Новые приоритеты регуляторов

19 апр 2016

Игорь Ляпунов, генеральный директор компании Solar Security

Долгие годы страх, ощущение риска и необходимости защищаться от внешних или внутренних угроз, оставался основным мотиватором, заставлявшим заказчиков уделять внимание вопросам информационной безопасности. Но, к страхам привыкают, но затем требования национальных регуляторов мотивировали развитие рынка ИБ ничуть не хуже, чем страхи и риски бизнеса. Однако эта мотивация привела к неожиданному результату: реальное обеспечение защиты нередко начало подменяться «бумажной» безопасностью. О сложившейся ситуации и о том, какой выход из нее возможен, мы беседуем с генеральным директором компании Solar Security Игорем Ляпуновым.

!БДИ:Как вы считаете, когда именно появилось понимание того, что нынешняя мотивация развития ИБ приводит, в основном, к обеспечению лишь формального соответствия требованиям регуляторов и практически подменяет собственно информационную безопасность?

Игорь Ляпунов: Давление в сторону формальной безопасности существовало очень давно, но наиболее ярко это проявилось в «эпоху защиты персональных данных». В 2008-2009 г. достаточно четко сформировалась нормативная база по защите персональных данных, регуляторы начали давить на операторов персональных данных, что привело к принципиально новому витку развития рынка ИБ. Именно на тот период пришелся массовый всплеск внедрений систем защиты персональных данных. И я прекрасно помню, как все старались строить такие системы «по-честному», обеспечивать безопасность клиентских баз, думали о базах заемщиков и многом другом. Но потом, спустя год-два, буквально на глазах, многие проекты спикировали к абсолютно «бумажной» безопасности. Оказалось, что в большинстве случаев для защиты от проверок достаточно лишь иметь «правильные» комплекты организационных документов. А проекты, которые требовали серьезных профессиональных компетенций и применения сложных подходов к построению систем защиты, начали вытесняться с рынка. Реальные средства защиты информации сменились десятком-другим таких типовых комплектов документов, в которые только вписывали названия конкретных компаний. Вот это и был compliance.

!БДИ:Я уже навлек на себя гнев ИБ-сообщества утверждением о том, что «бумажная» безопасность привела к сворачиванию рынка компетенций и решений до уровня имитационных. Тем, кто считают, что своими постановлениями регуляторы спасли рынок ИБ от исчезновения, я обычно отвечаю следующим образом. Если бы эти постановления не появились, рынок попал бы в сложную, прямо-таки шоковую фазу развития, которую выдержали бы не все, но он пошел бы по иному, эволюционному пути развития компетенций.

И.Л.: Трудно говорить в сослагательном наклонении, но с механикой развития рынка трудно спорить :)

!БДИ:Но это – события минимум пятилетней давности. А каковы сейчас пути развития российского рынка ИБ?

И.Л.: Сейчас хочу сознательно сгустить краски, но для понимания общей картины это важно. На мой взгляд, рынок безопасности идет двумя путями, причем один из них – плохой, а второй – очень плохой. Плохой путь – все та же «бумажная» безопасность, которая ничего не защищает. Ее плюс состоит лишь в том, что люди это прекрасно понимают и не испытывают иллюзий. Второй путь, думаю, – еще более опасный, поскольку над ним развевается флаг реальной защиты. На таком пути безопасность уже представляется не набором документов, а набором коммерческих средств защиты, продвигаемых вендорами, из которых, как из пазла, собирается как бы система защиты. При этом во главе угла стоят как раз эти вендорские «коробки», а все процессные и эксплуатационные вопросы формально присутствуют, но реально остаются за бортом.

Недавно мы с руководителем по безопасности крупной компании обсуждали, как следует обеспечивать информационную защиту предприятий, и сошлись на том, что, в первую очередь, важна правильная процессная организация, наведение порядка в ИТ, аккуратная система управления доступом, патч-менеджмент, гигиена рабочих мест, полнота покрытия антивирусом, глубокая настройка встроенных в прикладные и инфраструктурные системы механизмов защиты, работа с пользователями и пр. А дальше вопрос – можно ли этими непростыми и часто неблагодарными задачами заработать поставщику услуг? Что проще разгребать, простите, авгиевы конюшни или продавать коробки?

Весьма вероятно, что такие пазл-проекты обойдутся в миллионы, но отдача от них будет не очень большой – средства защиты после сдачи проекта будут работать на базовых стандартных политиках, процессы вокруг них останутся на откуп заказчику, интеграция с существующими системами останется вне скоупа проекта. Другими словами, изначально крайне велика вероятность того, что система окажется мертворожденной. Но бизнес-заказчики будут полностью убеждены, что если уж они так щедро заплатили, то, безусловно, хорошо защищены.

!БДИ:В чем состоит причина возникновения столь полярных путей развития рынка ИБ, и есть ли у этих путей что-то общее?

И.Л.: Всегда рынок формируют три силы: спрос, предложение и регуляторные ограничения. Здесь все приложили руку: и заказчики, которые не всегда четко формулируют запрос в рынок и не всегда «дожимают» поставщиков на качество их работы, и поставщики решений со своими сильными службами маркетинга, которые евангелизируют и мощно продвигают свои не всегда правильные концепции и создают отдельную маркетинговую реальность.

!БДИ:Про экспертов и маркетологов все понятно, а что не так с регуляторами?

И.Л.: На самом деле, если бы я составлял нормативные документы, то, скорее всего, написал бы почти то же самое, что пишут регуляторы. Сами документы очень неплохие. Понятно, что версиям документов от 1992 г. требуется переработка, но все современные документы, особенно выпущенные Банком России, – весьма правильные.

Но, каким бы хорошим ни был комплекс мер защиты, описанный в нормативном документе, эти меры вынужденно обобщаются, чтобы они могли соответствовать и тем, и другим, и третьим условиям. Из-за обобщения возникает неконкретность, а в связи с неконкретностью находятся возможности вместо реальной защищенности подсовывать «бумажную». Условно говоря, можно написать в регламенте, что за ограничение сетевого доступа будет отвечать солдат с ружьем, хотя он сетевой пакет точно за хвост не поймает. Если вы будете читать нормативные документы построчно, то окажется, что действующие системы им вполне соответствуют, но в реальной жизни не защищают. Получается лоскутное одеяло с огромными зазорами, которые нельзя не заметить.

!БДИ:Но если «бумажная» практика имеет к реальной безопасности крайне опосредованное отношение, почему заказчики следуют данному тренду?

И.Л.: Это – следствие их желания строить ИБ в соответствии с чем-то. Причем такое желание даже не навязывается поставщиками, а идет от самих безопасников. Подумайте сами, безопасник отвечает за большой фронт работы, и количество задач у него – невообразимое, ответственность – огромная, а полномочия и бюджет – далеко не бесконечные. Ему попросту необходимо иметь кого-то или что-то в союзниках, и в данном случае это – нормативный документ. Если произойдет инцидент, всегда можно будет сослаться на тот документ, в соответствии с которым выстраивалась защита, а следовательно, возникновение проблемы окажется не виной безопасника. А еще лучше, если какая-то аттестационная лаборатория выдаст ему сертификат, аттестат или иное подтверждение защищенности системы.

Получается замкнутый круг, внутри которого находятся безопасник, нормативный документ и поставщик решений. И это – очень удобная позиция для того, чтобы строить системы защиты, фактически, перекладывая ответственность на нормативные документы. Только бизнесу от этого не легче.

!БДИ:Казалось бы, как раз тут и находится точка приложения сил регулятора, который может разорвать замкнутый круг…

И.Л.: Разорвать его, на мой взгляд, можно лишь одним способом. Регулятор предписывает соответствовать нормативному документу, а если ты не соответствуешь, то к тебе предъявляются претензии, на тебя налагаются штрафы, твою деятельность приостанавливают... И единственная возможность выйти из тупика состоит в том, что регулятор начнет предъявлять претензии к безопасникам не за несоответствие какому-либо документу, а за реальные инциденты (будь то утечки, пропущенные атаки, реальный ущерб, украденные деньги и пр.). Тебе дали рекомендации, как обеспечить защиту, но никто не освобождал тебя от твоих собственных компетенций и умения думать.

Хочу привести может быть не очень корректный, но достаточно показательный пример. Как устроена «мотивация» в международных платежных системах (МПС). Да, в МПС есть нормативные требования – стандарт PCI DSS. И даже декларируется обязательность сертификации. Но не знаю примеров, когда за отсутствие сертификата кого-то реально оштрафовали. А дальше самое главное – неотвратимость наказания и очень большие штрафы за допущенные утечки номеров платежных карт. И размеры штрафов пропорциональны количеству этих номеров. И еще интересный момент - ответственность и, соответственно, штрафные санкции распространяются не только на проштрафившийся банк, но еще и на аудитора, выдавшего ему сертификат. Вот так возникает консолидированная ответственность: ты, дружище, плохо защитил данные, а ты закрыл на это глаза, так что извините!

!БДИ:Такая практика – вполне работоспособна, и она не единожды подтвердила свою состоятельность, но мне постоянно приходится слышать от представителей российского экспертного сообщества: «У нас так не получится!». Почему?

И.Л.: Самое сложное во всем этом – видеть реальные инциденты, иметь возможность их собирать и анализировать. Центральный Банк идет к такой практике уже три-четыре года. Сейчас, с появлением FinCERT, цель серьезно приблизилась. Понятно, что каждый первый хочет «спрятать инцидент под ковер». Но тут должен заработать механизм, такой что если регулятор потребовал передавать ему информацию по инцидентам, а ты этого не делаешь, и тебя ловят за руку, то к тебе будут предъявлены уже иные претензии. Правда, поймать за руку можно лишь при использовании объективных средств контроля, а процесс разбора инцидентов достаточно сложен и требует от исполнителей высокой квалификации.

!БДИ:Правильно ли я понимаю, что подобные практики требует абсолютно новых компетенций со стороны российских регуляторов? В принципе, это нормально. Но практического опыта взаимодействия с экспертами у них тоже нет.

И.Л.: Необходимо поднимать взаимодействие на совсем иной уровень. Когда граждане просто собираются и общаются – это одно дело, а когда эксперты обсуждают не тренды, а реальные инциденты, и результатами такой работы для кого-то могут стать большие убытки, штрафы и т.п., – уже принципиально иное дело. Это – другой уровень ответственности, другая процедура разбирательства, другая, весьма сложная, но необходимая деятельность.

!БДИ:И все же – это реально в масштабах России?

Дорогу осилит идущий. Понятно, что накрыть всю Россию невозможно, да и не нужно. Но где точно нужны серьезные усилия по правильному построению безопасности, так это когда мы говорим о критической информационной инфраструктуре, безопасности систем управления опасными производствами, системами жизнеобеспечения, энергетикой и пр. А это уже далеко не данные Интернет-магазина, валяющиеся в открытом доступе. Инциденты могут привести к экономическому ущербу для страны и к человеческим жертвам. А все это означает другой уровень ответственности и необходимость применения других регуляторных механизмов.

Тема
Тэги: