Александр Голубев: Мы стараемся наращивать свою экспертизу по всем направлениям ИБ

На правах рекламы

Скачайте детальное сравнение «Продвинутая защита конечных станций» от экспертов «Инфосистемы Джет», чтобы выбрать подходящее решение для защиты вашего бизнеса от киберугроз.

Александр Голубев: Мы стараемся наращивать свою экспертизу по всем направлениям ИБ

Голубев Александр Владимирович

Полковник запаса. 

Работал начальником отдела специальных экспертиз управления ФСТЭК России по Центральному федеральному округу, в Центральном аппарате ФСТЭК России (отдел лицензирования и сертификации). 

Награжден медалью Гостехкомиссии России «За укрепление государственной системы защиты информации». 

С сентября 2011 года назначен начальником управления по обеспечению информационной безопасности ОАО Банк ВТБ. 

В 2016 году был назначен директором по информационной безопасности в ПАО «ВымпелКом».

...

На конференции ITSF в Казани Илья Шабанов обсудил с директором по информационной безопасности ПАО «ВымпелКом» Александром Голубевым законодательные инициативы государства и их последствия для операторов связи.

Александр Владимирович, что бы вы выделили из тенденций на рынке, и что из них оказывает наибольшее влияние на ваш бизнес как телеком-оператора?

А. Г.: Основная парадигма информационной безопасности состоит из трех частей — целостность, доступность и конфиденциальность. Для телеком-оператора в первую очередь важна доступность. Легитимным абонентам услуга должна быть оказана. Поэтому на сегодняшний момент основная задача — чтобы клиент оператора сотовой связи получил тот доступ, за который платит деньги.

В прошлом году у ряда операторов были проблемы с WannaCry, Petya и другими масштабными атаками. Какие технические и организационные меры были приняты?

А. Г.: Это были эпидемии, с которыми удалось справиться, и это заслуга всей команды, которую я возглавляю. По существу, с подобными эпидемиями все упирается даже не в техническую составляющую, поэтому у каждого уважающего себя оператора все средства защиты есть. Меры больше касались организационного вопроса: то, что должно быть пропатчено, — должно быть пропатчено, система управления бизнеса должна работать, необходимы элементарные вещи вроде цифровой гигиены. Нам повезло — заражение было, но минимальное. Выводы были сделаны, а остальное зависит от руководителей организации и отдела информационной безопасности. Желания одного и возможности другого должны коррелироваться. И если у руководителя отношение к информационной безопасности меняется, когда приходит событие, то это неправильно. Это рутинная, планомерная, но ежедневная работа.

А бизнес-руководство стало после этих случаев уделять больше внимания информационной безопасности?

А. Г.: Да, акценты были расставлены, это вылилось в некоторые преференции в сторону информационной безопасности. В частности, это помогло в решении о выделении новых штатных единиц для компании. Информационная безопасность — это не герой невидимого фронта, это люди, которые работают каждый день. К сожалению, у нас чем дальше от места наступления события, тем больше волна идет на спад. Все забывается.

Одна из главных тем конференции ITSF — 187-ФЗ и связанные с ним методики и требования регуляторов, которые бизнес и инфраструктура должны выполнять. Как принятие этого закона повлияло на вашу компанию?

А. Г.: В соответствии с Федеральным законом №187 от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации» несколько отраслей, и в частности мы как отрасль связи, попали под действие закона как субъект КИИ. При этом надо понимать, что федеральный закон — это верхнеуровневый документ, дальше идут документы в ранге инструмента, в частности Постановление Правительства РФ №127, затем инструкции, приказы игроков рынка и тех, кто регулирует данную отрасль. У нас это относится к деятельности ФСБ России и ФСТЭК России. Закон достаточно жесткий, потому что вводит дополнительные изменения в том числе и уголовный кодекс. Операторы пошли по пути, который ранее был апробирован, когда вводился в действие ФЗ №152 «О защите персональных данных». Операторы большой четверки на нашей профильной площадке для дискуссий пришли к пониманию, что и как должно категорироваться. После согласования с Минкомсвязью список значимых объектов КИИ передается ФСТЭК России, и дальше идет процедура по защите этих объектов. В законе прописано, что руководитель КИИ несет ответственность за исполнение требований закона, и в организации должно быть создано подразделение, которое должно защищать КИИ, и на него запрещается возлагать другие задачи.

Но как в целом эти инициативы государства относятся к реальной защищенности? Вашей компании придется тратиться на людей, железо, софт, хотя основные средства защиты у вас уже есть. Многие считают, что это приведет новому витку «бумажной» безопасности.

А. Г.: Это сложный вопрос, потому что и сейчас «бумажная» безопасность присутствует, но с другой стороны во многих организациях уже есть указанные в законе средства защиты. Нужно просто сделать инвентаризацию ресурсов под объекты КИИ, привязать это к процессам в первую очередь, причем не обязательно стремиться, чтобы это были объекты первой категории. В зависимости от категории будут рассматриваться и средства защиты.

В отрасли связи более серьезная нагрузка ляжет на реализацию «пакета Яровой». На текущий момент ПАО «ВымпелКом», как и другие компании, приступило к реализации установленных Правительством и Минкомсвязи требований. На сегодняшний день предварительные расчеты «ВымпелКома» показывают необходимость затрат на исполнение «Закона Яровой» в объеме 45 млрд рублей в течение ближайших 5 лет, в том числе 6 млрд рублей в 2018 году.  Определяется конфигурация системы хранения, ее территориальное распределение, порядок имплементации оборудования в текущую операторскую инфраструктуру, рассчитывается объем и порядок финансирования мероприятий. Перечень производителей оборудования в целом сформирован. Поставщики оборудования будут определяться в рамках конкурсных процедур. Сроки и последовательность ввода оборудования в эксплуатацию уточняются с ответственными органами государственной власти.

Тут возникает кадровый вопрос. Каждой компании нужно будет где-то найти специалистов, которые должны понимать в разборе инцидентов, а дефицит таких людей уже сейчас ощущается. Откуда они возьмутся?

А. Г.: Возьмем для примера наш ПАО «ВымпелКом» — как у нас защищен периметр безопасности? Мы сами знаем свои уязвимые места, у нас есть SOC, есть платформа сбора и корреляции событий информационной безопасности, всевозможные системы обнаружения и предотвращения вторжений, системы, которые защищают данные, антивирусное обеспечение и, наконец, своевременное реагирование на инциденты и в целом система управления непрерывностью бизнеса. Соответственно, у нас просто идут перераспределение акцентов и прописывание должностных инструкций для сотрудников в том виде, в каком указано в законе. Насчет дефицита кадров — вы правы, раньше было наставничество, когда молодой человек приходил в организацию и над ним брал шефство более опытный товарищ и передавал знания. К сожалению, у нас был провал в 1990-е годы в образовании, и людей, которые обладают знанием и сертификатами, на рынке мало. Я знаю команды, которые кочуют из организации в организацию. Моя принципиальная позиция — мы стараемся наращивать свою экспертизу по всем направлениям.

Не могу обойти тему импортозамещения. Многие продукты должны быть заменены на российские. Есть ли все необходимые замены или наблюдаются провалы в определенных сегментах?

А. Г.: У себя всё, что можно сделать без нарушения функциональности и качественных показателей, мы постарались привести в соответствие с законом. В частности, если раньше компания использовала иностранное антивирусное обеспечение, то сейчас мы полностью перешли на Kaspersky Endpoint Security. Есть отечественные решения по защите сигнальной сети, системы, которые позволяют развернуть IPS/IDS. Но аналогов операционных систем пока нет, нет и многих других технологий.

Популярная и очень дискуссионная тема — контроль сотрудников. Вы подобные продукты у себя используете?

А. Г.: У нас в компании мы это успешно апробировали: опыт удаленной работы в отношении более 4,5 тысяч сотрудников, проект BeeFree. Что касается жесткого контроля времени, то помимо технической составляющей, надо учитывать юридическую плоскость и чисто человеческую плоскость. Контроль существуют в виде отчета сотрудника о проделанной работе по реперным точкам, причем, как показала практика, в «свободном режиме» работа эффективнее по ряду показателей. Для остального существует DLP-система.

Недавние действия государства по блокировке популярных веб-сервисов привели к тому, что пользователи обзавелись VPN-сервисами и увеличился процент шифрованного трафика, который никак не проконтролировать. Какие-то последствия от этого будут?

А. Г.: Безусловно, зашифрованный трафик создает дополнительную нагрузку и потребует дополнительных мощностей. Но, тем не менее, мы действуем в рамках предписания регулирующих органов.

IPv6 доступен как протокол в сети Билайн?

А. Г.: В основном мы используем IPv4, но на тестовых зонах мы внутри себя пробуем и IPv6. Недавно прошло знаковое мероприятие с участием премьер-министра Татарстана и представителей большой четверки, где обсуждалось внедрение 5G. Но Государственная комиссия по радиочастотам — а именно она дает разрешение — пока, насколько я знаю, не выдала разрешение на использование сетей 5G ни одному оператору, за исключением тестовой зоны в преддверии ЧМ-2018 по футболу. Посмотрим, как это будет развиваться. К каменному веку никто не хочет возвращаться — хочется, чтобы сервисы были всегда рядом, под рукой и были удобны пользователю с точки зрения эргономики.

Спасибо. Успехов!