Интервью с Иваном Гузевым, руководителем направления облачной безопасности компании «МегаФон»

Иван Гузев: Мы экономим нашим клиентам время, деньги и нервы

Иван Гузев: Мы экономим нашим клиентам время, деньги и нервы

Иван Гузев

Руководитель направления облачной безопасности, «МегаФон»

Стаж в области информационной безопасности — более 17 лет.

Закончил Московский государственный университет им. Н. Э. Баумана.

За время работы занимался построением и поддержанием систем управления информационной безопасностью как со стороны заказчика в разных секторах экономики, так и со стороны интегратора.

Принимал участие в создании регуляторных требований в области информационной безопасности.

...

В новых реалиях всё больше российских компаний согласны передать свою безопасность на аутсорсинг. Готовы ли отечественные поставщики предоставить гарантии высокого качества? Из чего складывается надёжность защиты данных клиента и чем нужно руководствоваться при выборе поставщика услуг в сфере ИБ? Об этом и о многом другом мы побеседовали с Иваном Гузевым, руководителем направления облачной безопасности компании «МегаФон».

Безопасность медленно, но верно мигрирует в облака вслед за ИТ. Не так давно в нашей студии AM Live был эфир на эту тему. Насколько эта мировая тенденция релевантна для России?

И. Г.: Безопасность как сервис начала развиваться относительно недавно: во всём мире это произошло примерно 15 лет назад, а в России — ещё позже.

С развитием облачных технологий сервисы безопасности начали выходить на новый уровень. Стали появляться специализированные провайдеры, расширилась линейка услуг, часть из них перешла в разряд «управляемых сервисов». В результате к таким классическим сервисам, как защита от DDoS-атак, стали добавлять межсетевое экранирование, WAF, сложные прикладные сервисы, защиту почты, антиспам, потоковые антивирусы, песочницы, двухфакторную аутентификацию и так далее.

С годами усилилось доверие к облачным технологиям, появилось понимание удобства облачных сервисов, в том числе по информационной безопасности, поэтому, безусловно, данная мировая тенденция актуальна и для российского рынка.

Всё перечисленное можно отнести к разряду классических услуг по защите из облака. Сейчас есть много компаний, про которые можно сказать, что вся их инфраструктура — уже в облаке (cloud native). Насколько эта тенденция сейчас заметна на российском рынке?

И. Г.: Есть услуги по информационной безопасности, которые оказываются как из облака, так и иным способом, например на базе программно-аппаратных комплексов. Эти сервисы могут предоставляться как тем клиентам, чья инфраструктура располагается в облаке, так и тем, кто использует услуги внешних провайдеров. Поэтому я бы говорил не о безопасности из облака как таковой, а о сервисе информационной безопасности, который предоставляется компаниям независимо от расположения их инфраструктуры.

Очевидно, у «МегаФона» есть решения, которые работают по модели «безопасность как услуга» (SecaaS). При этом вы наверняка занимаетесь также и безопасностью самого вашего облака. Как именно вы защищаете данные своих клиентов?

И. Г.: Этот вопрос можно разделить на два. Первый — это обеспечение безопасности самой облачной платформы «МегаФона», второй — безопасность данных, которые размещаются у нас в облаке. В обоих случаях «МегаФон» очень серьёзно относится к этому. Уже на стадии проектирования мы ориентировались на лучшие практики и стандарты в сфере ИБ.

Был разработан процессный подход к обеспечению информационной безопасности и управлению ею. Были внедрены как организационные меры — в виде политик, регламентов, инструкций, касающихся работы с персоналом, инвентаризации активов, безопасности в операционной деятельности, управления уязвимостями, управления доступом персонала к самой платформе, — так и технические на всех уровнях, начиная от физического (защита ДЦ и оборудования), сетевого (FW, WAF, DDoS, IPS и так далее) и заканчивая прикладным (IDM, PAM, защита рабочих мест администраторов и прочее), направленных на поддержание требуемого уровня безопасности.  

Всё это подтверждается наличием большого количества сертификатов и аттестатов, в том числе на соответствие требованиям российского законодательства и международных стандартов, включая специфические, разработанные именно для облачных вычислений. 

Второй вопрос — это защита данных клиента. Здесь я хотел бы ещё раз обратить внимание на то, что всегда есть зона разграничения ответственности между поставщиком услуг и клиентом. Если мы говорим, например, про сервис инфраструктуры, то, как правило, у провайдера нет непосредственного доступа к данным.

В этом случае всё, что касается безопасности операционных систем, каналов связи, приложений и рабочих мест клиента, с которых он подключается, лежит в зоне ответственности клиента.

«МегаФон», обладая внушительной экспертизой и широким набором сервисов по информационной безопасности, готов помочь своим клиентам закрыть большую часть вопросов, проблем и задач, переложив их на свои плечи.

Предположим, у меня есть ряд виртуальных машин в вашей инфраструктуре, на которых обрабатываются персональные данные моих клиентов. Эти данные важны для моего бизнеса. Где гарантия, что они не будут украдены сотрудником, или хакером, или уборщицей с флешкой, которая имеет физический доступ к вашему ЦОДу?

И. Г.: Над вопросом про гарантии сломано много копий. Во-первых, провайдер строит свою платформу и следит за информационной безопасностью таким образом, чтобы никто не смог получить доступ к данным клиентов. Это достигается различными организационными и техническими мерами — например, средствами контроля за действиями администраторов, разделением ролей, управлением доступом на логическом и физическом уровнях, проверкой персонала при устройстве на работу и так далее. Всё это существенным образом усложняет доступ к данным клиента.

Каждый провайдер заинтересован в том, чтобы данные клиента никоим образом не были скомпрометированы. И, насколько мне известно, у надёжных провайдеров с именем таких случаев просто не зафиксировано.

В конце 2022 года компания Amazon объявила, что данные клиентов в её облаке будут по умолчанию шифроваться. Есть ли у вас такая функция? Может ли заказчик рассчитывать на выборочное, по его желанию, шифрование своих виртуальных машин?

И. Г.:  Шифрование невозможно без ключа. Если Amazon делает это по умолчанию, то все ключи шифрования находятся у них. И это, конечно, даёт определённый уровень безопасности, но не гарантирует защиты от самого провайдера.

Если же мы говорим про механизм защиты именно от провайдера, то необходимо, чтобы ключи были у клиента. Не каждый клиент, который хостится у провайдера, технически и материально готов к этому. Поэтому говорить о том, что шифрование — это панацея, нельзя. Отвечая же на ваш вопрос, отмечу, что для клиентов, которые хотят это делать в облаке «МегаФона», такая возможность существует в виде дополнительной опции. 

Мы начали говорить о сертификации и соответствии стандартам. Есть ли у вас необходимая сертификация, которая позволяет использовать ваше облако для размещения элементов КИИ?

И. Г.: Комплаенсу «МегаФон» начал уделять внимание ещё в самом начале построения облака, и на текущий момент у нашей платформы есть уже внушительное портфолио оценок соответствия, аттестатов и сертификатов. Среди них важно отметить аттестат на соответствие федеральному закону о защите персональных данных, многие клиенты обращают на него внимание.

Также «МегаФон» получил аттестат на соответствие требованиям, которые предъявляются к государственным информационным системам. Согласно приказу ФСТЭК России № 17 эти системы должны размещаться только в имеющих соответствующий аттестат ЦОДах. Наша платформа готова к размещению подобных систем.

Соответствие этим аттестатам существенно облегчает жизнь нашим клиентам. В дальнейшем при проведении аттестации информационных систем многие вопросы будут закрываться благодаря их наличию у провайдера. В результате клиенты экономят свои деньги, время и нервы.

Говоря о наших последних достижениях, хочется упомянуть полученную оценку соответствия требованиям федерального закона о безопасности критической информационной инфраструктуры, а также национального стандарта ГОСТ Р 57580. Кроме того, есть соответствие международным стандартам, таким как PCI DSS, стандартные сертификаты в области системы управления ИБ ISO 27001, сертификат системы управления качеством — ISO 9001 и ISO 20000.

В прошлом году нам удалось пройти сертификацию по требованиям стандартов ISO 27017 и 27018; это — дополнения к стандарту ISO 27001, которые нацелены на обеспечение безопасности облачных вычислений.

Наличие всех этих аттестатов и сертификатов с оценками соответствия позволяет на текущий момент располагать в облаке «МегаФона» практически любые системы из любых секторов экономики и быть уверенным в том, что никаких регуляторных рисков не последует.

Давайте вернёмся назад и поговорим про защиту собственной инфраструктуры «МегаФона». Очевидно, вы используете свои собственные разработки на базе открытого кода. В каких процессах у вас используется DevSecOps?

И. Г.: В рамках развития «МегаФон Облака» мы опирались на вендорские решения от лидеров российского и мирового рынков, однако на данном этапе значительно повысилась роль собственной разработки. В этом процессе мы придерживаемся практик безопасной разработки, принятых внутри компании. При этом важно отметить, что сейчас у нас широко применяется практика по внедрению DevSecOps в жизненный цикл разработки ПО. В ближайшее время у нас появится ряд сервисов, которые помогут компаниям-разработчикам упростить внедрение у себя этой технологии.

Эти сервисы можно будет активно внедрять, например, через API и встраивать их в жизненный цикл разработки ПО. На наш взгляд, это — довольно актуальная тема на ближайшие несколько лет. Такие запросы есть, и мы стараемся помогать нашим клиентам.

Мы уже затронули вопрос о разграничении ответственности между поставщиком услуг и заказчиком. В эфире AM Live развернулась широкая дискуссия на эту тему. Как вы решаете этот вопрос? Если в зоне ответственности компании происходит какой-то инцидент, какие гарантии предоставляются по соглашению о качестве (SLA)? Какие компенсации в нём прописаны?

И. Г.: Вопрос о защите от самого провайдера, безусловно, очень волнует клиентов. И здесь уже существует определённая практика.

Как правило, в SLA любого облачного провайдера уделяют большое внимание именно доступности сервиса. Там прописываются сроки реакции, а также восстановления в случае возникновения сбоев. Очевидно, что доступность — это часть безопасности. Но если говорить о конфиденциальности и целостности, то обычно в SLA облачных провайдеров это не прописывается, и вот почему.

Возьмём, к примеру, инфраструктуру как сервис, IaaS. Здесь зона ответственности провайдера ограничена и отвечать за данные и безопасность, которыми управляет сам клиент, довольно сложно. Как следствие, выставлять компенсации в SLA и прописывать в нём гарантии безопасности для сервисов, которые не находятся под управлением самого провайдера, физически и технически невозможно.

Поэтому, как правило, в SLA прописывают информацию о том, что облачный провайдер гарантирует выполнение всех необходимых требований по ИБ и защиту от утечки данных, которые находятся в зоне ответственности компании.

Дополнительно мы можем прописать возможность передачи информации клиенту в случае возникновения тех или иных инцидентов, которые затронут инфраструктуру заказчика. По большому счёту, это — всё.

На наш взгляд, наиболее правильный подход — это страхование киберрисков. Тогда у клиента будет разумная потенциальная гарантия того, что в случае нарушения конфиденциальности его данных он получит возмещение убытков.

Эта услуга предоставляется в связке с какой-то страховой компанией?

И. Г.: Прямо сейчас у нас нет такой услуги, но мы ведём активные переговоры и, возможно, уже в этом году появится дополнительный сервис страхования киберрисков для информационных систем, которые размещены у нас.

Давайте поговорим теперь о безопасности из облака. Какие услуги вы оказываете по модели SecaaS? Со времени нашего последнего интервью с представителем «МегаФона» прошёл год. Что изменилось за это время? Как повлиял на вашу компанию уход иностранных поставщиков?

И. Г.: Действительно, по понятным причинам 2022 год стал знаковым с точки зрения развития отечественных сервисов ИБ. Конечно, в первую очередь это связано со всплеском различных кибератак на инфраструктуры клиентов.

После ухода иностранных вендоров многие компании оказались неготовыми к тому, чтобы в оперативном режиме перейти на новое импортозамещённое программное обеспечение. Поэтому резко возросла востребованность отечественных сервисов, в первую очередь тех из них, которые связаны с защитой сетевого трафика. Это касается DDoS, WAF и межсетевого экранирования. Хотя это и не относится напрямую к облачной безопасности, очень востребованными стали услуги консалтинга в сфере ИБ, такие как аудит и различного рода пентесты, внутренние и внешние.

Кроме того, с одной стороны, компаниям стали недоступны определённые СЗИ и они не могут быстро перейти на новые, а с другой — им нужна серьёзная и комплексная защита. В связи с этим вырос спрос на сервисы связанные с мониторингом инцидентов в ИБ. В «МегаФоне» в прошлом году появился центр мониторинга ИБ-инцидентов и реагирования на них (SOC).

Можно ли говорить о том, что запуск этого коммерческого SOC помогает повысить уровень безопасности ваших сервисов в целом и вашего собственного облака в частности?

И. Г.: Здесь несколько иная последовательность. Сначала у нас появился внутренний SOC. Затем к нему была подключена платформа «МегаФон Облако». Изначально мы просто отслеживали, наблюдали и накапливали опыт. В дальнейшем было принято решение выделить это в отдельный сервис, теперь на базе нашего SOC мы оказываем услуги клиентам. Одно вытекает из другого. Сначала появился мониторинг облачных инцидентов в ИБ, а затем это переросло в более серьёзный коммерческий сервис.

За счёт коммерческого SOC у вас есть экспертиза в части того, какие сейчас существуют методы, техники и тактики атак, и теперь вы видите гораздо больше инцидентов, чем раньше, когда SOC был ориентирован только на ваши собственные нужды. Помогает ли это обогатить ваши сервисы?

И. Г.: Да, безусловно. У нас расширяется круг компаний-клиентов. Мы видим те инциденты, которые появляются у одного из наших клиентов, и автоматически предупреждаем остальных о возможности той или иной атаки. Наша облачная платформа также подключена к этому SOC, и при обнаружении новых векторов атак мы принимаем меры по обеспечению безопасности самой платформы.

Давайте вернёмся к услугам по безопасности из облака. Какие сервисы «МегаФона» заказчик может купить сейчас по модели SaaS?

И. Г.: Сейчас популярны такие сервисы сетевой безопасности, как защита от DDoS, WAF и межсетевое экранирование. Среди прикладных сервисов можно выделить систему защиты мобильных устройств, двухфакторную аутентификацию. 

Всё более востребованной становится защита (в том числе от DDoS) на седьмом уровне модели OSI. Кроме того, отмечается и активный интерес к таким услугам, как управление уязвимостями, защита бренда, OSINT-исследование.

Очень востребованна услуга по предоставлению SOC из облака. И ещё один сервис, о котором хочется упомянуть, — повышение осведомлённости в области ИБ. У «МегаФона» здесь есть собственная платформа с модулем по фишингу, который позволяет использовать нестандартные шаблоны — как собственного производства, так и рекомендованные. Этот сервис тоже активно продаётся в последнее время.

Повышение осведомлённости — это очень важная тема. Значительная часть атак начинается с социальной инженерии. Насколько популярна сейчас эта услуга? Насколько созрел рынок для того, чтобы вкладываться в обучение сотрудников?

И. Г.: Мы отмечаем ежегодный стабильный рост спроса на эту услугу. За последние несколько лет продажи выросли в три раза, и этот спрос продолжает расти. Очень часто компании оказываются уязвимыми именно из-за человеческого фактора, а не из-за своей ИБ-инфраструктуры.

Вы перечислили много услуг и сервисов в сфере облачной безопасности. Многие из них до февраля 2022 года базировались на западных решениях — например, управление уязвимостями. Насколько импортонезависимы ваши сервисы сейчас?

И. Г.: Здесь я бы отметил следующее: если речь идёт о программном средстве, не об аппаратной части, то в России на текущий момент есть возможность заменить практически любое импортное средство — кроме, может быть, узкоспециализированных, связанных с высокой производительностью или защитой АСУ ТП.

Когда иностранные вендоры начали активно покидать страну, «МегаФон» своевременно принял необходимые меры, и все предлагаемые нами сервисы мы очень оперативно и практически бесшовно перевели на отечественные решения. При этом следует отметить, что ещё до того момента у нас были замещённые версии. Мы раньше предлагали вариативность услуг: на импортном или отечественном ПО. Теперь у нас остались только импортонезависимые ИБ-сервисы. Этот путь прошли многие отечественные провайдеры, которые вели работу в части комплаенса.

Безусловно, были продукты, которые касались соответствия российским нормативным требованиям, но строились при этом на импортных материалах. И вот здесь пришлось оперативно переходить на новые решения. Например, когда выстраивались облака для хранения персональных данных на уровнях К-1 и УЗ-1, вначале использовались программно-аппаратные комплексы импортного производства, которые имели все сертификаты.

Было непросто, но на текущий момент «МегаФон» может похвастаться тем, что наши сервисы целиком базируются на импортозамещённых продуктах.

При этом важно отметить, что наши облака соответствуют самым высоким уровням безопасности при обработке персональных данных. В связи с общим ростом внимания к вопросам ИБ перевод части процессов в облака, которые соответствуют этим стандартам, для многих компаний сейчас является экономией средств. Кроме того, после этих проектов не требуется внедрять дополнительных инструментов, так как наши облака уже имеют все необходимые СЗИ.

Мы упомянули сегодня федеральный закон № 187-ФЗ. Размещают ли компании, у которых есть объекты КИИ, элементы своей инфраструктуры в вашем облаке? Насколько в целом заказчики с объектами КИИ готовы идти в облака?

И. Г.: Существует ряд компаний с определёнными требованиями к безопасности, и некоторые из них являются нашими клиентами. Их требования высоки, хотя у КИИ они всё же выше, особенно для объектов со значимой инфраструктурой.

У нас много клиентов, чьи информационные системы связаны с персональными данными. Кроме того, сейчас появляются компании из финансового сектора, которые требуют соответствия ГОСТ Р 57580. Другая часть наших клиентов размещает у нас частично объекты КИИ, но здесь я бы отметил, что значимых объектов в «МегаФон Облаке» сейчас нет.

Весенний указ президента № 250 проводит своеобразную «киификацию» российского бизнеса. Стимулирует ли это клиентов к тому, чтобы отдать свои объекты на аутсорсинг вам, на вашу платформу, где уже соблюдены все требования? Почувствовали ли вы этот импульс?

И. Г.: Безусловно, любые изменения в законодательстве в части соответствия тому или иному федеральному закону или его подзаконным актам создают определённую волну интереса к облачным сервисам. И, конечно, клиентов интересует соответствие тем или иным положениям этого закона.

Для отрасли 2023 год стартовал очень активно; об этом говорит поведение как заказчиков, так и поставщиков услуг. При этом, с одной стороны, существуют ограничения и санкции, а с другой — появляются всё новые кибератаки, причём их количество нисколько не уменьшается. Каким, по-вашему, будет 2023 год в этих непростых условиях?

И. Г.: Любые ограничения, которые появляются в РФ, а также все внешнеполитические события, которые влияют на потенциальный рост атак на различные информационные системы в РФ, предсказуемо провоцируют рост интереса к сфере ИБ.

На мой взгляд, 2023 год станет активным продолжением 2022 года, когда ИБ в целом и сервисы как её часть начали стремительно развиваться. Если в 2022 году кто-то ещё «раскачивался», то сейчас всё больше компаний готовы отдавать безопасность на аутсорсинг.

В целом же отрасль будет и дальше динамично развиваться. Здесь важно, чтобы качество оказываемых услуг тоже оставалось на высоком уровне. Добавлю, что осознанность в вопросах ИБ тормозится несколько завышенной стоимостью российского ПО и аппаратно-программных комплексов.

На декабрьском эфире AM Live мы как раз обсуждали тему повышения цен, и один из спикеров очень ёмко сказал, что это не цены выросли, а просто закончился «сезон низких цен» в сфере ИБ.

И. Г.: Безусловно, всё, что произошло и происходит на рынке, сказывается на конкуренции.

Если бы у нас была здоровая конкурентная среда, осознанность в области ИБ стоила бы дешевле.

Большое спасибо за содержательное интервью! Вам желаем дальнейших успехов, а нашим читателям — всего самого безопасного!