Максим Королёв: В последнее время за автоматизацией и цифровизацией никто не успевал, включая ИБ

Вынужденное импортозамещение на рынке информационных технологий ставит перед службами информационной безопасности серьёзные вопросы о том, как контролировать права доступа и учётные записи пользователей. Как и с помощью каких продуктов эти задачи решались в ПАО «Сегежа Групп», нам рассказал директор по ИБ Максим Королёв.

За последние несколько лет на рынке ИБ произошло очень много изменений, иногда даже трудно решить, за что браться. Как вы оцениваете эти изменения? Какие риски выросли, какие, может быть, сошли на нет и остались на втором плане?

М. К.: Да, ситуация очень сильно поменялась. Для нашей компании изменений было очень много, в основном в связи с тем, что мы — экспортёр и имели активы за рубежом, в том числе и в Европе.

Соответственно, два года назад у нас возникли вопросы связанные с поддержанием инфраструктуры в наших зарубежных активах, выстраиванием отношений с вендорами, в том числе с западными. Было много случаев, когда даже наши западные активы не могли использовать зарубежное программное обеспечение.

Некоторые проекты были в фазе реализации, и пострадали как интеграторы, так и мы. Но в целом нельзя назвать ситуацию катастрофической: это, по сути, были вызовы, которые приходилось решать.

Основной принцип, который мы исповедуем, — как можно меньше суеты в подобный период.

В каждом случае — индивидуальный подход, нет общего шаблона или рекомендации. В части импортозамещения мы планомерно смотрим, где есть наибольшие риски, мониторим достижения вендоров и интеграторов, соотносим с требованиями регуляторов и, соответственно, что-то ставим в первую очередь, что-то — во вторую или третью.

В отношении киберугроз у нас также возникло понимание того, что фон стал резко негативным. Соответственно, пришлось ужесточить наши политики информационной безопасности. Мы постоянно получаем рекомендации от регуляторов и выполняем их. Информационная безопасность перешла у многих из «бумажной» фазы в реальную. В целом мы как компания были готовы, поскольку старались эффективно защищаться и раньше. Поэтому переходный период мы смогли пройти без катастрофических нагрузок и потерь.

Был ли какой-то дефицит средств защиты или определённых услуг при переходе с импортных продуктов и услуг на российские?

М. К.: Следует отметить, что у нас уже была выстроена эшелонированная защита от кибератак — когда одному типу угроз противодействует не менее двух средств обеспечения безопасности, желательно — от разных вендоров. В этом случае если одно из средств защиты перестаёт работать, то у нас не образуется большой бреши, в которую кто-то может безнаказанно пролезть. Поэтому серьёзных проблем с дефицитом средств защиты у нас не было.

Что касается импортозамещения — это долгосрочный проект. Государство даёт нам на реализацию несколько лет — до 2025 года, и мы интенсивно занимаемся этим процессом.

Как показывают опросы, значительная часть российских компаний предпочитает пока ничего не делать, наблюдать за развитием ситуации и не переходить на отечественные средства.

М. К.: Я понимаю и поддерживаю такую тактику — находиться в режиме контролируемого ожидания: у неё есть свои плюсы.

Мы видим, насколько возрос темп развития российских вендоров, на рынке появляются новые игроки, а «старые» занимают новые ниши. Это означает, что в среднесрочной перспективе на рынке появятся более функциональные и менее дорогие средства обеспечения информационной безопасности.

На примере межсетевых экранов мы видим, что и Positive Technologies, и «Ростелеком», и «Лаборатория Касперского» приступили к созданию своих продуктов; следовательно, действующие лидеры рынка NGFW начинают испытывать давление и в свою очередь повышать качество.

Очевидно, что ещё несколько лет назад речи не было о том, чтобы использовать отечественный продукт на больших скоростях и большой производительности.

Либо они использовались за баснословные деньги теми компаниями, у которых нет выбора — ВПК или госсектором, обязанными это делать.

Сейчас большинство крупных компаний, как и мы, подпадают под требования по импортозамещению.

Удалось ли вам за последнее время реализовать какие-то новые проекты усиления ИБ?

М. К.: Несомненно, усиление ИБ — это непрерывный процесс. При приоритизации проектов нужно исходить из обеспечения безопасности с одной стороны и выполнения требований регулятора — с другой. Не должно быть нехватки ресурсов для построения защиты; если вы знаете о какой-то уязвимости или «дыре» в безопасности, то её нужно как можно быстрее убрать, несмотря на ограничения. Пусть это будет отечественное решение, пусть оно будет дорогим — всегда есть варианты привлечения внешних ресурсов, как денежных, так и профессиональных.

Хочу отметить, что нет таких базовых средств защиты информации, которые не выпускались бы отечественными производителями и которые нельзя бы было приобрести и внедрить. Поэтому процесс построения защиты не только не прекратился, а идёт ещё более высокими темпами.

Есть ещё одна сложная тема: утечки данных. В последний год из большинства российских компаний утекло всё, что только могло. Почему, на ваш взгляд, так происходит, чего, как правило, не хватает защитникам? Почему утечки информации происходят даже у крупных компаний, у которых есть деньги, персонал и экспертиза?

М. К.: Справедливости ради я хочу заметить, что утечки происходят не только и не столько у российских организаций, а у всех компаний в мире.

Когда выстраивается защита, необходимо подумать о том, какова стоимость её реализации и сопоставима ли она со стоимостью данных, которые мы защищаем. В этом случае ценность такой информации возросла на порядки за последнее время. Так называемые хактивисты работают за идею, поэтому они готовы тратить время, ресурсы, вкладывать все свои знания для того, чтобы получить эту информацию. Что, в общем-то, и происходит.

Можно ли было от этого защититься раньше? Сейчас мы наблюдаем изменения всех элементов нашего законодательства в сторону ужесточения требований; соответственно, подтянутся в защите этих данных и компании. Второй момент — под удар у нас сейчас попали в основном госучреждения, предприятия военно-промышленного комплекса, у которых не выделялось достаточно средств на обеспечение кибербезопасности.

С другой стороны, надо отметить, что пострадали и банки. Банковский сектор у нас жёстко отрегулирован уже давно. Банки — лидеры по кибербезопасности, там реализовано и проверяется контролирующими органами всё — как бумажная часть, так и программно-аппаратная. Однако даже банки из «топ-10» не смогли удержать свои данные в неприкосновенности. Впрочем, это опять же говорит о том, какие усилия прилагаются злоумышленниками для того, чтобы их получить.

Как, на ваш взгляд, должен выстраиваться идеальный процесс управления правами доступа и учётными записями организации?

М. К.: Примерно с 2010 года существует методология «нулевого доверия» — Zero Trust. Она подразумевает выдачу минимальных необходимых прав для доступа только к той информации, которая нужна, и только на то время, которое требуется. Для того чтобы реализовать и поддерживать её в большой компании, необходимо приложить колоссальное количество усилий.

Последнее время автоматизация и цифровизация компаний шли семимильными шагами, и за ними никто не успевал, включая информационную безопасность.

Поэтому все сосредоточились на построении некоего «забора» вокруг. Выстраивание внутренних процессов — сегментация, управление доступом, ролями, всевозможные проверки — очень трудоёмкое дело. Как мы уже отметили, большинство компаний работают без внедрения этих процессов, и весьма успешно: они не ощущают, что где-то потеряли какие-то деньги, а ресурсы ИТ всегда ограничены. Поэтому такие факторы — трудоёмкость, стоимость и неочевидность результата — привели к тому, что эти решения внедрены либо в виде лозунгов, либо вообще никак.

Как вы управляете учётными записями и правами доступа, если у вас нет IdM? Что используется?

М. К.: Называть продукты я не буду, но это происходит децентрализованно. В разных системах (ERP, BI, системное ПО) мы управляем учётными записями и правами доступа через встроенные инструменты. Есть некоторые элементы интеграции этих систем, но централизованного управления ролями мы ещё не достигли.

А что касается управления доступом извне? С чем вы работаете здесь?

М. К.: Мы используем продукт «Компании Индид» — Indeed Access Manager в части реализации второго фактора аутентификации. Все удалённые пользователи у нас подключаются с помощью этого продукта. Также рассматриваем возможность применения Indeed Privileged Access Manager для верификации и контроля действий привилегированных пользователей — системных администраторов, что позволит снизить риски внутренних нарушений и более качественно проводить расследования инцидентов.

Сколько времени у вас ушло на внедрение системы многофакторной аутентификации и что из зарубежных аналогов у вас использовалось раньше?

М. К.: Мы не использовали зарубежные аналоги, а сразу внедрили Indeed Access Manager. На внедрение потребовалось около трёх месяцев, после чего система перешла в стадию промышленной эксплуатации и работает стабильно.

Почему выбрали именно эту систему?

М. К.: Мы посмотрели аналоги, стоимость, сравнили их, после чего приняли решение, какую систему выбрать. На тот момент было не так много вариантов, которые позволяли решать стоящие перед нами задачи.

Среди ключевых требований, которые вы предъявляли к такого рода системе, что вы ставили на первый план, что должно было поддерживаться? Что для вас было критически важным?

М. К.: Возможность работы с VPN, которые мы используем, поддержка мобильных устройств всех типов, которые применяют наши работники и подрядчики; удобство интерфейса и надёжность работы также были одними из ключевых аспектов. Конечно же, стоимость. Вот параметры, которые определили наш выбор.

Для чего была необходима поддержка работы с мобильными устройствами? Вы используете их как дополнительные факторы аутентификации?

М. К.: Да, продукт настроен на работу через пуш-уведомления. Если бы мы начали работать через СМС-уведомления, нам бы пришлось ставить у себя СМС-шлюз, платить абонентскую плату и так далее. У «Компании Индид» есть приложение для всех видов устройств, причём даже для эксклюзивных операционных систем, используемых, например, в телефонах Honor. Соответственно, пользователь устанавливает у себя приложение, в пару кликов настраивает его, а далее при входе в нашу инфраструктуру через VPN получает пуш-уведомления и подтверждает, что это он.

Что изменилось после внедрения Indeed Access Manager? Как сотрудники отнеслись к этому?

М. К.: Для сотрудников и для представителей подрядчика это дополнительная работа. В этом случае их нейтральная позиция является лучшей похвалой для продукта. Не было никаких особых нареканий на тему того, что неудобно, не работает и так далее.

В адрес интегратора, который внедрял систему, и вендора хочется отметить, что они весьма быстро реагировали на замечания, то есть максимум в течение недели устранялись даже сложные проблемы, все трудности были оперативно решены и интеграция с нашей инфраструктурой прошла хорошо.

Мы говорили об утечках учётных записей пользователей, это случается по разным причинам. Вторым фактором мы защищаемся от взлома с помощью утекшей «учётки».

Теперь просто скачать VPN и зайти под похищенной учётной записью у злоумышленника не получится.

Тем самым мы существенно усилили нашу защиту, построив ещё один эшелон, и это — большой шаг вперёд для нас.

Как вы смотрите на использование биометрии в качестве дополнительного фактора аутентификации?

М. К.: При реализации каких-то решений я всегда придерживаюсь принципа Парето: 80 % процентов результата можно получить за 20 % усилий. С биометрией мы вряд ли существенно усиливаем свою защиту (может, на какие-то доли процентов), не перекрываем никакого нового вектора атаки, однако сразу подпадаем под действие закона о защите персональных данных. Плюс усиливаются требования к аппаратной части, то есть должны быть камера или сканер отпечатков. Я считаю, что это чересчур для обеспечения второго фактора, и в эту сторону мы двигаться пока не собираемся.

Правильно ли я понимаю, что вы не используете токенов?

М. К.: Токенов мы не используем. Второй фактор аутентификации в настоящий момент мы применяем для удалённых пользователей в виде пуш-уведомлений на мобильные устройства. В редких случаях, когда это невозможно, мы переходим на отправку кода для второго фактора посредством почтовых сообщений.

Для информации, которую мы защищаем, второго фактора в виде пуш-уведомлений достаточно.

Токены и прочие ухищрения никаких новых векторов атак или моделей угроз не отрабатывают. Они защищают от нарушителя более высокого класса или от группы хакеров, которые работают профессионально и имеют дорогостоящие инструменты.

Но надо исходить из того, что мы защищаем. В нашем случае довольно такого решения.

Для каких приложений в первую очередь используется продукт? Насколько серьёзным и сложным было внедрение?

М. К.: Мы используем Indeed Access Manager для всех приложений. Человек, который входит в нашу инфраструктуру, получает в соответствии со своей ролевой моделью доступ к тем или иным приложениям. Если этот человек подключается не из офиса, а снаружи, он должен включить VPN и установить соединение — без этого у него доступа не будет, — а VPN-соединение он не сможет установить без ввода второго фактора, то есть без подтверждения, что это действительно он. Вся интеграция касалась нашего VPN-клиента. В общем-то, достаточно просто.

Без IdM всё равно в перспективе не обойтись. Как вы на это смотрите?

М. К.: Мы активно продвигаем концепцию IdM в компании. Если появятся простые во внедрении, удобные и понятные решения, то мы с удовольствием будем их у себя внедрять.

Используете ли вы у себя ещё одно решение, связанное с аутентификацией и управлением доступом привилегированных пользователей, — PAM-систему?

М. К.: Мы используем продукт этого класса. Он имеет неоспоримые преимущества, с его помощью мы видим, какие действия производятся. Мы его используем при контроле работы как внешних подрядчиков, так и администраторов. Все действия протоколируются и потом, при расследовании инцидентов, мы получаем эту информацию из первоисточника. Так что это однозначно инструмент ИБ из разряда обязательных.

Например, мы фиксировали ход работ по пентесту через PAM-систему, потом разбирали, сравнивали с отчётом и нашли много интересного, что не было в нём указано, обнаружили признаки «излишнего любопытства» и так далее.

Также на основе записи с PAM-системы я сделал ролик для ИТ-специалистов, наглядно показывающий, как легко можно взломать инфраструктуру при безответственном подходе с их стороны — чтобы они увидели, как это делается, как человек за два часа проникает внутрь системы и дальше действует под правами одного из наших администраторов.

Видите ли вы какой-то потенциал в интеграции PAM-системы с Indeed Access Manager?

М. К.: Сейчас мы проводим «пилот» PAM-системы от «Компании Индид», так как она нам интересна в свете темы импортозамещения. В настоящий момент Indeed Access Manager у нас не интегрирован с PAM-системой, и пока необходимости в этом мы не видим.

Что бы вам хотелось в ближайшее время сделать, в чём вы видите свои ключевые задачи как руководителя ИБ крупной компании?

М. К.: Хотелось бы как можно быстрее увидеть отечественные решения, аналогичные западным, к которым мы привыкли. Внедрить такие современные методологии, как Zero Trust. Выстроить с ИТ взаимопонимание с полуслова, чтобы не тратить много времени на убеждение выполнить ту или иную работу в области усиления ИБ. Хотелось бы вывести нашу компанию на новый уровень зрелости в части информационной безопасности.

Всегда есть куда расти, всегда понятно, что нужно делать, однако внешняя среда периодически вносит свои коррективы в наши планы.

Сейчас уже не так трудно «достучаться» до бизнеса, обосновать свою значимость, необходимость выделения денег на информационную безопасность. На уровне бизнеса видят, что происходит, понимают, чем это чревато, и осознают, что ИБ важна и на неё необходимо тратить деньги.

М. К.: Несомненно. В банковском секторе, например, дела так обстояли издавна. Потом появился 187-ФЗ — федеральный закон о безопасности критической информационной инфраструктуры. Он стал стартом признания информационной безопасности как чего-то важного для всех компаний, в том числе и «небанковского» сектора. К этому закону все силовики и регулирующие органы относятся не формально, то есть приезжают и проверяют каждый элемент, а потом мы получаем предписания, весьма жёсткие и по срокам, и по исполнению, и всё это усиливает роль информационной безопасности. Также необходимо учитывать кейсы, которые возникают вокруг, и у нас, и за рубежом.

Сейчас нет таких компаний, где роль ИБ была бы недооценена.

Большое спасибо за интервью! Оно получилось позитивным и интересным. А всем нашим читателям мы традиционно желаем всего самого безопасного!