Артем Кроликов:
Большинство существующих DLP-систем собирают «компромат», а мы ищем превентивное решение
Артем Кроликов, руководитель управления информационной безопасности (ИБ) «АльфаСтрахование», рассказал CNews, что сейчас компания ежегодно тратит на ИБ 3–4% годового ИТ-бюджета. В прошлом году в «АльфаСтраховании» была реализована собственная SIEM-система, система обработки событий информационной безопасности. Сейчас специалисты ищут решение, которое предупреждает нарушения пользователя при работе с конфиденциальной информацией.
CNews: Расскажите, пожалуйста, каковы инвестиции вашей компании в проекты информационной безопасности?
Артем Кроликов: По моей оценке, на проекты, связанные с информационной безопасностью, наша компания выделяет 3–4% годового ИТ-бюджета. Это, конечно же, не очень большая сумма.
CNews: Чем объясняются такие затраты? Может быть, ранее вы реализовали крупный проект в рамках информационной безопасности и сейчас добились существенной экономии?
Артем Кроликов: Внедрение технологически сложных систем требует от сотрудников серьезных и устойчивых навыков и компетенции не только в области ИБ, но и во многих областях ИТ-технологий. Подразделение информационной безопасности было сформировано относительно недавно, сотрудники, пришедшие в подразделение ИБ, были молодые, невероятно талантливые, но не обладали богатым опытом внедрения и поддержки «тяжелых» систем.
В сложившейся ситуации внедрение серьезных промышленных систем обеспечения ИБ виделось не самым эффективным способом инвестирования средств. Мы стали внедрять open source решения, которые не требовали существенных капитальных вложений, но позволили специалистам набраться необходимого опыта, одновременно с этим мы добивались повышения уровня ИБ в компании.
В настоящий момент идет постепенное замещение внедренных Open source решений промышленными. При этом стоит отметить, что часто open source решения демонстрируют хороший уровень продуктов. Мы не ставим перед собой цели сравняться по объемам инвестиций в средства обеспечения ИБ с другими компаниями отрасли, но готовы конкурировать с ними в части обеспечения уровня ИБ компании и эффективности используемых средств защиты.
CNews: Какова динамика затрат на ИБ-проекты за последние 2 года? Сокращаете ли вы отставание от компаний-представителей отрасли?
Артем Кроликов: За 2012–2013 годы мы реализовали несколько проектов. Это привело к увеличению расходов на информационную безопасность.
Как я уже отмечал ранее, идет постепенное замещение реализованных решений на базе open source продуктов промышленными. Это приводит к снижению количества поддерживаемых только силами наших специалистов разрозненных продуктов, постепенно снижается их операционная нагрузка, высвобождаются ресурсы на дальнейшее развитие, повышается однородность используемых средств защиты, целостность выстраиваемой системы ИБ и ее конечная эффективность. Накопленный ранее опыт позволяет нам реализовывать весь потенциал, заложенный в промышленных решениях.
Большое внимание мы уделяем эффективности существующих процессов в части обеспечения ИБ компании. Используемая нами ранее модель управления доступом (дискреционная) в связи с ростом компании становилась все более неэффективной. Сейчас мы переходим на новую модель управления доступом к информационным ресурсам компании – Role Based Access Control, формируем бизнес-роли, описываем все права, которые необходимы конкретной позиции по штатной единице, согласовываем с владельцами ресурсов. Когда новый специалист приходит на работу в компанию, необходимый ему доступ к информационным ресурсам уже определен.
Этот проект стал частью более глобальной задачи – внедрения IdM-системы. Опыта внедрения и использования IdM-систем у нас не было, и мы решили пойти уже известным нам путем – попытаться частично реализовать функционал IdM-системы своими силами. Так, нам удалось интегрировать нашу кадровую систему с самописной IdM-системой, автоматизировать создание пользователей и управление доступом через группы AD. Опыт собственной разработки несложной IdM- системы очень сильно обогатил наши знания в данной области, стало понятно, что мы хотим получить от промышленной системы, как должны быть реализованы многие смежные процессы. С этим новым знанием мы обратились в компании интеграторы по ИБ и обнаружили, что многие из предлагаемых на рынке IdM-систем известных компаний производителей не реализуют необходимый нам функционал в полном объеме.
Заметным событием в области обеспечения ИБ компании явилось внедрение подразделением ИБ SIEM-системы (системы обработки событий информационной безопасности).
Так, благодаря этому инструменту мы можем оперативно выявлять аномалии, происходящие в нашей сети, с нашей ИТ-инфраструктурой и информацией. Разные устройства генерируют огромное количество событий, все их просмотреть, обработать в ручном режиме крайне затратно. Применяя различные методы корреляции по ключевым параметрам, мы сводим количество событий поступающих на обработку аналитикам к минимуму, и при этом имеем возможность реагировать на наиболее важные. Это направление оказалось очень полезным для компании, и мы будем его развивать.
В ближайшей перспективе мы будем наращивать проникновение технических средств защиты информации в ИТ-инфраструктуру компании. Существенно будет расширяться география охвата процессами обеспечения ИБ подразделений компании. Иными словами, мы нацелены на то, чтобы добиться заданного уровня обеспечения ИБ в каждом подразделении компании от Калининграда до Владивостока, стремиться к так называемому – комплайнcу (соответствию заданным требованиям).
CNews: Какие системы вы используете для защиты информации? Планируете ли вы их актуализировать?
Артем Кроликов: Мы используем сегментацию сети на концептуальном уровне. У нас есть разные функциональные зоны, с разным уровнем защищенности. Например, базы данных, которые хранят весь объем информации, находятся в самом защищенном сегменте. Есть пользовательские сети, есть специальная, так называемая демилитаризованная зона, выделенная для серверов, которые «общаются» с внешним миром.
Одновременно с этим для защиты инфраструктуры компания пользуется системами класса Network Based IPS, которые позволяют анализировать сетевую активность. В итоге мы видим, что происходит на уровне сети, нет ли в активности нелегитимного или потенциально опасного для ИТ-инфраструктуры трафика и т.д. Большое внимание уделяется защите рабочих мест сотрудников т.н. end-point protection, используются централизованные антивирусные решения, контроль доступа к съемным носителям и портам компьютеров.
Что касается самой информации – в компании определены принципы классификации и работы с информацией, реализованы механизмы для обеспечения заданных параметров безопасности информации, настроены контроли.
Конечно, я перечисли не все средства и системы, но основные направления выделил.
CNews: Что бы вы хотели привнести в существующие проекты?
Артем Кроликов: Большинство существующих DLP-систем, по сути дела, собирают компромат на сотрудника. Они позволяют выявлять и аккумулировать нарушения при работе с информацией в отношении конкретного специалиста.
Продукт, который мы в настоящее время активно ищем, должен на лету, молниеносно, корректировать поведение сотрудников, обучать их правилам работы с информацией, предлагать «правильные» варианты действий, например, предупреждать пользователя, что копирование файла с ценной информацией на незащищенную флешку – это потенциальный риск для компании и нарушение требований компании. Решение должно оповестить пользователя всплывающим окном: «Данная информация критична. При работе с данным видом информации необходимо поступать следующим образом…Продолжить? (копия файла будет направлена в подразделение ИБ для анализа)». Пользователь уже решает сам: продолжить операцию или прервать. Таким образом, мы будем обучать сотрудников, предотвращать нарушения, а не собирать компромат.
CNews: Как вы взаимодействуете в области информационной безопасности с другими участниками рынка?
Артем Кроликов: В плане информационной безопасности мы не конкурируем с другими участниками рынка. Наши специалисты больше сотрудничают, обмениваются опытом. На рынке очень много информационных систем и решений, и всех их опробовать нет возможности. В рамках специализированных форумов или рабочих групп мы знакомимся с коллегами из других подразделений информационной безопасности и с удовольствием делимся опытом и мнениями. Всегда интересно узнать, как аналогичные проблемы решаются в других компаниях.
CNews: Ваша компания сотрудничает с мобильными операторами? Ведь утечка персональных данных абонентов – клиентов банков, страховых компаний и т.д. сейчас является актуальной проблемой.
Артем Кроликов: Мы ценим своих клиентов и прилагаем большие усилия для того, чтобы предоставлять услуги страхования на высочайшем уровне. Неотъемлемой частью наших услуг мы считаем обязанность защищать информацию, которую получаем от наших клиентов.
«Альфастрахование» работает с клиентами как напрямую, так и через агентов и брокеров. Если мы заключаем договор с партнером, то обязательно прописываем в договоре обязанность контрагента обеспечивать конфиденциальность обрабатываемых персональных данных. Мобильные операторы в наших процессах выступают как провайдеры услуг по рассылке SMS-уведомлений, например, при желании наших клиентов мы информируем об изменении статуса рассмотрения их заявок при урегулировании убытков.
Крупные мобильные операторы, банки, страховые компании – это Операторы персональных данных с большой буквы. Объем обрабатываемых персональных данных может исчисляться десятками миллионов учетных записей. В этом смысле нам очень интересен опыт крупных телеком-компании и банков в области обеспечения конфиденциальности персональных данных. Всегда с большим интересом изучаем методологические документы этих компаний, которые находятся в открытом доступе, перенимаем их опыт общения с регуляторами, применяем хорошо себя зарекомендовавшие практики и подходы. Важным элементом сотрудничества является выстраивание отношений и непосредственно личный опыт общения с руководителями и специалистами в области информационной безопасности этих компании.
CNews: Приветствуется ли в вашей компании принцип BYOD?
Артем Кроликов: Мы стараемся быть технологичной компанией и в целом приветствуем новые технологии, если они показывают свою эффективность. Однако окончательно позиция компании по отношению принципов BYOD/BYOT не сформирована. Мы не можем быть вне технологического контекста окружающего нас мира, в компании использование принципа BYOD допускается ограниченно и только для топ-менеджеров. Им это очень удобно.
Наши специалисты вместе с руководителями ищут ответ на вопрос: «Приносит компании этот принцип больше проблем или предоставляет дополнительные преимущества?». Для этого анализируются способы организации обслуживания таких устройств, стоимость и удобство технических средств управления, генерируемый трафик и аномальные активности, подконтрольность и обеспечение конфиденциальности информации на устройствах и т.д.
Также специалисты нашего подразделения активно изучают рынок решений, связанных с управлением мобильными технологиями, например, MDM. Не все из них нам подходят, так, помимо необходимого функционала, система должна органично войти в нашу инфраструктуру, в наш программный ландшафт. Только тогда мы сможем ее эффективно использовать и не загружать ИТ-специалистов и специалистов по информационной безопасности инцидентами.
CNews>: Готова ли ваша компания к увеличению затрат на информационную безопасность в следующем году?
Артем Кроликов: Руководство компании уверено, что необходимо и в дальнейшем развивать ИТ-проекты и связанные с ними проекты по информационной безопасности. Однако из-за некоторого ухудшения ситуации в мировой экономике и, вместе с этим, в отечественном финансовом секторе, есть риск, что ИТ-бюджет, а вместе с ним и расходы на информационную безопасность, останется на уровне 2012–2013 годов.
CNews: Какие угрозы характерны для вашей компании?
Артем Кроликов: К актуальным угрозам я отнесу DDoS-атаки, таргетированные атаки. Последние очень опасны тем, что вредоносный код специально создается таким образом, чтобы незаметно преодолевать имеющиеся средства защиты. Такой код может длительное время не обнаруживаться средствами защиты, но позволяет удаленно воровать информацию или управлять системами, вмешиваться в работу инфраструктуры. Для предупреждения таких инцидентов мы выделили критические зоны, места, где такого рода активность может проявиться самым негативным образом, которые дополнительно защищаем, сканируем на уязвимости, внимательно анализируем разного рода активность, возникающую в этих зонах и т.д.
Как ни странно, но существенные изменения законодательства в сфере технических требований к защите информации, также можно отнести к угрозам. Дело в том, что компания, исполняя формальные требования регулятора, должна перестраивать корпоративные системы, потратить дополнительные средства на переоборудование. Средства защиты, которые иной раз нам предлагает использовать ФСБ и ФСТЭК, по стоимости владения могут в разы превышать стоимость той информации, которую мы защищаем. Это не соответствует базовым принципам информационной безопасности: нет смысла ставить оборудование за миллион долларов, чтобы защитить информацию стоимостью в тысячу рублей.
В последнее время наблюдается сдвиг в данной области, регуляторы начинают активно взаимодействовать с экспертным сообществом. Но требуется время, что бы регуляторы сформировали взаимоувязанные требования, основанные на балансе интересов всех участников процесса.
CNews: Какие тренды будут определять процессы в сфере информационной безопасности в вашей отрасли?
Артем Кроликов: Я перечислю тренды, которые актуальны как для страховых компаний, так и других крупных предприятий.
Частные облака (Private Clouds) и виртуализация будут трендом для больших компаний. Также я ожидаю бума мобильных технологий, гаджетов, что приведет к усилению позиций корпоративной мобилизации и принципа BYOD. Big Data также займет почетное место во многих компаниях. Постепенно будет происходить отказ от хранения архивов на лентах в пользу уже относительно недорогих хранилищ на базе SATA дисков. Будут активно использоваться разного рода параллельные вычисления и технологии класса InRAM, например, в аналитических BI-системах, которые позволят обрабатывать огромные объемы данных в считанные секунды.
Я также ожидаю, что будут формироваться механизмы для организации повсеместного электронного документооборота. В мире данные технологии уже активно используются. В России с этим, к сожалению, пока наблюдаются проблемы, связанные, в первую очередь, с некоторой зарегулированностью данной области, а также с уровнем компьютерной грамотности населения в вопросах, связанных с электронной подписью. Многие слышали о портале госуслуг, но так и не знают, как им пользоваться, как формировать юридически значимые документы, не выходя из дома. Думаю, что в ближайшее время уровень компьютерной и информационной грамотности в России вырастет, поскольку существенно растет активность молодых людей, которых принято относить к поколению «Y». Приходит понимание того, что проще заполнять бланки в электронной форме, чем бегать по инстанциям.
Что касается страховой отрасли, то в настоящее время активно формируется законодательное поле. Это также будет в значительной мере отражаться на проектах в сфере ИТ и информационной безопасности. Однако указанные направления для многих компаний так и останутся перспективными: экономическая ситуация в России сейчас не способствует инвестированию в новые крупные проекты. Такие компании, в том числе и наша, будут искать более простые, недорогие и эффективные решения.