1. Ольга Попова

IT Manager Безпека управління ІБ Ольга Попова

| 24.10.2018

Як взаємодіяти бізнесу в цифровому середовищі, які виклики і ризики цього супроводжують, як боротися з погрозами і одночасно не гальмувати розвиток бізнесу, розповів редактору IT Manager Тома Гуржон (Thomas Gourgeon), глава департаменту міжнародної розробки Orange Cyberdefense, підрозділи сервіс-провайдера Orange Business Services .

Поєдинок броні і снаряда давно відомий в світі кібербезпеки: нові загрози - нові інструменти захисту - нові загрози. Що змінилося за останній час?

Все залишилося таким же, за винятком деяких моментів. Раніше хакери намагалися атакувати або об'єкти інтелектуальної власності, що мають стратегічну цінність для компанії, - креслення, документи, або полювали за грошима. Так, на комп'ютери запускали кріптомайнеров, шифрувальників і інші шкідливі програми. Але за останній рік з'явилися віруси, в чиє завдання входить тотальне знищення. Наприклад, знаменитий вірус Petya, який нібито вимагав гроші, а насправді все платежі оправлялись в нікуди. Це дійсно нове, тому що не відповідає нашим уявленням про жадібних зломщиків. Тобто тепер мета - знищення даних. В іншому все без змін. Як і раніше в рейтингу зломів превалює фішинг, що займає 95% всіх атак. Причому найчастіше перед таким нападом проводиться невелике дослідження соціального профілю жертви. Зараз з'явилася і ціла плеяда зловредів, здатних атакувати все, що підключено до Інтернету. Це не пов'язано з корпоративним сектором, з великими компаніями, а заточене під конкретну уразливість. Якщо вона десь є, саме тут і відбудеться спроба вторгнення. Я вважаю, що основний інструмент безпеки в даному випадку - обмін інформацією про загрози. Він повинен вестися між групами, що здійснюють подібну захист. Це стосується і комерційних і державних структур. В Orange така система обміну інформацією успішно функціонує, зокрема, ми постійно взаємодіємо з французьким урядом. Основна проблема захисту полягає в тому, що якщо ви хочете безпеки, то повинні забезпечити її на 100%. Якщо ви цього не зробили, ризики втрати дуже високі. Є певна асиметрія між атакуючої і захищає стороною. Зловмисники можуть завдати скільки завгодно ударів, їй досить, щоб хоча б один досяг мети, в той час як захищає потрібно відобразити все.

Існує думка, що проти таргетированной атаки на підприємство не існує інструментів боротьби. Якщо хтось поставив мету тебе зламати, він це зробить. Ви згодні?

Так звісно. Все, що ми можемо зробити в такій ситуації, - збільшити вартість атаки. Зробити таргетовану атаку невигідною. У певний момент атакуючий бачить, що витрати перевищують доходи, і може відмовитися від свого задуму. Якщо ж атакуючий мотивувати на те, щоб зламати вас будь-яким способом, і у нього немає обмеження в засобах і ресурсах, то вам дійсно доведеться дуже важко. Однак і в таких випадках є варіанти захисту. Наприклад, ми можемо виявити намір атакувати і проінформувати про це жертву. Щоб та структура, в яку передбачається вторгнення, могла оперативно підвищити відмовостійкість. Попереджений значить озброєний. Система попередження створена таким чином, щоб ви могли оцінити, що робити, якщо вас проб'ють, і як ви будете відновлюватися.

У світі багато говорять про цифровому перетворенні, в тому числі і в кібербезпеки. Що це таке, на ваш погляд? Які виклики постають перед компаніями?

Оскільки все поступово переходить в «цифру», найважливіше - визначити, що є для вас найбільш цінним. І це не завжди просто. Одного разу ми запитали у відомого виробника автомобілів про його основному цифровому активі. Здавалося, це інтелектуальна власність, а насправді основну цінність представляла ланцюжок поставок і контракти з контрагентами. Будь-який клієнт міг отримати потрібну йому деталь протягом чотирьох годин. Питання з інтелектуальною власністю не стоїть так гостро, тому що патент може скопіювати будь-який бажаючий. І захист знаходиться вже в юридичній площині. А ось те, що ви можете отримати необхідну за чотири години, -дорого варто. В даному випадку ми ставимо під спостереження не патенти, а ланцюжок поставок. Повторюся, в першу чергу визначте, що для вас важливо, ризик втрати чого найбільш критичний. Захистити абсолютно все не вийде, тому вам треба сфокусуватися. Якщо говорити про тренди, пов'язаних з цифровою трансформацією у нас, ми збільшуємо роль штучного інтелекту в наших операціях, щоб допомагати своїм командам. Рутинні операції повинні бути автоматизовані. І нарешті, ще одна задача - забезпечення безпеки Devops-сегмента, який швидко напрямки корпоративного сектора. Поки ми вивчаємо проблеми, пов'язані з Devops, розробляємо методики.

Згідно зі звітом Fortinet за 2018 рік 85% CISO в світі говорять, що проблеми безпеки - найбільший бар'єр для успішної цифровий трансформації. BYOD і IoT - це високі ризики для компаній. Як ними можна управляти?

Що стосується BYOD, зараз подібна проблема вирішується за допомогою різного спеціалізованого ПЗ. Системи MDM захищають інформацію на вашому смартфоні. З «Інтернетом речей» ситуація зовсім інша. Оскільки у IoT-пристроїв невеликий запас пам'яті і маленька продуктивність, то спеціалізований софт всередину вже не встановиш. І ніякого Windows там немає. Тут ми, як телеком-провайдер, можемо бачити, куди пристрою звертаються, з ким зв'язуються і припустимо це. Чи можемо аналізувати патерни поведінки, навіть якщо трафік зашифрований, якісь висновки вдається зробити. Адже якщо твій домашній термометр став спілкуватися з Китаєм, то, напевно, щось пішло не так.

Наскільки дотримання GDPR може ускладнити роботу організації?

Згадайте 1970-ті, коли ремені безпеки в автомобілях тільки почали поширюватися. Водії і пасажири скаржилися, що це незручно, сумно і пристегивание забирає багато часу. Виробники говорили, що це підвищить вартість виготовлення автомобілів. І ось через 48 років ми все їздимо пристебнуті, знаємо, що це рятує життя, і не уявляємо, як може бути інакше. Те ж саме і GDPR. Просто зараз ми знаходимося на початку цифрової ери і тільки починаємо розуміти, що даний процес необхідно регулювати на державному рівні. Навіть якщо сьогодні ви вважаєте, ніби це марні зусилля, повірте, це не так. Це більш доросле сприйняття цифрового світу. Звичайно, витрати, але необхідні, що працюють на довгострокову перспективу.

Але захист не повинна бути дорожче даних, які вона захищає?

Так. Безпека не самоціль. Бізнесу не треба пояснювати, що потрібно дати грошей, він повинен сказати, які критичні компоненти слід захистити. Як я вже говорив, визначитеся, що потрібно захистити. І від цього буде залежати ціна захисту.

Сьогодні інновації розвиваються набагато швидше, ніж безпека може реагувати на нові загрози. Як дотримати баланс?

Ми уважно стежимо за трендами на ринку, аналізуємо їх і робимо висновки. Зараз ситуація змінилася, і економічно вигідно перебувати на боці захищає, а не атакуючого. Конкурентоспроможність захищає сторони зросла, з'явилася можливість залучати таланти. Цікаво подивитися, як далі буде розгортатися ситуація.

Багато організацій заявляють, що у них проблеми з залученням фахівців з кібербезпеки. І ця тенденція зростає. Як вирішується це завдання у вашій компанії?

Ми підходимо до вирішення даної проблеми комплексно. У нас є академія кібербезпеки, в яку надходять або випускники університету, або співробітники, які пропрацювали п'ять-десять років системним адміністратором, і навчаються кібербезпеки. Ми також співпрацюємо з університетами за спеціальними програмами, де наші фахівці читають лекції, і після закінчення частина студентів приходить до нас в Orange. Нове комфортабельна будівля, в якому ми з вами зараз розмовляємо, - свого роду теж інвестиція. Ми хочемо, щоб люди залишалися тут. І ще. Фахівцям з кібербезпеки подобається працювати з візіонерами. Тим, хто дивиться в завтрашній день. І у нас є перевага: в нашій команді кібербезпекою займається понад тисячу осіб. Це дуже великий пул людей, у яких можна багато чому навчитися. Звичайна, навіть велика комерційна компанія не може дозволити собі такої штат фахівців. Це привабливо для кандидатів, які прагнуть працювати в кібербезпеки. Гроші для них не є найголовнішим мотиватором. Ми можемо забезпечити захист 24 × 7 нашим клієнтам, і вони звертаються до нас, незважаючи на наявність власного штату співробітників.

Один з ваших авторів написав на сайті, що кібербезпека - це стан розуму. Ви згодні?

Це так. Сьогодні всі повинні мати уявлення про загрози. Питання захисту стосуються не тільки команди ІБ-підрозділу. Ось чому ми постійно тренуємо своїх співробітників, проводячи тестові фішинг, тестові атаки. Я б сказав, інформаційна безпека - стан розуму організації. Дуже важливо, щоб ставлення до ІБ йшло від керівництва, саме від ради директорів. Реальна оцінка ризиків допомагає виявити загрози, захистити і підвищити стійкість систем.

Одна з найбільших загроз для компанії - інсайдери. Компанії втрачають мільярди за допомогою власних співробітників. Як боротися з цим?

Є інструменти DLP, але вони вимагають великої роботи по впровадженню, а головне - еволюційного підходу всередині компанії. Вся кореспонденція повинна бути позначена різним рівнем доступу. Це не всім підходить. Я вважаю, що перший рівень - постаратися не тримати співробітників, які відверто незадоволені роботою в компанії. Найчастіше інсайдери - ті, хто з якоїсь причини затаїв злобу на організацію. Їх цінності більше не збігаються з цінностями роботодавця. Другий рівень - дотримуватися принцип найменшого доступу. Ми даємо співробітникам доступ тільки до того, що необхідно для роботи. Наприклад, тільки на читання, але не на запис. І звичайно, потрібно контролювати процес, використовуючи інструменти ідентифікації. Інше питання, що люди не тільки приходять і йдуть, а й рухаються в самій компанії, ростуть, отримують нові завдання. І це необхідно враховувати всередині системи. Іноді, при зміні посади, доступ до колишніх баз даних не потрібний, відповідно, його необхідно вчасно прибирати. Такі питання ми теж вирішуємо з нашими клієнтами.

І останнє питання. Чому ви вибрали ІБ своєю професією?

Я вважаю, що ІБ - це не просто черговий хайп. Це надовго і всерйоз. Іноді безпеки помилково віддають другорядну роль в той час, коли вона повинна грати першу. Якщо ви будуєте ядерний реактор, вимоги до безпеки будуть основними. Якщо ви на 100% не впевнені, що ваш літак зможе літати, то ви не станете його продавати. «Цифра» поки не дійшла до цього, часто бізнес-вимоги не враховують загрози. Тому в найближчій перспективі у фахівців з ІБ буде багато роботи.

Ключові слова: безпеку , кіберзагрози

Гарячі теми: Загрози і ризики ІБ

Журнал IT-Manager № 10/2018 [ PDF ] [ Підписка на журнал ]

компанія: Orange Business Services

про авторів

Ольга Попова

З 2008р. головний редактор IT Manager. У журналістиці з 1986 року, щоправда, з перервою на "лихі 90-е". До інформаційних технологій організувала кілька успішних бізнес-проектів в "Діловому Петербурзі". Переконана, що грамотний менеджер може працювати в будь-якій сфері, незалежно від спеціальності, так як ІТ-управлінець мало чим відрізняється від управлеца-логіста. Але вважаю, що саме в ІТ зараз відбувається все найцікавіше.