Результаты проверки надежности периметра информационного пространства позволили компании «Верофарм» повысить уровень своей информационной безопасности
Проверка внешнего периметра информационного пространства компании «Верофарм» понадобилась в первую очередь для того, чтобы проанализировать зрелость подходов к обеспечению безопасности, а также выяснить, насколько сетевая инфраструктура компании соответствует рекомендациям общего аудита информационных технологий, проведенного компанией Deloitte в прошлом году.
Компания «Верофарм» — один из крупнейших российских производителей фармацевтической продукции. Помимо центрального офиса в Москве у «Верофарма» имеется три завода: в Воронеже, Белгороде и Покрове. Прямые продажи компания не осуществляет, развитой логистической структуры не имеет и работает на рынке через своих дистрибьюторов. Всего в компании работает порядка 3 тыс. сотрудников, из них около 600 — в офисах.
В непосредственном подчинении начальника информационно-аналитического управления ОАО «Верофарм» Алексея Гаврилова находится 25 ИТ-специалистов. ИТ-поддержка завода в Покрове и поддержка центрального офиса осуществляются совместно. В Воронеже и Белгороде имеются свои ИТ-подразделения, занимающиеся локальной поддержкой бизнеса.
Все территориально распределенные площадки связаны между собой каналами VPN, благодаря чему все информационные ресурсы, где бы они физически не размещались, доступны всем сотрудникам с учетом их прав доступа. Хранение данных носит распределенный характер.
Местные ИТ-службы поддерживают на своих предприятиях ИТ-инфраструктуру, в частности узлы VPN, «Галактику» в качестве ERP-системы предприятия, а также часть оборудования. Работы, требующие специальных навыков ИТ-специалистов (например, поддержка маршрутизаторов), выполняется силами головного офиса. Отдельное подразделение — отдел внедрения и эксплуатации — занимается исключительно поддержкой и развитием решения на базе «Галактики».
Операция «Черный ящик»
В ОАО «Верофарм» активно используются портальные технологии, например, существует обширная сеть медицинских представителей — внешних пользователей корпоративного портала и сетевых ресурсов, поэтому анализ вопросов информационной безопасности для компании чрезвычайно важен. В первую очередь руководство интересовало, насколько уязвима компания в отношении угроз проникновения извне в сеть VPN.
Для первого этапа анализа был выбран метод «черного ящика»: специалистам подрядчика — компании «АйТи» сообщили диапазон внешних IP-адресов компании, и они попытались осуществить проникновение. Около недели было потрачено на обнаружение и анализ уязвимости сервисов, еще полторы-две недели осуществлялись попытки подбора паролей.
Подбор паролей ничего не дал, но был обнаружен ряд уязвимостей. Большая часть из них была ликвидирована, для устранения остальных потребовалась замена программного обеспечения.
Возможность вывода из строя отдельных сервисов в результате распределенных атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS), не проверялась. Такая возможность вызывает беспокойство, однако успокаивает то, что предусмотрены решения быстрого восстановления работоспособности внешних сервисов.
Экспресс-проверка внешнего периметра собственными силами проводится после каждого изменения конфигурации сети, полномасштабные проверки планируются на регулярной основе, чтобы соответствовать современным требованиям к безопасности.
Наиболее актуальны для компании в настоящее время угрозы с участием инсайдеров. Спектр вариантов ущерба вредоносной деятельности инсайдеров очень широк и включает в себя утечку данных, искажение документации, сбои в работе информационных систем, утрату информации и пр. — вплоть до кражи оборудования.
В краткосрочной перспективе основными мерами противодействия таким угрозам в компании «Верофарм» станут пересмотр ролевой регламентации контроля доступа к сетевым ресурсам и внедрение аутентификации по стандарту 802.1x, а также расширение использования программных продуктов мониторинга ManageEngine и внедрение Symantec Endpoint Protection. В дальнейшем предполагается уделить большее внимание программному обеспечению по контролю над утечкой данных и пассивному мониторингу, применять шифрование хранимых данных и средства предупреждения вторжений (Intrusion Protection System, IPS).
В то же время технологические аспекты обеспечения безопасности не так важны, как организационные, считает Гаврилов: «Главное — это люди. Офис компании более открыт внешнему миру через сотрудников, нежели через Internet». С его точки зрения помочь в борьбе с инсайдерами мог бы правильный компромисс между необходимостью «закручивать гайки» в области безопасности и
необходимостью поддерживать нормальную атмосферу в коллективе. Нужно, например, понимать, что требование менять пароль каждые два дня трудно выполнимо, к тому же программное обеспечение, которое позволяет контролировать использование тех или иных аппаратных средств (в том числе с точки зрения информационной безопасности), стоит достаточно дорого. Кроме того, ряду сотрудников, например тем, кто проводит презентации, использовать накопители вроде флэш-карт просто необходимо для выполнения служебных обязанностей.
Гаврилов уверен, что нормальный доброжелательный климат на работе полезнее для обеспечения информационной безопасности, чем атмосфера взаимной слежки. В некоторых компаниях сетевые ресурсы увольняемого сотрудника отключаются раньше, чем он возвращается из отдела кадров. Но практика показывает, что при желании такой человек всегда найдет сочувствующего сотрудника и с его помощью скачает всю необходимую информацию.
Портрет ИТ-директора
Алексей Гаврилов работает в компании «Верофарм» в должности руководителя департамента ИТ более трех лет, подчиняется непосредственно генеральному директору. Он оценивает бизнес компании как стандартный, поскольку производство фармацевтических препаратов сильно регламентировано государством и постоянным им контролируется. Соответствие стандарту является в отрасли большим конкурентным преимуществом. Это отразилось на организации ИТ-поддержки: в компании используется типовое решение для производственных организаций на основе системы «Галактика».
Не так давно компания «Верофарм» достигла той степени зрелости отношения к ИТ, когда можно говорить о целесообразности применения элементов ITSM. Началом станет внедрение централизованной службы ServiceDesk, и сейчас происходит выбор программного обеспечения и базового набора соглашений об уровне сервиса .
Гаврилов уверен, что SLA обязательно будет внедрен в практику. На его основе должны выстраиваться отношения с бизнесом.
Не обошла «Верофарм» стороной и проблема нехватки квалифицированных специалистов. Примерно половину сотрудников ИТ-службы компании ее ИТ-руководитель нанял самостоятельно. Он не ощущает серьезной нехватки кадров. С его точки зрения, при наличии резерва времени нужные кадры вполне можно вырастить в самом подразделении.
Ситуация в филиалах складывается по-разному. В Воронеже, где есть Государственный университет и другие высшие учебные заведения, недостатка в квалифицированных кадрах не ощущается. К примеру, именно в Воронеже работает команда программистов, которые занимаются созданием необходимого ПО.
В подчинении ИТ-руководителя находится не только служба поддержки и сопровождения информационных систем компании, но и отдел организационного развития, осуществляющий бизнес-проектирование, развитие системы управления результатами деятельности (то есть поддержку сбалансированной системы показателей), а также операционное планирование компании. Такая иерархия позволяет подразделениям ИТ быстрее реагировать на изменения требований бизнеса и формулировать бизнесу свои потребности и задачи.
Выбор решения для реализации любого проекта или сервиса, когда это возможно, начинается с экономических расчетов его эффективности, таких как совокупная стоимость владения и возврат на инвестиции. На основании этих расчетов затем принимается решение либо об аутсорсинге, либо о приобретении коробочных решений и самостоятельном их внедрении, либо о разработке прикладного ПО «с нуля» собственными силами. Вопрос о том, модифицировать информационную систему под бизнес или наоборот принимается в зависимости от оценки качества существующих бизнес-процессов с учетом мнения функциональных подразделений.
В ИТ-сообществе постоянно дебатируется вопрос о возможности проводить объективные экономические расчеты, касающиеся эффективности ИТ. Гаврилов считает, что в ряде случаев их можно выполнить, то есть иногда можно подсчитать совокупную стоимость владения, возврат на инвестиции и т.д. В частности, подобные расчеты были выполнены при внедрении мобильного решения для медицинских представителей компании. Эти сотрудники посещают работников медицинских учреждений, представителей дистрибьюторских компаний, аптек и пр. и предлагают им приобрести новые фармацевтические препараты. Решение обеспечивает поддержку сети КПК и позволяет аккумулировать данные, накопленные на них, в реальном времени и получать на их основе аналитические отчеты. Также оно служит для поддержки планирования операционной деятельности медицинских представителей. Решение полностью разработано штатными ИТ-специалистами компании, поскольку имеющееся на рынке тиражное ПО такого рода стоит очень дорого.
В целом решение о приобретении или самостоятельной разработке принимается исходя из имеющихся ресурсов и оценки трудоемкости. Если разработку (доработку) можно провести своими силами и она не нарушит поддержки со стороны вендора, Гаврилов постарается это сделать. В частности, он не берется за использование свободно распространяемого ПО, поскольку многие хорошие решения здесь требуют наличия специалистов по Pyphon и т.д., а их в его распоряжении может не оказаться. Такого рода решения, как и самостоятельная разработка, могут также быть очень дорогими в поддержке из-за необходимости учитывать изменения российского законодательства.