Когда компания только начинает свой рост, информационная безопасность почти неизбежно воспринимается как палки в колеса. Формальные согласования, запреты, новые правила — все это кажется лишним грузом. Но рано или поздно наступает момент, когда становится все сложнее стабильно и предсказуемо развиваться без системного подхода к ИБ.
Матвей Григорьев, руководитель направления ИБ в Dodo Engineering, заглянул к нам в подкаст «Все по ИБ» и поделился опытом построения ИБ-службы с нуля в компании, которая растет как на дрожжах. Он объяснил, как превратить безопасность из назойливого «контроллера с линейкой» в настоящего партнера бизнеса — и рассказал, как в Dodo внедряли подход Zero Trust. Мы собрали главные тезисы в этом конспекте — дальше слово Матвею.
За свою карьеру я успел побывать и разработчиком, и IT-менеджером. Несколько лет работал SRE-инженером, отвечая за стабильность крупных информационных систем. И на каждой позиции сталкивался с кибербезопасностью — начиная от фрода в мобильных приложениях и заканчивая DDoS-атаками с инфраструктурными инцидентами. Постепенно я так проникся этой темой, что решил: именно в ИБ смогу принести максимальную пользу.
В Dodo я уже почти 8 лет, и помню время, когда отдельной ИБ-службы у нас не было — всеми вопросами безопасности занимались IT-блок, инфраструктурные и инженерные команды. Так обычно бывает в стартапах. Со временем, по мере роста компании, менеджмент часто начинает задумываться о создании самостоятельного ИБ-отдела. Но какие задачи бизнеса он будет решать?
Что мотивирует компании вкладываться в безопасность
«По канону» считается, что задача безопасников — минимизировать риски, сократить финансовые потери и обеспечить комплаенс. Никто с этим не спорит. Но если копнуть глубже, то ценность кибербезопасности сильно различается в зависимости от типа компании.
Если совсем по-простому, безопасность — это всегда про стимулы. Компании выстраивают защиту не потому, что «так правильно», а потому что к этому подталкивают внешние или внутренние факторы.
В госсекторе, банках и корпорациях ИБ — это в первую очередь про регуляторику. Про то, чтобы не нарваться на штраф или, не дай бог, уголовку. Основным стимулом к укреплению безопасности здесь становится «кнут» правоприменителей. Работает негативное подкрепление: «нарушим требования — прилетит».
А вот в малом и среднем бизнесе картина совсем другая. «Большой Брат» меньше следит за такими компаниями. Тут на первый план выходят прибыль, выживание и рост. И кибербезопасность может реально помочь: она снижает потери от инцидентов и даже помогает заработать больше. Это уже мотивация в виде «пряника» — когда ты движешься к выгоде, а не избегаешь проблем.
Приведу пример. Когда наш эквайринг-провайдер потребовал сертификацию PCI DSS L1, мы не пошли по пути «для галочки». Вместо этого капитально перестроили инфраструктуру и устранили хронические проблемы, до которых долго не доходили руки и которые мешали развивать нашу систему Dodo IS. В итоге не только прошли аудит, но и заметно снизили число инцидентов, качественно улучшили и упорядочили инфраструктуру. Попутно избавились от технического долга, упростив операционку команде инфраструктуры. Регуляторика сработала как драйвер — сертификация PCI DSS L1 заодно помогла сократить риски безопасности.
Zero Trust с человеческим лицом
Наши основные риски четко определены. Во-первых, это простои производства. Все процессы наших пиццерий завязаны на информационные системы. Когда система дает сбой — мы не можем принимать заказы и теряем деньги. Во-вторых, это утечки персональных данных.
К слову, отношение к защите ПДн может сильно различаться. Некоторым компаниям проще и дешевле платить штрафы за утечки, чем вкладываться в их предотвращение. Но такая тактика выглядит недальновидной, особенно для B2C-компаний.
Для нас защита персональных данных — это не только про соблюдение закона, но и про ответственное отношение к людям. Нам важно, чтобы клиенты и сотрудники могли нам доверять, и мы стараемся это доверие оправдывать.
Это не просто красивые слова. Вопрос доверия в информационной безопасности — действительно очень больной и осязаемый. Когда выстраиваешь ИБ-службу в стартапе, где все привыкли к свободе и открытости, неизбежно натыкаешься на конфликт между сложившейся корпоративной культурой и ограничениями безопасности, которые накладывает Zero Trust.
Тут нужен тонкий баланс. С технической стороны — никаких послаблений: принцип нулевого доверия у нас работает на полную катушку. Но в человеческом плане мы остаемся быть открытыми и дружелюбными. Мне важно, чтобы любой сотрудник мог без страха постучаться в нашу службу с вопросом: «Мне пришло какое-то подозрительное письмо, поможете разобраться?».
С чего начать построение ИБ в стартапе?
Первым делом нужно определиться с главными рисками, потенциальными злоумышленниками и критичными событиями. Кто может на нас напасть? От каких угроз мы защищаемся? Без ответов на эти вопросы вы будете стрелять из пушки по воробьям.
Так что нужно научиться думать как хакер. Именно для этого строят дерево атак — наглядную схему того, какими путями злоумышленники могут добраться до ваших активов и какие барьеры им придется преодолеть.
Как правило, все ветви такого дерева тянутся к нескольким ключевым мерам противодействия:
Грамотное управление доступами. Выдал вовремя, забрал моментально при увольнении или смене должности.
Базовая цифровая гигиена. Сюда входит и Security Awareness, и двухфакторная аутентификация, и многое другое.
Сегментация сети.
В итоге у нас складывается четкая картина: куда именно нужно вкладывать ресурсы, чтобы получить максимальную защиту. И это прекрасная иллюстрация принципа Парето в действии: 20% усилий дают 80% результата.
Цифровой субботник и миллионы, зарытые в аккаунтах
Параллельно придется засучить рукава и навести порядок в инфраструктуре. И тут уже не обойтись силами одной ИБ-службы — нужно системное взаимодействие с администраторами и другими командами. Предстоит большая работа: наладить учет и провести тщательную инвентаризацию информационных систем, доменов, ИТ-активов, учетных записей и прав доступа. Затем построить матрицы доступа и проанализировать ролевые модели.
Короче говоря, безопасник должен четко понимать свою область ответственности, иначе любые инструменты будут работать вслепую и не принесут толку.
К тому же такой цифровой субботник экономит деньги, даже если у вас нет никаких инцидентов. Когда мы в Dodo впервые провели полную инвентаризацию учетных записей, выяснилось, что компания спускала в трубу несколько миллионов рублей в год, оплачивая лицензии давно уволенных сотрудников.
Документация, которая реально работает
Следующий шаг — документирование ИБ-процессов и создание так называемой «бумажной» безопасности. Для многих само это словосочетание звучит как насмешка. Но давайте будем честны: «бумажная» безопасность тоже нужна. Комплаенс и требования надзорных органов никуда не делись. Просто не нужно делать из нее культ.
Для компаний, которые занимаются разработкой софта и сервисов (как мы), критически важно выстроить здоровую инженерную культуру с учетом кибербезопасности. Расскажу, как это работает у нас. В Dodo для всех сервисов мы создали внутренние нефункциональные требования — НФТ. Их соблюдение гарантирует стабильность и защищенность систем.
Звучит скучновато? На самом деле, это очень практичная штука. В НФТ мы прописываем, как должны работать ретраи при синхронном взаимодействии микросервисов, какие механизмы использовать для обработки данных и многое другое. Естественно, вопросы ИБ тоже вшиваются в эти требования как часть общей надежности систем.
Код против человеческого фактора
Еще один лайфхак: старайтесь, чтобы ваша инфраструктура управлялась кодом (IAC-инфраструктура), а не руками админов. Как говорится, руки не из того места растут даже у профи, а код не устает и не отвлекается на кофе. Так вы в разы снизите влияние человеческого фактора и риск ошибок в настройках безопасности.
Отдельный фронт работ — обучение сотрудников цифровой гигиене. Каждый в компании должен хотя бы на базовом уровне понимать, как отличить фишинговое письмо от обычного, как выглядят подозрительные ссылки и что делать, если случайно по ним кликнул (бежать к безопасникам, а не заметать следы).
Вот тут есть хитрость: если подойти к обучению с огоньком, добавить игровой элемент и подавать информацию нестандартно, люди неожиданно начинают втягиваться. Мы в Dodo запускаем локальные мемы, например, «товарищ Яковлев», который звонит сотрудникам по схеме Fake Boss. Еще периодически выпускаем интересные посты по информационной безопасности в общих корпоративных каналах и делаем дизайнерские карточки с инструкциями по цифровой гигиене — что-то вроде производственных плакатов по охране труда.
Также мы проводим для бизнес-подразделений, топ-менеджеров и ИТ-блока Q&A-сессии, на которых можно задать любые, даже самые «неудобные» вопросы безопасникам и получить честные ответы. Не обходится и без традиционных учебных рассылок фишинговых писем по компании. В результате такой работы вовлеченность сотрудников возросла: теперь они сами кидают скрины подозрительных сообщений в корпоративные чаты с предупреждениями типа: «Осторожно, ребята, опять на нас охотятся!». И это работает эффективнее любой формальной системы оповещений.
Как обосновать бюджет на безопасность
Самый больной вопрос для всех безопасников: как обосновать бюджет на кибербезопасность. Мы в Dodo через это тоже прошли, и это задачка со звездочкой.
Не всегда стоит пытаться обосновать вложения в ИБ напрямую через сухую статистику инцидентов. Такие данные либо не собираются вообще, либо зачастую сильно искажены и потому могут выглядеть неубедительно. Пугать бизнес гипотетическими штрафами, конечно, можно, но со временем эффект от этого сходит на нет. Если по факту никаких санкций не прилетает, безопасники воспринимаются как тот мальчик, который невпопад кричит «Волки!».
Другое дело — когда можно показать конкретный и осязаемый ущерб. Вот смотрите: у нас в Dodo есть точные аналитические инструменты, позволяющие прикинуть, во сколько компании обойдется даже 10-минутный простой пиццерий в пиковую пятницу из-за успешной DDoS-атаки. Мы легко можем посчитать, сколько времени наши сервисы лежали из-за таких инцидентов за год, и перевести это в конкретные рубли потерянной выручки. А эти цифры уже понимают все — от рядового сотрудника до CEO.
Следующий шаг — прогноз потерь на будущий год. Тут берем темпы роста бизнеса, умножаем на тенденцию усиления атак, — получаем конкретные цифры. И тогда элементарная арифметика показывает, что внедрить систему защиты от DDoS выгоднее, ведь траты на защиту составят лишь несколько процентов от ожидаемых потерь.
И еще момент: необязательно покупать дорогущее железо, которое будет пылиться в стойке большую часть года, чтобы раз в квартал спасать вас от атаки. Часто куда разумнее взять подписку на SaaS-решение и платить только за реально использованные мощности.
Другой подход, который мы активно применяем, — сравнение эффективности разных решений. Вот классическая дилемма: как найти дыры в периметре? Что выбрать: автоматический сканер, пентест или программу Bug Bounty?
В идеальном мире нужны все три, они отлично дополняют друг друга. Но в реальности бюджет не резиновый, поэтому приходится считать эффект на каждый вложенный рубль.
Для нас оказалось целесообразнее всего сочетать Bug Bounty и пентесты. Bug Bounty дает максимальную окупаемость по выявлению технических уязвимостей, а пентесты и редтиминг хорошо подходят для проверки защиты от социальной инженерии. Так получается максимальная отдача при ограниченном бюджете.
Альянсы и партнерства внутри компании
Главная задача ИБ-руководителя — не просто проанализировать все цифры и сделать выводы, а суметь донести их до бизнеса на языке денег. И тут начинается работа по выстраиванию коммуникаций.
На этом этапе важно понимать, что при обсуждении инвестиций в ИБ с топ-менеджментом нет никакого смысла говорить про «железки» и софт — получается разговор слепого с глухим. На таком уровне необходимо оперировать бизнес-метриками и финансовыми показателями.
Но это еще не все. Чтобы выжить, ИБ-отделу нужно дружить буквально со всеми: с финансистами, эйчарами, айтишниками. Мы в Dodo нашли хороший подход — «растим» секьюрити-чемпионов в разных отделах. С их помощью мы делегируем часть задач, например, используем системы виртуализации и резервного копирования IT-подразделения.
Часть задач можно и нужно отдавать на аутсорс. Например, если вы уже платите за облака, логичнее доверить резервное копирование облачному провайдеру — это и дешевле, и надежнее. Никто внутри компании не сможет случайно (или не очень случайно) снести все бэкапы одним неловким движением мыши. То же самое с антибот-решениями и защитой от DDoS — часто выгоднее купить готовый сервис, чем выращивать эту экспертизу внутри.
Конечно, предварительно нужно взвесить внешние риски и оценить безопасность самого облачного провайдера. Но в итоге такой подход позволяет нам в Dodo сосредоточиться на главном — безопасности пиццерий и франчайзинговой сети.
Арсенал современной ИБ
Теперь поговорим о технической стороне защиты — инструментах, которые помогают воплотить все наши принципы и процессы в жизнь.
Одними из первых мы повсеместно внедрили решения для двухфакторной аутентификации. Но тут есть нюанс: важно использовать ее не только на входе в систему (когда человек логинится из внешнего мира), но и внутри компании, особенно для привилегированных операций. Допустим, администратор хочет получить доступ к критичному серверу — пускай сперва подтвердит свою личность. Это элемент того самого Zero Trust подхода. Другой инструмент из разряда must have — централизованная система управления учетными данными и правами доступа (IDM).
Компаниям с внутренним защищенным периметром и собственными серверами критически важно мониторить инфраструктуру и конечные точки (рабочие станции и другие) при помощи различных EDR, XDR-решений. Увы, абсолютно непробиваемой защиты не существует. Поэтому нужно обращать пристальное внимание на эндпоинты, чтобы при компрометации успевать купировать атаки.
Еще таким организациям не обойтись без файрволов, межсетевых экранов и антивирусов, причем лучше использовать возможности СЗИ по максимуму. Так, в ряде файрволов и антивирусов предусмотрена полезная функция ограничения запуска в скриптовых интерпретаторах из офисных пакетов. Такая опция почему-то редко применяется штатными ИБ-службами, хотя с ее помощью удается сузить поверхность атак и сковать руки злоумышленнику.
В Dodo же нет собственного защищенного периметра, серверов, дата-центров и даже виртуальных машин — все наши сервисы локализуются в публичных облаках. Поэтому для нас в первую очередь актуальны SaaS-решения, такие как облачные Anti DDoS и антибот-системы. Мы делаем ставку на механизмы аутентификации SSO и внешнюю авторизацию.
Главный совет: безопасность, которая помогает
Подводя итоги, хочу сказать главное: информационная безопасность — это не про запреты и преграды.
Наш опыт в Dodo показывает, что эффективная ИБ-служба в растущей компании — это баланс. С одной стороны — технически безжалостный Zero Trust, а с другой — человечность и партнерские отношения с коллегами. Да, мы ограничиваем доступы и внедряем двухфакторную аутентификацию, но одновременно создаем культуру, где сотрудник не боится признаться, что случайно кликнул по подозрительной ссылке.
Мир динамичен, и сегодняшние решения завтра могут оказаться устаревшими. Поэтому важен не столько набор инструментов, сколько подход: постоянный анализ рисков, гибкость в выборе технологий и прозрачные коммуникации на всех уровнях компании.