Рустэм Хайретдинов
Рустэм Хайретдинов, директор по росту бизнеса, компания BI.ZONE, прокомментировал новый указ Президента РФ № 250 о дополнительных мерах по обеспечению информационной безопасности российских компаний. Пояснил сложность устранения кадрового дефицита в области ИБ.
Согласно указу № 250, требуется создать структурные подразделения по обеспечению информационной безопасности. Это отличная новость! Компании будут закладывать бюджет на ИБ-отделы, будет больше специалистов по информационной безопасности, модернизируются текущие подразделения. Каким вы видите идеальный ИБ-отдел и какими компетенциями должны обладать ИБ-специалисты в текущих реалиях
Ну, вопрос очень общий. Конечно же, ответ на него зависит от контекста, потому что в зависимости от того, чем компания занимается, насколько она цифровизирована, насколько важны цифровые системы для жизнедеятельности этой компании и обслуживания её клиентов, такая и потребуется служба кибербезопасности.
То есть, если компания занимается оказанием каких-то услуг через интернет, там есть личный кабинет, есть данные клиентов, это один вопрос. Если компания небольшая производственная, и цифровая система в основном занимается бухгалтерской отчетностью, а бизнес полностью оффлайн, это будет другая структура. Тем не менее, никто не отменял эффективность, соответственно количество затрат на отсутствие реализации рисков, это и будет основным и ключевым критерием.
Где-то справится один человек, а где-то понадобится 400-500 и больше.
Нередко приходится слышать, что ИБ-отрасль испытывает дефицит квалифицированных кадров. Сейчас мы видим огромный всплеск образовательных программ от непрофильных учреждений, которые предлагают курсы повышения квалификации специалистов, образовательные программы по информационной безопасности. Это даёт нам в перспективе хороших специалистов, но не здесь и сейчас. Что делать сейчас? Где брать специалистов и кем решать свои задачи по обеспечению ИБ?
Ну, прежде всего хотел сказать, что массовой подготовкой, может быть, можно подготовить программистов, или можно подготовить системных администраторов, но достаточно сложно подготовить специалистов по кибербезопасности, потому что всё-таки кибербезопасность – это не только набор навыков, но и некий психотип, да?
Есть люди, которые любят ковыряться в чужих ошибках, а есть люди, которые любят просто создавать новые программы, и из второго первое просто так не сделаешь. То есть если у человека нет любопытства врождённого, если нет умения посмотреть, потыкать "нельзя ли это поломать?", то без этого набор знаний не выстрелит, не будет эффективным».
Поэтому кибербезопасников не будет. Есть три проблемы кибербезопасности: первая – это «нет людей», вторая – «нет людей», третья – «нет людей». Потому что всё остальное можно как-то решить, а вот людей родить, отобрать, обучить – это очень долгий вопрос. Правда».
Таким образом, мы приходим к тому, что если у нас нет качественных специалистов сейчас, то мы обращаемся в какие-то организации-подрядчики. И тут возникает вопрос: какие работы лучше отдать подрядчикам, а какие лучше оставить внутри компании и решать их самостоятельно?
Есть на самом деле еще один способ решения проблемы отсутствия людей в сфере информационной безопасности. Это роботизация. То есть на самом деле не зря многие занимаются искусственным интеллектом с тем, чтобы передать какие-то функции, например, первой линии SOC уже искусственному интеллекту, а не одними подрядчиками. То есть это направление пока еще более раннее.
Подрядчиков да, нанять проще. Тем более что сейчас так сложились и социологический, и законодательный ландшафты, что специалисты тяготеют к крупным компаниям, которые оказывают сервисы.
Потому что, во-первых, это все льготы для IT-шников ИБ-шников, они происходят в крупных специализированных компаниях.
Во-вторых, это многообразие и интересные задачи, потому что просто пилить какую-то одну задачу не всегда интересно, нужно уметь переключаться, что не всегда бывает возможно в рамках какой-нибудь конкретной компании, где надо защищать одно предложение. Соответственно, экспертиза и дальше будет концентрироваться в специализированных компаниях, а для того, чтобы на них переложить какие-то функции, нужно эту функцию выделить.
Поэтому очень многие компании начинают делегирование функции информационной безопасности. Функции, которой раньше не было, чтобы не разрушать работающие там и защитить старые инвестиции.
Вот если вы, например, задумали создавать SOC (Security operations center — прим. ред), три раза подумайте, собираетесь ли его создавать у себя, либо, если у вас его до этого не было, сразу перейдите на внешний SOC, потому что в этот момент этот выбор сделать достаточно легко.
Можно посчитать эффективность в одном случае, риски в другом случае и сравнить, и вынести это на управленческое решение. Если же у вас какая-то функция встроена в вашу уже цифровую систему, то выковыривать её и передавать на аутсорсе будет там на порядок сложнее. Но это упражнение обычно полезно, потому что его надо сделать один раз. Например, вы заключили с каким-то подрядчиком контракт под это дело, создали канал коммуникации, формат отчетности, форматы доступа, а потом вам не понравился этот подрядчик, вы можете легко переключиться на другого, потому что новый подрядчик будет работать уже в той же парадигме.
Но первое упражнение – вычленение существующей функции и передачи её наружу – достаточно сложное. Мы не раз с этим сталкивались. А вот менять уже имеющегося подрядчика достаточно легко, потому что подрядчики работают приблизительно одинаково.
Ну, и схема отработана.
Да. Соответственно, лучше все новые проекты в области безопасности пробовать начинать с аутсорсинга. Потому что, если вдруг эта функция не понадобится, вам не придется разрушать уже сделанное, увольнять людей. Тогда вы просто бросите контракт, отменить, и все. То есть всё новое, конечно, лучше начинать с аутсорсинга.
Следующий момент организациям из перечня ключевых необходимо провести оценку уровня защищенности своих информационных систем до первого июля 2022 года. Сам перечень ключевых организаций должен быть определен правительством до первого июня. Отсюда возникает вопрос: достаточно ли месяца для того, чтобы провести оценку уровня защищенности? Это довольно объемная работа и трудоемкий процесс.
Дело тут в деталях, потому что надо посмотреть, что будет иметься в виду под оценкой защищенности. В экспертном сообществе пока видим, что за месяц можно просто квалифицировано заполнить какие-то опросники, не более того, потому что провести полноценный пентест, причем одновременно в десятках тысяч организаций, на рынке просто нет таких ресурсов. Поэтому мы думаем, что это будет некоторая самооценка, которая, возможно, будет как-то проверяться регуляторам в рамках выборочного аудита, но не более того.
Также с первого января 2025 года организациям запрещается использовать средства защиты информации, произведенных вне дружественных государств либо организациями под их юрисдикцией. Это означает исключение привычного оборудования и ПО, перестройку процессов, разработку технической и аппаратной части. Это звучит очень масштабно и пугающе одновременно. Что вы думаете по этому поводу?
Ну, знаете, когда людям ставят планы продаж, то обычно добавляют некоторый челлендж. То есть ты видишь, что ты можешь продавать на сто миллионов, а тебе говорят:” Давайте еще челлендж — добавим 30 миллионов”. Это, похоже, всё на самом деле на некий челлендж. То есть, во-первых, ну, я бы сейчас вообще поостерегся строить планы до двадцать пятого года. Все может десять раз поменяться по независимым от нас обстоятельствам, но направление именно такое, что, возможно, кто-то не выполнит эти сроки, кто-то выполнит и будет молодец. А кто не выполнит и будет наказан, кто-то там не выполнит очень сильно и будет очень сильно наказан. То есть я рассматриваю ту дату только как некоторую веху на пути импортозамещения. Но это, конечно, будет не последний день, когда иностранные средства защиты информации будут работать в России. Но направление именно такое.
