Сергей Белан: Кибербезопасность как искусство
Сергей БеланНачальник управления защиты информации
ОАО «Белорусская универсальная товарная биржа»Почему безопасность — это командная игра, а будущее ИТ за молодежью и искусственным интеллектом? В интервью журналу IT Manager Сергей Белан, начальник управления защиты информации ОАО «Белорусская универсальная товарная биржа», рассказал, как балансировать между безопасностью и бизнес-целями, почему AI — это шанс обогнать конкурентов и как строить культуру ответственности за ИБ внутри команды.
Много говорится о необходимости импортозамещения в ИТ. Насколько реально достичь полной независимости от западных технологий? Есть ли риск снижения качества или увеличения издержек?
Если взглянуть на крупнейшие компании мира с высокой капитализацией, можно заметить, что в топе находятся ИТ-компании из разных стран, но из СНГ нет ни одной . Если говорить о богатейших людях мира, среди них выделяется Илон Маск. Он запускает в космос ракеты, производит электромобили и планирует колонизировать Марс, однако без исследований Циолковского вряд ли всё это стало бы возможным.
Я убежден, что импортозамещение — это вызов, который подтолкнет нас к технологическому рывку. Да, на первом этапе неизбежны различия между нашими технологиями и западными. Но пройдет немного времени, и я уверен, что многие западные компании захотят сотрудничать с нашими производителями.
Возвращаясь к вашему вопросу, заменить сразу все западные технологии действительно сложно. Например, Windows или Microsoft Office — это глобальные продукты, и их полная замена требует больших ресурсов. Поэтому важно определить критические точки, на которых нужно сосредоточить усилия, и целенаправленно двигаться в направлении их реализации.
У нас, например, есть указ главы государства о цифровом развитии. Он определяет приоритетные сферы цифровизации: промышленность, образование, здравоохранение, транспорт, связь, строительство, сельское хозяйство, торговля, государственная статистика и другие сферы.
В рамках этой стратегии мы работаем над проектами модернизации автоматизированных систем. Один из них — учет средств наружной рекламы. Благодаря этой системе размещение рекламы станет проще и вся информация будет доступна на едином портале электронных услуг.
Другой проект — система анализа цен, которая поможет оценивать инфляционные процессы, их причины, условия формирования и позволит органам власти и управления своевременно принимать упреждающие меры.
Вы сотрудничаете с белорусскими и российскими разработчиками программного обеспечения. Как вы считаете, есть ли между ними достаточная конкуренция для стимулирования инноваций или ее пока недостаточно?
На рынке очень много запросов на разработку того или иного современного софта: время летит очень быстро, любой функционал устаревает мгновенно, а потребности растут. Для этого у разработчиков программного обеспечения должны быть соответствующие компетенции, долгосрочная стратегия развития и умение работать с клиентом на «длинных дистанциях». При этом рынок предложений своих услуг со стороны разработчиков абсолютно не пустой и для того, чтобы соответствовать современным реалиям, нужно постоянно совершенствоваться. Это однозначно стимулирует и конкуренцию, что в свою очередь позволяет ребятам с нестандартным мышлением и подходами развиться в конкурентной среде и разрабатывать новые продукты! Слабые либо «однодневки», без правильных бизнес-процессов и ориентиров, не «выживают».
Импортозамещение как драйвер экспорта: куда движется российская индустрия ПО
Это объективная реальность современных Беларуси и России, это однозначный рост, который в том числе подтверждается на практике в каждом совместном проекте.
Без сомнения, цены растут, а денег больше, кажется, не становится. Как вы оправдываете крупные вложения в цифровизацию? Может ли быть дешевле использовать традиционные методы, если бюджет ограничен?
У нас есть государственная программа «Цифровое развитие Беларуси» на 2021 – 2025 годы, которая определяет направления цифровизации, и мы выполняем ее. Средства на это заложены, но важно использовать их максимально рационально.
При разработке технических заданий и внедрении решений мы стараемся обеспечить баланс между качеством, безопасностью и экономией. Если проект удается завершить дешевле запланированного, это однозначно большой плюс.
В области кибербезопасности применяется риск-ориентированный подход. Сначала проводится анализ, что именно нужно защищать, сколько это стоит и какие ресурсы потребуются для защиты. Затем определяются необходимые меры.
Важно отметить, что с помощью грамотных инженеров можно добиваться значительной экономии. Бывает, что уже имеющееся решение дорабатывается для защиты большего периметра, и это обходится дешевле, чем внедрение чего-то нового. Наши специалисты, будь то белорусы или россияне, невероятно изобретательны. Их инженерные находки позволяют использовать минимум средств для достижения максимального результата. Читайте также
Реально ли компенсировать внедрение отечественного ПО на предприятиях субсидиями и грантами от государства? Инструкция для представителей производственных предприятий от IT-World.
Но человек остается самым слабым звеном в системе. Как вы работаете с человеческим фактором? Реально ли защитить систему, если слабое звено — это человек?
Да, вопрос справедливый. При приеме на работу необходимо проводить инструктаж по информационной безопасности. После этого целесообразно для сотрудников провести тестирование для допуска к работе с информационными системами.
Кроме того, у нас разработана обучающая платформа, где представлены курсы по информационной безопасности. Работники могут в любой момент зайти, посмотреть материалы, уточнить непонятные моменты. Если возникает вопрос, всегда можно обратиться к специалистам по защите информации. Например, если сотруднику пришло что-то подозрительное, он может позвонить, уточнить и получить рекомендации.
Основная задача по минимизации угроз лежит на наших инженерах по информационной безопасности. Именно они настраивают средства защиты так, чтобы вирусы и другие угрозы не доходили до конечного пользователя. Даже если угроза проскользнет, организована эшелонированная оборона, которая минимизирует риски. Важно понимать, что если вирус дошел до работника, это не только его ошибка, но и упущение со стороны службы информационной безопасности. Однако благодаря многоуровневой защите риски сведены к минимуму. Если пользователь все-таки открыл вредоносный файл, есть планы реагирования и дополнительные механизмы, которые позволяют обезопасить предприятие.
Таким образом, ключевые аспекты — это обучение работников, настройка защиты и эшелонированная оборона. Ну и, конечно, некоторые профессиональные «фишки», которые мы применяем для минимизации рисков.
Скажите, вы проводите тестирование на проникновение, так называемый «белый хакинг»?
Да, конечно, мы регулярно проводим такие тесты. Мы сами проверяем систему на уязвимости, а также периодически привлекаем сторонние организации для независимой оценки. Однако важно не только тестирование на проникновение, но и глобальный аудит всей информационной системы.
Невидимые угрозы: почему сотрудники могут стать киберриском
Что подразумевается под аудитом? Во-первых, это наличие локальных нормативных актов, которые регламентируют порядок работы. Например, что разрешено пользователям, какие пароли устанавливаются, как часто они меняются. Всё это должно быть четко прописано, чтобы минимизировать риски.
Во-вторых, постоянный мониторинг всей инфраструктуры: состояние серверов, систем хранения данных, коммутационного оборудования. Нужно понимать, насколько это оборудование соответствует требованиям, насколько оно надежно и устойчиво к сбоям.
В-третьих, внимательное изучение используемого программного обеспечения, оценка существующих угроз и способы их устранения. Регулярное проведение сканирования на наличие уязвимостей и их своевременное устранение.
Таким образом, мой подход к безопасности — это не только проверка системы, но и комплексный анализ всей инфраструктуры.
Хочу поговорить о корпоративной культуре. Как у вас разработчики, архитекторы систем и администраторы относятся к вопросам информационной безопасности? Насколько велика их ответственность за это? Часто ведь бывает, что безопасность воспринимается как дело только специалистов по защите информации.
Это очень точный вопрос. У нас этот процесс строго регламентирован. Чтобы избежать размытости обязанностей или личных договоренностей, разработан четкий регламент взаимодействия. В нем прописано, кто на каком этапе за что отвечает, как согласовывается техническое задание, кто проверяет аспекты безопасности.
Например, разработчики, проектируя техническое задание, сразу обращаются к нам за консультацией: что по безопасности нужно учесть. Мы даем рекомендации, которые они внедряют, а затем согласовываем финальный вариант. На этапе разработки продукта они также периодически привлекают нас как экспертов. Когда продукт готов, он передается на тестирование, где мы проверяем его на соответствие требованиям безопасности. Таким образом, безопасность учитывается на каждом этапе — от разработки до сдачи продукта.
Я сторонник системного подхода. Все процессы должны быть задокументированы, обязанности каждого сотрудника четко определены. Так обеспечивается порядок и минимизируется зависимость от человеческого фактора.
А если человек уходит из разработки? У вас всё задокументировано, чтобы спокойно передать работу другому?
Да, это обязательно. Мы исключаем ситуации, когда только один сотрудник знает, как работает та или иная система. На каждом направлении минимум два человека, которые могут заменить друг друга. Если один в отпуске или заболел, его страхует коллега. А если возникнет форс-мажор, есть и третий сотрудник, который сможет закрыть задачу. Читайте также
Максим Смирнов: «Безопасный город». Путь к автоматизации процессов Какие направления сегодня являются приоритетными для обеспечения городской безопасности в российских регионах, почему в этом вопросе важна стандартизация и координация между федеральным центром и региональными властями, а также о многих других аспектах программы «Безопасный город» рассказал Максим Смирнов, руководитель направления «Безопасный город» компании «Росатом инфраструктурные решения».
Всё закреплено в должностных инструкциях. Такой подход позволяет не только дублировать ключевые функции, но и обеспечивать резерв. Мы все помним, как во время пандемии ковида многие сотрудники были недоступны. Поэтому я считаю, что начальник должен разбираться во всех направлениях своей команды. Если случится нештатная ситуация, он сможет взять управление на себя и обеспечить выполнение основных задач.
Многие компании закладывают в бюджет риски утечек и штрафов. Как вы относитесь к такому подходу?
Это и есть риск-ориентированный подход, который необходимо использовать. Например, если стоимость защиты какой-то системы оказывается выше, чем потенциальные потери от утечки данных, это становится важным аргументом. Однако целесообразно обязательно учитывать репутационные риски, которые могут оказаться гораздо дороже прямых потерь.
Как безопасник, я всегда выступаю за максимальную безопасность, но бизнес требует баланса: надежная защита при минимальных затратах. Следует анализировать, какие меры защиты оправданы, сколько они стоят и какие убытки можно понести в случае утечки.
Если бюджет ограничен и нет возможности приобрести определенные средства защиты, важно найти компенсирующие меры, используя внутренние ресурсы и креативные решения инженеров. Это позволяет эффективно минимизировать риски даже в сложных условиях.
Скажите, пожалуйста, про подход Security by Design. Насколько он применим для государственных или крупных коммерческих компаний?
Security by Design — это ключевой принцип, который мы давно внедрили. Например, в рамках разработки систем для анализа цен и учета средств наружной рекламы аспекты безопасности закладываются уже на этапе проектирования. Всё фиксируется в документации.
Создание системы без учета безопасности — это заведомо провальный подход. Мы не можем позволить себе, чтобы данные оказались под угрозой. Поэтому безопасность проектируется с самого начала, а не добавляется в конце как дополнительный элемент. Это обязательный стандарт для любых современных ИТ-систем.
И, наконец, давайте поговорим о будущем. Какие, на ваш взгляд, будут главные вызовы в кибербезопасности на ближайшие пять лет?
Мы видим, как цифровизация проникает во все сферы жизни. Чем больше данных собирается и обрабатывается, тем выше риск утечек. Особенно это касается чувствительной информации.
Еще один вызов — развитие искусственного интеллекта. Он внедряется повсюду и злоумышленники начинают использовать его для атаки на системы. Это открывает новые возможности для кибератак, которые становятся сложнее и масштабнее с каждым месяцем.
В то же время искусственный интеллект — это мощный инструмент для защиты. В ближайшие пять лет я ожидаю, что AI будет всё активнее применяться в кибербезопасности. Он позволит в разы быстрее выявлять угрозы, автоматически их нейтрализовать и сократить зависимость от человеческого ресурса.
Для нас это отличная возможность обойти западные и китайские технологии. Если отечественные компании смогут разработать конкурентоспособные решения на базе AI, мы получим серьезное преимущество на глобальном рынке.
А искусственный интеллект в атаках?
Да, я убежден, что искусственный интеллект будет всё активнее использоваться в кибератаках. Именно поэтому его нужно применять и в защите информации. Это не только вызов, но и точка роста, которая может позволить нам опередить конкурентов.
ИИ в критической инфраструктуре: помощник или угроза?
Кроме того, искусственный интеллект можно внедрять в «белый хакинг». Например, он способен моделировать атаки, выявлять уязвимости и сразу предлагать, какие изменения необходимо внести в систему. Если дополнительно настроить AI на автоматическое устранение таких уязвимостей, это будет прорывной подход. Читайте также
Можно ли превратить Open Source в двигатель российской IT-разработки? О причинах, препятствующих созданию крупных продуктов в российском Open Source, о локальных успехах в этом направлении и путях развития сообщества рассказывает IT-World.
А что насчет кадров? Вы видите здесь вызовы в ближайшие пять лет?
Очень актуальная тема. Когда я работал в Национальном банке Республики Беларусь, мы разрабатывали альтернативу SWIFT совместно с Центробанком России и Финтехом. Уже тогда, в 2019 году, мы столкнулись с проблемой нехватки квалифицированных специалистов.
Часто компании соревнуются за ключевых сотрудников, переманивая их друг у друга. Это гонка зарплат, которая не решает проблему системно. Однако в Беларуси есть сильные образовательные учреждения, такие как Белорусский государственный университет информатики и радиоэлектроники, Белорусский государственный университет, которые готовят талантливую молодежь.
Мой подход заключается в том, чтобы вокруг каждого ключевого сотрудника формировать команду из двух-трех молодых специалистов. Наставничество помогает быстро обучить их: за два года они уже становятся самостоятельными специалистами, которые могут брать на себя важные задачи.
Да, кто-то из них может уйти. Но если из трех человек остается один, а мы снова обучаем новых, система масштабируется. Важно, чтобы опыт передавался, а компания оставалась устойчивой.
В ИТ-компаниях часто избегают обучения, так как это отвлекает ключевых специалистов, которые должны быть менторами для джуниоров. Многие компании жалуются, что джуниоры уходят, как только наберутся опыта.
Понимаю, но, на мой взгляд, это вопрос философии. Современная молодежь приходит за опытом, а не за высокой зарплатой. Если они уходят, то делают это, чтобы создавать что-то полезное в другой компании.
Я немного идеалист в этом плане. Если человек уходит, он не исчезает из индустрии — он идет работать в другую ИТ-компанию, где создает продукты, которые в конечном счете приносят пользу всем. Да, кто-то уйдет, но я уверен, что мы сможем подготовить новых специалистов, которые будут двигать отрасль вперед.
Ольга ПоповаГлавный редактор IT Manager