Павел Пивак, О’КЕЙ: ИБ — это партнёр для бизнеса, а не замедляющий фактор

Согласно российским и зарубежным исследованиям, в последние годы у злоумышленников вызывает большой интерес сфера ретейла. Розничная торговля — это федеральные сети магазинов, высокие обороты, большое количество персональных данных, множество подрядчиков. Как это всё защищать? Anti-Malware.ru побеседовал с Павлом Пиваком, руководителем направления информационной безопасности гипермаркетов О’КЕЙ, об угрозах и рисках, аутсорсинге ИБ, импортозамещении и экосистемности. 

Павел, расскажите, что представляет собой ИТ-инфраструктура О’КЕЙ. Каковы ее особенности?

П. П.: ИТ-инфраструктура О’КЕЙ — это сложная и масштабная экосистема, включающая в себя корпоративные дата-центры, облачные решения, распределительные центры и сеть гипермаркетов. Она объединяет тысячи рабочих мест, торговое оборудование, системы видеонаблюдения, кассовые терминалы, терминалы сбора данных, POS-системы, холодильное оборудование, обеспечивающее свежесть продукции, бесперебойность цепочки поставок и многие другие важные производственные процессы. 

Важной особенностью является высокая степень территориальной распределенности инфраструктуры, что требует надежных каналов связи, централизованного мониторинга, автоматизированных средств управления и непрерывного процесса управления уязвимостями.

Какие ключевые вызовы в области информационной безопасности стоят перед сетью гипермаркетов?

П. П.: Розница — это высокотехнологичная и динамичная сфера, где гибкость и высокая доступность сервисов критически важны для удовлетворения потребностей клиентов. Бесперебойная работа ключевых информационных систем обеспечивает удобство, скорость обслуживания и высокий уровень сервиса, благодаря чему покупатели возвращаются к нам снова и снова.

Обеспечение безопасности сети гипермаркетов — задача нетривиальная, но очень интересная, так как эволюционирующий ландшафт угроз колоссальный и поверхность атаки в связи с распределенной сетью гипермаркетов весьма обширна. Основные вызовы связаны с обеспечением безопасности распределенной корпоративной сети, защитой конфиденциальной информации, интеллектуальной собственности, персональных данных клиентов, сотрудников, контрагентов, а также предотвращением кибератак на инфраструктуру и сотрудников. 

В условиях активной трансформации бизнеса и перехода к цифровым сервисам важной задачей остается контроль доступа к критическим информационным системам, защиты финансовых транзакций и программы лояльности. Кроме того, особое внимание уделяется обеспечению непрерывности бизнеса, защите цепочек поставок и противодействию угрозам как со стороны внешних, так и внутренних злоумышленников.

Какие угрозы для ИТ-инфраструктуры О’КЕЙ вы считаете наиболее значимыми? С какими из них организация сталкивается чаще всего?

П. П.: Среди наиболее значимых угроз можно выделить APT и фишинговые атаки, компрометацию учетных данных, попытки несанкционированного доступа к платежной инфраструктуре, DDoS-атаки и утечку данных. Также существует риск инсайдерских угроз, особенно в части работы с конфиденциальной информацией.

В последние годы наблюдается рост атак с использованием вредоносных программ, социальной инженерии, построенной на базе искусственного интеллекта, ИИ становится главным инструментом для совершенствования и адаптации персонализированных атак. Для ритейла утечки данных несут серьезные последствия и имиджевые риски: потеря доверия покупателей, финансовый ущерб, юридические последствия и судебные тяжбы. Чтобы этого избежать, мы постоянно усиливаем меры защиты, включая шифрование данных и их безопасное хранение.

Павел, существует ли в компании модель управления киберрисками? И какие из них вы считаете самыми важными?

П. П.: Да, в нашей компании внедрена модель управления киберрисками, охватывающая все ключевые аспекты информационной безопасности. Мы применяем комплексный подход, включающий анализ недопустимых сценариев, оценку выявленных уязвимостей и их потенциального воздействия на бизнес. Далее риски ранжируются по критериям вероятности реализации и степени влияния на критические бизнес-процессы.

Для бизнеса мы представляем риски в терминах возможных финансовых потерь или дней простоя от реализации того или иного негативного сценария, чтобы сделать информацию более понятной и ориентированной на принятие бизнес-решений.

Назову ключевые риски, которые мы рассматриваем как наиболее важные.

Утечка или потеря данных — это одна из самых серьёзных угроз, так как она может привести к юридическим последствиям, штрафам и потере доверия клиентов.

Атаки типа ransomware (вымогатели) — такие атаки могут не только блокировать доступ к данным, но и привести к финансовым потерям, связанным с временем восстановления после инцидента.

Атаки через цепочку поставок — внешние партнеры и поставщики также могут стать источником уязвимости, что может повлечь риски для всей компании.

Атаки социальной инженерии — фишинг и другие манипуляции с целью получить доступ к корпоративным системам и внутренние угрозы — неверное разграничение или предоставление доступов, а также злоупотребление правами могут вызвать серьёзные проблемы в безопасности.

Насколько больше бизнес-руководство с 2022 года стало обращать внимание на кибербезопасность?

П. П.: С 2022 года наблюдается устойчивый рост интереса со стороны бизнес-руководства к вопросам кибербезопасности. Это связано как с возросшей интенсивностью и целенаправленностью атак, так и с усилением регуляторных требований и последствиями инцидентов, которые напрямую влияют на устойчивость бизнеса. Если говорить про финансирование ИБ, то оно однозначно увеличилось, хотя разрыв между мировым и российским уровнем все еще существенен.

Поддержка есть и со стороны бизнеса, и со стороны ИТ. ИБ в данном случае выступает как мост между этими функциями. В целом информационная безопасность — это партнер для бизнеса и ИТ, помощник по ключевым направлениям развития. Мы практикуем подход Shift Left и участвуем во всех активностях компании.

Кроме того, одна из моих задач — сделать обучение сотрудников регулярным и оцениваемым процессом с измеримой результативностью. Сейчас в дополнение к обязательным общим курсам для всех сотрудников, в компании стали проходить киберучения, в том числе и таргетированные.

Как формируется стратегия информационной безопасности в О’КЕЙ и какие приоритетные меры защиты определены?

П. П.: Стратегия информационной безопасности формируется с учетом актуальных угроз, трендов, приоритетов бизнеса и требований регуляторов. В числе ключевых направлений — защита ИТ-инфраструктуры и сервисов, программы лояльности, клиентских данных, мониторинг и анализ инцидентов информационной безопасности и реагирование на них, внедрение многофакторной аутентификации, усиленная сегментация сети и вклад в культуру кибербезопасности. Большое внимание уделяется автоматизации процессов киберзащиты, повышению уровня осведомленности сотрудников в вопросах ИБ и интеграции с централизованными SOC-решениями.

Какие решения в области ИБ вы предпочитаете внедрять собственными силами, а какие — передавать на аутсорсинг?

П. П.: Внутренними силами мы реализуем стратегические направления ИБ, такие как борьба с утечками данных, управление доступом, контроль защищенности сети и реагирование на инциденты. Аутсорсинг привлекается для задач, требующих высокой экспертизы и специализированных решений — например, мониторинга угроз в режиме 24/7, пентестов и защиты от DDoS-атак. Такой подход позволяет эффективно балансировать между контролем и оперативностью внедрения, а также мы проводим регулярные тренировки по безопасности и аудиты.

На рынке ИБ в России исторически существует недоверие к аутсорсингу в любом виде. Как вы для себя оцениваете его эффективность, удобство именно для вашей компании?

П. П.: Действительно, на российском рынке информационной безопасности отношение к аутсорсингу — настороженное, и это недоверие во многом оправдано: безопасность — это про контроль, управление рисками и доверие, а передача критических функций или информации третьей стороне автоматически вызывает вопросы.

Тем не менее, мы подходим к этому вопросу прагматично, а не идеологически. Не отвергаем аутсорсинг как концепцию, но оцениваем его применимость строго по задачам, рискам и выгодам. Все зависит от того, что именно, кому именно и на каких условиях передаётся. Для нас крайне важно, чтобы аутсорсинг работал, а мы, как заказчик, видели и понимали его результативность.

Например, мониторинг и реагирование (SOC-as-a-Service) нужен, если нет внутреннего круглосуточного центра, а угрозы требуют постоянного наблюдения. Аутсорсинг даёт возможность закрыть эту задачу без капитальных вложений. Мы также считаем важным проведение аудитов и тестирований. Внешний взгляд очень полезен, особенно для выявления слепых зон и проверки устойчивости. Что касается инструментов киберразведки и анализа TTP, то такие компетенции экономически нецелесообразно держать внутри, если такие инструменты предоставляет не профильная структура.

Аутсорсинг — не панацея и не зло. Это инструмент. Его эффективность напрямую зависит от зрелости заказчика, прозрачности поставщика и чёткого понимания, где заканчивается удобство и начинается риск. Мы используем его точечно, с пониманием, что безопасность — это всё-таки зона, где доверие всегда должно проверяться.

Недавно вы совместно с RED Security реализовали проект по подключению сервиса MFA в сети О’КЕЙ. Расскажите подробнее о ходе проекта.

П. П.: В компании более 14 000 сотрудников, и многие работают в удаленном формате или имеют разъездной характер работы. Им необходим постоянный доступ к корпоративной инфраструктуре, удаленный доступ уже стал обыденным подходом к организации рабочих мест. Для обеспечения безопасности такого доступа требовалось зрелое решение, которое смогло бы свести к минимуму вероятность взлома. Цель проекта заключалась в повышении уровня защиты удаленного доступа и снижении нагрузки на команду ИТ-поддержки, при этом обеспечивая простоту, удобство и прозрачность управления.

Проект начался с тщательного анализа текущих процессов аутентификации и оценки потенциальных рисков. Основной задачей было выбрать метод аутентификации, который сочетал бы удобство для пользователей с минимальной нагрузкой на вычислительные ресурсы. В итоге, мы выбрали решение, которое оказалось оптимальным с точки зрения удобства пользовательского интерфейса и высокого уровня безопасности, и решили, что развертывание будет происходить исключительно on-premise.

При этом компания RED Security в рамках купленных по подписке срочных лицензий на всём протяжении внедрения оказывает консультации по развертыванию, внедрению, интеграции продукта, а также после внедрения продолжает оказывать техническую поддержку и предоставлять все функциональные обновления в рамках роадмапа продукта. Дополнительно, чтобы гарантировать полноту предоставления сервиса, RED Security реализует PUSH-аутентификацию через собственное приложение и соответствующий облачный сервис.

В ходе проекта был реализован поэтапный процесс развертывания MFA, включающий интеграцию с ключевыми корпоративными системами и тестирование на пилотной группе пользователей. После успешного завершения тестов решение было масштабировано на всю сеть, что значительно повысило уровень защиты учетных записей и в дальнейшем показало высокую доступность и отказоустойчивость. 

Особенно стоит отметить, что благодаря ускоренной реализации проекта мы бесшовно подключили MFA, что позволило нам быстро перейти на новый сервис. Команда RED Security продемонстрировала высокий уровень профессионализма, индивидуально подходя к каждому этапу проекта и активно помогая на всех его стадиях.

В 2024 году значительно возросло количество атак, нацеленных на цепочку поставок, когда слабым звеном оказывается не сама атакуемая компания, а кто-то из ее менее защищенных поставщиков. Как вы производите оценку защищенности своих поставщиков?

П. П.: Да, мы полностью разделяем обеспокоенность ростом атак на цепочку поставок. Эта угроза уже не гипотетическая — она вполне реальна, и инциденты последних лет это только подтверждают. Поэтому подход к поставщикам у нас стал заметно строже, особенно в случаях, когда они получают доступ к нашей инфраструктуре, данным или даже просто входят в периметр обмена информацией.

Вопрос доверия к поставщикам нельзя решить раз и навсегда. Это не статичное состояние, а постоянный процесс контроля и переоценки — особенно если ландшафт угроз меняется. Если поставщик не готов отвечать на вопросы, не готов делиться политиками и закрыт к проверкам, это уже сигнал риска, независимо от технологий.

Что касается оценки защищенности поставщиков, то универсального и «устоявшегося» метода пока действительно нет. Однако есть принцип, который мы выработали как рабочую практику, — ограничение технического доступа. Даже если поставщик нам нужен, он не должен «врастать» в нас. Доступ в нашу инфраструктуру— строго ограниченный, сегментированный, под логированием и наблюдением, например, через PAM. Мы не оцениваем риски абстрактно, мы стараемся их минимизировать архитектурно.

Ведет ли О’КЕЙ процесс импортозамещения в сфере ИБ? С какими трудностями приходится сталкиваться? Достаточно ли, на ваш взгляд, российских решений для полноценной замены западных?

П. П.: Процесс импортозамещения ведется в плановом порядке. Мы анализируем российские аналоги зарубежных решений, тестируем их на соответствие требованиям компании и совместимость с существующей инфраструктурой. Основные трудности связаны с интеграцией новых продуктов и поддержкой специализированной функциональности. На данный момент отечественные решения закрывают большинство базовых потребностей, но в некоторых случаях требуется доработка и адаптация.

Но в ИТ импортозамещение серьезно опаздывает. Есть осознание, что мы еще в самом начале пути. Как на кибербезопасность в конечном итоге повлияет импортозамещение ИТ? И ведете ли вы здесь определенную работу?

П. П.: Импортозамещение ИТ — это не просто смена коробки «ОС A» на «ОС Б». Это масштабная трансформация, которая влечёт за собой полноценную реструктуризацию всего ландшафта информационной безопасности. И да, мы это осознаём — и именно поэтому ведём эту работу не реактивно, а планомерно, с учётом долгосрочных рисков.

Мы проводим инвентаризацию ИТ-ландшафта и оцениваем зрелость альтернатив. Прежде чем что-то заменить, оцениваем, можно ли это защитить и насколько это впишется в существующую модель управления ИБ. Архитектуру ИБ мы строим по модульному принципу — так, чтобы защитные механизмы были максимально независимы от конкретного ИТ-вендора. Это обеспечивает гибкость при переходах.

И конечно, мы участвуем в выборе новых ИТ-решений, не допуская ситуаций, когда в компании сначала поставили продукт, а потом зовут ИБ. Мы заранее задаём требования: API, логирование, поддержка стандартов, методики обновлений.

Импортозамещение — это вызов, но и возможность. Оно подсвечивает слабые места в архитектуре, заставляет перестроить процессы, а значит — сделать систему устойчивее в перспективе. Мы к этому подходим стратегически, а не с лозунгом «заменим всё срочно», и постоянно проверяем, можно ли вообще безопасно эксплуатировать то или иное решение.

Что думаете про моду на экосистемный подход в российском ИТ и ИБ? Когда один вендор пытается сделать все и продать это все заказчику.

П. П.: Экосистемный подход — решение неоднозначное. С одной стороны, идея кажется логичной: единая среда, согласованные компоненты, централизованное управление, снижение интеграционных рисков. Он стал особенно популярен в условиях импортозамещения, когда компании ищут «всё в одном» у понятного российского поставщика. Но на практике у этого подхода есть как плюсы, так и серьёзные минусы.

Мы на экосистемы смотрим не как на цель, а как на средство. Если вендор предлагает действительно зрелые, интегрированные и подкреплённые практикой решения — это может быть удобно. Но без иллюзий: всё равно нужно проводить независимую оценку каждого компонента, не слепо верить в «единый стек», а проверять, насколько он отвечает задачам бизнеса и уровню угроз.

В приоритете — качество, открытость к интеграции и гибкость, а не просто «одна коробка от одного поставщика».

Какие цели в области кибербезопасности О’КЕЙ ставит перед собой в ближайшей перспективе?

П. П.: Основные цели — повышение уровня защищенности инфраструктуры, развитие систем мониторинга и реагирования, а также усиление контроля над доступами. Важным направлением остается автоматизация процессов ИБ и интеграция с облачными сервисами.

Кроме того, мы продолжаем развивать программы повышения осведомленности сотрудников о киберугрозах, поскольку человеческий фактор остается одной из главных точек риска и один из вечных трендов в сфере ИБ. Мы постоянно инвестируем в сотрудников и повышаем их киберграмотность через памятки, обучающие курсы, митапы, рассылки, welcome-встречи. 

Многие пренебрегают этим и считают, что повышение киберграмотности сотрудников это не приоритет в развитии ИБ, но это мнение ошибочно. Это must have — неотъемлемая часть ИБ-стратегии и ключевая составляющая современного цифрового общества, поэтому мы формируем внутри прочную культуру информационной безопасности. Хотя это не быстрый процесс, но эти инвестиции в кибербезопасность непременно окупятся, и это можно будет увидеть в динамике.

Павел, благодарю за интересную беседу! Удачи и всего вам самого безопасного!