Инфобезопасность — процесс, а не проект

Каждая новая технология несет в себе новые риски информационной безопасности, уязвимости, и злоумышленники тоже совершенствуют свои навыки. Информационная безопасность — это процесс, а не конечный проект, считает руководитель департамента информационной безопасности Страхового Дома ВСК Артем Деркач.

ССТ: Подвержены ли страховые ком­пании инцидентам кибербезопасности? Где сложнее ситуация — у страховщиков или в банках?

Артем Деркач: Страховые с мрачной регулярностью оказываются жерт­вами реализации инцидентов. Но если сравнивать, то внимание злоу­мышленников направлено на страхо­вые компании в меньшей мере, чем на банки.

И это связано, по моему мнению, с возможностью монетизации.

В банке в случае успешного взлома есть возмож­ность вывести денежные средства, что является основным мотивом для злоумышленников. В страхо­вой компании монетизировать взлом значительно сложнее. Но, как оказалось, здесь тоже есть свои возможности и нюансы. По результатам расследова­ния разного рода инцидентов наступило понимание, что на той стороне работают злоумышленники, которые глубоко понимают страховой бизнес.

ССТ: Какие задачи стоят перед вашим департаментом?

А. Д.: В первую очередь — это как раз обеспечение киберустойчивости организации, то есть защита от кибера­так, в том числе целевых, защита от ви­русных заражений, DDos и др., а также противодействие утечкам.

Далее следует обеспечение регуля­торных требований, снижение регу­ляторных рисков. Мы — некредитная финансовая организация, у нас есть отраслевой регулятор в лице Центро­банка Российской Федерации, который выпускает регламентные документы, обязательные для участников рынка.

Кроме того, наша компания является субъектом критической инфраструкту­ры, и мы подчинены всем требованиям законодательства в этой сфере. Это № 187-ФЗ, указы Президента и Пра­вительства, которые нацелены на ре­ализацию требований к повышению информационной безопасности крити­ческой инфраструктуры. Это большая часть работы, которую мы делаем.

Еще одно важное направление: стра­ховая организация является носителем большого количества персональных данных клиентов.

ССТ: Как обеспечивается безопасность персональных данных?

А. Д.: У нас есть ответственность пе­ред субъектами персональных данных и перед регулятором в лице Роском­надзора: мы обязаны обеспечивать безопасность персональных данных на всех стадиях их сбора и обработки. Для этого мы проводим регулярные аудиты, реализуем технические и орга­низационные меры защиты.

Мы обязаны обеспечивать безопасность персональных данных на всех стадиях их сбора и обработки

В общем-то, существует типовой набор требований, одинаковый для всех операторов персональных дан­ных. Однако реализация требований зависит от типа обрабатываемых пер­сональных данных. Если мы говорим о персональных данных, например, специальной категории, там существу­ют повышенные требования, повы­шенное внимание регуляторов и, как следствие, более сложная реализация в виде дополнительных технических мер защиты и систем мониторинга.

ССТ: У вас очень широкий спектр задач. Что в нем вызывает наибольшие сложности?

А. Д.: Информационная безопасность, по большей части, — это надстройка над IT. Поскольку все основные бизнес-про­цессы уже, можно сказать, цифрови­зировались, то мы обязаны следовать этим трендам и обеспечивать безопас­ность уже на техническом уровне.

Самые большие сложности, с кото­рыми мы сталкиваемся, это борьба за ресурсы IT внутри компании. Любое требование ИБ, как правило, влечет за собой внедрение новых средств защиты или доработки в информаци­онных системах. А доработки ведут к запросу ресурсов программистов.

Тут начинается конкуренция с бизне­сом, который, естественно, часто имеет более высокий приоритет. Поэтому для нас дополнительной сложностью является обоснование своих задач, поскольку финансовой прибыли они не приносят, а только снижают угрозы, которые могут повлечь за собой фи­нансовые последствия.

С другой стороны, конкуренция существует и на внешнем рынке труда, где пока еще наблюдается дефицит профессионалов в области информа­ционной безопасности. Надеемся, что скоро это изменится ввиду того, что большое количество вузов сейчас начи­нают выпускать уже подготовленных специалистов. Но эта проблема пока еще актуальна, особенно для узкоспеци­ализированных направлений, таких как реагирование на инциденты, обеспече­ние безопасности при разработке кода, оценка защищенности приложений.

ССТ: Общеизвестно, что самое слабое звено в безопасности — это человек. Как вы работаете с человеческим фактором?

А. Д.: Вы совершенно правы, чело­веческий фактор играет свою роль. С одной стороны, если мы говорим про разработку кода, то на этой стадии должен быть реализован контроль за изменением кода и поиск уязви­мостей со стороны информационной безопасности техническими средства­ми. Такие инструменты используются в большинстве организаций, в том числе и в нашей.

С другой стороны, всегда есть адми­нистраторы, то есть, сотрудники с при­вилегированным доступом, которых, естественно, контролировать крайне сложно. Однако и здесь реализуются методы контроля и мониторинга. Для этого организации финансового секто­ра обязаны создавать подразделения по реагированию на инциденты. Их задача, в том числе — контролировать действия администраторов и прини­мать соответствующие ограничитель­ные меры.

Есть и остальные сотрудники, ко­торых часто приходится защищать от них самих. У нас до сих пор выяв­лялись только инциденты, связанные не со злым умыслом, а, в основном, с недоработками, ошибками и благими намерениями. Например, если сотруд­ник хочет поработать дома и попыта­ется переслать информацию на личную почту, мы эту возможность пресекаем.

ССТ: Как формируется бюджет для службы ИБ?

А. Д.: Информационная безопасность, безусловно, дорогая история, системы защиты, дорогие, как и любые слож­ные IT-системы. Регулятор не опре­деляет для нас какие-то требования по бюджету, а оставляет это на усмо­трение самой организации. Однако в новой редакции закона о персональ­ных данных регулятор при повторной утечке предусматривает возможность снижения ответственности в случае, если организация тратит на информа­ционную безопасность не менее 0,1 % от дохода. То есть какие-то рамки все же устанавливаются.

ССТ: Используете ли вы внешний аудит?

А. Д.: Конечно, мы используем внеш­ний аудит. Это является, в том числе, и требованием Банка России — прово­дить внешний аудит по ГОСТ Р 57580. Мы делаем аудиты и по персональным данным, и по критичной инфраструк­туре. И время от времени регуляторы также проводят внешний аудит. Это является, в том числе оценкой безопас­ности наших бизнес-процессов.

Результатом эффективной работы в области информационной безопасно­сти является, в первую очередь, отсут­ствие инцидентов, а также отсутствие замечаний при аудитах регуляторов.

ССТ: Как вы в целом оцениваете уровень защищенности страховщиков? Вы сказали, что попыток взломов здесь меньше, чем в банках. А в принципе — страховщики насколько хорошо защи­щены?

А. Д.: Субъективно, учитывая сло­жившиеся риски, могу сказать, что нам всем есть над чем работать. Уровень защищенности по отрасли довольно высокий, но всегда есть возможность совершенствоваться.

Что касается конкретно ВСК, то я считаю, что у нас реализован высокий уровень защиты. Но важно понимать, что информационная без­опасность — это процесс, а не конеч­ный проект. Технологии развиваются, злоумышленники тоже совершен­ствуют свои навыки, придумывают способы реализации своих преступ­ных замыслов.

При этом очевидно, что каждая но­вая технология в бизнесе сама по себе несет дополнительные риски, в том числе и с точки зрения информацион­ной безопасности. Так что тут нельзя стоять на месте.

При этом очевидно, что каждая новая технология в бизнесе сама по себе несет дополнительные риски, в том числе и с точки зрения информационной безопасности.

Хочу также заметить, что злоумышленники часто пытаются воздей­ствовать в точках сопри­косновения с партнера­ми, на стыке передачи информации. То есть, атаки ведутся не на­прямую на организации, а, например, через поставщиков услуг, которые, очевидно, часто оказываются гораз­до менее защищенными, чем хорошо обеспеченные ресурсами финансовые организации.

Страховая компания имеет лицен­зионные ограничения, и поэтому не может предоставлять услуги по за­щите информации другим органи­зациям, поэтому мы можем только более строго контролировать работу со своими поставщиками, проводить оценку их влияния на нашу безопас­ность, контролировать все каналы связи и доступа, которые используют­ся при нашем взаимодействии. На эти моменты мы будем обращать особое внимание.