Сегодня кибербезопасность ... Руслан Рахметов, Security Vision: Прослеживается тренд на конвергенцию технологий для обеспечения информационной, экономической, кадровой, физической безопасности
Руслан Рахметов, Security Vision: Прослеживается тренд на конвергенцию технологий для обеспечения информационной, экономической, кадровой, физической безопасности...
Сегодня кибербезопасность – это не только расходная часть бюджета, обслуживающая функция и требование законодательства, но и возможность увеличения доходов, оптимизация и контроль бизнес-процессов, конкурентное преимущество, репутация, лояльность клиентов и доверие партнеров. Об этом портал Cyber Media поговорил с генеральным директором компании Security Vision Русланом Рахметовым.
Cyber Media: Одна из системных проблем ИБ, с которой встречаются заказчики – это дефицит бюджета. С этим сталкивается и малый бизнес, и крупные корпорации. На Ваш взгляд, как компании эффективно защищать себя в таких условиях?
Руслан Рахметов: В условиях ограниченных бюджетов целесообразно рассмотреть возможность замены капитальных затрат операционными расходами, выбрав услуги и средства защиты информации, которые сейчас предлагаются по модели Security-as-a-Service (кибербезопасность как услуга) многими отечественными ИБ-игроками – провайдерами MSS (Managed Security Service).
Сегодня MSS-провайдер может взять на себя не только работы по технической настройке систем защиты, подключению компании на ИБ-мониторинг, выполнению действий по предотвращению кибератак и реагированию на них, но и по комплексному аутсорсингу всей функции кибербезопасности. Это включает оценку киберрисков, выстраивание процессов ИБ в компании, выполнение требований законодательства, разработку внутренних документов, обеспечение ситуационной осведомленности заинтересованных лиц и взаимодействие с ними по вопросам обеспечения киберустойчивости. Иными словами, речь идет о предоставлении услуги vCISO (virtual CISO, «виртуальный Директор по ИБ»).
В условиях ограниченных финансовых и кадровых ресурсов описанные сервисы позволяют оперативно и эффективно повысить уровень киберзащищенности компании, предоставляя измеримые результаты с учетом прогнозируемых затрат и оплаты по мере потребления, возможностей масштабирования по требованию, использования широкой экспертизы поставщика услуг.
Cyber Media: Автоматизация бизнес-процессов – это один из определяющих трендов. Уже сегодня есть примеры производств, где участие людей сведено к минимуму: там, где раньше работали сотни сотрудников, осталось десяток операторов систем. Какова роль ИБ в этом процессе?
Руслан Рахметов: Информационные технологии позволяют автоматизировать бизнес-задачи, а кибербезопасность делает работу этих технологий заслуживающей доверия. Пример: во время пандемии одной из основных задач было предоставление безопасного и удобного удаленного доступа сотрудников к информационным ресурсам компании, что решалось внедрением VPN-шлюзов удаленного доступа, систем мультифакторной аутентификации, а также сегментацией внутренней сети организации и гранулированным предоставлением привилегий пользователям.
Кроме того, последнее время четко прослеживается тренд на конвергенцию технологий для обеспечения информационной, экономической, кадровой, физической безопасности, включая технологии обработки больших данных и применение систем искусственного интеллекта, а также на более глубокое взаимодействие ИБ-решений с ИТ-инфраструктурой – как итог, система кибербезопасности может оказать помощь и сотрудникам ИТ-блока (сетевым и инфраструктурным администраторам), и кадровикам, и службе внутреннего аудита.
Cyber Media: Часто можно услышать тезис о том, что информационная безопасность становится все более значимым фактором для бизнеса. Выражается ли это в чем-то еще, помимо растущих ИБ-бюджетов компаний?
Руслан Рахметов: Оценка инвесторами гудвилла компании сейчас в значительной степени зависит от принимаемых ею мер по управлению киберрисками, предотвращению кибератак и реагированию на инциденты ИБ. Имидж компании среди партнеров и клиентов определяется отношением к их данным (персональным данным клиентов, конфиденциальной коммерческой информации партнеров), а также реакцией организации на кибератаку и её дальнейшими действиями.
Пример: компания, допустившая утечку клиентских и партнерских данных, но своевременно и корректно оповестившая пострадавших об этом, выяснившая подробности кибератаки и предпринявшая меры по недопущению таких инцидентов в дальнейшем, будет восприниматься гораздо более положительно, чем организация, которая будет стараться всеми силами замолчать инцидент.
Другой пример: предлагая клиентам безопасные, надежные и удобные способы аутентификации, управления своими учетными записями и сохраненными данными, включая платежную информацию, сервис получает весомые конкурентные преимущества и повышает лояльность потребителей.
Ранее Вы говорили о конвергенции разных направлений обеспечения безопасности (экономической, эксплуатационной и т.д). Можете ли Вы привести пример, когда кибербезопасность решает задачи другого направления?
Руслан Рахметов: Одним из процессов кибербезопасности является обеспечение непрерывности деятельности, восстановление работоспособности информационных систем и, соответственно, зависимых от них бизнес-процессов. Функционирование ИТ-систем может быть поставлено под угрозу в случае разнообразных сбоев, аварий и катастроф, таких как возгорание или затопление в офисе или дата-центре, перебои с электроэнергией или связью, а также стихийные бедствия, техногенные катастрофы, эпидемии, военные действия, теракты, забастовки.
В начале пандемийного 2020 года компании, которые заранее планировали варианты действий при наступлении массовых заболеваний или при невозможности очного присутствия сотрудников в офисе (например, в результате повреждения здания или при проведении следственных действий), оперативно ввели в действие заранее разработанный план обеспечения непрерывности деятельности, выдав работникам уже подготовленные ноутбуки и активировав возможность удаленного подключения к ресурсам компании, в результате чего массовый переход на удаленку прошел у них более гладко.
Cyber Media: Многие крупные компании и эксперты продвигают тезис о практикоориентированном подходе к ИБ и результативной кибербезопасности. Но, судя по реалиям последних двух лет, регуляторная нагрузка в сфере ИБ только растет. Как в этой ситуации быть «не ИБ-компаниям» для которых кибербезопасность – не самоцель, а одна из сопутствующих подзадач?
Руслан Рахметов: Несмотря на недавнее смещение фокуса кибербезопасности с комплаенса на сугубо практическую действенную киберзащиту, прослеживается устойчивая тенденция к повышению обязательных законодательных требований и ужесточению ответственности за несоответствие.
Примером может послужить активно обсуждаемый сейчас законопроект о введении оборотных штрафов за утечку персональных данных (предполагается штраф в размере до 3% выручки за календарный год, предшествующий нарушению), а также действующие требования по обеспечению безопасности объектов критической информационной инфраструктуры, за неисполнение которых грозит уголовное наказание с лишением свободы на срок вплоть до десяти лет (ст. 274.1 УК РФ).
Указанный уровень ответственности представляется достаточно существенным, и, в свою очередь, затраты на соответствие законодательным требованиям могут быть вполне оправданными. Кроме того, выявленное контролирующими органами несоответствие законодательству в области защиты информации может трактоваться очень широко, в том числе из-за сложностей в интерпретации норм и не вполне сформировавшейся судебной практики, что может послужить мощным рычагом давления на руководителей организации при проверке.
Cyber Media: Так что же такое кибербезопасность в современных реалиях: вынужденная необходимость или точка роста для компании?
Руслан Рахметов: Результаты внедрения технологических инноваций в самых разных отраслях наглядно демонстрируют преимущества цифровизации экономики, в основе которой лежат данные, а также процессы, технологии и персонал. С развитием инструментов обработки информации естественным образом эволюционируют и киберриски, и чем раньше компания начинает управлять ими, тем на более глубоком процессном уровне закладываются принципы киберустойчивости, безопасности по умолчанию (Secure by Default) и архитектурно заложенной кибербезопасности (Secure by Design).
Кибербезопасность не должна лишь устранять последствия киберинцидентов, ведь её обеспечение – это непрерывный процесс, глубоко взаимосвязанный с другими корпоративными процессами на всех этапах жизненного цикла организации. Выстраивая систему управления ИБ, компания инвестирует в надежный цифровой фундамент для своего устойчивого технологического развития в будущем.