Сеть магазинов бытовой техники, электроники и товаров для дома "Эльдорадо" активно развивает бизнес в интернете. Это сопряжено с рисками для информационной безопасности (ИБ). ФЕДОР КУРНОСОВ, менеджер по ИБ "Эльдорадо", рассказывает, как формируется стратегия компании в этой сфере.
Фото: Петр Кассин, Коммерсантъ / купить фото
— Часто компании начинают думать о том, что нужно использовать какие-то средства защиты, только в тот момент, когда проблема уже возникла. Как у вас это происходит?
— Стараемся рассматривать возможные проблемы ИБ превентивно: когда интернет-магазин был в самом начале развития и в это развитие вкладывались серьезные средства, необходимо было позаботиться о защите инвестиций. Мы хотели быть уверены, что интернет-магазин будет доступен 24 часа в сутки 7 дней в неделю. В этом нам помогает то, что мы приверженцы рисковой модели: просчитываем риски в деньгах и именно эти цифры доносим до менеджмента компании, когда закладываем бюджет на ИБ. Руководство понимает язык денег. Если дать им возможность взвесить на одной чаше весов потенциальные потери от реализованной угрозы, а на второй — стоимость защиты, то возникает отчетливое понимание оправданности этих вложений.
— Насколько важен интернет-магазин для бизнеса компании?
— Трафик на сайте постоянно растет. Мы делаем ставку на онлайн, потому что все меньше людей готово идти в магазин и что-то там покупать. Особенно это касается крупных городов, жители которых хотят получать все, не вставая с дивана. Интернет-магазин, по сути,— это "лицо" компании, которое должно быть аккуратным и дружелюбным.
Оффлайновые магазины также перестраиваются. Мы не считаем, что они полностью умрут. Меняется формат, люди приходят туда уже больше для развлечения, чтобы изучить какие-то новинки. Им интересна уже не только техника, но и другие категории товаров.
— Какой комплекс мер вы используете для обеспечения доступности?
— Обеспечивая доступность, решаем две задачи: отказоустойчивость и катастрофоустойчивость. Для решения первой используются средства распределения нагрузки внутри ЦОДа (центр обработки данных). Для решения второй в зависимости от стратегии обеспечения катастрофоустойчивости дублируем бизнес-процессы и поддерживающую их ИТ-инфраструктуру в двух географически распределенных ЦОДах.
— Какие угрозы вы учитываете?
— Учитываем как внешние, так и внутренние угрозы. Для защиты от DDoS-атак используем внешний облачный сервис. Проводим регулярный анализ имеющихся уязвимостей, которые могут эксплуатироваться злоумышленниками как извне, так и изнутри. В частности, осуществляем аудит на нарушение бизнес-логики — это когда атаку можно устроить, используя стандартный функционал, в котором не все риски учтены.
— Многие компании, как правило, испытывают сложности с тем, чтобы пересчитать риски в возможные денежные потери. С доступностью понятно: можно вычислить оборот интернет-магазина за определенный период. А как обращаться с другими рисками?
— Думаю, сложности возникают у специалистов, которые еще не поняли, как построить разговор с бизнесом, как объяснить менеджменту, что такое доступность, конфиденциальность, целостность и почему это важно. Потери от проблем с доступностью ресурса действительно весьма просто оценить в деньгах: либо бизнес работает, либо нет. Но как оценить потери от нарушения конфиденциальности? Со временем пришло понимание и по этому вопросу. Наш отдел маркетинга заранее просчитывает ожидаемый эффект от акции: насколько она будет выгодна, сколько денег принесет. Если конфиденциальность нарушена, о планах узнал широкий круг лиц (включая конкурентов), акция уже не принесет ожидаемых доходов. Разница между запланированным объемом выручки по акции и тем, что получилось по факту из-за нарушения конфиденциальности,— это и есть риск, выраженный в деньгах.
Этот же принцип мы пытаемся перенести и на другие отделы: просчитываем, как может повлиять разглашение определенной информации на взаимодействие с вендорами, партнерами, поставщиками. По многим подразделениям у нас уже есть ясная картина.
С целостностью тоже научились работать. Есть понимание, что определенные данные не должны измениться, пока они проходят через бизнес-процессы. Можем посчитать, сколько компания потеряет, если это случится. К примеру, потери из-за ошибки в цене мы можем вычислить практически моментально: видим, сколько людей успели сделать предзаказ по меньшей стоимости или купить этот товар. Собираем информацию о таких инцидентах и можем оценить в итоге средние потери.
— То есть вы изучаете исторические данные по конкретным инцидентам?
— Да, мы берем реальную историю инцидентов и рассчитываем вероятность наступления тех или иных потерь на основе этих статистических данных. Плюс к этому считаем потери от каждого подобного случая и, как следствие, получаем риск, рассчитанный в деньгах. С помощью этих данных мы ведем диалог с бизнесом. Менеджеру понятны те категории потерь и рисков, с которыми он сталкивается каждый день: во сколько обойдется час простоя, какими будут потери от срыва маркетинговой акции и т. д.
— Как вы относитесь к облакам?
— "Эльдорадо" — продвинутая компания: мы используем все продукты SAP для ритейла, при этом размещаем их на облачных ресурсах. Конечно, это выделенные именно под нас облачные ресурсы — так называемое частное облако, размещенное на оборудовании подрядчика. Зачем? Нам важно, чтобы высоконагруженные системы были обеспечены поддержкой 24/7. Не всегда это можно сделать собственными силами. В этом смысле контракт с поставщиком облачных ресурсов — удобный вариант.
— Учитываете ли риски, связанные с использованием облаков при формировании стратегии ИБ?
— У нас разработана большая карта всевозможных рисков, включая те, что связаны с законодательством. В нее включены в том числе риски, связанные с облачными ресурсами. Каждый год мы проводим актуализацию этой карты, которая ориентирована на бизнес-цели компании. Мы следуем стандарту ISO 27001 от 2013 года, в котором есть целый раздел о том, что нужно рассматривать риски в соответствии с видением общего развития компании. Так что мы смотрим на то, в каком направлении развивается бизнес, включаем в карту новые риски, которые являются актуальными для этого направления развития.
— Чтобы все эти риски просчитать, вам необходима собственная статистика по инцидентам. Но как быть с новыми угрозами?
— Если появляется новая угроза, мы сразу ее учитываем, присваиваем определенную вероятность ее реализации и применяем превентивные меры защиты. Если инцидентов в течение года не происходит, выводим эту угрозу из актуальных. При этом мы стараемся использовать имеющиеся средства защиты, если же они не позволяют предотвратить реализацию новой угрозы, то, как я говорил ранее, взвешиваем на одной чаше весов потенциальные потери от реализации угрозы, а на второй — стоимость защиты. Так можем быть постоянно в тренде.
— Какие угрозы становятся более актуальными?
— Основной тип угроз, который сейчас активно обсуждается,— это таргетированные, направленные атаки (APT — advanced persistent threats). Общий тренд такой, что защита должна становиться более эшелонированной. То есть должны быть стандартный антивирус, инструменты противодействия DDoS-атакам, Web Application Firewal от взлома, средства против внутренних атак. И, конечно же, многое очень зависит от обучения людей.
В последнее время вижу очень много всяких средств защиты, которые помогают от того или иного вида угроз. Но их эффективность будет низкой, если не ликвидировать пробел в обучении людей.
Моя личная рекомендация коллегам — в первую очередь заниматься этим вопросом. "Железок" и ПО, которые много чего умеют, на рынке полно. Но людей, которые находятся внутри периметра либо с ноутбуком перемещаются за пределы компании, нужно обязательно учить информационной безопасности, тому, как противостоять определенным угрозам. Технологии усложнились, компании используют целые арсеналы средств защиты, но вопросам социальной инженерии уделяют крайне мало внимания.
Допустим, компания использует систему защиты от таргетированных атак. И трафик просматривает, и компьютеры, а также каждый запущенный сервис мониторит. Вроде бы все хорошо. Но вот пользователь решил поработать дома, берет с собой документы на флешке, приносит обратно в офис. Воткнул ее в рабочий компьютер, всего лишь считал информацию и заразил машину. Да, проблема будет обнаружена, но до того может произойти заражение сети, да все что угодно.
— Вы проводите обучение в компании?
— У нас постоянно идут образовательные программы. При приеме на работу новый сотрудник проходит первичное обучение, затем всех приглашают на дистанционные курсы. Мы создали пять-шесть видов образовательных дистанционных программ по информационной безопасности, по ним нужно сдавать зачет. Это дает большой положительный эффект. Да, все еще бывают проблемы, когда люди не действуют в соответствии с тем, что они прочитали. Но некоторые инциденты были предотвращены именно потому, что человек вспомнил, что было написано в обучающих материалах, сделал все, как нужно, чтобы проблему предотвратить. В итоге не произошло массового заражения компьютеров.
Помимо обучения важно показать людям, что требования информационной безопасности — это не палка в колеса, что бизнес и ИБ могут сосуществовать. Да, какие-то процессы могут стать чуть медленнее, потому что все-таки средства защиты нужно использовать. Да, это может как-то ограничивать бизнес. Но эти ограничения приносят дополнительную выгоду из-за того, что снижают риски. Иначе говоря, мы поворачиваемся лицом к бизнесу, бизнес лицом — к нам и происходит взаимодействие. Мы работаем над тем, чтобы изменить восприятие ИБ в сознании людей.
Много слов сказано о том, что ИБ должна быть частью корпоративной культуры. Но я все-таки исхожу из того, чтобы инструмент, который предлагается для обеспечения информационной безопасности, был удобным. Если это удобно, то не возникает мысли, как-то это ограничение обойти. Всегда есть альтернатива публичным слабозащищенным сервисам типа Dropbox и пр. Можно развернуть удобные сервисы внутри защищенного периметра, если их функциональность нужна бизнесу.
Конечно, чтобы получилось людей склонить к альтернативе, нужны сильная воля и возможности руководителя по ИБ, а также поддержка от генерального директора, чтобы не произошло первичного отторжения. Если первичное отторжение у людей удается преодолеть, то обычно они начинают сотрудничать. Ну и, конечно, специалистам по ИБ нужно не бояться влезать в процессы, пытаться почувствовать, чем живет компания. Разумеется, не сразу, но обязательно получится добиться эффективного взаимодействия на всех уровнях.