Привет, Хабр! У нас есть традиция: периодически делимся рассказами крутых ИБ-специалистов и руководителей, которые на практике реализуют проекты по защите компаний разных отраслей. Сегодня микрофон у Александра Севостьянова, Директора Дирекции по экономической безопасности АО «ДИАЙПИ» - Советника СЭБ ПАО «ТМК».

В интервью – про контроль в распределённом периметре, особенности защиты активов Группы ТМК и опыт создания подразделения корпоративной безопасности.

Итак:

Трубная Металлургическая Компания (ТМК) – промышленно-инжиниринговая компания, ведущий поставщик трубных решений, конструкционных материалов и сопутствующих сервисов для различных секторов экономики. ТМК изготавливает стальные трубы, включая трубы из специальных сталей и сплавов, трубопроводные системы и другую продукцию для нефтегазовой, энергетической и химической промышленности, машиностроения, строительства и других отраслей. В группе компаний более 50 предприятий, а АО «ДИАЙПИ» обеспечивает их современными программными решениями, являясь ключевой компанией ИТ-кластера ТМК++.

Александр Севостьянов рассказывает о том, как наладить контроль за такой крупной структурой и какие ИБ-инструменты для этого нужны, как сформировать эффективную ИБ-команду и грамотно распределить в ней обязанности, и куда движется корпоративная безопасность.

Как устроена ваша дирекция? Какие функции она выполняет?

Это молодое подразделение, создано год назад по лучшим стандартам корпоративной безопасности. Они разработаны в своё время Службой экономической безопасности ПАО «ТМК» и учитывают все важные аспекты данного направления. А вот за защиту IT-инфраструктуры отвечает другое подразделение, по кибербезопасности: коллеги ежедневно противостоят актуальным киберугрозам, а мы занимаемся собственно защитой информации совместно с Управляющей Компанией.

Контроль человеческого фактора тоже очень важен. Трубные заводы Группы ТМК – это субъекты КИИ, в обработке находятся персональные данные, обрабатываются значительные объёмы коммерческой информации. Это значит, что все бизнес-процессы должны учитывать правила ИБ, а сотрудники – знать их и не нарушать. Поэтому наша задача – донести все регламенты и правила до персонала, обучить и обязать их соблюдать.

Какими защитными решениями вы пользуетесь?

Мы оснащены практически всеми классами СЗИ: есть защита внешнего периметра, внутреннего, контроль рабочих станций, защита информации ограниченного доступа.

Выделю ключевые классы решений. Во-первых, антивирусное ПО: сейчас оно развито настолько, что контролирует и вредоносную активность, и сетевой трафик, и съёмные носители. Второе – контроль периметра: файрволлы, защита от DDoS, от любых попыток проникновения в контур. Ну и третье – защита от утечек, мониторинг движения данных. Это системы класса DLP. Если вы данные не контролируете, вы ими не управляете и не понимаете, что происходит в компании. Вот такой «джентльменский набор» должен быть у любой организации, вне зависимости от размера. Меньше просто нельзя.

Мы постоянно пилотируем новые продукты, присматриваемся, что появляется на рынке и стараемся быть в тренде современных технологий. Например, в прошлом году попробовали несколько DCAP-систем. Потребности компании меняются: в зависимости от требований закона, от бизнес-процессов, актуальности угроз.

Как правильно выбрать ИБ-инструмент?

Ответ зависит от конкретной системы. Расскажу на примере DLP.

Любой пилот – это сначала фрагментарное тестирование на отдельных сегментах инфраструктуры. Потом сбор статистики, анализ, что работает, что нет. Мы начали пилотирование DLP в 2015 году, смотрели, как защита отрабатывает на небольших объёмах трафика, потом по нарастающей.

Важно проверять, и как система ведёт себя под нагрузкой, и насколько удобно расширяться. Ну и сколько людей требуется для работы с системой. СЗИ должны автоматизировать и облегчать работу ИБ-специалиста, а не добавлять ее.

Желательно давать обратную связь вендору. Так вы получите советы по работе с продуктом и посмотрите, как реагируют на ваш запрос. Думайте об этом заранее: важно, чтобы вы могли оперативно получить персональную помощь.

Ещё на наш выбор повлияли дополнительные возможности системы. Прямая задача DLP – своевременно выявлять и оперативно блокировать утечки. Но внутри таких систем много информации, которую можно применять для управления в том числе экономическими и кадровыми рисками.

Вы упоминали, что занимаетесь обучением сотрудников правилам ИБ. Как организована эта работа?

Каждый сотрудник при трудоустройстве проходит обучающий курс по внутренним регламентам, регулярно посещает вебинары для закрепления. Их организует ДЭБ совместно с корпоративным университетом ТМК2U, на обучающей платформе которого персонал постоянно проходит курсы Security Awareness в рамках информирования о новых видах фишинга и кибератак. То есть мы «прокачиваем» персонал, чтобы никто не нарушал правила внутри инфраструктуры и был готов к кибер-атакам.

Все материалы разработаны вместе с коллегами из Службы экономической безопасности Управляющей Компании, специалистами по кибербезопасности Общества и корпоративного университета. За нами – «фактура», за ними – организация обучения. Обучение дисциплинирует людей: они реже ошибаются и реже идут на намеренные нарушения.

Вы ощущаете нехватку «рук»? Как вы в целом оцениваете ситуацию с кадрами в ИБ?

Сейчас нам ресурсов хватает, но в случае расширения штата с проблемами можем столкнуться. По формальным требованиям найти человека тяжело. Специалисты по информационной безопасности — это всегда «штучный товар», а у каждой компании индивидуальные требования к их навыкам. Выбор еще сужается, потому что специалисты массово уходят в смежные сферы вроде финтеха. Конкурировать за них сложно, но можно, если предоставить прозрачные возможности для профессионального развития.

Плюс при найме всегда высокие риски по безопасности. ИБ и ИТ – это максимальные привилегии в инфраструктуре. Сомнительный специалист с такими правами может навредить компании двумя кликами мыши. Поэтому ДЭБ всегда участвует в интервью и предварительной проверке кандидата вместе с кадровой службой. И мы относимся более внимательно, чем к сотрудникам других профилей.

Но при всех сложностях не стоит искать «универсальных солдат». Под разные ИБ-задачи нужны отдельные специалисты, иначе будет перегруз и пострадает качество работы. В ряде случаев рекомендуется отделять кибербез от инфобеза. А прикладную работу – от «бумажной». Неправильно мешать работу с SIEM-системой, где требуется изучение событий от источников в инфраструктуре, – и написание документации, где нужны знания законов. Нужно давать людям работать с тем, в чём они хороши.

Хороший пример разделения процессов – банковская безопасность. Там предусмотрены выделенные специалисты на внутренний, внешний фрод, отдельный методолог, и нет совмещения разнородного функционала.

Назовите 3-5 общих правил для надёжной защиты организации от рисков ИБ.

Первое – наличие программно-аппаратных средств защиты, хотя бы базовых. С их помощью вы закрываете основные риски.

Второе – СЗИ должны иметь качественное сопровождение.  Для этого нужны люди, которые понимают, как все устроено. Поэтому важно удерживать квалифицированные кадры. Если в ИБ-отделе будет текучка – ничего не заработает.

Следующий важный момент – найти понимание у топ-менеджмента по вопросам безопасности. Если бизнес не понимает, почему ИБ важна и нужна, у вас не будет ни бюджетов, ни содействия при принятии значимых организационных мер. Нужно стремиться к диалогу с бизнесом и налаживать отношения. В Группе ТМК за последние годы сложилась уникальная корпоративная культура понимания важности процессов защиты информации на уровне топ-менеджмента, что позитивно влияет на эффективность данного направления.

Наконец, ИБ-специалисту никуда без постоянного повышения квалификации. Сюда же можно отнести общение в профессиональной среде. Поможет посещение отраслевых форумов, конференций, даже участие в тематических Телеграм-каналах. Обязательно нужно активное общение с коллегами, то есть обмен опытом. В Группе ТМК работникам предоставляется достаточный объём образовательных курсов как внешних, так и внутренних.

Какие тренды видите в сфере ИБ? Какие новые угрозы вызывают больше опасений, а технологии – больше доверия?

Как позитивный тренд отмечу безопасную разработку кода. Нельзя брать с github все подряд и интегрировать в корпоративное ПО. Нужно проверять, чтобы в библиотеках не было бэкдоров и «закладок». Нужны динамические и статические анализаторы кода. Хорошо, что сегодня такая культура складывается во всех IT-компаниях.

Еще заметен тренд на развитие ИБ-персонала. Многие компании стали доращивать ИБ-кадры у себя внутри. Следующим шагом будет максимальное удержание этих квалифицированных сотрудников.

Принципиально новых угроз мы не видим: все описано и классифицировано, меняются только средства и методы защиты, векторы атак. В частности, кибератакам с использованием искусственного интеллекта – тем же фишинговым рассылкам, сгенерированным chat.gpt – противостоят с помощью ИИ-инструментов. Например, платформы Threat Intelligence уже достаточно в этом развиты. В других классах решений ИБ-вендоры тоже идут в этом направлении. И все же применение ИИ будет точечным. Во-первых, на «машину» не переложишь реализацию требований федерального законодательства. Во-вторых, ей пока рано доверять принятие решений за человека. Компетентного ИБ-специалиста на данном этапе технологического развития ИИ не заменит.