Сергей Прадедов, заместитель вице-президента по безопасности, директор департамента информационной безопасности компании «Мобильные ТелеСистемы», последние десять лет отвечает за информационную безопасность крупнейшего сотового оператора России. Он убежден: чтобы обеспечить адекватную защиту от современных угроз, в ИТ необходима скоординированная работа подразделений информационной безопасности и практически всех заинтересованных сторон, начиная от высшего руководства организации, функциональных бизнес-подразделений и заканчивая клиентами и партнерами. На наиболее значимые вызовы можно ответить только объединив усилия бизнес-сообщества и государства. В интервью нашему журналу Прадедов поделился мыслями о том, почему без этого обойтись не удастся и в каких направлениях нужно сегодня координировать усилия.
Сергей Прадедов
Возраст: 41 год
Образование: Военно-инженерная академия
Послужной список последних лет:
2004 – настоящее время
«Мобильные ТелеСистемы», заместитель вице-президента по безопасности, директор департамента информационной безопасности
2002 – 2004
«СИДАНКО», главный специалист по защите информации департамента безопасности
2000 – 2002
ТНК, ведущий специалист департамента компьютерной безопасности
Можно ли утверждать, что изменения в информационной безопасности, происходившие в последнее время, свидетельствуют о парадигмальном сдвиге в этой области?
Да, судя по нашей практике и мнению коллег из других телекоммуникационных компаний и банков, можно говорить о том, что тенденция к переменам стала явно выраженной около года назад. Предпосылки сложились за последние годы. Во-первых, активно идет интеграция различных видов бизнеса в рамках комплексных сервисов. Например, базовые телекоммуникационные услуги интегрируются с ретейлерским и банковским бизнесом, интернет-торговлей и пр. Во-вторых, благодаря мобильным технологиям и Интернету появляется возможность предоставлять клиентам принципиально новые услуги. При этом доступности новых услуг во многом способствует удешевление мобильных устройств, существенное увеличение их функциональных возможностей и производительности.
Эти тенденции несут в себе новые вызовы для подразделений информационной безопасности (ИБ). Раньше главным объектом нападения киберпреступников были информационные системы крупных компаний. При этом крупные компании вкладывали немало денег в системы защиты своих информационных объектов. Чтобы преодолеть эту оборону, злоумышленникам требовались высокая квалификация и значительные ресурсы. Сегодня атаки организуются в первую очередь против клиентов компаний — потребителей их услуг (для МТС — абонентов связи). У таких пользователей, как правило, низкий уровень осведомленности и культуры в области информационной безопасности, и защищают они свои ИТ-ресурсы гораздо хуже, чем компании. При этом в их распоряжении находятся достаточно мощные, высокопроизводительные компьютеры и мобильные устройства, содержащие великое множество брешей, которыми и пользуются злоумышленники.
Атаки на клиентов компаний в последнее время усиливаются. По данным международных экспертов в области ИБ, наша страна стала одним из мировых лидеров по развитию и распространению вредоносных кодов для мобильных платформ. Этому способствуют и относительная легкость организации такого рода атак, и несовершенство нашего законодательства, и слабая реакция правоохранительных органов, чьи возможности для противодействия подобным атакам сильно ограничены. Средства нападения становятся все проще, требуют все меньшей квалификации от тех, кто готов их применять, поэтому хлопот у служб ИБ с каждым днем только прибавляется. С другой стороны, российское бизнес-сообщество еще не настолько организовалось, чтобы сообща защищать своих клиентов. Как результат — наблюдается всплеск широкого круга проблем, вызванных уязвимостью клиентов компаний.
В итоге в сознании руководителей служб ИБ компаний, работающих на массовых рынках, произошла серьезная метаморфоза: мы стали очень много внимания уделять информационной защите наших клиентов. В условиях высококонкурентного рынка обеспечение лояльности клиентов становится ключевым фактором конкурентной борьбы. На нынешнем этапе развития рынка сотовой связи, когда абоненты могут менять операторов, сохраняя свой номер, это особенно актуально. Нам важно, чтобы абоненты ощущали заботу о себе, чувствовали себя защищенными, при этом меры безопасности не должны их сильно отягощать и сковывать.
«За десять лет моей работы в МТС создана уникальная команда профессионалов. Мы сделали очень много, чтобы снизить риски информационной безопасности как для компании, так и для ее клиентов. Но мир меняется, и мы «держим руку на пульсе» и готовы к этим изменениям. Важно четко видеть цель и быть последовательным в ее достижении», Сергей Прадедов, заместитель вице-президента по безопасности, CISO компании «Мобильные ТелеСистемы» |
Могу предположить, что серьезные изменения в реалиях информационной безопасности потребуют пересмотра не только ключевых подходов к ИБ, но и приоритетов бизнеса. Нынешняя ситуация с мошенничеством отразилась на приоритетах компании?
Да. Столкнувшись в последнее время с ростом мошеннических атак против наших абонентов, мы должны были решить, что для компании важнее — высокие текущие финансовые показатели любой ценой или устойчивое развитие в стратегической перспективе, залогом которого станет лояльность клиентов, защищенных от потерь, наносимых мошенниками, и потому более активно потребляющих наши услуги и услуги наших партнеров. Мы выбрали долгосрочные преимущества и весь уходящий год трудились над тем, чтобы повысить защищенность наших абонентов.
Проведенная работа дала ощутимые результаты. Например, если в начале года контакт-центр нашей компании получал сотни тысяч жалоб на информационные услуги, оказываемые нашими партнерами, то сейчас их количество снизилось в несколько раз — до 30 тыс. за полугодие. Это значимый результат наших усилий по защите абонентов компании.
Поскольку нынешний вызов затронул множество компаний и организаций разного профиля, было бы разумно консолидировать усилия по минимизации рисков мошенничества и их последствий. Насколько хорошо это понимают ваши коллеги, чьи клиенты тоже страдают от мошенников?
К счастью, бизнес-сообщество сегодня осознает, что дать серьезный отпор мошенничеству можно, объединяя свои усилия в борьбе с этим злом. Необходимо наладить тесное взаимодействие служб ИТ и ИБ телекоммуникационных компаний, банков, интернет-компаний и прочих организаций, реализовать механизмы взаимного уведомления об инцидентах и оперативной реакции на них, обмениваться опытом и т. д.
Мы считаем, что целесообразно создать ассоциацию по противодействию мошенничеству с применением инфокоммуникационных технологий, которая как раз и позволит объединить наши усилия, наладить обмен опытом и взаимное информирование о различных проблемах, уязвимостях и угрозах. Это помогло бы устранять возникающие новые угрозы до того, как они будут широко распространены злоумышленниками, и обеспечить быстрое реагирование на инциденты. Также ассоциация могла бы способствовать выстраиванию общего взаимодействия с правоохранительными органами по борьбе с компьютерными преступлениями, с законодателями в целях усовершенствования российской правовой базы. Ассоциация была бы полезной и в деле систематического информирования российских пользователей об угрозах ИБ и способах защиты от них.
Какова роль службы ИБ в этом процессе?
Чтобы противостоять нынешним угрозам, мы активно взаимодействуем с разработчиками антивирусов и с основными поисковыми порталами. К счастью, все они осознают, что проблема мошенничества — это не только проблема отдельно взятых компаний, это общая проблема. Надеюсь, в ближайшее время мы объединим усилия, чтобы еще эффективнее защищать нашу общую киберсреду и наших клиентов.
В определенной степени нашу активность в этом направлении сдерживает нынешнее российское законодательство. Так, большая часть мошеннической информации попадает к абонентам сотовой связи как SMS-спам. Он вызывает у наших клиентов немалое раздражение. В первую очередь они винят в нем своего оператора. Между тем подавляющую часть SMS-рассылок абоненты получают потому, что беспечно оставляют свои номера телефонов в различных анкетах, заполняемых в розничных сетях, фитнес-клубах и других компаниях. Сегодня с точки зрения законодательства такие рассылки вполне законны, но абонентам они зачастую не нравятся. Кроме того, из присоединенных к нашей сети сетей других операторов связи мы получаем огромное количество SMS-спама и блокировать его не можем — не позволяет законодательство. Помимо распространения нежелательной рекламы, SMS-каналы используются злоумышленниками для рассылки сообщений с вредоносными кодами или мошеннических сообщений — это может нанести абоненту прямой финансовый ущерб.
Как часто приходится сталкиваться с радикальными сдвигами в подходах к ИБ?
Частота сдвигов зависит от того, как быстро меняется рынок, а также ИТ. Технологии быстро развиваются, появляются новые направления. Информационная безопасность должна адаптироваться к вызовам, которые в связи с этим возникают.
Необходимость перемен сильно зависит от особенностей бизнеса. Есть организации с достаточно детерминированной средой ИТ и жесткими правилами ИБ, а есть компании, которые постоянно развиваются, их среда ИТ гетерогенная и очень гибкая, изменчивая. Наиболее часто нуждаются в ревизии своих подходов к ИБ компании, работающие на массовом рынке и быстро развивающиеся. Везде, где идет быстрое развитие и внедрение новых технологий, требуется применение новых механизмов защиты или серьезная адаптация существующих к новым условиям. Специфика работы на массовом рынке (например, в телекоммуникационном, банковском секторе, интернет-компаниях, ретейловых сетях) порождает дополнительные вызовы.
Есть ли какие-то критерии или признаки, которые могли бы сигнализировать о том, что пора переходить от тактических изменений в ИБ к радикальному пересмотру подходов в этой области?
Такие критерии очевидны, если смотреть на них с точки зрения бизнеса: подходы к информационной безопасности пора пересматривать коренным образом, когда та или иная угроза или проблема становится ощутимой. Либо от бизнеса потребуются значительные инвестиции, чтобы ее минимизировать, либо реализация этой угрозы будет способна привести к большим потерям — прямым финансовым, имиджевым и пр. Если становится ясно, что настала пора менять базовые принципы организации ИБ, то обсуждение этого вопроса выносится на стратегический уровень руководства.
Каким образом следует выстраивать обсуждение ключевых аспектов ИБ в организации?
В МТС стратегические вопросы ИБ обсуждаются в том числе и на уровне совета директоров. Совет директоров, в частности, интересуют тенденции развития киберугроз и предпринимаемые службой ИБ меры для защиты клиентов компании, насколько эти действия адекватны нынешним вызовам, какие проблемы эти вызовы могут принести компании и ее клиентам в будущем и как служба ИБ планирует развивать системы защиты, чтобы минимизировать риски, вызванные этими проблемами.
На уровне правления обсуждаются стратегии ИБ и кибербезопасности (безопасности абонентов), а также ряд специфических вопросов. Все крупные закупки, которые инициирует служба ИБ, обсуждаются на инвестиционном комитете компании — в его работе участвуют практически все члены правления. Свежий пример — обсуждение вопросов безопасности при строительстве сетей LTE. Создание таких сетей — это очень крупный проект, на него предусмотрены значительные инвестиции. Реализация требований к безопасности также потребовала ощутимых затрат, притом что риски ИБ могут проявиться не сразу, а спустя год-два. Мы уже заложили основу для того, чтобы, когда эти риски начнут проявляться, можно было быстро построить адекватную модель защиты и развить соответствующим образом нашу систему безопасности.
Насколько тесной и глубокой должна быть координация изменений ключевых подходов к ИБ с другими подразделениями?
Серьезные проблемы, например вызванные ростом мошенничества, не могут быть устранены усилиями одного подразделения ИБ, поскольку они касаются всего бизнеса, тут нужна тесная координация с другими подразделениями — маркетингом, продажами, техническими службами.
Наша служба ИБ опирается при этом на несколько базовых принципов. Первый — знать общую стратегию компании и цели, к достижению которых она стремится. Второй — демонстрировать свою эффективность и значимость для бизнеса нашей компании. Некоторые случаи наглядно показывают, что наша деятельность приносит доход компании. Третий принцип — постоянно искать новые возможности, чтобы применить наши знания и усилия для реализации целей компании. Мы выявляем новые проблемы и предлагаем их решение. Это позволяет нам оказываться в нужном месте в нужное время.
Какие аспекты ИБ чаще всего нуждаются в ревизии? И есть ли в ИБ детерминированные области, наименее часто подверженные изменениям?
Нельзя строго утверждать, что одни области ИБ более детерминированы, а другие — менее. Есть области ИБ более проработанные — они образуют фундамент, а есть области, которые находятся в постоянном развитии и требуют постоянной дополнительной проработки. Одни из самых проработанных технологий ИБ — антивирусы, системы антиспама, межсетевой фильтрации. Они давно применяются в корпоративной среде, сейчас мы рассматриваем возможность их применения для реализации некоторых услуг массовым пользователям — например, блокирования нежелательных SMS-рассылок, предоставления защищенного интернет-доступа и пр.
С другой стороны, конечно, развитие новых технологий порождает новые вызовы и проблемы. Например, широкое распространение мобильных платформ привело к необходимости создавать средства их защиты. В настоящее время арсенал средств ИБ для них весьма ограничен. Класс антивирусов для мобильных платформ сейчас только формируется, антивирусных продуктов очень мало, они значительно уступают аналогам для ПК по своему функционалу и удобству, да и пользователи редко заботятся о защите своих мобильных устройств.
Активный вклад в необходимость совершенствовать системы ИБ вносят изменения требований государственных регулирующих органов: законодательство становится существенно жестче в плане требований к ИБ (например, по защите персональных данных, тайны связи и пр.). Все это также формирует новые вызовы для служб ИБ.
Что касается основополагающих рекомендаций в области ИБ, то они достаточно; консервативны. Есть ряд стандартов (ISO 27001 и некоторые другие), модели безопасности и методики, которые очень хорошо отработаны и применимы при любых изменениях в ИБ.
Какие факторы, помимо изменения целей и задач организации, могут инициировать пересмотр базовых принципов и подходов к ИБ?
Эти факторы можно разделить на внутренние и внешние. Внутренние — изменение целей и задач компании, переход к новой модели бизнеса, создание новых классов продуктов и пр. Внешние факторы — прежде всего новые угрозы и вызовы, новые технологии, изменения в законодательстве.
Одной из ярких тенденций последнего времени стал переход к многоканальному взаимодействию с клиентами. Приходится ли вам, выстраивая систему информационной безопасности, учитывать, что розничные клиенты общаются с компанией через множество каналов?
Очень многое зависит от формы такого взаимодействия. Если оно происходит по электронным каналам, то, разумеется, необходимо думать над тем, как обеспечить защищенное взаимодействие с клиентом, ведь атаки на электронные каналы происходят регулярно. Также мы большое внимание уделяем тому, чтобы правильно фиксировать тревожные обращения от абонентов в наших контакт-центрах: это дает возможность выявлять причины, принимать меры, позволяющие решать проблемы абонентов, и отслеживать статистику проблем ИБ, возникших у абонентов, чтобы понимать, насколько эффективно мы с ними справляемся.
Как часто приходится пересматривать подходы к ИБ под влиянием изменений требований регуляторов?
Нам пришлось немало потрудиться и потратить значительные средства, чтобы обеспечить соответствие им. Яркий пример — закон о персональных данных (152-ФЗ). Мы принимали активное участие в его подготовке и много сделали для выполнения его требований, однако еще многое предстоит сделать, тем более что и сам закон, и подзаконные акты к нему постоянно изменяются. Мы продолжаем диалог с законодателями и проводим работу по выполнению требований этого законодательства в полной мере. Кстати, недавно компания успешно прошла проверку Роскомнадзора, в ходе которой подтверждено соответствие требованиям закона 152-ФЗ.
На повестке дня — законопроект, согласно которому сети связи федерального масштаба будут отнесены к объектам инфраструктуры стратегической важности. Вполне вероятно, вместе с новым законом появятся и новые требования к безопасности таких сетей.
На деятельность в области ИБ влияют и такие крупные федеральные проекты, как Олимпийские игры в Сочи, чемпионат мира по футболу и т. п. При подготовке к ним нам приходится особо тщательно заботиться о соответствии требованиям российских регуляторов.
Как вы знаете, акции МТС представлены на Нью-Йоркской фондовой бирже. К счастью, американское законодательство достаточно консервативно, к тому же лишь в небольшом объеме содержит требования по ИБ к компаниям, акции которых котируются на местных биржах. В нем нет ничего сверхъестественного, но, конечно, есть свои особенности, включая проведение проверок. У нас была одна проверка, и мы ее успешно прошли. Главная особенность заключается в несовпадении некоторых требований российского и американского законодательства по сходным вопросам. Но мы вместе с американскими коллегами выработали процедуры, позволяющие соблюдать требования регуляторов обеих стран.
Как считаете, кто внутри компаний должен выступать инициатором, лидером изменений в области ИБ? И какую роль в этом процессе вы отводите лично себе?
Инициатива изменений в компании может исходить от различных менеджеров или подразделений, в первую очередь, конечно, от тех, кто отвечает за соответствующие направления. Если ответственность за ИБ лежит на мне, то и выступать инициатором изменений в этой области следует прежде всего мне. Для этого у меня есть понимание текущей ситуации и тенденций ее развития, видение изменений, необходимых в рамках моего направления, знание и опыт в реализации механизмов защиты.
Мы используем имеющиеся регламенты и процедуры обсуждения вопросов в компании для того, чтобы повысить безопасность и самой компании, и ее клиентов. На мой взгляд, мы соблюдаем баланс интересов бизнеса, его безопасности и требований государства.
Мы наладили хороший контакт с руководством компании, и считаю, что говорим с ним на одном языке. Этого удалось достичь благодаря тому, что мы научились оценивать в деньгах не только риски, но и последствия нашей работы. В докладах об итогах своей деятельности мы демонстрируем, какой вклад в создание добавленной стоимости вносит подразделение ИБ. Для этого мы оцениваем финансовый эффект, приносимый нашими действиями по предотвращению ущерба от инцидентов в сфере информационной безопасности. Демонстрируя свою эффективность, мы получаем определенный кредит доверия и ресурсы, необходимые для дальнейшего развития нашего направления.