Здрастуйте, шановні радіослухачі, менеджери, програмісти, адміни і все-все-все. Сьогодні я висловлюся про наболілу тему, яка час від часу викликає у мене гострий зубовний біль, а саме - про інформаційну безпеку на підприємстві.
Що собою являє ІБ на великому підприємстві або навіть банку? Пекучий коктейль з нормативних актів, густо приправлених заборонами всього і вся і з додаванням погроз розправи до смаку. Адже що робить звичайний адміністратор системи для запобігання несанкціонованого доступу? Забороняє все, що не дозволено. Що робить звичайний безпечник? Забороняє взагалі все, що знаходиться на кордоні (а часто і за кордоном) здорового глузду і хоч якоїсь можливості функціонування підприємства. При цьому складається величезна кількість нудних описів загроз, нормативних актів (нудьга!) та інших страхітливих дій, всі які зводяться до однієї простої думки «ЯКЩО ЩО, МИ Ж ПОПЕРЕДЖУВАЛИ!». Таким чином, складається ситуація, коли ІБ ризики позначає, але відповідальність не несе - її несуть співробітники. Однак і нехтувати цією каламутною темою інформаційної безпеки керівники не можуть, і в результаті на підприємстві всі процеси завертаються на ІБ, і ІБ стає тим вузьким пляшковим горлечком, від ширини якого часто безпосередньо залежить швидкість функціонування бізнесу підприємства в цілому.
C гарячою і палаючою частиною опусу закінчу, не за емоції мова, перемикаємося на конструктив. Всі, хто з цим стикався, зрозуміє і чимало доповнить. Мова зараз хочу завести про те, що з цим робити? Адже в основі ІБ на підприємстві лежить вкрай конструктивна і розумна мета - запобігання витоків даних, які потім по цьому самому підприємству можуть вдарити, і часто - дуже боляче. Тут варто врахувати не тільки (і не стільки) фінансові ризики, скільки репутаційні та інші ризики, які безсумнівно виповнилися б, коли-небудь би, можливо б, * -б * -б * -б.
Основні кейси, які намагається закрити собою ІБ на мій недалекоглядний погляд, такі:
1. Припинення НСД (несанкціонований доступ, ми ж про ІБ говоримо, будемо використовувати тисячі скорочень) до всякого роду БД, СГД, серверів (не знаю як скоротити), приміщень з серверами і БД. Це найголовніша мета у функціональності ІБ, і вони з нею справляються дуже добре. Величезні хмари заліза і ПО, створені якраз для цих цілей, цілком сприяють припиненням НСД, ловлі і розслідуванню інцидентів ІБ.
2. Обмеження НСД «поза». Ну тут все зрозуміло. Укупі з програмно-апаратними комплексами з першого пункту вирішення цих типових завдань складності не представляє.
3. Обмеження НСД «з нутрей» організації до всього того, що перераховано в п 1. Тут дещо детальніше, оскільки головна загроза НСД в ІБ - співробітник підприємства - переважає в якості потенційної загрози. До зазначеного обладнання, першо-напершо, необхідний доступ адмінам всіх мастей, програмістам і\або аналітикам, і іноді безпосередньо бізнесу, який використовує якесь ПЗ для верчения даних, звітів, і всього такого, що йому, бізнесу, треба. Як не дивно, тут рівень складнощів і проблем, створюваних ІБ, не такий високий. Оскільки адмінам доступ потрібен для своєї адмінської магії, аналітики часто просто працюють на ПЗ, яке поставили адміни, бізнес «сказав треба, значить треба» і йому зробили доступ, тому що ІБ працює на бізнес, а не навпаки. Найбільше страждають розробники, яким подавай сервери, доступи, незрозуміле ПЗ, самописне незрозуміле ПЗ, при цьому щоб і дані були живі. Все це підпадає за власноруч написані нормативні акти і які-небудь-ще акти, накази, норми, загрози-ризики, які ж самі безпечники і написали в ході трудової діяльності. Тут і спрацьовує ефект пляшкового горлечка, що поки розробники укупі з менеджерами узгодять (якщо це взагалі можливо) всі ці нескінченні узгодження, то бізнес стоїть і чекає. Тому що сам зловив себе в пастку картбланшу для ІБ, тому що не продумав механізм ескалації ризиків і їх оцінки, тому що вникати і зрозуміти цей пласт інформаційних загроз, які, на хвилиночку, включають практично весь спектр IT-дисциплін, ну просто неможливо.
Які варіанти виходу з ситуації я бачу (придумав, відчув):
1. Перший, він же головний, можливість прийняття ризиків керівником бізнес-підрозділу, який замовляє щось, що уперлося в складність узгодження ІБшниками. Дуже часто бізнесу потрібні інструменти, які повинні швидко вирішити\перевірити якусь думку\концепт керівника. Ці точкові, або акупунктурні, уколи можуть бути дуже дієві і корисні для виконання бізнес-завдань. І якщо з іншою довгою тягомотиною - закупівлею обладнання - питання можна вирішити звернувшись до хостингів, то питання ІБ встає в повне зростання. Дані, які потрібно обробити, знаходяться у внутрішніх системах і їх потрібно передати в системи зовнішні. Тут два є два варіанти: дуже довгий і швидкий неправомірний. Думаю, не варто пояснювати, яким варіантом частіше користуються люди, яким потрібно виконати завдання.
2. Побудова\скорочення списку критичних ресурсів і побудова ДУЖЕ захищеного прошарку між усіма іншими системами і цими супер захищеними системами. Ось там є де розвернутися у всю шир і міць. Напевно, це і часто застосовується, але список загроз, які намагається обійняти ІБ такий величезний, що самі безпечники б захлинулися (що нерідко і буває), якщо хоча б половину з них закривали за нормами-порядками захисту від ІБ. Інші ж системи обмежити штатними засобами антивірусів, політик доменної безпеки, але без утиску функціональності.
3. Спрощення діяльності за погодженням усіх своїх же обмежень. Адже вони все одно будуть узгоджені, тому що «потрібно», але це заощадить гекалітри крові, пролитої на полях аутлучних узгоджень.
У висновку хотів би висловити подяку тим адекватним, зрозумілим і гнучким безпечникам, яких я ще не зустрічав.
З любов'ю, ненавистю і розумінням,
% працівникнейм%