Александр Севостьянов, АО «ДИАЙПИ» (ТМК++): «Если вы данные не контролируете, вы ими не управляете»

У нас есть традиция: периодически делимся рассказами крутых ИБ-специалистов и руководителей, которые на практике реализуют проекты по защите компаний разных отраслей. Сегодня микрофон у Александра Севостьянова, Директора Дирекции по экономической безопасности АО «ДИАЙПИ» – Советника СЭБ ПАО «ТМК».

В интервью – про контроль в распределённом периметре, особенности защиты активов Группы ТМК и опыт ^[1] создания подразделения корпоративной безопасности.

Итак:

Трубная Металлургическая Компания (ТМК) – промышленно-инжиниринговая компания, ведущий поставщик трубных решений, конструкционных материалов и сопутствующих сервисов для различных секторов экономики. ТМК изготавливает стальные трубы, включая трубы из специальных сталей и сплавов, трубопроводные системы и другую продукцию для нефтегазовой, энергетической и химической промышленности, машиностроения, строительства и других отраслей. В группе компаний более 50 предприятий, а АО «ДИАЙПИ» обеспечивает их современными программными решениями, являясь ключевой компанией ИТ-кластера ТМК++.

Александр Севостьянов рассказывает о том, как наладить контроль за такой крупной структурой и какие ИБ-инструменты для этого нужны, как сформировать эффективную ИБ-команду и грамотно распределить в ней обязанности, и куда движется корпоративная безопасность.

Как устроена ваша дирекция? Какие функции она выполняет?

Это молодое подразделение, создано год назад по лучшим стандартам корпоративной безопасности. Они разработаны в своё время Службой экономической безопасности ПАО «ТМК» и учитывают все важные аспекты данного направления. А вот за защиту IT-инфраструктуры отвечает другое подразделение, по кибербезопасности: коллеги ежедневно противостоят актуальным киберугрозам, а мы занимаемся собственно защитой информации совместно с Управляющей Компанией.

Контроль человеческого фактора тоже очень важен. Трубные заводы Группы ТМК – это субъекты КИИ, в обработке находятся персональные данные, обрабатываются значительные объёмы коммерческой информации. Это значит, что все бизнес-процессы должны учитывать правила ИБ, а сотрудники – знать их и не нарушать. Поэтому наша задача – донести все регламенты и правила до персонала, обучить и обязать их соблюдать.

Какими защитными решениями вы пользуетесь?

Мы оснащены практически всеми классами СЗИ: есть защита внешнего периметра, внутреннего, контроль рабочих станций, защита информации ограниченного доступа.

Выделю ключевые классы решений. Во-первых, антивирусное ПО: сейчас оно развито настолько, что контролирует и вредоносную активность, и сетевой трафик, и съёмные носители. Второе – контроль периметра: файрволлы, защита от DDoS, от любых попыток проникновения в контур. Ну и третье – защита от утечек, мониторинг движения данных. Это системы класса DLP. Если вы данные не контролируете, вы ими не управляете и не понимаете, что происходит в компании. Вот такой «джентльменский набор» должен быть у любой организации, вне зависимости от размера. Меньше просто нельзя.

Мы постоянно пилотируем новые продукты, присматриваемся, что появляется на рынке и стараемся быть в тренде современных технологий. Например, в прошлом году попробовали несколько DCAP-систем. Потребности ^[2] компании меняются: в зависимости от требований закона, от бизнес-процессов, актуальности угроз.

Как правильно выбрать ИБ-инструмент?

Ответ зависит от конкретной системы. Расскажу на примере DLP.

Любой пилот – это сначала фрагментарное тестирование на отдельных сегментах инфраструктуры. Потом сбор статистики, анализ, что работает, что нет. Мы начали пилотирование DLP в 2015 году, смотрели, как защита отрабатывает на небольших объёмах трафика, потом по нарастающей.

Важно проверять, и как система ведёт себя под нагрузкой, и насколько удобно расширяться. Ну и сколько людей требуется для работы с системой. СЗИ должны автоматизировать и облегчать работу ИБ-специалиста, а не добавлять ее.

Желательно давать обратную связь вендору. Так вы получите советы по работе с продуктом и посмотрите, как реагируют на ваш запрос. Думайте об этом заранее: важно, чтобы вы могли оперативно получить персональную помощь.

Ещё на наш выбор повлияли дополнительные возможности системы. Прямая задача DLP – своевременно выявлять и оперативно блокировать утечки. Но внутри таких систем много информации, которую можно применять для управления в том числе экономическими и кадровыми рисками.

Вы упоминали, что занимаетесь обучением ^[3] сотрудников правилам ИБ. Как организована эта работа?

Каждый сотрудник при трудоустройстве проходит обучающий курс по внутренним регламентам, регулярно посещает вебинары для закрепления. Их организует ДЭБ совместно с корпоративным университетом ТМК2U, на обучающей платформе которого персонал постоянно проходит курсы Security Awareness в рамках информирования о новых видах фишинга и кибератак. То есть мы «прокачиваем» персонал, чтобы никто не нарушал правила внутри инфраструктуры и был готов к кибер-атакам.

Все материалы разработаны вместе с коллегами из Службы экономической безопасности Управляющей Компании, специалистами по кибербезопасности Общества и корпоративного университета. За нами – «фактура», за ними – организация обучения. Обучение дисциплинирует людей: они реже ошибаются и реже идут на намеренные нарушения.

Вы ощущаете нехватку «рук»? Как вы в целом оцениваете ситуацию с кадрами в ИБ?

Сейчас нам ресурсов хватает, но в случае расширения штата с проблемами можем столкнуться. По формальным требованиям найти человека тяжело. Специалисты по информационной безопасности — это всегда «штучный товар», а у каждой компании индивидуальные требования к их навыкам. Выбор еще сужается, потому что специалисты массово уходят в смежные сферы вроде финтеха. Конкурировать за них сложно, но можно, если предоставить прозрачные возможности для профессионального развития.

Плюс при найме всегда высокие риски по безопасности. ИБ и ИТ – это максимальные привилегии в инфраструктуре. Сомнительный специалист с такими правами может навредить компании двумя кликами мыши. Поэтому ДЭБ всегда участвует в интервью и предварительной проверке кандидата вместе с кадровой службой. И мы относимся более внимательно, чем к сотрудникам других профилей.

Но при всех сложностях не стоит искать «универсальных солдат». Под разные ИБ-задачи нужны отдельные специалисты, иначе будет перегруз и пострадает качество работы. В ряде случаев рекомендуется отделять кибербез от инфобеза. А прикладную работу – от «бумажной». Неправильно мешать работу с SIEM-системой, где требуется изучение событий от источников в инфраструктуре, – и написание документации, где нужны знания законов. Нужно давать людям работать с тем, в чём они хороши.

Хороший пример разделения процессов – банковская безопасность. Там предусмотрены выделенные специалисты на внутренний, внешний фрод, отдельный методолог, и нет совмещения разнородного функционала.

Назовите 3-5 общих правил для надёжной защиты организации от рисков ИБ.

Первое – наличие программно-аппаратных средств защиты, хотя бы базовых. С их помощью вы закрываете основные риски.

Второе – СЗИ должны иметь качественное сопровождение.  Для этого нужны люди, которые понимают, как все устроено. Поэтому важно удерживать квалифицированные кадры. Если в ИБ-отделе будет текучка – ничего не заработает.

Следующий важный момент – найти понимание у топ-менеджмента по вопросам безопасности. Если бизнес не понимает, почему ИБ важна и нужна, у вас не будет ни бюджетов, ни содействия при принятии значимых организационных мер. Нужно стремиться к диалогу с бизнесом и налаживать отношения. В Группе ТМК за последние годы сложилась уникальная корпоративная культура понимания важности процессов защиты информации на уровне топ-менеджмента, что позитивно влияет на эффективность данного направления.

Наконец, ИБ-специалисту никуда без постоянного повышения квалификации. Сюда же можно отнести общение в профессиональной среде. Поможет посещение отраслевых форумов, конференций, даже участие в тематических Телеграм-каналах. Обязательно нужно активное общение с коллегами, то есть обмен опытом. В Группе ТМК работникам предоставляется достаточный объём образовательных курсов как внешних, так и внутренних.

Какие тренды видите в сфере ИБ? Какие новые угрозы вызывают больше опасений, а технологии – больше доверия?

Как позитивный тренд отмечу безопасную разработку кода. Нельзя брать с github все подряд и интегрировать в корпоративное ПО. Нужно проверять, чтобы в библиотеках не было бэкдоров и «закладок». Нужны динамические и статические анализаторы кода. Хорошо, что сегодня такая культура складывается во всех IT-компаниях.

Еще заметен тренд на развитие ИБ-персонала. Многие компании стали доращивать ИБ-кадры у себя внутри. Следующим шагом будет максимальное удержание этих квалифицированных сотрудников.

Принципиально новых угроз мы не видим: все описано и классифицировано, меняются только средства и методы защиты, векторы атак. В частности, кибератакам с использованием искусственного интеллекта ^[4] – тем же фишинговым рассылкам, сгенерированным chat.gpt – противостоят с помощью ИИ-инструментов. Например, платформы Threat Intelligence уже достаточно в этом развиты. В других классах решений ИБ-вендоры тоже идут в этом направлении. И все же применение ИИ будет точечным. Во-первых, на «машину» не переложишь реализацию требований федерального законодательства. Во-вторых, ей пока рано доверять принятие решений за человека. Компетентного ИБ-специалиста на данном этапе технологического развития ИИ не заменит.