Начальник отдела ИБ компании ООО «НТФФ «ПОЛИСАН» Николай Казанцев дал интервью Cyber Media в рамках конференции Security Summit. Эксперт рассказал об особенностях работы ИБ-подразделения в компании со сложной структурой и удаче инфобезопасника.

Cyber Media: Как у вас в компании обстоят дела с защищенностью ИБ-систем?

Николай Казанцев: В последние месяцы уровень кибербезопасности Полисана значительно возрос, просто потому что жизнь заставила. Атаки подстегнули развитие инфобеза не только в нашей компании, а в принципе во всех. В Полисане критичность производственного процесса очень высока, ведь мы производим жизненно важные лекарства. Поэтому не допустить его остановки — это задача номер один.

Cyber Media: Какие продукты для вас являются самыми востребованными? Что вы используете?

Николай Казанцев: Ключевая для нас проблема сейчас — это кадры. Удаленка и нехватка специалистов на рынке кибербезопасности привели к тому, что лучшие кадры уходят в топ компаний с высокой заработной платой. Это Москва, которая берет себе кадры с регионов. Это иностранные компании, которые платят в долларах. Поэтому для нас при нормальной заработной плате становится проблемой обеспечить достаточный кадровый состав.

Сейчас мы вкладываемся в системы, которые минимизируют человеческое участие. Продукты, которые избавляют нас от необходимости держать аналитика, либо снижают нагрузку на него — это будущее.

Cyber Media: Как у вас обстоит дело с реальным импортозамещением?

Николай Казанцев: Так как мы — частная компания без государственного участия в капитале, мы делали акцент в стратегии развития прежде всего на качество продукта. Выбирали лучший в своем классе. Как следствие, у нас много иностранных продуктов и на текущий день мы до конца не решили эту проблему.

Cyber Media: То есть вы продолжаете работу на западном софте?

Николай Казанцев: Сегодня да, но активно ищем аналоги для замены. Нас тоже не обошло стороной «окирпичивание», как это сейчас говорят, ряда средств защиты. У нас умер сканер безопасности Nessus. Но до окончания подписки оставался всего один месяц. Нам повезло и запланированные деньги мы направили уже на российский софт.

Cyber Media: Назовите какие-то направления, где вы сейчас активно подбираете российские продукты для импортозамещения.

Николай Казанцев: Vulnerability-менеджмент, межсетевое экранирование, мультифакторная аутентификация. Это что касается инфобеза. У коллег из IT тоже головная боль — у них там свой мир.

Cyber Media: По каким критериям вы отбираете? Как вы фильтруете, где зрелое решение и можно доверять партнерам, а где что-то не то?

Николай Казанцев: Пробуем. Через тесты, в том числе покупаем пилоты и тестовые внедрения, не покупая лицензии. Пусть мы потратим какую-то копеечку сегодня, но не обожжемся в будущем. Мы любим всё сами руками потрогать, разобраться.

Конечно, грустно, но приходится тратить время не на внедрение защитных мер, а на поиск новых решений, на эту рутину, связанную с пилотами. Но это вынужденная мера, которая сейчас всех коснулась.

Cyber Media: Как у вас выстроена система ИБ с учетом того, что вы компания, распределенная по России? У вас есть 19 представительств в других странах мира. Как получается такую большую систему контролировать?

Николай Казанцев: Это централизация — у нас нет распределенных ЦОДов. Всё на нашей территории в Санкт-Петербурге.

Мы делаем акцент на резервировании функций. Все функции должны быть зарезервированы и мы, как служба безопасности и служба IT, должны иметь возможность пусть в ручном режиме, но оперативно восстановить ключевые бизнес-процессы.

Нам повезло и у нас не окирпичились ключевые системы. Но это не означает, что они не окирпичатся через месяц или полгода. У нас сейчас есть время на то, чтобы перейти на какие-то российские продукты. Чуть больше, чем у тех, у кого уже кирпичи.

Cyber Media: Те, кто уже окирпичились, им что делать, на ваш взгляд?

Николай Казанцев: Я люблю open source продукты. Они требуют больше времени на наладку и внедрение, но позволяют получить быстрый эффект без закупок. Необязательно сразу покупать российские аналоги, можно поискать бесплатное ПО.

А еще - не бойтесь просить у вендоров временные лицензии. Можно за один день получить нужные лицензии, развернуть продукты и защитить инфраструктуру. Мы сейчас искали альтернативу для системы межсетевого экранирования. Один вендор нам ответил в тот же день, выписал лицензию и дешево предложил внедрение, а другой отвечал неделю на наш запрос цены. Люди на стороне вендора — это важная история, когда ты знакомишься с новым продуктом и все это внедряешь.

Cyber Media: Мне кажется, это важная информация для вендоров или компаний, которые хотят потенциально с вами начать работу...

Николай Казанцев: Чем больше годовая выручка вендора, тем меньше внимания он обращает на работу с клиентом «здесь и сейчас». Но уже 2022 год и нужно иметь возможность в мессенджере в реальном времени получить какой-то ответ. Вендорам нужно быть ближе к своему клиенту.

«Текущая ситуация позволила найти большее понимание с бизнес-подразделениями, потому что из каждого утюга говорят про взломы, про кибербезопасность. И тебе не нужно всё это объяснять. Люди и так уже знают, понимают.»

Cyber Media: С 24 февраля количество атак увеличилось. Как вам кажется, всё дальше будет развиваться?

Николай Казанцев: Сам факт этих атак я, как безопасник, расцениваю позитивно. Для нас это было прекрасным вызовом и возможностью проверить системы. Текущая ситуация позволила найти большее понимание с бизнес-подразделениями, потому что из каждого утюга говорят про взломы, про кибербезопасность. И тебе не нужно всё это объяснять. Люди и так уже знают, понимают.

Cyber Media: Как сейчас выстраивать систему безопасности так, чтобы бизнес не просто какой-то софт получил, но сохранил и даже стал увеличивать свой оборот.

Николай Казанцев: Первое — не бойтесь выйти из зоны комфорта и пойти по подразделениям. Общайтесь с руководителями всех подразделений компании. В результате такого общения мы узнаем много нового о компании и приближаем бизнес-подразделения.

Второе — всё, что вы делаете, описывайте через защитные меры. Эти защитные меры обосновывайте через риски безопасности и исполнение требований регуляторики. Такое обоснование позволяет бизнесу легче принять решение о необходимости инвестиций в безопасность. А иногда наоборот, понять, что траты неэффективны и вовремя от них отказаться.

Третье — внедрите процесс управления рисками. По моей статистике, лишь 20% служб безопасности хоть как-то ведут этот процесс. На самом деле это несложно, но позволяет глубже понять и показать, что же действительно важно для безопасности компании.

Четвертое – перенимайте опыт коллег и не ленитесь сами делиться наработками, будь то риски безопасности, проекты защитных мер, документов, скриптов.

Много ошибок и граблей уже пройдено в рынке ИБ, которыми можно и нужно делиться. Мы с командой энтузиастов сделали для этого сервис управления информационной безопасностью, в котором все участники комьюнити могут свободно и бесплатно обмениваться знаниями о рисках и проектах защитных мер.

Cyber Media: Какая аудитория получит пользу от вашего сервиса?

Николай Казанцев: Это сервис, облачный и локальное ПО, для служб безопасности, в котором можно автоматизировать ключевые процессы: управление рисками, контроль соответствия требованиям, учет активов, управление техническими уязвимостями, задачами и процессами. По сути, это полноценная sGRC-система, и она полезна для служб безопасности, которые начали тонуть в своей рутине, которые устали от множества Excel файлов, но не готовы, финансово или идеологически, платить десятки миллионов за сложные Enterprise sGRC продукты.

Для нас это вклад в сообщество служб безопасности, поэтому в нашем сервисе открыта бесплатная регистрация с полноценным функционалом. Есть более сложные варианты подписок. Но мы никак не ограничиваем наших пользователей, чтобы можно было обмениваться теми крупицами знаний, которые мы все наработали, делая наши системы защиты лучше.