Опыт «Норникеля»: пентестеры никогда не остаются без работы
С чего начинается кибербезопасность
Я пришёл в информационную безопасность из ИТ. В 1990-х годах разделения между ИБ и ИТ ещё не существовало. Угроз было немного: отдельные вирусы, первые черви, все это воспринималось как часть технической работы. Событие, которое подтолкнуло меня целенаправленно уйти в ИБ, было связан с одним инцидентом ещё до начала моей работы в «Норникеле». Когда в одной компании на новом месте я принимал инфраструктуру, обнаружил, что она взломана — всё лежит, вокруг хаос. Мне с командой удалось достаточно быстро восстановить работу. Но возникли вопросы: что произошло, кто это сделал и зачем. Начались форензика, работа с логами, анализ, и в итоге удалось найти внутреннего нарушителя. Именно этот драйв расследования, поиска причины и анализа инцидента, наверное, и стал стимулом для перехода в ИБ. В ИТ для меня уже было многое знакомо, а здесь открывалась новая сфера и новые вызовы.
Сегодня информационная безопасность видится мне как сочетание защиты и нападения. Речь не только о классической обороне инфраструктуры, но и о проактивной работе по поиску уязвимостей и проверке устойчивости систем. Поэтому в мой контур работы помимо прочего входят и внутренние пентестеры, команды Red Team и Blue Team. Это сильные специалисты, которые участвуют в профессиональных соревнованиях и хакатонах, занимают призовые места, что, конечно, влияет на уровень экспертизы ИБ-команды в компании. Инфраструктура «Норникеля» очень большая и разнородная, она постоянно трансформируется, модернизируется. Все эти изменения несут риски: появляются новые уязвимости и векторы атак. Так что наши пентестеры никогда не остаются без работы — они постоянно пытаются находить слабые места в защите и передают результаты другим подразделениям.
Как работает Security by Design в «Норникеле»
Цифровизация остаётся одним из драйверов изменений инфраструктуры, сегодня она идёт в паре с импортозамещением. Причём речь идёт не только о выполнении регуляторных требований и замене отдельных средств защиты, но и о решениях промышленной автоматизации. Это более глубокая задача, связанная с перестройкой архитектуры и изменением инфраструктурного ландшафта в целом — не использование одного продукта вместо другого, а комплексная трансформация систем. Процесс непростой, и он ещё продолжается.
Мы здесь придерживаемся принципа Security by Design применительно ко всей системе, когда безопасность закладывается ещё на этапе проектирования, а не добавляется поверх готового решения. Подразделение ИБ формирует требования для смежных команд — будь то автоматизация производства или ИТ-службы, чтобы безопасность была встроена в архитектуру изначально. Это существенно повышает устойчивость в ходе трансформации.
Промышленность связана с высокими рисками, причём последствия могут затрагивать не только бизнес, но и социальную сферу. Например, у нас в структуре есть объекты топливно-энергетического комплекса, и если, условно, остановится отопление целого города, последствия будут выходить далеко за рамки финансовых потерь. Это уже резонансные события с очень серьёзным эффектом. Поэтому для нас безусловный приоритет — реальная защищённость инфраструктуры и надежность процессов.
Такой подход, считаю, влияет на развитие отечественных технологий. Не все решения на рынке в полной мере отвечают требованиям компании. Поэтому мы разработали и согласовали с вендорами дорожные карты, по которым они движутся в сторону соответствия нашим критериям безопасности. По сути, это взаимовыгодная ситуация: мы не просто выбираем из доступных решений, а помогаем ИБ-продуктам становиться более зрелыми. В опредёленной степени это повышает и общий уровень безопасности в отрасли.
Из чего состоит успех ИБ
Как функция информационной безопасности мы прошли через много ступеней трансформации ИБ в компании и на каждой пересматривали цели и корректировали стратегию под текущую ситуацию. Как и любое начинание, процесс становления на ранних этапах сопровождался «детскими болезнями», которые удалось преодолеть. Да и сейчас, несмотря на зрелость функции, возникают моменты, которые требуют переосмысления и изменения подходов.
В какой-то момент развития мы пришли к выводу, что ключевые составляющие успеха — это процессы, технологии и люди. Нельзя выделить что-то одно как главное, потому что это элементы одного пазла. Убери один — и вся конструкция начинает разрушаться.
Постепенно мы вышли на новый уровень взаимодействия в компании, отразив это в нашей стратегии развития ИБ. Один из её постулатов — открытость. Для нас это означает объяснять, почему те или иные требования, которые мы выдвигаем, необходимы и важны не только для безопасности, но и для устойчивости компании в целом.
Именно такой подход помогает находить баланс между задачами бизнеса и требованиями к защите.
В этой логике важную роль играет киберкультура, потому что вопросы безопасности не ограничиваются технологиями или внутренними регламентами. Мы исходим из того, что существенная часть рисков связана с человеческим фактором, а за каждым сотрудником стоит более широкое окружение — семья, социальная среда, внешние контакты. Воздействие на безопасность компании возможно и через этот контур. Поэтому киберкультура у нас охватывает больше, чем только корпоративный периметр.
По сути, она является сквозной нитью, которая связывает все процессы, технологии и людей в единую систему. Поэтому если коротко отвечать на вопрос, что для нас безопасность, — это баланс всех этих факторов.
Начинать надо с бэкапа
Киберустойчивость и непрерывность бизнеса — тема не новая. Есть хорошие практики, проверенные подходы, по которым можно выстраивать работу. Но очевидно, что не каждая, особенно небольшая, компания может в полном объёме реализовать весь этот набор практик. При этом опыт инцидентов показывает: проблема часто даже не в отсутствии сложных решений, а в том, что не выполняются базовые требования. Возьмем отчуждаемые резервные копии. Казалось бы, минимально необходимая мера, но она до сих пор применяется далеко не везде. А ведь именно поэтому многие компании потом не могут быстро восстановиться после кибератак.
Иногда даже само понимание, что такое отчуждаемый бэкап, оказывается размытым. Если резервная копия остается внутри той же инфраструктуры и может быть зашифрована вместе со всем остальным, это не решает задачу. Логика простая: копия должна быть вынесена — физически, логически, как угодно, но отделена от основного контура.
Поэтому не стоит начинать строить безопасность с «космических кораблей» — сложных идеальных моделей и рекомендаций, далёких от повседневной практики. Начинать надо с малого. Начинать надо с бэкапа.
Чек-лист для начинающего ИБ-специалиста
Я, честно говоря, не очень люблю давать советы. Как говорил Атос Д’Артаньяну:
«Обычно люди обращаются за советом только для того, чтобы не следовать ему, а если кто-нибудь и следует совету, то только для того, чтобы было кого упрекнуть впоследствии».
Но если все же говорить о том, что я бы рекомендовал молодым специалистам, то это несколько вещей:
- Воспринимайте вызовы в информационной безопасности как личные вызовы. Не успокаивайтесь, пока не разберётесь, что произошло, почему и как этого можно было избежать. А еще лучше — учитесь работать на опережение.
- Не бойтесь ошибок и инцидентов. Получить болезненный урок неприятно, но по-настоящему критично не это. Хуже — не сделать выводов и наступить на те же грабли второй раз. Важно учиться не только на своих ошибках, но и на чужих.
- Не стоять на месте, постоянно двигаться, развиваться, учиться. В нашей сфере иначе нельзя. Если хочешь куда-то прийти, нужно все время ускоряться.
- Не воспринимайте ничьи советы как абсолютную истину, в том числе и мои. Любой совет несет в себе не только опыт, но и чужие ограничения, ошибки. Поэтому слушать нужно, но выводы делайте сами.
