Вопросы ИБ в текущем моменте. Неформальная встреча Global CIO. Ч.2

Продолжим разговор про команду в условиях большой нагрузки на сотрудников. Есть ли поток увольнений, как поддерживают сотрудников в компании BI.ZONE.

Рустэм Хайретдинов: «Компания BI.ZONE изначально делалась под сервис и масштабирование этого сервиса. Сейчас нагрузка в основном из-за того, что у нас ежедневно подключается 5-10 новых клиентов. Есть компании, с которыми мы давно вели переговоры, а сейчас появляются незнакомые люди, которым кто-то передал мою визитку с какой-то конференции.

Да, у нас несколько человек уволились, но это люди, которые давно нас предупреждали, что они думают о смене работы. Просто события их подтолкнули, у них появились предложения, в том числе и с релокацией. Разоряются банки, иногда разоряются IT-компании, иногда западные компании тоже закрываются, и из них можно брать людей. Поэтому у нас есть небольшой исходящий поток, и есть входящий поток.

У нас технология вовлечения новых сотрудников, их воспитания была построена заранее под масштабирование, сейчас мы растём не только по клиентам, но и по людям, предпочитая брать готовые команды. То есть хотя бы 5 человек с лидерами и продажниками».

Какие шаги в настоящий момент надо предпринять компаниям, чтобы обеспечить информационную безопасность, стабильность в работе? На чем сфокусироваться сегодня?

Рустэм Хайретдинов: «Мы активно работаем с Минцифрой по поводу рекомендаций. Если вы читаете рекомендации Минцфры, то, в принципе, в них есть и то, что я сейчас скажу. У нас в этом плане очень адекватное министерство-регулятор. У нас сразу сделали штаб по кибербезопасности, он ежедневно заседает, и мы реагируем от их имени на ситуацию. Если говорить конкретно, то первое – нужно провести аудит цифровых активов, понять, какие критичные, какие могут подождать и куда бросить силы при недостатке ресурсов. Мы просто приоритезируем все цифровые системы, дальше пишем, на какой инфраструктуре они развёрнуты, кто обеспечивает безопасность, есть ли там софт иностранных производителей, кто из подрядчиков может подставить плечо, масштабировать.

Дальше надо посмотреть, что это за подрядчики, потому что сейчас даже очень устойчивые компании залетели либо на курсовые разницы по железу, либо на кредитные линии. И вполне возможно, что им через месяц-другой не из чего будет выплачивать людям зарплату. В этом смысле стать заложником того, что у подрядчика что-то плохо, тоже не хотелось бы.

Соответственно, если есть подозрения, то надо резервироваться, заводить второго, третьего подрядчика, и в этой ситуации думать о том, что вы можете быстро развернуть на своей стороне, надо только исходя из того, что это можно сделать на существующей инфраструктуре. Потому что где покупать сервера – непонятно, какой срок поставки – непонятно, а как долго вы будете нанимать людей – тоже непонятно. Поэтому лучше искать подрядчиков-сервисников.

Важно, чтобы если что-то случилось, мы подключились в течение получаса. Это значит, что надо пройти все процедуры NDA, получить доступ, утвердить и проверить канал связи, куда звонить и писать, провести небольшое тренировочное учение, и дальше мы встаём в режим «Standby».

Так сейчас делают все сервисные компании, потому что сейчас затевать внедрение CM – это бессмысленная тема, если у вас раньше его не было. Это делают за полгода. А вам надо реагировать прямо сейчас.

Соответственно, повторюсь: это инвентаризация, это аудит текущих средств защиты и подрядчиков и это резервирование. Вот то, что сейчас многие делают. Ну и надо выполнять рекомендации Минцфры – там тоже есть полезные советы, как отключить автоматические обновления и другие базовые вещи. В принципе, там плохого не напишут».

Андрей Нуйкин: «В целом, я согласен. Собственно, мы так и действовали: провели аудит того, что у нас есть в части ПО и в части оборудования. У нас порядка 11 направлений того, что мы смотрим, что изучаем. По этим 11 направлениям мы для себя нарисовали условный квадрат Гартнера – где у нас есть вероятность риска и его последствия. И на этой карте разместили кружочки разного объёма. Объём кружочка показывал масштаб проблемы – если он большой, значит там катастрофа, если это маленькая точечка, и она маловероятная, то её можно отложить на потом. За счёт этого мы смогли как-то ранжировать, что в первую очередь, что во вторую».

Что все-таки является самым срочным, что надо делать в первую очередь?

Андрей Нуйкин: «У нас в топ попало, в первую очередь, ПО и оборудование информационной безопасности – это вся защита и оборона, это АСУ ТП-шные вещи, потому что это производство, и если оно выйдет из строя, то всё остальное будет не нужно.

И дальше по нисходящей: корпоративные системы, резервное копирование и так далее. И внутри каждой из этих областей мы также провели некую оценку. Условно, если у нас отвалится двухфакторная аутентификация VPN, это плохо, но не смертельно. Мы переживём без неё. Как Рустэм ранее говорил – у нас снизится некий уровень безопасности, но при этом мы продолжаем работать. Если у нас упадёт Firewall на периметре – это проблема, потому что периметр становится открытым, и надо что-то делать. То есть в первую очередь смотрим туда.

Провели ревизию всех допов, в том числе внешних разработчиков, подрядчиков, проверили что, кто, где, откуда идёт, как идёт. Дополнительно проверили все проекты, где велась разработка кода, проверили анализаторами кода, всё ли хорошо. И сделали для себя небольшой план, что мы будем делать по мере выхода из эксплуатации того или иного ПО или оборудования.

Что-то мы тестируем, что-то у нас уже есть, мы его просто закупаем, складываем на склад. Например, те же самые контроллеры Siemens. То есть всё, что было на рынке, скупили, положили. Это даёт нам некую фору, по мере того, как что-то будет выходить из строя, мы сможем это менять. За это время нам нужно найти какую-то альтернативу, как мы будем дальше жить. Примерно так и действуем».

Ещё один самый больной вопрос связан с железом. На ваш взгляд, Huawei закрывает основные вопросы и существуют ли другие разработки по серверному железу?

Андрей Нуйкин: «По оборудованию, по сетевым серверам смотрим разные. Наши есть, есть китайские партнёры.

К нам приходили Аквариус, Ядро, Депо. Их штук 6 или 7 крупных компаний, которые предлагают серверы СХД. Но там есть проблема, что даже условно наши серверы не наши, потому что половина аппаратуры всё равно берётся на Тайване или в Китае, или в Америке. Те же самые чипы и всё остальное. Но тем не менее.

По сетевому оборудованию мы смотрим Элтекс, мы смотрим Huawei как вариант, Зеленоградскую Zelax. Сейчас по всем направлениям идёт сбор информации, что и где есть, крупные, не крупные, потому что раньше приходили небольшие фирмы, что-то предлагали, но тогда это не было так интересно-актуально, а сейчас, возможно, это вариант что-то заместить, если это действительно хорошая вещь. Мы всё это складываем, чтобы всегда было под рукой по мере возникновения вопросов, обращаемся в эту как бы библиотеку, смотрим – вот это можно заменить на вот это, давайте на него посмотрим, а действительно ли оно удобно, функционально, – опять же, как Рустэм говорил, – мало, чтобы оно само по себе работало, надо, чтобы ещё удобно с ним было работать в enterprise-среде, потому что там 15 тысяч компьютеров, 3 тысячи серверов, и бегать на каждый устанавливать что-то… Это вариант скорее форс-мажорный, когда вообще всё плохо, всё пропало. В повседневной жизни хочется это как-то удобнее делать».

С точки зрения сбора информации, это так легко звучит – сделать библиотеку, посмотреть, сравнить. На самом деле, это очень большие ресурсы компании и человеческие ресурсы. Можете посоветовать, как организовать работу по поиску партнёров и замещений. Как лучше это делать?

Рустэм Хайретдинов: «Если находиться в старой парадигме, то мы действительно сейчас упрёмся в то, что будем заменять что-то на костыли и потом их тихонечко дотягивать. Но есть способы, если нет инфраструктуры своей. Зачем её искать, когда есть люди, которые подумали об этом, закупились заранее, или знают каналы поставок. И они не собираются это перепродавать, они собираются просто наращивать свои дата-центры и оказывать сервисы.

И мне кажется, что сегодняшний дефицит подтолкнёт очень многих к сервисной модели. Если раньше люди немножко побаивались куда-то отдавать свои данные, то сейчас альтернатива очень грустная. Мне кажется, если есть возможность что-то отдать в облако, – а сейчас появились и сертифицированные облака – и там, хотите, выбирайте по критической инфраструктуре, хотите – по персональным данным. Сейчас всё это есть. У Яндекса всё это есть, у Сбера есть, у других облачных игроков, у МТС, например. То есть выбор есть. И пока их ёмкости не заполнены, можно там нормально обосноваться. Тем более, что они там сейчас кажется ещё не очень подняли цены.

Я думаю, что появятся казахстанские или узбекистанские серверы. Рынок так устроен, что если есть дефицит, то есть люди, которые пойдут на риск, чтобы на нём заработать. Просто сейчас несколько месяцев будет реально штормить. А потом всё устоится, появятся новые логистические цепочки, старые производители, которые ушли с российского рынка, придут на него через другие страны СНГ».

Несколько слов о мессенджерах с точки зрения кибербезопасности, например, что вы скажете про Telegram, ведь его широко используют в госорганах и федеральных учреждениях.

Рустэм Хайретдинов: «Да, весь штаб кибербезопасности сидит в Telegram. Я вообще отношусь к мессенджерам, как к тому, что всё, что ты туда написал, станет известно. То есть, если что-то выкладываешь в мессенджер, будь готов, что кто-то опубликует скриншот или что-то ещё. Поэтому какого-то супер защищённого российского мессенджера мы пока не используем. Честно вам скажу, что штаб использует Telegram.

WhatsApp не используем. Все взрослые люди ушли из WhatsApp, остались домовые чаты, школьные».

Андрей Нуйкин: «Ситуация, как в своё время с Viber: тогда все из Viber уходили в WhatsApp, а сейчас из WhatsApp уходят в Telegram и в другие мессенджеры, например, в Signal».

Рустэм Хайретдинов: «Да! У меня много знакомых людей переехало в Signal, переехало в «аську» даже. Несколько чатов в «аське». Она, кстати, технически ничем не хуже. Даже видеоконференции до 16 человек она поддерживает одной кнопкой. Спрос появился, я думаю, что сейчас все подтянутся. У меня вообще 10 мессенджеров на телефоне. Включая очень экзотический».

В заключение, наверное, последний вопрос: что вы считаете сейчас самым важным? Что номер один, что сейчас надо делать с точки зрения информационной безопасности?

Андрей Нуйкин: «Не паниковать, в первую очередь. И трезво оценивать все риски, выстраивать свою работу, исходя из этих рисков, потому что если сейчас, грубо говоря, бегать в режиме ошпаренной кошки: «А давайте срочно сейчас купим российские firewall, антивирусы» и так далее, то вы потратите просто очень много денег, сил, средств, а эффект… Ну, наверное, будет в результате какой-то совокупный, но, мне кажется, надо сейчас, наоборот, очень спокойно, трезво оценивать.

То есть, если оно поработает, есть время изучать. Лучше потратить это время на изучение и потом уже осмысленно, целенаправленно понимать, как это ложится в инфраструктуру, как это ложится в стратегию, соответственно провести миграцию».

Рустэм Хайретдинов: «Перестать планировать надолго. Я выкинул все свои планы месячной давности, они очень смешно сейчас читаются. Когда ситуацию невозможно предсказать и построить нормальные сценарии, нужно только резервироваться.

Вы просто реагируете на события и имеете резервы на случай, чтобы их можно было перебросить с одного места на другое.

И присоединяюсь, что не надо паниковать. Что хорошо в безопасности: очень многие люди, так или иначе, прошли школу либо военную, либо спецслужб. То есть, в принципе, они готовы и к стрессу, и к сверхурочным – нас так учили. В этом смысле мы поустойчивее айтишников психологически».


1506
Предметная область
Отрасль
Управление