Информационная безопасность во время и после пандемии: пять ключевых вызовов

5 ключевых вызовов для информационной безопасности в бизнесе

Мы начинаем цикл публикаций, посвященный анализу роли и проблем служб информационной безопасности во время пандемии, а также оценке зрелости функции информационной безопасности в российских компаниях.

В данной статье представлены выдержки из исследования, подготовленного компанией MINDSMITH и социологической службой Social Business Group, в основе которого лежат 35 глубинных интервью с руководителями и директорами служб ИБ в российских компаниях, а уточнения результатов исследования были проведены при поддержке экспертной панели из 8 признанных экспертов отрасли.

Мы хотели понять, с какими проблемами столкнулись службы ИБ в связи с миграцией сотрудников на удаленку, что мешает службам ИБ быть эффективными, а также что будет меняться в период «после кризиса», и какими навыками должен обладать руководитель службы безопасности «нового поколения».

Ноябрь 2020 года

Информационная безопасность во время и после пандемии

Для анализа роли и проблем служб информационной безопасности во время пандемии мы провели 35 интервью с руководителями и директорами по безопасности российских компаний.

Экстренный и массовый перевод сотрудников на удаленную работу может сравниться, вероятно, с освоением целины и ударными комсомольскими стройками. Помимо самого факта мобилизации примечательным оказывается другой процесс: мобилизационные задачи делают явными структурные проблемы и трудности, которые накапливались в «мирное время» и были особо не заметны. Информационная безопасность (далее — ИБ) оказалась одним из наиболее востребованных ресурсов.

Одновременно кризисная ситуация сформировала ряд вызовов ИБ, а также показала сильные и слабые стороны в организации, функционале и статусе служб ИБ внутри компаний.

Исследование барьеров и назревших изменений в индустрии строилось вокруг нескольких ключевых тем: с какими проблемами столкнулись службы ИБ в связи с миграцией сотрудников на удаленку, что мешает службам ИБ быть эффективными, а также что будет меняться в период «после кризиса», и какими навыками должен обладать руководитель службы безопасности «нового поколения».

Во многих компаниях кризис стал катализатором проблем и заставил экстренно заняться пересборкой бизнес-процессов, не отвечающих вызовам времени. Информационная безопасность не стала исключением. Первые признаки трудностей стали проявляться в интервью с руководителями компаний еще в марте 2020 года. Вот, что отмечал один из руководителей крупной телекоммуникационной компании:

«Служба безопасности неделю не могла согласовать удаленный доступ. Прежде не было нужды давать защищенный доступ и решать вопросы безопасности для такого числа сотрудников. Раньше такая задача решалась для 200-300 сотрудников, а тут в один момент потребовалось решить подобную задачу сразу для нескольких тысяч»

Проведенные в рамках исследования интервью позволили выделить пять наиболее важных аспектов кризисной ситуации, актуализировавших вопросы к службам ИБ.

Аспект № 1. «Пандемия удаленки»

«Даже если была система работы на удаленке, она не была готова для выхода большого количества сотрудников»

— говорит один из руководителей ИТ-подразделения крупной ритейл-компании.

С началом пандемии резко выросло число точек доступа, находящихся вне защищенного контура компании. Перевод работы сотрудников из офиса по домам заставил сделать колоссальные закупки техники и ПО, организовать доступ к корпоративным ресурсам, масштабировать уже имеющиеся решения и отстроить контроль действий сотрудников.

В целом по отрасли ИБ наши собеседники затруднились определить некий общий тренд. Реакции в разных компаниях варьировались от спокойных («Да, было напряженно, но справились. Теперь можно достойно встретить старость»), до экстремальных («Случилась паника — пускаем в корпоративную сеть толпу народа с незащищенных устройств»).

Судя по высказываниям экспертов, информационная безопасность оказалась под давлением целого ряда обстоятельств и угроз.

Наиболее очевидная их часть была связана с задачами усилить мониторинг и контроль за действиями сотрудников и за ситуацией на огромном числе удаленных рабочих столов. Как сказал один из экспертов, важно представлять масштаб проблемы и ее комплексность:

«В некоторых компаниях не сотни, а несколько тысяч сотрудников перешли на работу из дома. Не всем удалось раздать корпоративные ноутбуки, многие работают на домашних станциях. И, даже при соблюдении рекомендуемых настроек, их все равно сложнее контролировать. Тем более, когда человек попадает под сокращение, эти риски многократно усиливаются. Поэтому вопрос безопасности становится не только техническим, но и юридическим, а также образовательным».

Другим источником сложностей, по общему мнению собеседников, стали навыки и знания сотрудников в области кибербезопасности.

С одной стороны, на руках у людей оказалось большое количество корпоративных компьютеров и новых инструментов для работы: приложений, сервисов, платформ. С другой стороны, пользователями этих компьютеров и ноутбуков стали не только сотрудники организаций, но и члены семей. Запреты оказались малоэффективны, «самое слабое звено информационной системы — действия пользователя», заявил один из экспертов. В нескольких компаниях решили экстренно провести обязательные тренинги по кибербезопасности для всех пользователей, в том числе и для всех членов семьи.

«Беспрецедентный исход сотрудников из офисов — в страшном сне айтишника не могло такого присниться. Мы должны ожидать угроз именно с этой стороны, поэтому устроили обучение кибербезопасности в обязательном порядке как для наших работников, так и для членов семей. Ведь очевидно и они тоже будут пользоваться техникой. Мы внимательно смотрим за приложениями, сервисами и предлагаемыми решениями, многие из которых не отвечают требованиям безопасности»

— CIO, крупная промышленная компания.

«Когда люди перешли на удаленную работу, те меры, которые применялись в офисе для защиты информации, кардинально изменились, поскольку тысячи человек заходят в корпоративную сеть со своих личных устройств. И там не одни сотрудники, но и дети, и супруги. Люди расслабляются, работая дома, и попадают на фишинговые сайты и мошеннические рассылки. Злоумышленники сперва взламывают их аккаунты, после чего получают доступ к корпоративной почте и связанной инфраструктуре»

Еще один большой пласт проблем, актуализированных удаленкой, — технологические проблемы, связанные с необходимостью оперативно решать разнообразные инженерные задачи.

Во-первых, потребовалась «архитектурная работа», связанная с настройкой безопасного удаленного доступа к внутренним ресурсам организаций.

Во-вторых, специалистам ИБ, которые также ушли на удаленку, стало сложнее оперативно реагировать на инциденты: «Стало больше атак, связанных с шифровальщиками, и они стали успешнее для злоумышленников. Поскольку ИБ и ИТ находятся на удаленке, а сервера и станции остаются работоспособными, в случае их шифрования нет возможностей для оперативной реакции. Успех таких инцидентов выше. Поэтому все проблемы ИБ связаны с контролем, мониторингом и возможностями для реагирования на инциденты, оперативностью действий ИТ и ИБ».

И, в-третьих, источником угроз стала работоспособность и защищенность приложений и ИТ-решений, многие из которых создавались и доделывались уже в кризисное время и в сжатые сроки.

«Даже у крупных, но полностью офлайновых компаний, например, из ритейла, никто не проектировал сайты и приложения под проведение всех продаж через них, и для полного цикла продаж — можно было только заказать доставку. Через сайт было менее 3% заказов. Но вдруг с наступлением кризиса все поехало в онлайн, и продажи поднялись до 10%. Онлайн для многих стал единственным источником ликвидности. И большинство компаний принялись «костылить» и столкнулись с уязвимостью веб-приложений. Атак не стало сильно больше, максимум на 20% выросли. Но на веб-ресурсы резко увеличилась нагрузка. Когда налету «докостыливаешь» функционал, которого не было, из-за кривых рук разработчиков и админов все стало падать от элементарных атак. И в общем все стало меньшее защищенным, зачастую защита не проектировалась одновременно».

В силу очевидности этих обстоятельств наши собеседники из числа экспертов в области ИБ не проговаривали их особо подробно, ограничиваясь лаконичной констатацией. Тем не менее, удаленка с ее техническими сложностями, «неудобным» поведением пользователей, усилением систем мониторинга и возросшими требованиями к оперативному реагированию на инциденты стала очень важным фактором, влияющим на развитие процессов в сфере информационной безопасности.

Аспект №2. Внутренние барьеры

В контексте «пандемии удаленки» обнаружилось большое число внутренних барьеров, с которыми столкнулись компании не только по линии ИБ. По мнению большей части экспертов, мало кто из компаний был готов к массовому переходу на удаленку, пожалуй, кроме компаний из ИТ-сектора и финансов. Большинство спешно бросились развивать цифровые направления бизнеса, пересобирать те процессы, которым не уделяли прежде особого внимания.

«К онлайну и доставке мы оказались абсолютно не готовы, поэтому все, что мы там делаем, выходит для компании очень дорого. Людей нужно больше, дополнительные переработки и работа в выходные — расходы на ФОТ растут» — HRD, продуктовый ритейл.

«Платформы нет, и ничего не было готово под такой поворот событий» — СЕО, инжиниринг и строительство.

Сразу в нескольких интервью наши собеседники характеризовали ситуацию с развитием цифровых сервисов как «драматическую»: то, на что прежде требовалось большое количество времени, сейчас приходится делать в экстренном порядке, не считаясь с чрезмерными затратами, принимая непродуманные решения.

«Раньше мы составляли многолетние планы трансформаций и не могли их до конца реализовать. За последний месяц мы просто полностью трансформировали компанию» — СЕО, энергетическая компания.

«У нас драматическое развитие диджитал. То, о чем 5 лет говорили, лишь как “чего хотим стратегически”, вдруг пришло как неизбежность. Решаем, как транзакции все сделать эффективно, как не потратить на это космические бюджеты, как не уронить качество, уровень сервиса и продаж. Вызов не кризис, вызов — как мы можем в масштабах страны развиваться в этом направлении» — СЕО, многопрофильный ритейл.

Опрошенные эксперты отмечали, что пересборка бизнес-процессов зачастую происходила без учета вопросов ИБ.

Корни этой проблемы лежат еще в докризисном времени. Прежде бизнес-задачи перед службами ИБ не ставились: «ИБ рассматривали как неизбежно существующее обременение», заявил один из руководителей службы безопасности. В кризис задачи спасать бизнес, поддерживать операционную деятельность стали абсолютным приоритетом. Компании начали перестраивать бизнес-процессы, стараясь наверстать упущенное время, и зачастую эти решения принимались в ущерб вопросам безопасности: «Бизнес заставил делать те проекты, которые никогда не делали, и служба ИБ была против них, считая это дополнительным вектором для реализации угроз».

Безусловно, службы ИБ активизировали кризисные планы, если они были.

Однако зачастую в планах по управлению кризисной ситуацией не учитывались риски кибербезопасности. Поэтому огромным преимуществом (или обременением при отсутствии) стала подготовленная внутренняя нормативная документация, проработанные политики и регламенты, решения по ключевым процедурным моментам и заблаговременная работа над узкими местами, связанными с политикой безопасности или непроработанностью определенных процессов, которые в кризис оказались тем самым «бутылочным горлышком».

«Электронная подпись и удаленное согласование документов в N <крупный банк – прим.авт.> есть, а у нас – нет. Обхохочешься. Все, что требует согласований и личной подписи — тормозится страшно»

— руководитель DIT, финансовый сектор

«В компании отличная внутренняя электронная система согласования договоров, документооборота, принятия управленческих решений. Ни с одной службой затыков не было, все процедуры и регламенты оказались рабочими. Все это в сочетании с новым корпоративным сервисом по проведению конференций дало возможность быстро перевести людей на “удаленку”»

— СЕО, фармацевтика

«В одном банке предыдущий руководитель ИБ завалили перевод на удаленку своими косными требованиями. Не давал доступа, требовал бумажных подписей, когда есть электронные. Из-за этого остановились некоторые процессы».

В кризис основным барьером стала именно организация взаимодействия ИТ-подразделений и службы безопасности.

Эксперты и руководители служб безопасности говорили, что отсутствие проработанной политики и регламентов в области ИБ создают существенные трудности для взаимодействия в треугольнике «ИТ-департамент — Служба безопасности — Служба ИБ».

Обе структуры имеют различные интересы, иногда даже конфликтующие. Один из руководителей транспортной компании рассказал, что как раз накануне пандемии служба безопасности не согласовала разработку приложения, которое должно было обеспечить взаимодействие с клиентами. Ситуацию осложнила и структурная подчиненность функции ИБ службе безопасности.

«Не только для нас, для многих компаний данная ситуация станет удобным случаем пересмотреть стратегию и по ИБ, и по схеме распределения полномочий и должностных обязанностей, ресурсов, системы управления — принципов и механизмов принятия решений, прохождения информации, планирования, контроля, системы мотивации и т.д.»

— СЕО, транспортная компания

Сразу несколько руководителей компаний отмечали, что сегодняшняя ситуация сделала очевидными недостатки принятой организационной структуры и должна стать стимулом изменений в деятельности ИБ-отделов.

«Мы давно думали об удаленке для офиса, но возникали ограничения — как обеспечить комфортность, безопасность и эффективность. Кризис и изменение приоритетов бизнеса на онлайн-торговлю заставили сконцентрироваться на категорически необходимых действиях по ИБ. Меняем направления деятельности ИБ-отдела, иначе решаем вопросы взаимодействия с другими подразделениями, бюджетирования, выработки отношения к рискам»

— HRD, многопрофильный ритейл

Если резюмировать описание внутренних барьеров, служба ИБ не рассматривалась как часть бизнес-процессов компании.

Цифровая пересборка происходила без учета информационной безопасности; в компаниях зачастую отсутствовали политики и регламенты и не было сформировано эффективное взаимодействие службы ИБ с другими подразделениями. Развивать все эти сюжеты в момент масштабного перехода сотрудников на удаленную работу было невозможно. На фоне всех описанных сложностей неудивительно, что задачи спасения бизнеса и сохранения операционной деятельности решались зачастую в ущерб информационной безопасности. Однако это же означает, что в ближайшем будущем придется пересмотреть сегодняшний статус служб ИБ и роль информационной безопасности в бизнес-процессах компаний в целом.

Аспект №3. Рост внешних угроз

Рост внешних угроз стал еще одним важным фактором, повлиявшим на ситуацию с информационной безопасностью. Рост фишинговой активности, увеличение числа атак на веб-ресурсы, эксплуатация злоумышленниками вопросов пандемии и удаленной работы при одновременном увеличении числа «удаленных пользователей» компаний актуализировали задачи по мониторингу и предотвращению угроз.

«В ситуации хаоса стало легче подсунуть любому сотруднику фишинговый сайт или письмо. Хакнуть личный компьютер и забрать из системы все, что хочешь. И делали так, знаю»

«Очную часть переговоров заменить удаленкой не удалось и не удастся. Что касается видео-сервисов, все сначала бросились на них, а после быстро отменили, просчитав риски. Историю про Zoom слышали? Для нас этот риск совершенно неприемлем»

— СЕО, региональная финансовая организация

Аспект №4. Работа с вендорами

Кризис показал, что цифровая пересборка многих бизнес-процессов была проведена не системно и не полностью. Поэтому резко вырос запрос на поддержку и доработку со стороны поставщиков решений. Актуализация требований к информационной безопасности заставила службы ИБ не только вовлекаться в эти процессы, но и пересматривать имеющиеся технологические решения, а также заниматься вопросами подбора, тестирования и быстрого внедрения ИБ-платформ и решений, отвечающих параметрам сегодняшней ситуации.

«В кризис мы наблюдали панику, чрезвычайную загруженность и непонимание что делать. Практически ни у кого не было опыта перевода почти 100% персонала на домашнюю работу. Надо было обеспечить безопасность в системе, которая может быть и строилась, но все равно возникла хаотично. Общей проблемой и компаний, и вендоров стал вопрос, как обеспечить доступ сотрудников к сетке, и как обеспечить безопасность доступа из внешнего контура. Мы приняли решение просто выдавать по запросу необходимое количество ключей к антивирусу, написали скрипт, который удаленно раскатывает антивирус по сетке. Сняли часть задач с сисадминов. Так начались совсем иные отношения с ними».

«Даже банки шли на нарушения. Когда выяснилось, что нет решения для конференс-звонков, стали использовать зум, хотя везде писали о его проблемах. Никто не будет ждать, пока ИБ и IT изучат, установят, апробируют и дадут свет. Нет. Они начали использовать – мы включаемся и закрываем дыры со всем остальным одновременно. Таково требование времени».

Аспект №5. Компетенции служб ИБ

В целом, по мнению экспертов, компаниям и службам ИБ удалось справиться с угрозами, хотя зачастую знаний и компетенций не хватало. Конечно, при организации удаленки сотрудникам ИБ приходилось «закрывать глаза» на какие-то угрозы или недостатки решений. Но часто они просто не знают, что на целый ряд угроз существуют рабочие решения по их предотвращению.

Именно поэтому остро встал вопрос актуализации знаний по новым угрозам и способам противодействия им среди сотрудников отделов информационной безопасности.

«Для всех компаний актуален вопрос безопасности на удаленке. Но хочу отметить тонкий момент — тут все очень субъективно. Кто-то считает, что они закрыли все вопросы, касающиеся безопасности, а в реальности они просто на какие-то вещи либо закрыли глаза, либо не знали и упустили их из виду. В силу их определенной консервативности, особенно в банках это наблюдается, они ниоткуда не могут почерпнуть этого знания. А именно сейчас не хватает постоянного обновления знаний по новым угрозам».

Тем не менее, более фундаментальной оказывается другая проблема, предпосылки которой возникли еще задолго до пандемии. Руководители и сотрудники служб ИБ оказываются слишком консервативны, чтобы адекватно вписываться в актуальные тренды и отвечать на запросы и потребности бизнеса. Главное — они оказываются не готовы погружаться в специфику бизнес-процессов, которые стремительно цифровизируются и усложняются. В результате представители ИБ не умеют «говорить с бизнесом» на его языке, обосновывать необходимость бюджетов на развитие систем безопасности и на обучение сотрудников, а также не готовы расширять круг своих компетенций и обязанностей в соответствии с потребностями бизнеса.

«Компетенций, которые есть у ИБ в среднем, не достаточно. Я вел курс для сотрудников безопасности, в рамках которого мы разбирали как защитить бизнес-процесс: ловить мошенничество по кредитному лимиту. Оказалось, что никто из слушателей не мог пояснить, как подобный процесс происходит у них в компаниях. Есть общее понимание, но знаний в каких системах и в каком формате разные события происходят — нет. Когда нет понимания, что ты защищаешь, можно только забор поставить. Половина слушателей не понимает нотации процессов. Стало много цифры, а все процессы стали контекстными: в одних случаях некое событие легитимно, в других — атака. Если видишь аномалию, ты должен понимать, это аномалия какого процесса. Однако сотрудники ИБ зачастую этого не знают и не хотят знать. Они все мигрируют к инфраструктуре, потому что там все понятно и легко можно мигрировать из одной компании в другую, она везде одинакова. А если ты погрузился в банковскую сферу, то уже не найдешь работу вне банковской. Там другие процессы. Безопасники этого не хотят».

Дистанцированность от актуальных задач бизнеса и от погружения в бизнес-процессы предсказуемо сказывается на общем отношении к задачам развития ИБ.

Служба зачастую рассматривается исключительно как затратное мероприятие, занятое важными, но все-таки второстепенными задачами. Например, бумажная работа по составлению отчетов о соблюдении требований регулятора. Одновременно руководители довольствуются очень поверхностным пониманием их функционала. Поэтому и бюджеты на обучение оказываются темой, требующей со стороны руководителей ИБ дополнительной активности, требований и обоснований. В кризис на все подобные траты распространился режим жесткой экономии — как раз тогда, когда увеличились риски внешних и внутренних угроз, и когда знания об угрозах и способах их предотвращения оказываются как никогда важны.

«Хотел бы я сказать, что многие получают свежие знания, но это, к сожалению, не так. И готовность учиться — не уверен, что выросла. Они не делают даже того, что могут делать бесплатно, посещая конференции и вебинары или читая доступные материалы. Тем более платное обучение, на которое они зачастую не имеют ресурсов или не хотят выбивать деньги у руководства. Не все хотят проявлять инициативу, боятся, что тем самым продемонстрируют свою текущую некомпетентность. И чем выше сотрудник по должности, тем сильнее боится дать повод руководству усомниться и показать некомпетентность».

Кризис показал, что компетенции и опыт ИБ не могут и не должны существовать сами по себе, в отрыве от стратегии развития компании и текущего состояния ее бизнес-процессов.

Только в этом случае руководство будет понимать значение трат на безопасность, в том числе для регулярной актуализации «hard skills» . Столь же категоричное требование касается и «soft skills».

«Сотрудник безопасности должен уметь говорить с бизнесом на его языке, договариваться, находить общие решения, а не кричать — “туда не ходим, снег башка попадет…” ».

— Директор по ИБ, многопрофильный ритейл

Развитие кризиса, «пандемия» удаленной работы, необходимость спасать бизнес и экстренно решать прежде нерешенные и недоделанные задачи показали все недостатки в организации и функционировании служб ИБ и одновременно сформировали «окно возможностей» для изменения ситуации. По словам одного из руководителей службы ИБ, «сейчас — время “полевых командиров”: выдвинулись те, кто взял на себя ответственность за процессы и задачи, которые помогают выживать бизнесу в кризис».

Именно в этой ситуации закладываются контуры будущих решений по информационной безопасности:

«Если ИБ захочет разбираться в контексте и в процессах, она заберет себе и эти функции. Если нет — заберет себе ИТ или внутренний контроль, где окажется более харизматичный руководитель».

Нынешний кризис показал, что удаленная работа — явление комплексное.

Компаниям нужно научиться эффективно управлять целым рядом взаимосвязанных элементов: экосистема технических решений, перестроенные бизнес-процессы и проработанные регламенты, инструменты цифрового управления — мониторинг, сбор данных и принятие решений на их основе, HR-инструменты, компетенции и навыки сотрудников — как цифровые, так и непосредственно необходимые для эффективной работы в распределенных командах. Информационная безопасность стала одним из ключевых элементов, от которого зависела скорость и эффективность действий компаний по спасению бизнеса, по решению огромного числа проблем, порожденных сложносоставным кризисом.

В следующей статье мы расскажем о ключевых барьерах развития информационной безопасности, проблемах интеграции служб ИБ в бизнес-процессы, перспективных векторах развития профессиональных компетенций и о давно назревших профессиональных изменениях в портрете специалиста информационной безопасности. До новых встреч на страницах журнала «‎Директор по безопасности»!

Информационная безопасность во время и после пандемии: пять ключевых вызовов
Авторы: Руслан Юсуфов, управляющий партнер MINDSMITH, Иван Климов, управляющий партнер Social Business Group, к.соц.н., доцент факультета социальных наук НИУ ВШЭ. Материал опубликован в Журнале "Директор по безопасности", выпуск 12 (декабрь), 2020 г.

Авторы выражают признательность редакции журнала и лично главному редактору Николаю Дворецкому за возможность донести результаты исследования до широкого круга профессионалов в области безопасности.

О MINDSMITH

MINDSMITH фокусируется на комплексных исследованиях, интенсивных тренингах и стратегическом консалтинге в области высоких технологий. Компания была основана в 2018 году в формате технологического аналитического центра.

Мы говорим на языках бизнеса и технологий. И умеем переводить с одного на другой. Так мы решаем самые сложные головоломки. Собственный отдел аналитики и доступ к необходимой экспертизе по всему миру для индивидуальных решений в каждом конкретном случае.

Меню