Информационная безопасность «Юнипро»: 5000 событий безопасности в секунду

О том, чем оно занимается, что такое информационная безопасность в наши дни, насколько работа ИБ важна для компании и о многом другом «Юнипро Мегаватт» рассказал начальник управления Виктор Пенский.

Перемены и их причины

– Виктор, давайте начнем разговор об управлении информационной безопасности с личности его руководителя. Как давно вы работаете в компании? Как строилась ваша карьера?

– Я пришел в Юнипро в декабре 2016 года на должность начальника отдела информационной безопасности: тогда это был еще отдел, а не управление, которое было образовано в августе того года. Вообще, те или иные структурные единицы, отвечающие за информационную безопасность, в разных формах существовали в компании давно: например, отдел, о котором я говорю, был образован в 2014 году. Когда я в нем начал работать, отдел ИБ входил в состав управления информационных технологий (ИТ). Персонал отдела насчитывал всего два человека, включая меня как начальника. За три года моей работы его численность выросла вдвое – до четырех человек. В 2019 году отдел передали из управления ИТ в структуру блока безопасности.

– С чем были связаны такие перемены?

– Прежде всего, с качественными изменениями, с появлением нового понимания места и роли ИБ. Дело в том, что у подразделений информационной безопасности всегда есть определенный естественный конфликт интересов с коллегами из структур ИТ, которым, в первую очередь, требуется выполнять свои задачи, искать и внедрять новые решения, несмотря на то, что обе структуры нацелены на поддержание киберустойчивости организации. При этом, специалисты по ИТ в силу специфики их работы не всегда могут объективно оценить все риски и угрозы по ИБ. Мы же как раз и оцениваем надежность работы систем ИТ с точки зрения злоумышленника, внедряем и поддерживаем специальные механизмы контроля, пытаемся минимизировать эти риски. Поэтому со временем, когда изменились приоритеты в работе, когда работа компании все более зависит от «цифры», стало логичным вывести наше подразделение из блока ИТ и встроить в блок безопасности.

– Насколько изменилась после этого работа вашей структуры?

– В целом она никогда не меняется. Тут надо скорее судить, насколько прежняя численность отдела ИБ позволяла решать возникавшие задачи информационной безопасности и насколько невозможность действовать самостоятельно влияла на эффективность нашей работы. Изменился уровень задач, изменилось отношение к ним, выросло их количество, изменились приоритеты в их решении. И, естественно, потребовалось менять структуру. С переходом в блок безопасности в наш отдел были переданы некоторые системы, которыми раньше в каждом филиале занимались отдельные люди. Отдел стал работать не только самостоятельно, но и более централизованно: и это уже само по себе повысило уровень защищенности и безопасности компании, потому что система управления безопасностью, в том числе и ИБ, всегда требует единого комплексного подхода.

С 15 августа 2022 года отдел был преобразован в управление ИБ, у нас появилось два самостоятельных отдела, один из которых занимается оперативным контролем и анализом защищенности, другой – непосредственной защитой ИТ-активов компании и развитием систем ИБ. Общая численность управления в данный момент – 8 человек. Сейчас ведется активный набор людей: наши подразделения пока еще только комплектуются.

Главная задача

– Какие функции теперь будет выполнять управление?

– В принципе – те же самые. Управление было создано, в первую очередь, для оптимизации деятельности компании в области информационной безопасности: например, передача некоторых функций с аутсорсинга позволила существенно сократить затраты на ИБ. Кроме того, мы теперь можем готовить, «выращивать» нужных специалистов внутри компании. А это важно, поскольку сейчас на рынке труда дефицит опытных работников в нашей сфере.

Главная наша задача – построение общей системы управления ИБ компании. Такая система состоит из комплекса мероприятий как технического, так и организационного характера. С технической стороны можно выделить то, что наше подразделение управляет более чем десятком систем защиты, причем делает это централизовано, по всей стране, от уровня железа до прикладного администрирования процессов. Эта работа влияет на всех пользователей компании: защищенный доступ и дистанционная работа, функционирование инфраструктуры – очень сильно зависят от нас. Например, в период пандемии без нашего подразделения не получилось бы быстро и просто организовать дистанционную работу сотрудников безопасно для компании.

Нашу работу можно сравнить с обычной службой безопасности, которая физически контролирует все заборы, двери, камеры, сигнализации, проходные на предприятии. Информационное пространство компании – это тоже свои заборы, проходные и входы-выходы, но у нас могут быть, скажем так, двери, возникающие из ниоткуда, спускающиеся с неба лифты, тысячи входов со своими «контрольно-пропускными пунктами» – и все это контролируют 8 человек.

Поток событий, на которые наша система должна реагировать, – порядка 5000 событий безопасности в секунду, круглосуточно, в режиме «24/7», и эта цифра уже после грубой фильтрации, входной поток – около 15000–20000 событий безопасности в секунду. Разумеется, человек просто не может обрабатывать и реагировать с такой скоростью на такое количество действий, так что работаем мы автоматизированными методами.

И стараемся работать на опережение: нужно понимать, что попытки взлома системы, ее «проверки на прочность» происходят регулярно, и мы постоянно отслеживаем возможности злоумышленников, прогнозируем их активность, оцениваем и недостатки ИБ компании, в том числе и то, как можно их минимизировать или компенсировать, поскольку устранить все уязвимости, к сожалению, единовременно невозможно. Мы применяем очень серьезные, сложные аналитические методы для фильтрации этого огромного потока событий, используем международные стандарты ИБ, но и злоумышленники в наше время могут подстраиваться под наши фильтры. Так что, вся система должна постоянно меняться, пересматриваться в режиме реального времени в ответ на новые риски и угрозы. Работа очень большая, но в целом мы справляемся.

– При таком гигантском объеме работы можно ли выделить какое-то приоритетное направление, которое при любых других вводных должно быть на первом месте в вашей работе?

– Сложно сказать, что здесь является приоритетным, поскольку эффективность этой работы обеспечивает именно вся совокупность наших действий. Если опять же сравнивать с физической защитой, то можно поставить в каких-то местах заборы и калитки, но сами по себе они не действуют, за ними нужно следить, нужна охрана, нужно наблюдение: забор ведь не действует сам по себе, через него можно перелезть или сломать его. Так и в ИБ: каждый механизм по отдельности – скажем, сетевые экраны или антивирусные программы – в наше время легко обходится, и только комплексное применение разных средств и механизмов обеспечения безопасности может дать нужный эффект.

Незаметность как один из основных принципов работы

– Есть ли у управления какие-то крупные проекты или задачи, над которыми сейчас ведется работа?

– С учетом геополитической ситуации у нас возникли новые задачи – в первую очередь, по импортозамещению средств безопасности. Это сейчас основное направление наших проектов. Нужно модернизировать различные части систем безопасности, которые у нас до этого были, правильно подобрать отечественные аналоги, чтобы они не только не разрушили уже имеющуюся систему, но и не тормозили ее. Ведь один из основных принципов нашей работы – ее незаметность для пользователя.

Из ближайших крупных проектов можно назвать замену специализированного комплекса, поддерживающего безопасную дистанционную работу в компании для всех пользователей. По плану замена должна произойти в начале следующего года. И, конечно же, нельзя упускать из вида необходимость постоянного централизованного обновления всех систем ИБ по всей компании – от Сургута до Смоленска. В отличие от обычных ИТ-систем, которые можно построить, отладить и в целом больше не трогать, пока они работают, наша система «живет», соответствует своему назначению, только пока меняется и находится в актуальном состоянии. Потому что ежедневно специалисты находят десятки, сотни уязвимостей, появляются механизмы и методы их использования, пишутся вирусы. Даже у бытового компьютера должна постоянно обновляться база данных в антивирусе, а у нас масштаб работы гораздо больше.

– Как ваше управление взаимодействует с другими подразделениями компании?

– В первую очередь, такое взаимодействие появляется при внедрении новых ИТ-активов систем или при модернизации старых. Мы появляемся, как только возникает какая-либо из бизнес-задач, зависимая от цифры. Обычно какое-либо бизнес-подразделение заказывает у блока ИТ модернизацию функций своих информационных систем, коллеги из ИТ реализуют этот заказ в технологическом плане, и на этом этапе появляемся мы, для того, чтобы сразу строить информационный актив защищенным, не подверженным угрозам и атакам со стороны злоумышленников. Как в сказке про трех поросят: чтобы информационный «домик» сразу строился не из соломы, а из кирпича, чтобы он был настоящей крепостью. Причем мы не только участвуем в создании таких проектов, но и полностью сопровождаем их на всех этапах.

Причем нужно понимать, что мы защищаем и информационную систему, и саму информацию, которая в ней обрабатывается. Так что мы стараемся охватить не только технологические, но и бизнес-процессы компании: сейчас компания все больше становится «цифровой», так что мы не позволяем нанести ущерб нашей общей работе, защищаем информацию и от раскрытия, и от подмены. Кроме того, бизнес-подразделения привлекают подрядчиков, которым приходится работать в нашем ИТ-контуре, и мы их консультируем, обучаем, рассказываем, какие требования необходимо выполнять, чтобы получить доступ к нашим системам. Иначе у них вообще не будет возможности работать.

И еще один момент – это поддержка. Если первая линия поддержки пользователей по всем вопросам с программами, в том числе и антивирусными, – это специалисты ИТ, то на второй линии по всему, что касается ИБ, стоим мы. И если что-то не получается быстро решить или требуется вносить какие-то изменения в систему, и тем более произвести более глубокий разбор проблемы, там работают специалисты нашего подразделения.

Ответственное отношение к информационной безопасности

– Если сравнивать работу вашего подразделения и работу аналогичных подразделений в других компаниях, можно ли говорить о каких-то общих тенденциях?

– Сравнивать с другими компаниями всегда тяжело, потому что в других компаниях – другой бизнес, другие задачи. Общие подходы к ИБ должны быть едиными, но как именно это делается, какие применяются решения для задач безопасности – это все происходит очень по-разному. Можно сказать, что в крупных компаниях, где уделяют пристальное внимание вопросам безопасности, структура подразделения ИБ аналогична структуре ИБ нашей компании. А во-вторых, в крупных компаниях ставится задача максимально отказаться от услуг внешних специалистов и вырастить свои внутренние кадры.

Если брать Юнипро, то наша команда ИБ имеет огромные возможности для технической экспертизы, поэтому мы можем решать многие задачи чисто технического характера самостоятельно, без привлечения внешних сил и средств. Многие компании таких возможностей не имеют, платят за консалтинг и прочее. Мы стараемся внутри развивать и экспертизу, и компетенцию, чтобы принципиально не зависеть от внешних услуг и внешних подрядчиков. Именно создание отдельной структуры ИБ позволило нам отказаться от ряда внешних сервисов, устранить критическую зависимость от них, перенести эти процессы внутрь компании.

– И последнее. Что вы как профессионал с большим опытом работы можете сказать о системе ИБ компании Юнипро в целом? Насколько она хороша? И в чем она хороша?

– Важное преимущество системы ИБ, которая была построена в Юнипро, заключается в том, что она была построена с минимальным воздействием человеческого фактора. Безопасность всей системы зависит от каждого пользователя, каждый может и должен вносить в нее какой-то свой вклад. Но вклад этот может быть очень разным, в том числе, увы, и отрицательным. Человек в системе безопасности – самое слабое звено, ему свойственно ошибаться, забывать, чему его учили, что-то пытаться сделать на «авось»... И мы стараемся не просто объяснить нашему пользователю, что нужно делать, а чего не нужно: мы строим свою систему так, чтобы, по возможности, не дать человеку совершить ошибку, чтобы потом не пришлось его ругать, наказывать, а главное – устранять последствия. Это один из наших основных принципов, одно из преимуществ перед другими системами.

В целом же можно сказать, что в нашу систему заложена очень хорошая основа, у нее есть отличный потенциал для роста, и мы можем довести ее до состояния, максимально близкого к идеалу. Особенно если нам будут помогать в этом все наши коллеги-пользователи и, прежде всего, – своим ответственным отношением к вопросам информационной безопасности на каждом рабочем месте.