По словам эксперта, никто, кроме топ-менеджмента, не скажет, от чего именно нужно защищаться
Фото: BFM.ru
Заместитель генерального директора Positive Technologies Борис Симис на просторах ПМЭФ рассказал об основных проблемах и тенденциях в сфере кибербезопасности, результативности, планах на будущее и о важной роли бизнеса во взаимодействии с командами ИБ.
Давайте начнем с термина «результативная кибербезопасность». Расскажите, что он означает? Ведь, в нашем понимании, безопасность либо есть, либо ее нет.
Борис Симис: Возьмем общемировую индустрию кибербезопасности. Это миллиардная отрасль с большим числом вендоров, которые производят различные сервисы и средства защиты. Но количество инцидентов в мире продолжает расти, ведь хакеры работают все активнее. Поэтому сказать, что мир защищен, нельзя. И если посмотреть на тенденцию в общем, то становится ли он более защищенным? Ответ: скорее нет, чем да. Отрасль кибербезопасности, конечно, большая и довольно развитая. Но встает вопрос: какой она дает результат? Кибербезопасность — непростая сфера. С одной стороны, она исторически выросла из комплаенса (требований регуляторов, которые чаще всего подтверждаются специальным аудитом и выдаваемыми по итогу заключениями о соответствии). Что это означает? Возьмем, к примеру, справки в бассейн: они необходимы, но их, будем честны, некоторые просто покупают — и все, вопрос решен. Или же область пожарной безопасности: одно дело — выстроить пожарную безопасность так, чтобы организация не получила штрафов при проверке, а другое — реально сделать так, чтобы в случае настоящего пожара было как можно меньше жертв. Или вовсе его предотвратить. И это две большие разницы. Так и в кибербезопасности — можно всеми силами обеспечивать комплаенс, а можно строить реально действенную защиту.
Поскольку вы являетесь провайдером результативной безопасности, а клиент, вполне возможно, будет нести огромные риски в случае, если эта безопасность не оказалась результативной, станете ли вы разделять риски с клиентом в финансовом отношении? Я повторю, что пока это на уровне идеи, и, естественно, многие сопротивляются. Разумные есть возражения насчет того, что не всегда компания способна полностью решить вопросы безопасности, так как нужен комплексный подход. Существуют, в конце концов, преступники, есть МВД, есть ФСБ, и они тоже должны в этом участвовать, а не только бизнес.
Борис Симис: Мы знаем, что всегда можно найти причину, почему именно в этот раз не получилось. И именно кибербезопасность — такая область, в которой утечка или какой-то инцидент может зависеть от инфраструктуры компании в целом. От порядка в ней и понимания бизнес-процессов. Можно всегда свалить вину на другого и сказать: «Я-то хороший, инцидент не из-за меня». Но мы максималисты и считаем так: если ты провайдер услуг — отвечай за результат. Мы видим в этом будущее отрасли и считаем, что в итоге на рынке останутся только те, кто отвечает за результат.
Positive Technologies возьмет на себя обязательства если, например, вы поставили продукт с результативной кибербезопасностью, но тем не менее произошли взломы?
Борис Симис: Смотрите, что мы сейчас предлагаем: компаниям нужно для начала решить, что они хотят защищать. Построить систему, которую не взломаешь, — очень тяжело, даже скорее невозможно. Но построить систему, которая не позволит хакеру сделать то, что для вас неприемлемо, — это реально. Для этого сначала нужно понять, что вы хотите защитить конкретно. Какие конкретно данные каких конкретно пользователей вы хотите защитить. И как намереваетесь это сделать. Уже после этого мы предлагаем не просто построить систему, но и сделать в итоге независимую ее проверку. И это не аудит. Самое правильное в нашей отрасли — это позвать независимое сообщество, комьюнити, и предложить ему проверить качество защиты. У себя, в Positive Technologies, мы так и поступили, когда объявили багбаунти на недопустимое событие с призовым фондом в несколько десятков миллионов рублей: тот, кто сможет продемонстрировать, что с расчетного счета компании можно вывести деньги, получит 30 млн рублей. Это немалые деньги. Пока мы изучаем потенциальные возможности реализации только одного недопустимого для нас события, но в ближайшем будущем увеличим их число. Например, для нас недопустимо, чтобы хакер сумел встроить в наш софт вредоносный код с тем, чтобы он попал к нашим клиентам. По сути, мы предлагаем в такой проверке поучаствовать всем участникам рынка. И поставлю вишенку на торт: да, мы сейчас договариваемся со страховыми компаниями о том, чтобы они страховали риски клиентов, основанные на таких случаях. Страховые, в принципе, хотят работать с этими рисками, но пока не могут, так как не могут оценить, что защищено, а что нет.
А это напрашивается.
Борис Симис: Да, поскольку, если одна компания говорит: «Я выставился на багбаунти на 100 млн рублей», а другая компания говорит: «А я на 5 млн рублей», а третья вообще не выставилась, то для страховой это может стать неплохим маркером уровня защищенности таких компаний. И в целом,сейчас такой традиции на рынке, или даже, я бы сказал, сферы нет. Мы ее создаем, потому что за таким подходом будущее. Сегодня такой подход разделяем уже не только мы. Например, Минцифры недавно запустило багбаунти-программу на «Госуслугах». И это получило довольно широкую огласку. То есть они стали пионерами для госструктур, показали, как это можно делать. А мы им предоставили платформу для взаимодействия с сообществом исследователей кибербезопасности и помогли сформировать методологию такой проверки.
Это наглядный пример термина. А какие условия для того, чтобы такой метод стал распространенным? Что для этого нужно?
Борис Симис: Прежде всего, невозможно построить кибербезопасность без вовлечения бизнеса, топ-менеджмента, акционеров. Это не та область, где можно нанять человека, дать ему бюджет и сказать: «Сделай меня защищенным». Так не получится. К сожалению (или к счастью), с одной стороны, безопасность — это отражение влияния бизнеса на все отрасли своей деятельности. Никто, кроме бизнеса, не скажет, от чего нужно защищаться. Например, мы приходим в банк и говорим: «От чего вы хотите защищаться?» И ответ, на самом деле, не очевидный. У банков есть своя специфика. Кто-то работает с розницей, кто-то работает с госструктурами, кто-то работает с VIP-клиентами. Фраза «мы защищаем данные клиентов» в данном случае бессмысленна. Надо конкретно сказать: «Для нас неприемлемо, если, например, конкретные данные VIP-клиентов утекут». Вот так должно быть.
Но слово «неприемлемо» ведь в бизнесе — просто слово. Всегда стоит вопрос финансовой ответственности.
Борис Симис: Лично я как топ-менеджер (а мы в Posiive Technologies выстраивали кибербезопасность именно в традициях результативности, апробировали подход на себе в первую очередь) делаю очень простой выбор. Если я утром просыпаюсь и мне говорят: «Исходный код продуктов Positive Technologies выложен на Github», то поседею ли я еще сильнее, чем сейчас? Нет. В этом нет ничего страшного: сможет ли кто-то повторить наш код? Да и потом, уже утекали исходные коды и у Microsoft, и у ряда других компаний. А вот если мне скажут, что некий хакер залез в нашу структуру, имплементировал вредоносный код в наш и он разошелся по всем нашим клиентам, — вот тут уже у меня бежит холодок по коже. Топ-менеджмент должен четко формализовать такие свои тревоги. По сути, у нас есть успешный опыт, когда за полтора часа разговора с двумя-тремя людьми в компании удавалось сформулировать эти два-три-четыре недопустимых для компании сценария, которые абсолютно неприемлемы. А потом IT и кибербезопасность обрабатывают этот запрос на своих уровнях и обеспечивают невозможность реализации. Нужно строить своего рода центры мониторинга, которые не позволяют хакеру такие события реализовать. Еще очень важно сделать систему оценки. Позвать независимых исследователей безопасности («белых хакеров»), которые коллективно подтвердят, что это невозможно.
