нет внутреннего конфликта с ИТ и есть возможности использовать ИТ-ресурсы для решения задач ИБ.

Бывают ли обратные ситуации, когда ИТ привлекают вас на этапе проектирования или замены систем? Сейчас все больше говорится о встроенной безопасности и SDL.

Д. С.: Естественно, верно и обратное. Департамент занимается не только эксплуатацией, но и созданием ряда информационных систем внутри компании, обеспечивающих бэк-офис, мы их еще сами создаем. Собственно, в компании работает много кастомных и самописных информационных систем, которые мы так или иначе эксплуатируем. Естественно, в этом случае верен и обратный путь, когда мы создаем новую информационную систему, а за требованиями к информационной безопасности они идут к нам.

Когда разрабатывается некий проект, в котором участвует инфраструктура, коллеги приходят и уточняют необходимые вопросы по защите информации, можно или нельзя сделать так-то и так-то, посоветуйте правильный способ.

Сейчас много говорится о том, что часть функций ИБ могут быть полезны для целей экономической безопасности. У вас это взаимодействие работает?

Д. С.: Была попытка внедрения DLP-системы. Закончилась неудачно, поскольку такие системы сложно и дорого внедрять. С точки зрения нашей компании в массовом сканировании переписки и сетевого трафика нет никакого смысла.

А как же конфиденциальная информация и коммерческая тайна?

Д. С.: Тот промежуток времени, когда информация является конфиденциальной, очень мал. Никто не пойдет на неоправданно затратное обеспечение режима безопасности. В нашей компании такого нет, но в теории это возможно.

В последнее время много говорится о контроле доступа, внедрении IDM-систем. Насколько это актуально для вашей организации?

Д. С.: Приблизительно 5 лет назад появился проект по внедрению IDM-систем. IDM сейчас — это управление доступом к сервисам. Это процесс долгий, мучительный. Он тянет за собой техническую сторону, которая реализуется достаточно быстро, и реорганизацию управленческой парадигмы — это самый сложный процесс.

В медийном бизнесе, когда рабочие процессы выглядят, на первый взгляд, как сложно управляемый или почти неуправляемый хаос, автоматизировать что-то вообще очень сложно. Ведь качественно автоматизировать можно тот процесс, который формализован на бумаге.

В данном случае ИТ и ИБ выступают в качестве драйвера изменений управленческой парадигмы. Это сложно, поскольку решения о дальнейших действиях принимает высокое руководство приказами по компании.

Сегодня существует проблема того, каким образом отслеживать перемещение человека в рамках компании, то есть перешел человек из одного отдела в другой или остался в том же отделе, но занимает другую должность. Кто его руководитель, работает ли он в ВГТРК или сотрудничает с коллегами, работая в другой компании? Нужен ему доступ к определенной информации или ограничить его? Нет такого программного обеспечения, которое предоставило бы ответы на эти вопросы, его не хватает.

Вы в начале говорили о регуляторах, федеральных законах, требованиях. С вашей точки зрения, насколько это помогает в реальной защищенности или мешает?

Д. С.: Начнем с того, что требования регуляторов сильно противоречивы. Более того, любой офицер безопасности скажет, что проблема регуляторов в том, что отсутствует единая терминология. У большинства терминов нет определений, есть только трактовки, причем каждое ведомство трактует их по-своему и в разные периоды времени по-разному. Раз нет соглашения о терминологии, зачастую сложно реализовать то, что требуют регуляторы.

Безусловно, наличие регуляторов нам скорее помощь, чем вред, поскольку это является весомым аргументом при решении текущих задач ИБ, спасибо «пакету Яровой».

Есть определенные проблемы с выполнением требований законодательства по части ограничения доступа к интернет-ресурсам. Здесь есть, на мой взгляд, чисто законодательная проблема: данный закон проще было бы решать на уровне магистральных операторов. Их не так много в стране, и они могли бы предоставлять эту услугу более мелким операторам — таким как мы. Нам было бы проще получать у крупных операторов очищенный трафик, чем платить за системы сканирования и блокировки. При этом Роскомнадзор отслеживает как чрезмерную, так и недостаточную блокировку и штрафует.

Главное — договориться о терминологии. И не реанимировать то, что уже не актуально, например, «федеральный закон о связи» от 2003 года.

Благодарим за интервью и желаем успехов!