Руководитель отдела информационной безопасности компании ТАЛМЕР Никита Семенов: Противоборство ИБ и ИТ, как правило, находит себя в классическом конфликте интересов. Задача ИТ сделать так, чтобы сервисы работали стабильно и без перерывов, при этом не важно, защищены они или нет. Задача ИБ кардинально противоположная – не важно, работает ли сервис, главное, чтобы его использование было безопасным как для пользователя, так и для сервис-провайдера (вне зависимости от того, внешний это сервис или внутренний). Специалисты видят в этом конфликте недостаточный уровень развития бизнес-процессов как ИТ, так и ИБ, а также большое поле для экспериментов и применения новейших технологий с целью достижения эффектов усиления обеих областей.
Руководитель отдела информационной безопасности компании ТАЛМЕР Никита Семенов
Руководитель отдела проектирования и внедрения Департамента информационной безопасности ЛАНИТ Дмитрий Дудко: Конфликт между ИБ и ИТ - это конфликт между «удобно использовать» и «безопасно использовать». Его основы уходят корнями во времена зарождения информационных технологий, когда был придуман стек TCP/IP - логичный и решающий текущие задачи, но совсем не безопасный. Благодаря перечисленным свойствам стал возможен «золотой век» хакеров, когда можно было взломать что угодно. Со временем государство и компании стали понимать ценность конфиденциальности информации, и в противовес «мечу» стал развиваться «щит».
Руководитель отдела проектирования и внедрения Департамента информационной безопасности ЛАНИТ Дмитрий Дудко
Ключевым вопросом для урегулирования конфликта является экономический момент. Что дешевле: чтобы «быстро, удобно, и чтобы хоть как-то работало при минимальных затратах» или «понести дополнительные затраты, чтобы наши секреты никто не узнал, а деньги не украл». Каждая организация решает этот вопрос по-своему.
Технический директор группы компаний Angara Илья Четвертнев: «Противоборство» между ИБ и ИТ всегда присутствовало и будет присутствовать. По моему мнению, основная причина – это акценты, на которые развернуты ИТ- и ИБ-подразделения. ИТ ориентируются на быстрое предоставление сервисов внутреннему заказчику, а ИБ стремятся к тому, чтобы все было безопасно. Такой подход можно наблюдать в компаниях, в которых ИБ и ИТ работают по старинке, что называется, сами за себя. Однако, если подойти к вопросу более комплексно, то каждая из сторон должна быть заинтересована в том, чтобы предлагаемые сервисы были качественными и безопасными.
Технический директор группы компаний Angara Илья Четвертнев
Начальник управления системной аналитики ЭОС Андрей Шаров: «Противоборство», увы, наблюдается. Причину я вижу в противоположном «векторе» отношения к субъекту – информационные технологии постоянно пытаются расширить возможности их пользователя, информационная же безопасность, напротив, старается эти возможности ограничить. Это базовые мотивы, от времени и уровня развития технологий зависят мало. И такое отношение объяснимо и с той, и с другой стороны.
Начальник управления системной аналитики ЭОС Андрей Шаров
Руководитель отдела информационной безопасности компании «ЛАНИТ-Интеграция» (входит в группу ЛАНИТ) Николай Фокин: Противоборство ИТ и ИБ - это классическая ситуация, которая наиболее актуальна для цифровых компаний: именно в их деятельности ИТ-сервисы играют ключевую роль. Для бизнеса важно всегда быть впереди конкурентов, своевременно «закрывать» потребность клиента. Одновременно встают вопросы информационной безопасности. В силу того, что адаптация информационной технологии под требование информационной безопасности занимает длительное время и требует затрат, компании довольно часто сначала добавляют новый сервис или технологию, а уже потом задумываются об информационной безопасности. Такой подход в современных реалиях ведет к серьезным рискам кибербезопасности.
Руководитель отдела информационной безопасности компании «ЛАНИТ-Интеграция» (входит в группу ЛАНИТ) Николай Фокин
Руководитель отдела технологической экспертизы управления ИБ Softline Дмитрий Ковалев: Во многих организациях ИБ-бюджет является составной частью бюджета ИТ-подразделения, и решение о том, какую именно сумму потратить на развитие ИБ-инфраструктуры, решает ИТ-директор. Это формирует представление об отделе информационной безопасности как несамостоятельной структуре и часто вызывает разногласия внутри команды.
Руководитель отдела технологической экспертизы управления ИБ Softline Дмитрий Ковалев
Другой вариант развития конфликта между ИТ- и ИБ- подразделениями – это появление разногласий относительно построения инфраструктуры. Иногда узким специалистам бывает трудно найти решение, оптимально удовлетворяющее потребности бизнеса в эффективности и безопасности работы.
И наконец, в ряде случаев ИТ-отдел воспринимает деятельность коллег из ИБ по повышению прозрачности бизнес-процессов как намерение отслеживать все их действия, и в этом случае может идти на открытое противостояние.
Такое противостояние не является проблемой до тех пор, пока оно не мешает каждому из подразделений выполнять свою работу (в конце концов, в большинстве случаев именно в споре рождается истина). При этом, мы убеждены, что оптимальной является структура, в которой существуют отдельно выделенные ИТ-и ИБ-отдел и раздельными бюджетами и зоной ответственности. Именно так в большинстве случаев поступают крупные коммерческие организации.
Руководитель Отдела архитектуры и разработки компании «ЛАНИТ - Би Пи Эм» (входит в группу ЛАНИТ) Александр Лутай: Не стану называть это противоборством, мне ближе сравнение взаимодействия ИБ- и ИТ-подразделений с системой сдержек и противовесов, как у ветвей власти. Дам более простой пример из финансовой сферы. В любом банке есть подразделения, выдающие кредиты, и есть подразделение, как правило, одно, которое централизованно управляет кредитными рисками. Эти подразделения не хотят навредить друг другу, они оба необходимы для эффективной работы финансовой организации. У них есть общая цель - развивать бизнес компании. Только достигается она разными инструментами. Кредитующие подразделения «зарабатывают» для банка деньги, продавая кредитные продукты. Но и подразделение, отвечающее за управление рисками, приносит пользу: при необходимости оно полномочно требовать дополнительного обеспечения по кредиту или отказывать в выдаче кредита, тем самым ограждая банк от излишнего риска и поддерживая его финансовую стабильность.
Руководитель Отдела архитектуры и разработки компании «ЛАНИТ - Би Пи Эм» (входит в группу ЛАНИТ) Александр Лутай
Примерно такую же ситуацию мы наблюдаем, говоря о блоках ИТ и ИБ на предприятии. Задача ИТ - помочь компании в развитии бизнеса путём создания информационных систем, ускоряющих бизнес-процессы, сокращающих количество операционных ошибок и повышающих эффективность деятельности компании в целом. С другой стороны, как и в случае с кредитующим подразделением банка, именно деятельность ИТ-подразделения порождает риски, в данном случае - риски информационной безопасности. Это не означает, что ИТ-подразделение в лице руководителя проекта или разработчика безответственно подходит к вопросам ИБ или будет преднамеренно создавать систему, полную уязвимостей, ровно так же, как кредитный менеджер не станет специально выдавать кредит, вероятность возврата которого заведомо стремится к нулю (здесь мы не рассматриваем откровенно халатное отношение к работе или преступный сговор).
Однако, для ИТ-подразделения основной фокус - чтобы система удовлетворяла бизнес-требованиям и действительно решала задачи пользователей, поэтому сохраняется вероятность, что какие-то нюансы информационной безопасности могут быть не учтены. И здесь на помощь приходит подразделение ИБ, которое не даст упустить чего-то важного с точки зрения информационной безопасности. При этом следует исходить из того, что у подразделения ИБ нет намерения парализовать работу блока ИТ или придерживаться принципа «нет информационных систем - нет угроз ИБ». Здесь опять же все очень похоже на банк: подразделение управления рисками прекрасно понимает, что не выдавать кредиты нельзя, так как проценты по ним составляют важную статью доходов банка.
Илья Четвертнев (Angara): Компромисс может и должен заключаться в подходе к выполнению своих задач. Безопасники должны адекватно понимать возможные векторы атак, а также портрет потенциального нарушителя, чтобы предложить адекватный подход по обеспечению безопасности. Но для этого они должны прекрасно ориентироваться в архитектуре самих информационных систем и обеспечивающей инфраструктуре.
Андрей Шаров (ЭОС): Конечно, есть «приоритетные» участки, когда приоритет функциональности над безопасностью, или наоборот – безопасности над функциональностью, споров не вызывает. Вот, к примеру, в компьютерных играх можно пожертвовать безопасностью ради оснащения игрового процесса, а в охране государственной тайны явно приоритет у безопасности даже в ущерб функциональности. Но это крайности.
В большинстве же случаев нужен компромисс, а лучше – совместные усилия. И для этого есть точка соприкосновения – принцип необходимости и достаточности возможностей, который одинаково полезен и для ИТ в целом, и для ИБ в частности.
Никита Семенов (ТАЛМЕР): Компромисс как таковой искать не нужно, следует идти по пути принятия новейших технологий, подходов и концепций развития в ИТ и ИБ. Современные системы стирают грань между предоставлением сервиса и его защитой, предлагая системы в защищенном исполнении, а также средства защиты, способные решать задачи ИТ и делать это максимально эффективно. Большинство компаний и специалистов концептуально исключают синергию ИТ и ИБ, хотя, если изучить возможности современных решений и требования законодательства, становится ясно, что приоритета одного над другим нет, следовательно, и споров быть не должно. Это пережиток того времени, когда ИБ была «щитом и мечем», периодически ударявшим и по ИТ.
Дмитрий Дудко (ЛАНИТ): Компромисс обычно кроется в бюджете, который компания может потратить на безопасность, так как данные средства достаточно скромные, то берется ограниченный набор средств защиты. Другим полюсом является набор функций, доступный рядовым пользователям и администраторам. Если пользователи могут ходить в Интернет, подключать съемные носители, есть возможность удаленного администрирования и так далее, то это повышает расходы на безопасность.
В дихотомии «удобство-безопасность» выделяются две крайние точки. Удобство является приоритетом для молодых и быстро развивающихся компаний и стартапов, когда развитие инфраструктуры и систем происходит стремительно, для получения финансового результата и создания продукта. Безопасность же традиционно в приоритете у государственных и силовых структур, ключевых отраслей и оборонной промышленности.
Александр Лутай («ЛАНИТ - Би Пи Эм»): Проблема во взаимодействии ИБ- и ИТ-служб с высокой вероятностью может возникать в крупных организациях со сложной структурой управления, где в каждом подразделении работает большое количество сотрудников. В таких обстоятельствах велик риск развития нездоровой бюрократии и, как следствие, сложнее выстроить диалог с коллегами. В некоторых организациях используются рычаги внутриполитической борьбы или ведутся корпоративные войны. Отсюда могут возникать различные перегибы, как в сторону необоснованных запретов, так и в сторону пренебрежения требованиями ИБ.
Существуют определенные ситуации, в которых, на мой взгляд, приоритет ИБ не должен вызывать дискуссий. В первую очередь я имею в виду механизмы быстрого реагирования, такой своего рода стоп-кран, если угодно. Это легче всего объяснить на примере вывода в промышленную эксплуатацию какой-либо новой информационной системы или её части. В этом процессе у подразделения ИБ должно быть «право вето», то есть возможность в одностороннем порядке заблокировать вывод системы в промышленную эксплуатацию до, а не после разбирательств и обсуждений с подразделением ИТ. Вероятнее всего, в большинстве случаев после детального разбора окажется, что тревога был ложной, а система будет введена в эксплуатацию в исходном виде, без каких-либо доработок. Также очевидно, что подобные задержки обычно несут прямые убытки в виде дополнительных трудозатрат, и косвенные - в виде упущенной выгоды. Однако, я убежден, что эти убытки с лихвой перекрываются потенциальными потерями, финансовыми и репутационными, которых удастся избежать благодаря своевременному обнаружению уязвимостей в системе.
Очень важно, чтобы в компании был выстроен диалог и коммуникации между подразделениями. И была нацеленность на общий результат, чтобы направление ИБ не злоупотребляло своим запретительным правом.
Николай Фокин («ЛАНИТ-Интеграция»): Главная цель ИТ и ИБ - предоставить услугу или продукт, который поможет решить бизнес-задачи компании, но при этом не добавит рисков. Именно в оценке рисков и методах их уменьшения или компенсации и нужно искать компромиссы. Возьмём простой пример использования ноутбуков для работы. Очевидно, что он может быть украден, и тогда информация, обрабатываемая на нём, достанется третьим лицам. Отсюда возникает необходимость ответов на следующие вопросы: какая информация на нём обрабатывается, насколько серьёзен будет ущерб, если эта информация попадёт не в те руки. От ответа на эти вопросы зависит принятие решения об определении необходимых мер информационной безопасности.
Сейчас получает широкое распространение подход DevSecOps, который помогает интегрировать информационную безопасность на начальных этапах разработки и внедрения бизнес-приложений, серьезно снизить риски кибербезопасности, а также снизить затраты на обнаружение и исправление уязвимостей.
Дмитрий Ковалев (Softline): Каждая организация должна иметь четкое представление о составе своей инфраструктуры и критичных процессах, замедление работы которых приведет к крупным потерям для бизнеса. Все современные технологии должны восприниматься в первую очередь как инструмент, который позволяет оптимизировать этот бизнес-процесс, сделать его наиболее эффективным при минимальном количестве вложений. В последние несколько лет заметно изменилось отношение бизнеса к ИТ, которое не так давно воспринималось как обслуживающее подразделение, не приносящее дохода. Сегодня очевидно, что при грамотном стратегическом планировании процесса цифровизации эффективность работы компании может вырасти в несколько раз. В то же время, чем более развита технологическая составляющая бизнеса, тем выше риск возникновения уязвимостей в ИТ-инфраструктуре. При этом, понимание того, что и ИБ – это такой же инструмент для обеспечения непрерывности основных бизнес-процессов, - пока сформировалось не у всех.
Андрей Шаров (ЭОС): На мой взгляд, основная нагрузка по решению ложится на плечи архитекторов информационных систем. Архитекторы могут оценить потребности с обеих точек зрения, использовать их преимущества и нивелировать недостатки на уровне принципиальной модели. Что же до компетенций – основная, на мой взгляд, это системный подход к проектированию.
Илья Четвертнев (Angara): Такого рода вопросами должны заниматься люди, разбирающиеся в архитектуре ИТ-решений, в требованиях по ИБ и способные понять запросы бизнеса.
Дмитрий Ковалев (Softline): Важно, чтобы ИТ- и ИБ-подразделения учились вырабатывать совместную стратегию в повышении эффективности работы предприятия и управления рисками. Основная нагрузка будет ложиться на руководство отделов либо руководство организации в целом, но синергия этих двух направлений действительно приносит бизнесу возможность сделать качественный скачок в развитии.
Никита Семенов (ТАЛМЕР): Безусловно, в первую очередь это задача руководителей - определить схемы взаимодействия, границы ответственности, возможные точки соприкосновения и меры усиления. Правильно построенные бизнес-процессы между ИТ и ИБ устраняют все вопросы и конфликты, позволяя объединиться перед лицом бизнеса, усиливая эффективность одного эффективностью другого. Совместное решение задач и проблем, находящихся на стыке (все задачи как ИТ, так и ИБ всегда находятся на стыке этих двух областей) способно давать высокие результаты.
Дмитрий Дудко (ЛАНИТ): Тут возможны два варианта. Вариант первый: информационная безопасность входит в блок ИТ и подчиняется директору или вице-президенту по ИТ. В этом случае конфликт решается в пользу ИТ и их производственных задач. ИБ же остается «сделать все от них зависящее».
Второй вариант: информационная безопасность относится к блоку безопасности. При этом в случае принципиальных разногласий конфликт выносится на самый верх, в подавляющем числе ситуаций решается в пользу ИТ и переходит в тлеющую стадию.
При любом варианте основными необходимыми качествами являются умение слышать и брать на себя ответственность.
Николай Фокин («ЛАНИТ-Интеграция»): Вопросы приоритетов между ИТ и ИБ всегда остаётся за руководством. Именно оно определяет стратегию развития и управления рисками. Наличие в штате компании грамотных специалистов, способных оценивать риски, имеющих знания о ключевых информационных активах организации, является важной составляющей любой службы ИБ. Но многие организации в наше время сталкиваются с нехваткой кадров, особенно чувствительно это для сфер ИТ и ИБ. В таком случае, стоит рассмотреть привлечение сторонней организации, способной провести грамотный аудит, выполнить оценку рисков кибербезопасности и разработать предложения по их снижению.
Александр Лутай («ЛАНИТ - Би Пи Эм»): Основная проблема - отсутствие конструктивного диалога. Решение задачи построения коммуникаций лежит на стороне руководителей ИБ- и ИТ-подразделений. Необходимо с самого верхнего уровня задавать тон, чтобы сотрудники этих подразделений не «воевали», а стремились максимально продуктивно взаимодействовать.
Это может быть механизм рабочих групп, которые позволят специалистам разных профилей общаться напрямую, минуя бюрократические барьеры, заранее выравнивать ожидания, требования, а также планировать необходимые активности, связанные, например, с выводом в промышленную эксплуатацию какого-либо софта.
Можно проводить в компании тренинги по развитию и прокачиваю soft skills, в частности, навыков коммуникации, эмпатии, решения конфликтных ситуаций, ведения деловой переписки. Делается это, чтобы в случае возникновения внештатной ситуации не перебрасываться письмами, которые обрастают все новыми взаимными претензиями и адресатами в копии, а вместо этого оперативно созвониться, и решить все проблемы голосом, без эскалаций и привлечения руководителей разных уровней в качестве арбитров.
Андрей Шаров (ЭОС): Да, конечно, причём - именно модели. Роль технологий, на мой взгляд, тут вторична, хотя её тоже нельзя сбрасывать со счетов. Тем не менее, технологии могут как облегчить жизнь потребителю, так и усложнить её в зависимости от того, в какой модели и как они применяются.
И если в модели реализован тот самый принцип необходимости и достаточности, то ИТ и ИБ часто встают на одну сторону баррикад.
Дмитрий Ковалев (Softline): Главное в совместной работе ИТ- и ИБ-подразделений – здравый смысл и умение ставить во главу угла бизнес-задачи компании, не отвлекаясь на эмоции и выяснение отношений. В некоторых случаях в роли «примиряющего» элемента выступает ИТ-провайдер, которого компания привлекает к реализации крупных проектов. Опытные эксперты способны дать исчерпывающее обоснование относительно использования тех или иных технологий для закрытия основных потребностей бизнеса.
Дмитрий Дудко (ЛАНИТ): Первой ласточкой примирения выступает безопасная разработка (SDLC), где есть надежда разработки в соответствии с принципами SDLC хотя бы ключевых приложений и операционных систем. После чего необходимо полностью перейти на новые версии ПО, вытеснив софт, написанный в 1980-1990-х годах и начале двухтысячных.
Илья Четвертнев (Angara): Волшебной таблетки в этом вопросе нет. И те, и другие стороны «противоборства» должны понимать, что предоставление сервиса функционирования информационных систем в текущее время – это синергия работы ИБ- и ИТ-служб. Подразделения должны хотеть помочь друг другу.
Никита Семенов (ТАЛМЕР): Безусловно, например, если раньше сетевые устройства и средства защиты (межсетевые экраны) были абсолютно различными устройствами, то сейчас на рынке присутствуют решения класса NGFW, способные обеспечить и требуемый уровень защиты сети, и выполнять роль ядра этой сети, и, как приятный бонус, вобрать в себя реализацию дополнительных технологий, таких, как проксирование пользовательского трафика, потоковый антивирус, балансировку нагрузки, антиспам-фильтр и терминирование пользовательских VPN-туннелей. Получается, что решение задач, для которых ранее требовался целый ландшафт ИТ и ИБ систем, может быть применен единственный программно-аппаратный комплекс. Это дает удобство и прозрачность администрирования, очевидную экономию бюджета (как на сам ПАК, так и на персонал), а также повышает стабильность сети, уменьшая количество точек отказа.
Таких примеров много: инфраструктурные решения на основе VDI, защищенные по дизайну, защищенные высоконадежные облака для SaaS и IaaS, управление доступом к данным совместно с аудитом востребованности (что позволяет контролировать обращения к значимым данным с одной стороны и эффективно управлять емкостью системы хранения, процессом администрирования доступа с другой) и системы автоматизированного управления конфигурациями сетевого оборудования (существенно упрощающие администрирование с одной стороны и визуализирующие контур безопасности и «песочница» конфигурации с другой), и многое другое. Как правило, после принятия концепции и внедрения подобных систем конфликт исчерпывается даже для убежденных скептиков.
Никита Семенов (ТАЛМЕР): Все большее количество компаний будут принимать концепции трансформации и синергии ИТ и ИБ, а этот процесс зависит в наибольшей степени от готовности руководителей ИТ и ИБ, а также от уровня профессионализма консультантов, которые будут помогать им преодолевать важнейший рубеж – конфликт интересов, который развивался десятилетиями.
Илья Четвертнев (Angara): Роль ИБ в построении ИТ становится все большей, поэтому взаимодействие между подразделениями станет намного плотней. Если раньше стык между подразделениями был на уровне комплаенса и защиты уже готовых информационных систем, то сейчас требования от ИБ появляются уже в процессе разработки программного обеспечения, и не только на уровне выдвижения требований, но и на уровне контроля выполнения этих требований.
Андрей Шаров (ЭОС): На мой взгляд, всё будет так, как и раньше. Есть волнообразное развитие – то информационные технологии делают прорыв и начинают позволять очень много всего, что, в итоге, начинает вызывать проблемы, то информационная безопасность, решая возникшие проблемы, перетягивает одеяло на себя. Потом всё повторяется. А в промежутках между этими экстремумами и будет тот самый баланс с максимальной полезной отдачей.
Дмитрий Ковалев (Softline): ИТ- и ИБ - это две неразрывные части бизнеса. С развитием технологий число внешних и внутренних угроз будет продолжать расти, и без использования инструментов защиты окажется невозможно оставаться конкурентоспособным. Более того, так как в настоящее время все сильнее заметно движение в сторону потребления технологий по сервисной модели (аутсорсинг, MSSP-сервисы), у заказчиков больше нет необходимости содержать большой штат собственных специалистов. Со временем бизнес может полностью перейти на сервисное потребление ИТ и ИБ, что окончательно снимет вопрос о противостоянии этих двух сегментов на уровне отдельно взятой организации.
Дмитрий Дудко (ЛАНИТ): Последнее время наблюдается смещение развития в сторону безопасности. Все чаще бизнес начинает понимать, что ключевое их преимущество - это информация, которой не владеют конкуренты. И речь даже не в секретах производства и ноу-хау, а о финансовых показателях, поставщиках, ключевых клиентах, ресурсной базе, о составе кредиторской и дебиторской задолженности. Конкуренция обостряется, и уже есть прецеденты, когда большие компании закрываются или продаются.
С другой стороны, усиливается контроль государства в сфере информационной безопасности. Этот факт заставляет компании обращать внимание на безопасность, переходя от формальности к конкретным шагам.
Александр Лутай («ЛАНИТ - Би Пи Эм»): В последние годы регистрируется все больше инцидентов ИБ, связанных как с хакерскими атаками, так и с неосторожностью или неосведомленностью сотрудников. Эти инциденты приводят к серьезным для бизнеса последствиям: утечке конфиденциальной информации, потере доступности ИТ-систем, приостановке бизнес-процессов. Все это выражается в колоссальные финансовые и репутационные потери. Эта тенденция отлично проиллюстрирована на дашборде World’s Biggest Data Breaches & Hacks. Можно заметить, что за последние несколько лет утечки конфиденциальных данных происходили даже в таких крупных и уважаемых компаниях как Microsoft, Facebook, Twitter.
Уверен, что в ближайшие годы все больше внимания компании будут уделять направлению информационной безопасности и наделять соответствующие подразделения все более широкими полномочиями. Даже если сейчас в некоторых компаниях ИТ-подразделения находят способы преодолевать запреты ИБ, то в ближайшее время это будет делать всё сложнее, так как руководство все большего числа компаний будет осознавать, что более нельзя пренебрегать требованиями ИБ.
С другой стороны, скорость развития ИТ и цифровизации не снижается, по моим наблюдениям, в 2020 году многие компании увеличивали инвестиции в ИТ, и это не всегда было связано лишь с необходимостью организации удаленной работы сотрудников. Многие крупные проекты по автоматизации бизнес-процессов не только не приостановились в 2020 году, но даже получили дополнительные инвестиции. Все это говорит о том, что роль ИТ также не будет снижаться в ближайшие годы, а значит, ИБ и ИТ придется находить общий язык и способы конструктивного взаимодействия друг с другом.
ICT-Online.ru: Большое спасибо за беседу!