Давид Мамедов, KAZ Minerals: CISO должен быть адекватен с бизнесом
Интервью с директором департамента Информационной безопасности Группы KAZ Minerals о промышленной безопасности, влиянии ИИ и взаимодействии ИБ и бизнеса.
Как выстроить правильные процессы между бизнесом и департаментом информационной безопасности, какие инструменты взаимодействия использовать и как избежать прямого противостояния? Об этом мы поговорили с Давидом Мамедовым, начальником управления ИБ KAZ Minerals.
— Давид, на конференции Profit Security Day вы говорили о взаимодействии бизнеса и безопасников. Какие тут главные моменты?
— Взаимодействие безопасников и бизнеса — очень широкая тема. В прошлом году была вводная часть, то есть — как начинать строить свои отношения с бизнесом, для чего CISO нужен в принципе и что от него ожидают.
В этом году я говорил уже о более глубоких инструментах, благодаря которым можно эту систему взаимодействия развить. Многие молодые коллеги, даже не в плане возраста, а в плане опыта работы именно в качестве Chief Information Security Officer, сталкиваются с массой проблем. Например, как получить бюджет, как обосновать риски, которые возникают, как адекватно, не вдаваясь глубоко в ИТ, показать руководству уязвимости, которые нужно закрыть в зависимости от контекста конкретной организации.
Есть три хороших инструмента, два основных — это аудиторские проверки и требования регулятора, которые зависят от организации. И уже основываясь на общении именно с аудиторскими и регуляторными органами, а их никто не любит из-за неприятных вопросов, можно использовать это как инструмент выражения ваших проблем простым языком, понятным менеджеру и руководству.
Все просто: если аудиторский язык не доходит, тогда мы идем к регулятору. Этими двумя инструментами нужно пользоваться.
Третий инструмент — это риски. Если первые два не сработали, просто создайте риски, переложите ответственность.
— То есть вы искусственно их можете создать или просто подсвечиваете?
— Да, я имею в виду: обозначить их и показать владельцам бизнеса. Главное — не просто подсветить, а правильно сгруппировать, сформировать в ту уязвимость, которая реально существует. Скажем так, есть риск остановки технологического производства по реализации уязвимости и кибербезопасности. Вот, к примеру, кто-то воткнул флешку или были непрофессиональные действия администратора, который накатил обновление или изменил архитектуру для оптимизации каких-то своих процессов. И на фабрике произошла остановка, а это миллионы долларов. Любой руководитель, с которым именно CISO приходится работать — это чаще всего наемный сотрудник, это не владелец бизнеса. А риски всегда рассматриваются на совете директоров, так что даже если первый руководитель хочет скрыть что-то и где-то отыграть, у него не получится.
У нас есть общепринятое понятие «эффективный менеджер», это тот человек, который может экономить, а безопасность не может строиться из экономии. Так что, если кто-то хочет сэкономить — без проблем, мы просто показываем все риски. Если руководитель принимает, они, риски, идут на совет директоров, а там уже им решать, принимаются эти риски или нет. Это третий инструмент, но им нельзя злоупотреблять.
— Как грамотно настроить процессы, чтобы избежать противостояния: безопасность VS доступность?
— Как правило, при использовании «здравого смысла», безопасность выстраивается для защиты бизнес-процесса, а не для его блокирования. Тут очень многое зависит именно от требований, которые бизнес выставляет, и к этим требованиям добавляются регуляторные, если применимы.
— Можете дать какие-то практические советы?
— Безопасность строится на двух факторах: либо бумажная, то есть просто для отписки, для подтверждения аудита, либо безопасность, которая действительно требуется бизнесу. Не может быть противостояния бизнеса и безопасности, может быть противостояние конкретного менеджера или конкретной роли в бизнес-процессах. Безопасность всегда строится для недопущения остановок производства, для сохранения целостности и доступности. И не я решаю, что должно быть конфиденциально, для чего должна быть целостность и доступность. Это решает бизнес. Моя задача — выстроить эти процессы, чтобы обеспечить непосредственно безопасность бизнес-процессов.
А противостояние может возникнуть даже на личностной основе, мы ведь все люди, можем с человеком зацепиться на какой-то мелочи, что может негативно повлиять именно на бизнес, от этого нужно максимально дистанцироваться. Но если такое вдруг происходит, и вы не можете обеспечить безопасность, которую требует руководство компании и владельцы бизнеса, по вине какого-то человека, соответственно, тогда вы должны просто использовать один из этих инструментов.
Мы должны сделать процессы максимально защищенными за минимально допустимые ресурсы. Ведь можно построить безопасность, которая будет стоить миллионы долларов, но восстановление, даже если ее взломают, будет стоить сотню тысяч долларов. Стоимость систем безопасности не должна превышать потенциальный урон и план восстановления. Правда, бывают исключения, но о них — отдельно. Вполне возможно, на определенных участках будет достаточно простых решений и обучения кибергигиене.
Например, 100% эффективных технических средств борьбы с фишингом практически нет, потому что вариативность атак постоянно меняется. Но провести обучение и показать людям методики, примеры, призвать к внимательности нужно. И это сократит если не 80%, то как минимум половину всех реакций фишинга, которые могут воздействовать. Я считаю, это довольно эффективно за небольшие деньги.
— А у вас периодичность процесса обучения и контроля прописана? То есть, как это проходит? Устраиваете стресс-тесты, флешки подкидываете?
— У нас очень большая компания, много фабрик, отдельных ТОО, которые работают в группе компаний, и для всех этот процесс устроен по-разному. Скажем, для менеджмента, который больше всего работает с цифровой информацией, есть облачная система обучения со встроенной системой антифишинга. Обучение занимает 20-30 минут в неделю, а один раз в 2-3 недели им приходят «письма счастья».
— Один раз в 2-3 недели? Так часто? Вы в тонусе свой коллектив держите.
— Да, доводим до автоматизма, как рефлекс. То есть, если человек видит что-то, что выглядит не очень, пахнет не очень — он не будет это пробовать. Нужно из этого исходить.
— В прошлом году на конференции по безопасности вы отметили, что одним из приоритетов для вас является защита технологических процессов и фишинг. Сейчас что-то изменилось или это остается в фокусе вашего внимания?
— Фишинг, независимо от его формы, остается и, как показывает практика, останется с нами на очень долгое время. А так как большинство инцидентов связано непосредственно с сотрудниками, то фишинг — это одна из главных проблем обеспечения ИБ на сегодняшний день. Важно отметить, что фишинговые атаки меняются и развиваются, для них постоянно появляются новые инструменты, например ИИ. И это создает огромные проблемы для всего ИБ и CISO, в частности, т. к. не существует технических средств для 100% защиты от фишинга. И главное оружие в этой борьбе — ознакомление сотрудников, разбор примеров и обязательное обучение хотя бы азам кибергигиены.
Ты никогда не будешь на 100% защищен, если у тебя сотрудники не знают базы какой-то, если неправильно распределены роли, ответственность. Если люди не знают правил кибергигиены, не разграничены и не наделены в меру своих компетенций правами и обязанностями по исполнению требований информационной безопасности, то любые деньги, потраченные на технические средства, будут впустую. Вот это самое главное. Людям нужно обучение антифишингу и кибергигиене.
— Какие новые угрозы или вызовы появились в сфере промышленной безопасности?
— Я бы не назвал их «новыми», скорее модифицированными и автоматизированными с использованием ИИ методик анализа, аналитики и подбора, что привело к повышению скорости развития и реализации угроз и атак. В то же время такие угрозы и проще определить, имея современные инструменты мониторинга и реагирования, т. к. атипичный трафик и поведение в контуре мониторинга, как правило, создают огромное количество событий, которые сложнее маскировать злоумышленнику. При этом для критических объектов, не обеспеченных соответствующими средствами мониторинга и безопасности, этот тренд представляет высокую опасность.
— А насколько ИИ обострил вопросы информационной безопасности?
— Искусственный интеллект повышает автоматизацию атак и позволяет хакерам получать больше инструментов, т. е. снижает порог вхождения для атаки. Но в то же время ML и AI обеспечивают отслеживание контура безопасности и реагирование первого уровня, что значительно облегчает работу команды «синих». То есть, что такое ИИ? Это инструмент для получение требуемой информации быстро, качественно, «просеивая» огромные объемы различных данных в автоматизированном режиме по заданным тегам и прочим характеристикам. Проблема в том, что не существует ни одного ответа, который бы создал ИИ, т. к. все исходники и метаданные были созданы людьми, и в том числе — ошибочные. И попадание таких ошибок в общую массу данных не позволяет полностью положиться на ИИ.
— А берете ли вы инструменты ИИ в свои кейсы по защите?
— Конечно. ИИ и ML позволяют быстро и в больших объемах анализировать огромные массивы данных и выдавать рекомендации на их основе, но считаю важным отметить, что финальные решения и выбор следования рекомендациям лежит на моих сотрудниках, мне и коллегах из других департаментов, которые принимают решения в меру своих прав и компетенций.
— Можете ли вы сказать, что мы еще не осознаем всех проблем, которые может принести ИИ в эту сферу?
— Пока это не Интеллект в полном его понимании, но вот как инструмент ML, анализа и аналитики это переводит противостояние ИБ/Хакеров на новый технологический и скоростной уровень. Принцип остается таким же, как и раньше — изобрели новый вид атаки или модернизировали старый, и это происходит быстрее, но и оборона, патчи, защитные механизмы так же появляются значительно чаще, и реакция происходит быстрее. Для какой из сторон — красные/синие — ИИ инструментарий будет эффективней, покажет время.
Опасность и безопасность с нами всегда. Не существует ни одного идеального технического решения, которое бы защитило все на 100%, даже на 60%. В этом-то и проблема. Мы получаем постоянно новые технологии, новые методики, новые форматы общения с оборудованием, с техникой. И, соответственно, у них есть свои собственные уязвимости, проблемы, дырки какие-нибудь, возможно заложенные инсайдерские. Разработчики — не всегда честные люди. И, кроме этого, есть еще наши «любимые» хакеры — как «мамкины», так и самые опасные «продвинутые», с хорошим техническим бэкграундом и ресурсами.
— «Мамкины хакеры»?
— Ну вот вы улыбаетесь, а, к сожалению, в современном мире в связи с доступностью информации и новых инструментов, таких как ИИ и machine learning, «мамкины хакеры» стали действительно большой проблемой, они используют этот инструментарий.
И существует множество объектов, атака на которые может привести к колоссальным катастрофическим потерям, репутационным рискам, экологическим и техногенным катастрофам. И если раньше этим самым «мамкиным хакерам» к таким объектам было не подступиться, то сейчас с доступностью новых инструментов даже они могут представлять серьезную угрозу.
— А вы в целом алармист или спокойно наблюдаете за развитием возможностей ИИ?
— Пока нет и не предвидится настоящего Искусственного интеллекта, и его самосознания — я спокоен. Меня беспокоит, что нам из каждого утюга рассказывают, насколько это круто, современно и все изменит. А это всего лишь инструмент, который не возьмет на себя Роль и Ответственность. Весь мир меняется и становится технологичнее, индустриализация, информатизация и цифровизация идут вперед и развивают человечество, а ИИ — один из многих инструментов. Насколько это хороший или плохой инструмент — зависит от человека, который его использует и для каких целей.
— Знаете, я понимаю, почему могут совершаться атаки на банки или на какие-то сервисы, которые обладают нашими личными данными. Насколько страшно подумать, какая цель у людей, которые атакуют промышленные предприятия?
— Я отвечу вам вопросом на вопрос. А какая цель у живодеров, которые мучают собак? У них могут быть какие-то свои проблемы, они так вымещают свою злость. У хакеров тоже свои сообщества, они зарабатывают ачивки, хвалятся достижениями.
И, конечно, это вопрос денег. Даже если они взламывают какой-то сервис, который не кажется вам важным, они могут где-то продавать эту информацию, доступы или базы оттуда. А другая команда, которая планирует, например, что-то масштабное в геополитических целях, может эту часть информации купить, она нужна им для реализации своих целей.
Все, как в жизни. То есть, не на все есть логические ответы, понятные нам, как психически здоровым людям или живущим в юридическом поле.
— Сейчас начинается бюджетирование следующего года. Можете вкратце назвать приоритетные для вас пойнты в бюджете?
— Для промышленности, а в данный момент как раз мой случай — это защита индустриальных систем, автоматизация мониторинга и микросегментация и/или изолирование сегментов промышленных сетей для снижения рисков внешних воздействий.