Илья Гужов

Илья Гужов:

Как российские энергетики борются с ИБ-угрозами

Энергетическая отрасль представлена разными направлениями, для которых актуальны свои, специфические задачи в области информационной безопасности. Однако опыт конкретных предприятий позволяет избежать общих ошибок и выстроить грамотную работу, основанную на оценке рисков, профилактике и устранении причин инцидентов. О практике создания и развития ИБ-подразделения практически с нуля и проблемах российской ИБ-отрасли рассказал CNews начальник отдела информационной безопасности «Газэкс» Илья Гужов.

CNews: За что отвечает ИБ-подразделение на вашем предприятии? Сколько специалистов в нем работает?

Илья Гужов: Наша основная задача сегодня – минимизировать ключевые риски информационной безопасности и грамотно донести до персонала основные требования по защите данных. Подразделение у нас относительно молодое, мы работаем около полутора лет. Раньше в отделе был всего один специалист, а сегодня безопасность двух компаний (1200 и 500 сотрудников) обеспечивают четыре сотрудника.

CNews: Как за полтора года изменился объем задач, стоящих перед подразделением?

Илья Гужов: Раньше один специалист занимался минимальным набором задач, которые сводились к одной цели – обеспечить бесперебойность работы. На организационные и технические изменения попросту не оставалось времени. Когда появилось подразделение, наладился диалог с руководством: начался поиск слабых мест в периметре безопасности и новых мер по защите. Мы начинали с внутренних угроз, сейчас перешли ко внешним и постоянно совершенствуем систему. Есть разные векторы, по которым хотелось бы работать, но если браться за все сразу, можно ничего не успеть. Я придерживаюсь последовательного подхода: из первого вытекает второе и так далее, а на выходе получается желаемый результат.

Если говорить обобщенно, то сегодня основная цель нашего подразделения – защита от внутренних и внешних угроз плюс взаимодействие с контролирующими и правоохранительными органами, органами государственной власти и местного самоуправления. В частности, это защита периметра сети; разработка и внедрение превентивных мер защиты, средств мониторинга; работа с персоналом – обучение, повышение уровня осведомленности и т. д.

CNews: Можете назвать топ-3 задач в приоритете?

Илья Гужов: Нельзя выбрать три задачи. Нужно подходить с точки зрения оценки рисков: изначально составить модель угроз предприятия, для каждой угрозы определить степень риска – и после решать, какая угроза актуальна и что в связи с этим делать в первую очередь.

CNews: Откуда чаще происходит угроза: снаружи или изнутри компании?

Илья Гужов: По итогам 2017 года процент внутренних и внешних угроз примерно одинаков. В предыдущие годы у нас превалировали внутренние угрозы – мы боролись с внутренними нарушителями, для чего использовали DLP и антивирусную систему. В этом году тщательная работа с персоналом дала хорошие результаты, количество угроз этого вида удалось снизить.

В то же время активизировались внешние угрозы. В этом году мы фиксировали атаки на сайт компании, на почтовый сервер, спам-рассылку с вирусами-шифровальщиками, майнерами и другими «вредоносами».

CNews: Как удалось снизить количество внутренних угроз?

Илья Гужов: Мы внедрили DLP-систему, выявили группы риска и стали работать с ними, в результате чего внутренние угрозы в определенной степени снизились. Не могу сказать, что их удалось исключить – это невозможно, но мы снизили их до приемлемого процента. Теперь нам не приходится раз в две недели писать служебную записку о том, что кто-то пытался «унести» информацию. Кроме того, определенный эффект дала профилактическая работа с персоналом.

CNews: Кроме обучения, какую работу с персоналом вы проводите, какие меры применяете?

Илья Гужов: В первую очередь – регламентирование всех процессов. Мало просто сказать человеку «нельзя». Нужно объяснить, почему нельзя, убедиться, что работник понял и согласился с правилами. Например, выносить базу данных абонентов за периметр компании, потому что хочется или за это заплатили. Нужно создать нормативную базу, что мы и сделали. Внедрили нормативные документы, которые регламентировали процессы в области информационной безопасности. Под подпись ознакомили сотрудников с документами. После провели контрольные мероприятия, тестирование, и риски как таковые были минимизированы.

Что касается внешних угроз – скажем, вирусной рассылки спама, особо актуальной в начале года, – мы обучили персонал. Теперь коллеги обращаются к нам в сомнительных ситуациях и прежде чем делать что-либо ждут обратной связи.

CNews: Инциденты с персоналом чаще намеренные или случайные?

Илья Гужов: Сложный вопрос. Соотношение нельзя выразить в количественной характеристике. Сегодня цифры одни, а завтра – сработает непредсказуемый человеческий фактор. Под намеренными действиями мы понимаем желание сделать плохо компании. При этом мы же не можем со стопроцентной уверенностью утверждать, что творится у человека в голове. Редко когда мошенник, даже взятый с поличным, прямо скажет: «Хотел продать базу». У меня был такой случай в другой компании, и люди отнекивались, хотя против собранных доказательств было глупо отпираться. Чаще всего нарушители говорят: «Каюсь, не знал, что творю». Так что, если определять намеренные утечки с абсолютной уверенностью в том, что был злой умысел, процент будет минимальным.

CNews: Какие виды атак наиболее распространены в компании, и что обычно является целью инсайдера?

Илья Гужов: Как я уже говорил, в последнее время у нас актуальны внешние угрозы. Цели – корпоративный веб-сайт, почтовый сервер, личный кабинет онлайн. Серьезный вектор атак – почтовые рассылки с вредоносными ссылками и вложениями.

Я стараюсь подходить к защите комплексно. При любой атаке мы стараемся в первую очередь выявить причины, устранить угрозу, а не последствия, обеспечить организационные и технические меры, чтобы минимизировать риск повторной угрозы данного типа. И завершающим этапом становятся контролирующие меры. Мало просто «закрыть» инцидент и сказать, что он исчерпан, – нужно оценить эффективность принятых мер.

CNews: С какими ИБ-инцидентами вы чаще всего сталкиваетесь в своей практике?

Илья Гужов: Частный пример, который встречается практически в любых компаниях, – «кража» информации увольняющимся сотрудником. По какой-то причине, мне не понятной, большинство людей считают, что, увольняясь, могут прихватить с собой не только свои наработки, которые в большинстве случаев являются коммерческой тайной и подлежат охране, но и, например, базу данных абонентов (самый распространенный пример). За свой семилетний опыт в ИБ-сфере я сталкивался с такого рода угрозами регулярно. Стабильно раз в два месяца – минимум – кто-нибудь что-нибудь собирается с собой прихватить. Где-то удается ограничиться изъятием информации и мирным решением вопроса, а в некоторых случаях приходится привлекать и правоохранительные органы, такой опыт тоже есть.

CNews: Какие инструменты используются для цифровой гигиены в компании: управление правами доступа и т.п.?

Илья Гужов: Здесь стоит говорить о DLP. Мы обеспечиваем меры по защите информации ограниченного доступа с помощью «КИБ СерчИнформ». Система позволяет оперативно предотвращать внутренние угрозы, связанные с хищением такого рода информации. КИБ – многомодульный комплекс, который контролирует, пожалуй, самый обширный список информационных каналов, в сравнении с другими DLP на рынке. Я уверенно говорю об этом, потому что тестировал их не так давно. Но перехватить трафик мало, нужно его анализировать, обеспечивать быстрый доступ к данным и предоставлять толковые отчеты.

DLP от «СерчИнформ» комплексно показывает себя значительно увереннее и больше отвечает задачам ИБ, нежели аналоги. Сложно выделить что-то одно. Высокой оценки достойна возможность добавлять специфические словари и настраивать уникальные политики, автоматическое срабатывание системы. Хотя это и не исключительная особенность именно «КИБ СерчИнформ».

CNews: При выборе ИБ-решений вы тестировали и сравнивали другие продукты? Что в итоге повлияло на окончательное решение?

Илья Гужов: При выборе DLP-решения, например, я старался охватить весь рынок и протестировать топ-вендоров. В случае с DLP я в течение полугода одну за другой удалял старые и устанавливал новые системы – сравнивал, как что работает. Ценовая категория и другие «оценочные» характеристики не были основополагающими. По результатам теста мне было важно, чтобы система работала бесперебойно и корректно, демонстрировала минимальную нагрузку на конечных пользователей, потребляла как можно меньше сетевых ресурсов и умела хранить большие массивы данных. Тесты длились с апреля по октябрь 2016 года. По результатам мы решили, что «КИБ СерчИнформ» подходит нам по всем критериям.

CNews: На что принципиально обращали внимание в ходе тестирования, помимо уже названных критериев?

Илья Гужов: Принципиально было удобство использования продукта. Что касается интерфейса, то нарисовать можно что угодно, это всего лишь графический продукт. А вот юзабилити действительно важно. В случае с «КИБ СерчИнформ» не совсем удобно, что информация представлена в разных окнах (хотя производитель обещает уже в этом году решить эту проблему). У других систем есть реализации, когда все в одном окне – в виде веб-страницы.

На самом деле у каждого варианта есть плюсы и минусы. Например, DLP-системы с веб-интерфейсом зависят от работы по сети, от самого веб-сервера, имеют определенные проблемы с поисковиком. Здесь же все работает на уровне приложения и доступа к базе данных, которая зачастую расположена на том же сервере, что и поисковик – выборка происходит быстрее и без «подвисаний» и «провалов» при обработке большого объема данных. Потому я бы рекомендовал ориентироваться на функциональность систем, которая наиболее актуальна для решения задач конкретной организации.

CNews: Как считаете, в чем главная проблема сферы ИБ в России?

Илья Гужов: На мой взгляд, в сфере ИБ в России есть три основные проблемы. Первая – отсутствие законодательной базы, регламентирующей общие требования к информационной безопасности для всех юридических лиц. Например, в банковской сфере в российском правовом поле есть СТО БР ИББС – банковский стандарт по информационной безопасности. В международном правовом поле это, опять же, банковский стандарт PCI DSS – защита процессинга и банковских карт. А для других коммерческих структур таких обязательных стандартов не разработано. Есть отдельные требования, связанные с защитой персональных данных, государственной тайны, других видов тайн – у нас в России очень много их. Но конкретного стандарта для всех или хотя бы для большей части коммерческих структур как такого не разработано. С 1 января 2018 года вступил в силу закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» – посмотрим, что там будет. Из этого вытекает, что у топ-менеджеров компаний нет осознания важности работы ИБ-подразделения. Многие крупные коммерческие структуры озаботились созданием своего ИБ-подразделения относительно недавно. А во многих до сих пор совмещают функционал ИБ и ИТ-отделы.

ilya_guzhov.jpg
Илья Гужов: Я лично не встречал отечественные компании, которые принципиально не использовали бы отечественные разработки, отдавая предпочтение зарубежным

Вторая проблема вытекает из первой: низкий уровень осознания важности ведет к низкому бюджетированию, а порой и вовсе отсутствию бюджета у ИБ-подразделения. Но даже самый хлипкий забор нельзя построить без стройматериалов. Конечно, можно использовать подручные средства, но, во-первых, это займет много времени, а во-вторых, такая изгородь не справится с защитой.

Третья проблема тоже следствие первой: отсутствие российской системы сертификации специалистов по информационной безопасности. В банковской сфере такое нововведение рассматривали, но пока не понятно, будет обязательная сертификация или нет. Есть международные сертификаты CISA, CISM, CISSP, COBIT, но в России, к сожалению, единой системы сертификации не разработано. Поэтому хорошие специалисты, которые хотят активно развиваться в отрасли, вынуждены проходить обучение у иностранных компаний. Собственно, мы говорим об импортозамещении как об инструменте, который должен стимулировать рост в рамках продукции. Потому я бы предложил начать импортозамещение с перенимания положительного опыта в части обучения специалистов и их сертификации.

CNews: Как повлияла политика импортозамещения на ваш выбор ИБ-решений?

Илья Гужов: В части информационной безопасности мы не ощутили последствия импортозамещения, потому что и до введения ограничительных мер использовали системы безопасности отечественных производителей. Всех решений назвать не могу, но антивирус у нас – «Лаборатории Касперского», DLP-система – «Контур информационной безопасности СерчИнформ».

CNews: С чем был связан выбор отечественных продуктов до импортозамещения: с ценой, функциональностью?

Илья Гужов: Целесообразностью. Например, DLP-система – это специфический продукт, который в какой-то степени основан на поведенческом анализе и на специфике региона, где используется. Отечественные продукты изначально сделаны под российский рынок, а зарубежные «заточены» под свой. Они предлагают другие процедуры, методы внедрения и работы. Например, в словарях, по которым идет поиск информации, – разная лингвистика, актуальная для определенных географических зон. Поэтому отечественные продукты часто показывают лучшую эффективность.

CNews: Коллеги разделяют вашу точку зрения по поводу отечественных решений? Встречались ли вам компании, которые принципиально используют иностранные продукты?

Илья Гужов: Я лично не встречал отечественные компании, которые принципиально не использовали бы отечественные разработки, отдавая предпочтение зарубежным. Есть люди, которые используют Android, и те, что выбирают iOS. Противоположных платформ многие не приемлют. В безопасности я такой принципиальности не встречал. В части антивирусов и DLP, например, такого не было. Другой разговор – сетевое оборудование: тут наши пока сильно отстают, есть отечественные разработки, но на основе зарубежного «железа».

Вернуться на главную страницу обзора