CNews: Какова динамика расходов на ИБ в течение последних трех лет?
Александр Хрусталев: За последние три года общий бюджет подразделения не претерпел кардинальных изменений: когда мы видели снижение одного вида угроз и рост уровня других, мы перераспределяли бюджет по этим статьям.
CNews: Какие проекты в области обеспечения информационной безопасности, реализованные вашей компанией за последние два года, вы считаете наиболее интересными, трудными или уникальными?
Александр Хрусталев: Среди наших достижений за последние два года можно выделить разработку обучающих материалов для повышения уровня ИБ-грамотности среди сотрудников компании, а также внедрение системы управления событиями информационной безопасности. Отраслевые особенности ИТ-инфраструктуры делают именно эти проекты уникальными для компании, а их реализация требует комплекса мер по обеспечению информационной безопасности. Именно эти проекты позволили снизить риски утечки конфиденциальной информации, а также повысить устойчивость бизнес-процессов за счет своевременного обнаружения и обработки ИБ-инцидентов.
CNews: Столкнулась ли ваша компания за последнее время с ростом киберугроз? Зафиксировали ли вы увеличение числа комплексных кибератак?
Александр Хрусталев: Если говорить о киберугрозах, которые существуют сейчас на российском рынке и представляются самыми значительными для ИБ, то это вирусы, шпионское ПО и другие вредоносные программы, спам, DDoS-атаки. Для того, чтобы обезопасить компанию, сотрудники подразделения информационной безопасности МГТС постоянно отслеживают киберугрозы в телекоммуникационной сфере. В этом году не было зафиксировано серьезного роста кибератак на МГТС.
CNews: Согласно результатам исследования EY, в большинстве российских компаний главным источником киберугроз является персонал. Согласны ли вы с этим утверждением?
Александр Хрусталев: Безусловно, человеческий фактор — самое уязвимое звено информационной безопасности любой компании, поэтому цели корпоративной службы безопасности меняются в направлении всестороннего управления рисками — от «тушения пожаров» к их предотвращению.
МГТС одной из первых на российском рынке внедрила подход, при котором информационная безопасность является частью корпоративной культуры, в которую вовлечены все сотрудники. Его применение позволило снизить риски утечки конфиденциальной информации, сформировать уровень осведомленности и компетентности персонала. Как правило, в компаниях забывают именно про обучение работников азам грамотности в деле предотвращения киберугроз.
Мало ввести правила и проинформировать каждого — необходимо донести до сотрудника необходимость соблюдения этих правил на практике, рассказать о персональной ответственности. МГТС имеет большой опыт в создании практических курсов по ИБ для сотрудников. Каждый сотрудник нашего департамента проходит тестирование, а после обучения он может получить квалифицированную помощь от коллег. Применение обучающих курсов позволило нам сократить риск утечек конфиденциальной информации в два раза.
Департамент информационной безопасности МГТС уделяет особое внимание угрозам, которые могут возникнуть, когда сотрудников работают на своих личных устройствах, пользуются возможностями BYOD (bring your own device, тренд использования сотрудниками для работы в офисе личных мобильных устройств).
Согласно результатам исследования компании Fortinet, 74% респондентов регулярно используют личные гаджеты в производственных целях. Более того, 55% из опрошенных считают такое использование личных гаджетов своим правом, а не привилегией. Самым серьезным риском движения в сторону BYOD для любой компании, безусловно, является повышение вероятности утечек бизнес-информации, что, в свою очередь, может привести к различным потерям — финансовым, техническим, репутационным.
В МГТС не стали ограничивать использование BYOD, а решили создать механизм, который бы помог повысить эффективность работников и одновременно соблюсти все требования политики конфиденциальности. Любой наш сотрудник имеет доступ к корпоративной почте через интернет, а при использовании мобильного подключения корпоративные политики информационной безопасности применяются автоматически. Конечно, единого для всех организаций подхода не существует, но сейчас технические возможности программного обеспечения позволяют найти приемлемое решение для любых сценариев, используя тот или иной подход.
CNews: Планируете ли вы внедрение аналитических инструментов для оперативного выявления потенциальных инцидентов и дыр в системе безопасности?
Александр Хрусталев: Средства аналитики позволяют нам выявлять подозрительное поведение объекта корпоративной инфраструктуры, исследовать данные о безопасности. Для этого мы используем сведения об угрозах, полученные из внешних источников с помощью механизма оперативного обновления аналитического контента системы. В зависимости от уровня подписки пользователь получает обновления шаблонов отчетов, корреляционных правил, отчеты, данные исследований аналитических сообществ информационной безопасности, данные о выявленных серверах управления и конфигурирования ботнетов, черные списки адресов, домены с метками APT, списки подозрительных прокси-серверов и др.
Такая информация привязывается к бизнес-контексту компании, используется для обновления программ защиты, настройки политик. Собираемые данные помогают аналитикам правильно расставить приоритеты и выявить возможные цели злоумышленников.
МГТС использует несколько аналитических систем для выявления потенциальных угроз. Наши эксперты-аналитики из службы информационной безопасности сегодня способны выявлять и предотвращать угрозы, которые раньше было сложно даже заметить. Для этого они используют сочетание возможностей анализа сетевого трафика и журналов событий, автоматически дополняемых информацией об опасностях со средствами визуализации и технологиями обработки больших данных. В конечном счете, это помогает службам ИБ лучше понимать сетевые угрозы, сокращать срок реагирования на инциденты и время их расследования.
CNews: Как изменится рынок решений для информационной безопасности в вашей сфере в ближайшие два-три года?
Александр Хрусталев: Основные тенденции развития рынка ИБ на ближайшие 2–3 года будут связаны с популяризацией решений на базе интранет- и интернет-порталов, распространением технологий мобильного доступа и технологий виртуализации, а также переносом ИТ-инфраструктур в частные и публичные облака. Поэтому мы считаем, что будет расти спрос на информационные системы для обеспечения защиты корпоративных данных на пользовательских устройствах, DLP-решения, системы обнаружения и предотвращения вторжений IDS/IPS, системы идентификации и управления доступом к информационным ресурсам IDM, комплексные системы управления информационной безопасностью СУИБ.
В целом, российский рынок ИБ остается очень разнородным. И если одни компании готовы к внедрению комплексных систем управления безопасностью в составе систем управления предприятием, то другие довольствуются инструментами фильтрации пакетов и антивирусных программ. Недостаточный спрос на более многофункциональные решения обусловлен, прежде всего, их дороговизной. Но применение их в комплексе с организационными мерами внутри самой компании позволит обеспечить достаточный уровень информационной безопасности. Перед внедрением того или иного инструмента необходима оценка рисков и возможных потерь. То, что применимо для компании среднего уровня, неприемлемо для крупной компании, где риск всегда велик.