– Дмитрий, в чем, по вашим наблюдениям, кроется «противоборство» ИБ и ИТ?
– Конфликт между ИБ и ИТ – это конфликт между «удобно использовать» и «безопасно использовать». Его основы уходят корнями во времена зарождения информационных технологий, когда был придуман стек TCP/IP – логичный и решающий текущие задачи, но совсем не безопасный. Благодаря перечисленным свойствам стал возможен «золотой век» хакеров, когда можно было взломать что угодно. Со временем государство и компании стали понимать ценность конфиденциальности информации, и в противовес «мечу» стал развиваться «щит».
Ключевым вопросом для урегулирования конфликта является экономический момент. Что дешевле: чтобы «быстро, удобно, и чтобы хоть как-то работало при минимальных затратах» или «понести дополнительные затраты, чтобы наши секреты никто не узнал, а деньги не украл». Каждая организация решает этот вопрос по-своему.
Руководитель отдела проектирования и внедрения департамента инфраструктурных решений отделения автоматизации и защиты информационных систем ЛАНИТ Дмитрий Дудко
– Как вы считаете, где и в чем надо искать компромисс? Или, может быть, есть определенные участки, где приоритет одного над другим не должен вызывать споров?
– Компромисс обычно кроется в бюджете, который компания может потратить на безопасность, так как данные средства достаточно скромные, то берется ограниченный набор средств защиты. Другим полюсом является набор функций, доступный рядовым пользователям и администраторам. Если пользователи могут ходить в Интернет, подключать съемные носители, есть возможность удаленного администрирования и т.п., то это повышает расходы на безопасность.
В дихотомии «удобство-безопасность» выделяются две крайние точки. Удобство является приоритетом для молодых и быстро развивающихся компаний и стартапов, когда развитие инфраструктуры и систем происходит стремительно, для получения финансового результата и создания продукта. Безопасность же традиционно в приоритете у государственных и силовых структур, ключевых отраслей и оборонной промышленности.
– На плечи каких специалистов ложится решение таких вопросов? Какие компетенции важны для грамотного их решения?
– Тут возможны два варианта. Вариант первый: информационная безопасность входит в блок ИТ и подчиняется директору или вице-президенту по ИТ. В этом случае конфликт решается в пользу ИТ и их производственных задач. ИБ же остается «сделать все от них зависящее».
Второй вариант: информационная безопасность относится к блоку безопасности. При этом в случае принципиальных разногласий конфликт выносится на самый верх, в подавляющем числе ситуаций решается в пользу ИТ и переходит в тлеющую стадию.
При любом варианте основными необходимыми качествами являются умение слышать и брать на себя ответственность.
– Есть ли «примиряющие» технологии, модели взаимодействия?
– Первой ласточкой примирения выступает безопасная разработка (SDLC), где есть надежда разработки в соответствии с принципами SDLC хотя бы ключевых приложений и операционных систем. После чего необходимо полностью перейти на новые версии ПО, вытеснив софт, написанный в 1980-90-х годах и начале двухтысячных.
– Поделитесь примерами из практики, где проблемы на стыке ИТ и ИБ были, но успешно решились.
– Решение конфликта ИТ и ИБ – это всегда компромисс. Вопрос лишь, на каком уровне он будет достигнут. Это может быть договоренность на уровне отделов и департаментов. Чаще всего в этом случае идут уступки в каких-то не связанных с причиной конфликта сферах. Например, ИТ-шники могут включить в следующую свою закупку необходимые средства защиты.
Если вопрос выносится на самый высокий уровень, то компромиссное решение представляет собой Франкенштейна, с которым сложно работать, переводя конфликт в холодную стадию.
– Ваши прогнозы насчет дальнейшего развития отношений между ИТ и ИБ. От чего оно будет зависеть?
– Последнее время наблюдается смещение развития в сторону безопасности. Все чаще бизнес начинает понимать, что ключевое их преимущество – это информация, которой не владеют конкуренты. И речь даже не в секретах производства и ноу-хау, а о финансовых показателях, поставщиках, ключевых клиентах, ресурсной базе, о составе кредиторской и дебиторской задолженности. Конкуренция обостряется, и уже есть прецеденты, когда большие компании закрываются или продаются.
С другой стороны, усиливается контроль государства в сфере информационной безопасности. Этот факт заставляет компании обращать внимание на безопасность, переходя от формальности к конкретным шагам.
– Большое спасибо за беседу!