Журнал "Information Security/ Информационная безопасность" #3, 2018

Во время трансформации департаментов перед нами стояла глобальная задача – воспитать новое поколение сотрудников, которые пред- ставляли бы из себя некий симбиоз бизнес + разработ- чик + безопасник. Понима- ние должно было прийти к каждому из участников: биз- нес должен был понять, что такое разработка (включая моменты и ограничения ИБ), а разработка – научиться понимать бизнес и его бизнес-процессы. – Многие руководители ИТ- и ИБ-подразделений отмечают нехватку ква- лифицированных кадров. Как в WILDBERRIES вы решаете эту проблему? – Не хватает – это правда. И беда здесь не в отсутствии или плохой доступности информации об ИБ, а, с одной стороны, в отсутствии в ряде случаев должного желания и стремления самих специали- стов развиваться. С другой стороны, количество измене- ний, которые претерпевают современные и быстрорасту- щие информационные систе- мы, настолько велико, что нереально содержать такое количество ИБ-специалистов, чтобы успевать за этими изме- нениями. Для себя мы нашли выход в том, чтобы делегировать ИБ- проверку конечного продукта на более ранних стадиях. К примеру, на стадии разра- ботки, если говорить о Web- приложении. Это становится возможным за счет посто- янной и системной кооперации с разработчиками в области безопасной разработки, а также с отделом глобальных ресурсов и отделом админи- стрирования. На наших встречах с новыми ИТ-сотрудниками компании мы делимся информацией о собственных внутренних стандартах безопасного взаи- модействия с внешними сер- висами. Разбираем случаи неправильных подходов с объ- яснением, почему так нельзя и к чему это может привести. Данный подход не ликвиди- рует позицию ИБ-специалиста в компании, он в значительной мере помогает. – Человеческий фактор по-прежнему остается одним из самых сложно контролируемых элемен- тов в ИБ. Как вы решили проблему осведомленно- сти сотрудников по части информационной без- опасности? Удалось ли вам превратить сотруд- ников в сознательных пользователей, которые не создают лишних про- блем безопасникам? – Человеческий фактор, к сожалению, есть и будет. Поэтому хочется сказать, что в стенах нашей компании, несмотря на прилагаемые уси- лия, этот вопрос не закрыт: появляются новые сотрудники, новые технологии, новые внешние партнеры и т.д. Для нас вопрос человеческого фактора – это постоянная работа, он постоянно открыт. Ставим своей целью донести до людей, как сотрудников, так и клиентов, информацию о базовых вещах: социальная инженерия, "торговля стра- хом". Считаю, что смысл этих понятий, как самых распро- страненных, нужно более доходчиво доносить до сотруд- ников, чтобы они становились теми самыми сознательными пользователями. Мы идем этим путем, но не уверен, что проблем у безопасника станет меньше, ведь компания растет. Про человеческий фактор в разработке – OWASP, OWASP и еще раз OWASP. – Работаете ли вы над повышением грамотности в области информацион- ной безопасности с ваши- ми клиентами? Как вы это делаете? – Да, такая работа в стенах компании проводится. Так уж сложилось, что информации по повышению уровня осве- домленности в области ИБ много, а время на ознакомле- ние и готовность к восприятию этой информации у клиентов не всегда имеются в том объе- ме, в котором нам бы хоте- лось. Но мы не отступаем. Помимо стихийных e-mail-рас- сылок с предупреждениями о возможных угрозах мы заве- ли специальный раздел о ИБ на нашем сайте. В данном разделе стараемся коротко и по делу донести до людей информацию о мерах пред- осторожности. Кроме того, планируем запуск подсказок в стиле "знаете ли вы", кото- рые будут появляться при входе в личный кабинет, так как привод людей на стра- ничку по ИБ – это особая история. В первую очередь обращаем внимание клиентов на то, что использование одинаковых паролей на разных ресурсах, к примеру на нашем сайте и на серверах e-mail, может при- вести к доступу к их личному кабинету различного рода хулиганов, и это произойдет не по нашей вине. Ведь дело в том, что не все операторы сторонних сервисов (e-mail- операторы, интернет-сообще- ства, различные форумы) при- шли к тому, чтобы хранить не пароли клиентов, а, к примеру, результаты выполнения хеш- функций от пароля. В резуль- тате такого подхода в сеть уходят, в частности, автори- зационные данные. Совсем необязательно, что данные ушли по причине кибератаки на подобного рода ресурс, – это вполне мог сделать нечи- стый на руку администратор. Стараемся находиться в постоянном контакте с наши- ми клиентами, в частности, по вопросам информационной безопасности. Принимаем пожелания. Так, на нашем сайте в какой-то момент появилась двухфакторная авторизация – по связке логин/пароль + код из СМС. – Какие рекомендации вы можете дать нашим читателям по обеспече- нию ИБ в ритейле? – Не ленитесь проводить работу по повышению уровня осведомленности в области ИБ для своих клиентов. Обра- щайте внимание ваших Web- разработчиков на проект OWASP – даже сегодня не все опытные разработчики знают о существовании этого про- екта, а зря. Не подвергайте бизнес опас- ности – проверяйте своих партнеров. К примеру, у нас есть история взаимодействия с одним крупным отечествен- ным оператором постоматов, который сэкономил на инфор- мационной безопасности, в результате чего произошли потери. Как выяснилось, даже связку логин/пароль своих партнеров оператор хранил в открытом виде в своей системе, к которой имели доступ все менеджеры по про- дажам. Наряду с предостав- лением API по HTTPS была доступна версия API с исполь- зованием протокола HTTP. Как позже выяснили, выдан- ный нам пароль со строчными и заглавными буквами с циф- рами оказался регистронеза- висимым, что существенно сокращало количество комби- наций для перебора со сторо- ны потенциальных вредите- лей. l 8 • В ФОКУСЕ Ваше мнение и вопросы присылайте по адресу is@groteck.ru