Артем КалашниковЭксперт по кибербезопасности В информационной безопасности больше нет внутренних тем. От зрелости подрядчиков до поведения сотрудников — все напрямую влияет на устойчивость бизнеса. Компании выстраивают доверие внутри экосистем, ищут баланс между контролем и удобством, осторожно пробуют ИИ и пересматривают отношение к open source. Известный эксперт по кибербезопасности Артем Калашников объясняет IT-World, почему ИБ должна проектироваться вместе с бизнесом, что мешает автоматизировать контроль и как культура становится реальным инструментом, а не лозунгом.
На PHDays вы говорили про «перекалибровку» отраслевых событий под более широкую аудиторию. Чего, на ваш взгляд, сегодня не хватает нашим ИБ-конференциям — открытых разборов инцидентов, практических воркшопов, дискуссий с бизнесом?
Если я тогда говорил про «перекалибровку», то, возможно, имел в виду следующее. Тематика кибербезопасности сегодня неизбежно становится шире. Информационная безопасность все плотнее встраивается в бизнес-процессы — это развитие в сторону security by design, когда безопасность закладывается с самого начала. Поэтому обсуждать ее нужно не в узком профессиональном кругу, а вместе с бизнесом.
Здесь важен баланс: с одной стороны, требования регуляторов, с другой — потребность компаний делать сервисы максимально удобными. Два-три клика, две-три секунды — и пользователь получает, что хочет. Но за этой простотой всегда стоит сложная внутренняя работа по защите данных.
Вот почему такие дискуссии нужны. Чтобы все понимали: есть не просто ИБ и не просто бизнес, они неразделимы. И решения нужно искать вместе, начиная с этапа проектирования продуктов и процессов.
В одном из интервью как независимый эксперт вы отмечали особую сложность ИБ в экосистемах: единая архитектура, но разная зрелость участников. Какие два организационных принципа реально «склеивают» такой контур?
Во-первых, надо признать, что само понятие «экосистема» у нас до конца не определено. Нет какого-то единого, жестко закрепленного определения. Но даже если мы создаем единый ландшафт для всех компаний — я сейчас не говорю о том, чтобы всех загонять на одну инфраструктурную платформу, — все равно уровень зрелости у участников будет разный.
Причины понятны. Где-то не хватает кадров, где-то — финансов, чтобы нанять сильных специалистов и внедрить хорошие средства защиты. У кого-то недостаточно компетенций для выстраивания процессов и подготовки документации, у кого-то — для контроля их выполнения. Все это вместе создает сложности при выравнивании общего ландшафта.
Как и в теории надежности, общая устойчивость системы определяется самым слабым элементом. В безопасности то же самое: если в экосистеме есть хотя бы одна компания с низким уровнем зрелости, именно через нее, скорее всего, и произойдет инцидент. Поэтому нужен некий зонтичный подход, который позволяет держать уровень безопасности на минимально допустимом уровне для всех.
Второй принцип — это единая инфраструктура, общая для компаний экосистемы. Когда весь ландшафт сосредоточен в одном месте, а участники работают в едином контуре, управлять безопасностью проще. Конечно, остаются риски, так внутри компаний могут быть слабые процессы или не до конца выстроенные документы. Но это меньшая угроза, чем ситуация, когда каждая компания строит свою систему в отрыве от общих стандартов и процессов. Именно такое разобщение и создает наибольшие риски для всей экосистемы.
Правильно ли я понимаю, что ваша позиция в том, что технологии мало помогают, если нет культуры ИБ? Какие практики быстрее всего меняют поведение сотрудников? «Красные команды», tabletop-учения, геймификация? MSI PRO DP80 MP: офисный десктоп с уклоном в управляемость и безопасность Михаил Красильников: «Я вижу будущее за развитием единого суперсервиса» Сергей Лебедев: «Когда скорость решает все: зачем экономике 2025 года нужен low-code»
Культура информационной безопасности — это такая же культура, как и норма этического поведения работодателя. Это часть общей корпоративной культуры. От того, как в компании выстроен процесс выполнения требований информационной безопасности, напрямую зависит, насколько эти требования реально соблюдаются.
Важно и то, как человек сам относится к защите своей информации. Если он в повседневной жизни ведет себя достаточно развязно — спокойно делится личными данными, не задумывается о рисках, — то вряд ли сможет по-настоящему встроиться в выполнение требований безопасности внутри компании. Здесь прямая связь, потому что осознанность начинается с себя и дальше переходит в корпоративные ценности.
Обучение и вовлечение сотрудников в культуру ИБ можно организовать по-разному. Хорошо работает геймификация, людям, в целом, нравится играть, просто игры с возрастом становятся другими.
Используются и фейковые email-рассылки, которые запускает служба безопасности, чтобы понять, насколько сотрудники осознают риски и соблюдают требования. «Красные команды» — это тоже эффективный инструмент, но немного о другом. Они показывают, какие уязвимости реально существуют и что может произойти, если элементарные правила не выполняются.
Помогают и разборы конкретных кейсов, которые уже случались. Они позволяют закреплять в сознании сотрудников определенные схемы поведения и понимание ответственности: что произойдет с компанией, если требования безопасности будут игнорироваться, и как это в итоге скажется на каждом сотруднике. Читайте также
Национальная платежная система: от карточного бума к зрелости рынка Российская платёжная система вступила в стадию зрелости. Количественный рост замедляется на фоне качественных сдвигов, население всё активнее использует цифровые каналы, а бизнес адаптируется к новым реалиям. В ближайшие годы можно ожидать ещё большего распространения сервисов СБП, внедрения новых сценариев безналичной оплаты и дальнейшего снижения роли наличных.
Практик много, и лучше всего они работают в комбинации. Важно подбирать подходы под специфику бизнеса, отрасли и уровень зрелости компании и ее людей. Тогда культура безопасности действительно становится частью общей корпоративной среды, а не формальной обязанностью.
На что вы в первую очередь обращаете внимание при оценке подрядчиков и поставщиков? Какие сигналы становятся решающими в принятии решения о сотрудничестве? Можете привести пример, когда подход к due diligence подрядчиков реально помог снизить риск? Какие факторы сыграли ключевую роль?
Как мы уже говорили, в экосистемах уровень защищенности оценивается по самому слабому звену. Примерно то же самое справедливо и для подрядчиков с поставщиками. Поэтому первичное внимание всегда уделяется оценке состояния их информационной безопасности — насколько они зрелы, какие у них процессы, документы, контрольные процедуры.
Эта оценка может проводиться по-разному. Иногда мы используем результаты последнего аудита, который подрядчик проходил у какой-то сторонней компании. Иногда проводим собственную проверку, но, конечно, по согласованию с самим подрядчиком или поставщиком. Смотрим, какие у него внутренние нормативные документы, как выстроены процессы, есть ли назначенные ответственные, как реализовано управление инцидентами.
У многих крупных организаций есть собственные стандарты информационной безопасности, распространяемые на всю экосистему. Такие стандарты вполне можно использовать и при работе с партнерами. Это не юридический документ в строгом смысле, но он помогает обеим сторонам понять, на каком уровне сейчас находится подрядчик и готов ли он к информационному обмену в рамках проектов.
Дальше уже из этой оценки формируется весь диалог. Подрядчик понимает, какие требования к нему предъявляются и где нужно подтянуть процессы. Иногда аудит помогает выявить вещи, которые сам подрядчик просто не замечал или оценивал иначе. В результате получается эффективная связка: обе стороны лучше понимают друг друга и могут выстроить взаимодействие на понятных правилах и уровне зрелости.
Это хороший, рабочий инструмент, который реально снижает риски. Главное, чтобы он применялся по взаимному согласию, с открытостью и готовностью к улучшению, а не в формате формальной проверки «для галочки».
Поговорим об ИИ. Где искусственный интеллект у вас уже «в деле» (T1–T2 анализ, корреляция, антифрод-модели), а где вы пока не видите экономического смысла?
Искусственный интеллект — штука, конечно, замечательная. Не то чтобы хайповая, но в некоторых областях действительно приносит пользу. В разных отраслях степень его интеграции и применения разная. Например, в ИТ, в продажах, в аналитике роль ИИ уже достаточно велика. А вот в безопасности пока, конечно, не так широко применяется.
Это связано с массой нюансов: с контролем корректности работы, с вопросами, где именно его можно использовать, какую информацию он обрабатывает и какие уязвимости при этом возникают. Безопасность — вещь достаточно консервативная в плане внедрения инноваций. Здесь на первом месте стоит контроль, достоверность данных и возможность принимать взвешенные, обоснованные решения.
Поэтому чаще всего ИИ сейчас используется в системах анализа — но даже там результаты перепроверяются. В антифрод-системах, да, искусственный интеллект применяется у многих компаний, особенно у тех, у кого большие массивы данных и огромное количество клиентов. Там, где нужно быстро обрабатывать большие объемы информации, выстраивать корреляции, логические цепочки, проверять их соответствие правилам антифрод-систем и требованиям регуляторов, без ИИ уже тяжело. Эффективность таких решений доказана, главное — сохранять баланс между удобством для клиента и задачами по обеспечению безопасности.
С экономической точки зрения эффект, конечно, есть почти везде, где ИИ применяется. Вопрос только в масштабе и глубине использования. Но если говорить именно о безопасности, то здесь все упирается в контроль и проверяемость.
Классические системы раньше работали по принципу черного ящика: есть входные данные, есть выходные, и если на выходе получаешь то, что ожидалось по эталону, значит, система работает правильно. С искусственным интеллектом ситуация другая. Каждое прохождение данных через модель уточняет внутренние связи: появляются новые логические цепочки, данные могут обогащаться, меняться или даже искажаться.
Вот в этом и заключается основная сложность — в контроле. Классические методы, которые применялись в информационной безопасности, здесь не работают. Поэтому пока технологии не дойдут до состояния, когда внутри самого искусственного интеллекта появится встроенный механизм самоконтроля, относиться к его широкому применению в безопасности, да и в других отраслях, где важны консистентность и достоверность данных, нужно с осторожностью.
Какие open-source-инструменты в ИБ показали себя надежными на проде и как вы закрываете комплаенс-риски при их использовании? Читайте также
Обзор мониторов для бизнеса на рынке России Российский рынок мониторов демонстрирует устойчивый рост. В числе ключевых трендов — выход в массовый сегмент моделей с высоким разрешением. Наряду с проверенными международными брендами, такими как Acer, Samsung и MSI, активную позицию занимают отечественные производители, делающие ставку на импортозамещение и развитие собственных технологий. В этом обзоре IT-World рассматривает предложения ряда брендов, доступных на российском рынке, чтобы помочь вам сориентироваться в многообразии технологий и найти оптимальное решение под конкретные задачи и бюджет.
Я вам так скажу: open source — история очень хорошая, конечно. Во-первых, не требует затрат, и многим компаниям, а также вендорам — у них здесь своя небольшая хитрость — использование таких инструментов существенно экономит бюджет. Но при этом надо понимать, что open source, с моей точки зрения, не обладает мерой ответственности, если через этот инструмент произойдет какой-то инцидент, который приведет к ущербу. Поэтому многие компании стараются не так широко, а то и вовсе практически не использовать open-source-решения, поскольку им важно понимать, что есть вендор, который предоставляет продукт и несет ответственность за то, что случится, в том числе если всплывут уязвимости, раньше никем не замеченные.
Тестирование open source на проникновение/уязвимости тоже во многих случаях проводится несистематически и нерегулярно. Поэтому здесь палка о двух концах: естественно, нужно понимать, какие риски компания на себя принимает, а какие готова митигировать и парировать. Соответственно, это решение полностью зависит от risk-модели каждой конкретной компании — где риски просчитаны, на что она готова пойти, чтобы принять риск или минимизировать его.
В итоге все отдается на откуп самой организации и тем инструментам и бюджетам, которыми она готова владеть и пользоваться при реализации своих ИТ-ландшафтов и ландшафтов по информационной безопасности.
Журнал IT Manager
Ольга ПоповаГлавный редактор IT Manager
Информационная безопасностьИскусственный интеллект (ИИ, AI)Киберугрозы