CISO Faberlic Вадим Смирнов: как найти баланс между ИБ и интересами бизнеса

Разделение направлений деятельности

В нашей компании из-за специфики бизнеса значительная часть ИБ-рисков связана с направлением информационных технологий. Помимо интернет-магазина, у Faberlic имеется собственное мобильное приложение. Также мы являемся партнёрами для бизнеса. Для этого необходимо лишь зарегистрироваться и активировать аккаунт в личном кабинете.

Поэтому наша ИБ-команда должна решать важную задачу развития киберграмотности не только у штатных сотрудников, но и у партнёров, консультантов, которые являются неотъемлемой частью бизнес-модели.

Направлений работы много, поэтому наша ИБ-команда неоднородна — внутри есть своя структура и направления. Так одно из недавно сформировавшихся подразделений обеспечивает безопасную разработку. Среди первых задач новой рабочей группы было создание дорожной карты, по которой в компании пойдёт развитие .

При этом одновременно в повседневные процессы Faberlic были внедрены новые практики проверки кода на безопасность. Ключевой фактор успеха при выполнении — вовлечённость команды разработки. Ведь они также заинтересованы во внедрении новой политики и правил, потому что эти документы служат маркерами качества создаваемого ими продукта.

Кроме того, одной из регулярных задач ИБ-команды является всесторонняя проверка новых решений на безопасность. Например, мы можем тестировать по различным параметрам чат-боты или ИИ-инструменты, проверяя их соответствие действующему законодательству. Глобальная цель таких проверок — обеспечить максимально возможное соответствие концепции Secure by Design.

Как вовлечь разработчиков в ИБ

Сложности с внедрением ИБ-практик и стандартов начинаются, когда разработчики воспринимают их как новые обязательства. Такой отклик сильно замедлял нашу работу на старте, поэтому ИБ-команда пошла по другому пути. Мы начали с изучения уже сложившихся в компании практик, чтобы понять, как скажется внедрение новых процессов на подразделениях.

Сначала привлекли внешнего подрядчика, который провёл аудит и сформировал свои предложения по внедрению новых стандартов. Однако полноценно применить их удалось лишь тогда, когда ИБ-команда и команда разработчиков совместно обсудили и сформировали комфортные варианты взаимодействия.

Одно из главных правил — приходить с вопросами информационной безопасности вовремя. Так у разработчиков появляется время оценить наши требования и скорректировать свою работу для их соблюдения.

Ещё один фактор, который облегчает работу, это обратная реакция, интерес разработчиков, которые теперь и сами обращают внимание на критические уязвимости и оценивают их со своей точки зрения. Это значительно ускорило поиск дыр в безопасности и их устранение. Кроме того, теперь ИТ-команда и сама понимает, как важно выполнять эту работу максимально оперативно.

Мы пришли к тому, что нам больше не нужно заставлять разработчиков исправлять уязвимости. Мы сортируем проблемы и заносим в очередь задач, ИТ-команда в соответствии со своими планами сама постепенно устраняет их. Таким образом мы оцифровываем процесс и вводим методы оценки скорости устранения проблем. Надеемся, такой путь поможет нам и дальше совершенствовать процесс разработки.

В приоритете — демократичный подход

В работе ИБ-команды очень важно учитывать, какие вводные есть у ИТ-отдела. Например, если нужно запустить новый цифровой сервис максимально быстро, у разработчиков просто нет времени что-то долго обсуждать. Мы подстраиваемся под заданный темп и демонстрируем возможные риски. Пока ИТ создаёт требуемый функционал с учётом рекомендаций кибербеза, мы вместе с ними работаем над обеспечением требуемого уровня безопасности для релиза. Эта схема используется для быстрых проектов, где бизнес демонстрирует готовность взять на себя риски безопасности, стремясь не упустить выгоду.

Если над новым проектом можно работать более обстоятельно, ИТ-отдел подключает коллег из ИБ прямо на старте, как только примерно вырисовываются очертания будущего сервиса. В этой точке бизнес формулирует свои пожелания к результату, ИТ переводит их на язык разработки, а инфобезопасники просчитывают возможные риски. В таких проектах ИБ-команда выступает в роли консультантов.

Конечно, иногда возникают сложные ситуации. В их решении ведущая роль у CISO — представителя бизнеса внутри подразделения по информационной безопасности. Нужно найти тот самый баланс между интересами бизнеса и ИБ-требованиями. Если предлагаемые меры требуют больших ресурсов, об этом также важно позаботиться заблаговременно. Соответственно, от CISO требуется понимание угроз, умение ставить задачи ИТ-департаменту и определять KPI. Его работа позволяет учесть риски «на берегу» и всей командой договориться о дальнейшей работе с ними.

Не секрет, что в некоторых случаях требования ИБ-экспертов оказываются чрезмерными. Они ограничивают действия бизнеса и делают разработанное решение менее ценным. Тогда бизнес может принять все возможные риски как есть, или вся команда будет совместно искать замену небезопасному варианту решения задачи. То есть мы разрешаем возникающие разногласия за счёт компромиссов, но не закрываем глаза на безопасность.

Антивирусы и пиковые нагрузки

Работа с антивирусами в нашей компании организована с нескольких сторон. ИБ-дирекция Faberlic управляет антивирусными политиками компаний. Также у нас настроены автоматические обновления сигнатур. При этом контроль осуществляет и инфраструктурный отдел, который фиксирует доступность серверов компании. Если что-то пошло не так, его представители запускают перезагрузку антивирусного ПО. Чтобы всё проходило гладко, нужно придерживаться регламентов, разработанных ИБ-дирекцией.

Для периодов повышенной нагрузки на серверы — свой порядок, ведь антивирусное ПО использует определённые вычислительные мощности под свои задачи. Например, в конце года ситуация пиковой загрузки нередко возникает с 1С. Мы об этом знаем и готовимся заранее — утверждаем процессы и политики на основе предыдущего опыта, мониторим создаваемые антивирусом процессы, то есть стараемся всячески сократить влияние антивируса на основные операции.

Если серверная нагрузка повышается из-за антивирусного ПО, мы взаимодействуем с различными подразделениями компании на основе заранее разработанных регламентов. Например, мониторим систему, вводим определённые исключения, составляем график установки обновлений и т. п. С помощью этих нехитрых действий мы можем пройти пиковые периоды безболезненно.

Устранение уязвимостей: отлаженные процессы, доверие и выбор сервисов

Мы в Faberlic стремимся автоматизировать процесс устранения уязвимостей. Это позволяет свести к минимально возможному уровню риски при их внезапном возникновении. Конечно, такую работу невозможно спланировать заранее, например, на месяц или квартал. На выявленные уязвимости мы реагируем оперативно в автоматическом режиме. Конечно, полностью избежать рисков невозможно. Для критических уязвимостей вроде React4Shell на первый план выходит отлаженное взаимодействие между нашими командами, основанное на взаимном доверии.

С той же React4Shell мы получили несколько предупреждений от мониторинговых систем и производителей продуктов. Все необходимые проверки провели в день поступления информации.

Чтобы вовремя получать предупреждения об уязвимостях, мы используем несколько сервисов. Один из них — WAF от группы компаний «Солар» — выделяется командой мониторинга с определённым SLA. Процесс реагирования на уязвимости в целом схож с описанным мною выше. Основное его преимущество для нас — это отражение постоянных атак на наши веб-приложения. Так, в прошедшем году в WAF зафиксировано 552 млн срабатываний. По сравнению с 2024 годом показатель вырос более чем в четыре раза. Срабатываний стало кратно больше потому, что WAF в значительной части зафиксированных срабатываний реагирует на ботов, которые используются для поиска уязвимостей в приложениях Faberlic.

В срочных случаях также используем возможность взаимодействия с командой сервиса не через тикеты. Это позволяет по-настоящему быстро решить проблему. Помощь ГК «Солар» для Faberlic не ограничивается только самой работой сервиса. Если в компании видят проблему на каких-либо защищаемых ею активах, мы узнаём об этом практически в тот же момент. В результате мы можем вовремя обнаружить проблему и запланировать её решение. Иногда такие находки могут быть даже не связаны с безопасностью напрямую.

Тесное взаимодействие с подобными сервисами оказывается особенно ценным, если обнаруживается попытка эксплуатации уязвимости и нужно срочно принимать меры. Мы как можно быстрее проверяем актуальность для нас найденной проблемы безопасности. А далее, если на основательное решение вроде пересборки или масштабного обновления требуется время, используется своеобразный виртуальный патч. Создать подобную «заплатку» быстро и удобно можно именно с помощью сервиса внешнего мониторинга. То, что в рамках наших контрактов с создателями сервисов предусмотрено подобное взаимодействие, является для нас важным преимуществом.

ИИ как ИБ-инструмент, риски и киберграмотность

В свой центр мониторинга мы внедрили и успешно используем искусственный интеллект для обогащения информации в логах. Риски, связанные с ИИ в информационной безопасности, я бы полностью исключать не стал. Но, мне кажется, постоянный фоновый шум вокруг возможных угроз их несколько преувеличивает.

Связанные с ИБ-культурой компаний риски существовали и до появления ИИ. Например, сотрудник мог ошибиться адресатом при отправке отчёта с конфиденциальными данными или использовать для этих целей обычный мессенджер. Если говорить об источниках информации об инфраструктуре компании и особенностях конфигурации её систем, таковым и ранее выступала документация различных тендеров. Наконец, подобные сведения можно было найти, как говорится, в корзине для мусора.

Формирование киберграмотности сотрудников в Faberlic рассматривается как непрерывный процесс, поскольку важно, чтобы они осознанно подходили к ИБ-рискам. Чтобы достичь этой цели компания активно применяет SA-платформы и проверяет усвоение полученных навыков с помощью тестирований. Также одна из задач ИБ-команды — постоянно рассказывать коллегам о новых угрозах и приёмах мошенников.

В Faberlic мы автоматизировали процесс формирования киберкультуры и даже добавили в него соревновательный элемент. У нас есть рейтинг, баллы которого различные отделы могут получить, если успешно пройдут тесты, заполнят опросники и выполнят другие задачи по обучению ИБ. Если в работе отдела замечены какие-то незначительные нарушения по части безопасности, можно получить и отрицательные баллы.

Планы на будущее: ориентируюсь на компетенции команды

В Faberlic мы не планируем закупку решений на год-два вперёд. Вместо этого я решаю конкретные задачи, поступающие от бизнеса. В некоторых случаях это можно сделать силами команды без привлечения дополнительных сервисов. Если нет, конкретные инструменты из имеющихся на рынке я подбираю именно с учётом задач.

Возьмём для примера проверку навыков команды реагирования. Её можно провести по-разному: собрать Red Team и сымитировать атаку внутри компании, применить сервисы для пентеста или обратиться в компанию, специализирующуюся на подобных услугах. По итогам мы получим отчёт, качество информации и смысловые акценты в котором будут различными в каждом из этих случаев. Решение я выберу на основе особенностей конкретной задачи.

Или, например, как сделать, чтобы при использовании ИИ коллеги не сливали данные? При решении этой задачи я могу пойти двумя путями: непрерывно повышать уровень осведомлённости сотрудников и развивать у них навыки кибергигиены или подобрать специальный сервис. В этом случае приоритетом для меня будет оптимизированное расходование корпоративного бюджета, ведь стоимость превентивных мер на случай какого-то события не должна превышать ущерб, который может нанести его наступление.

При этом задачи автоматизации процессов в Faberlic мы чаще выполняем собственными силами. В этом случае основным критерием является максимально устойчивая работа компании.