Журнал "Information Security/ Информационная безопасность" #1, 2021

– Возрастающая скорость циф- ровизации – положительный фак- тор? К чему в итоге это приведет? – Конечно. Мы движемся к тому, что системы становятся все более совер- шенными, надежными и безопасными, и скорость цифровизации вынуждает нас уделять все больше внимания интегри- рованной безопасности, безопасности по природе. Без этого уже сейчас невоз- можно обеспечить адекватную инфор- мационную безопасность бизнеса. Без- опасность – это один из базовых принци- пов, один из критериев качества, и нельзя его отрывать от общих подходов к обес- печению качества. Если мы посмотрим на материалы, которые готовятся нашими и иностранными государственными инсти- тутами, то увидим, что в них делается акцент на комплексном подходе к каче- ству, включая требования к безопасности. Причем западные регуляторы уделяют особое внимание обеспечению качества в условиях гибкой разработки Agile. Без- опасность – это неотъемлемая часть любой системы. Поэтому я категорически против того, чтобы обосабливать вопросы информационной безопасности, то есть терминологически отчуждать ее от общих подходов к обеспечению качества раз- работки. И я давно повторяю в разговорах со специалистами информационной без- опасности: хватит быть препятствием. Так и говорю: хватит тормозить бизнес, давайте думать, что мы можем дать биз- несу, как сделать его более безопасным. Наверное, не всем это нравится, ну уж извините, пора меняться, жизнь вокруг меняется все быстрей, перед бизнесом, а в последнее время и перед государст- вом стоит дилемма "Беги или умри". Другими словами, информационная без- опасность должна быть не ограничителем для развития бизнеса, а напротив – деблокиратором (enabler), позволяющим бизнесу двигаться быстрее, без пробок, без угроз, по безопасной траектории. То есть информационная безопасность должна создавать безопасную среду для работы информационных систем там, где и когда это необходимо. Самый главный положительный фак- тор этой скорости в том, что мы делаем нашу систему одновременно доступной для всех клиентов в любом месте, но это и главный отрицательный фактор, одновременно мы делаем ее доступной для атак со стороны всех злоумышлен- ников, увеличиваем поверхность атаки. Масштабы бизнеса меняются, откры- ваются новые возможности для зараба- тывания еще большего количества денег. Но, если не думать о безопасно- сти, одновременно увеличивается риск потерять уже заработанное. – Согласны ли вы с тем, что основными источниками утечек информации являются менедже- ры среднего звена? – Я бы сформулировал немного иначе: велика вероятность того, что утечка произойдет на уровне менеджеров сред- него звена. Потому что, во-первых, они многочисленны, а во-вторых, уровень их подготовленности в вопросах ИБ не все- гда на высоте. Но я считаю контрпродук- тивным возлагать на них всю ответ- ственность за это. Когда на данном уровне происходит утечка, это означает, что система безопасности была плохо продумана и выстроена. Ведь если модель угроз была выстроена правильно, если она адекватна реальной ситуации, то и утечка будет менее вероятна, а ущерб минимален. И кстати, не послед- нюю роль в этом играет сотрудничество между бизнесом и ИБ, создание надеж- ной защиты – не только вопрос безопас- ника, но также и вопрос выстраивания безопасных траекторий в бизнес-про- цессе. Очень часто угрозы безопасности можно минимизировать, перестроив биз- нес-процессы и внедрив соответствую- щие инструменты их автоматизации. Поэтому здесь правильнее говорить о четко выстроенной системе безопас- ности бизнес-процессов, поддерживае- мых безопасным ПО, а для этого стоит еще раз вспомнить про безопасность по природе. Как я уже говорил ранее, для создания безопасных информационных систем обеспечения бизнеса необходимо думать об их безопасности уже во время разработки. – Что является основополагаю- щим при выборе вендора, с кото- рым вам предстоит сотрудни- чать? Какие продукты вас инте- ресуют в первую очередь? – Прежде всего продукт должен рабо- тать. Поэтому мы тщательно испытываем все решения в собственной лаборатории до подписания дистрибьюторского конт- ракта. Там же мы в дальнейшем демон- стрируем системы и оборудование своим партнерам и конечным заказчикам. Затем я должен понять, какую пользу от его при- менения получит наш заказчик, и отсеять те продукты, которые не имеют потреби- тельской ценности для наших заказчиков. Ну и наконец, мы выбираем продукты, которые будут востребованы завтра, а это непростой выбор. Мы изучаем тенденции рынка, аналитические отчеты и прогнозы, общаемся с конечными потребителями, узнаем их потребности. Кроме того, я ста- раюсь не работать с теми продуктами, которые уже присутствуют на российском рынке: не понимаю, в чем смысл отбирать кусок пирога у действующего дистрибью- тора. В наш портфель попадает в лучшем случае одно решение из пяти рассмотрен- ных. Конечно же, бывают и ошибки, но это осознанный риск. Такая работа требует постоянного обучения, расширения экспертизы. Наши инженеры проходят обучение у вендоров и сертификацию в различных областях. Я сам постоянно обучаюсь, потому что предлагать нашим партнерам и клиентам можно только то, в чем сам хорошо раз- бираешься. По многим продуктам мы имеем собственных инструкторов и чита- ем авторизованные курсы. Сейчас, например, я изучаю SAFe – Scaled Agile Framework 5.0, уже получил сертификат SAFe 5 Agilist и готовлюсь к сдаче экза- мена на сертификат консультанта по внедрению SAFe – SAFe 5 SPC. Я счи- таю, что невозможно предлагать на рынке продукты по управлению разра- боткой, не имея соответствующей ква- лификации в этой области. – Как вы считаете, ситуация с коронавирусом отрицательно повлияла на бизнес или открыла новые возможности? – Действительно, ситуация с корона- вирусом и изменением экономического климата очень сильно повлияла и на наш бизнес – существенно снизились обороты, изменилась структура спроса. Но нужно осознать, что мы живем уже в новых условиях, назад пути нет, и сотруд- ники назад, в офисы, с удаленного режи- ма не вернутся. Буквально вчера я раз- говаривал с братом, который учится в лондонской бизнес-школе. Там всерьез говорят о том, что главная ошибка людей в современном мире – это надежда, что все будет как прежде, все вернется назад. Не вернется, привыкайте к новым условиям! Как говорил Гераклит, нельзя дважды войти в одну и ту же реку. Россия оказалась чуть больше подго- товленной к этим новым условиям, пото- му что наше государство имеет сравни- тельно высокий уровень цифровизации, к тому же мы с 2014 г. живем в критиче- ском окружении в условиях нарастаю- щего санкционного давления. Поэтому каких-либо катастрофических изменений в нашей жизни не последовало. Крупные мировые корпорации тоже не особо пострадали от этих новых условий, потому что уже давно работают удаленно, у них давно распределенная инфраструктура. У них есть головной офис, в котором, возможно, трудятся разработчики, финан- систы и т.д., но основная часть европей- ских офисов территориально распреде- лена. У некоторых компаний региональ- ные офисы располагаются в бизнес- центре аэропорта, причем исключительно для проведения деловых встреч и под- держания документооборота. Все сотруд- ники, даже имеющие там кабинеты, рабо- тают из дома, приезжая в этот офис только ради переговоров. Так что большинство западных компа- ний были готовы к подобной работе, как и многие российские компании. Техноло- гии-то у них имелись, но удаленная работа была скорее исключением в силу опреде- ленного консерватизма в подходах к обес- печению безопасности такой работы. В этих условиях оказались актуаль- ными средства обеспечения удаленной работы привилегированных пользова- 10 • В ФОКУСЕ