Руслан Ложкин
Поговорили с Русланом Ложкиным, руководителем службы безопасности “Абсолют Банка” о развитии информационной защиты компаний. Обсудили, как поменялись люди и чем важна корпоративная культура ИБ.
В последнее время мы видели несколько громких утечек информации: Почта России, Яндекс.Еда, СДЭК. Мы знаем, что много атак происходит на банковский сектор. Как вы думаете, есть ли какие-то общие причины у подобных утечек данных?
Причины утечек информации, как правило это с одной стороны саботаж, с другой стороны это некая финансовая заинтересованность. То есть никому не нужны данные, которые, по сути, нигде не продать и никак не использовать. Все ищут какую-то коммерческую выгоду.
Ввиду того, что раньше это всё как-то скрывалось, либо не было каких-то технических средств по выявлению этих данных, то сейчас по мере их появления мы стали видеть, что у нас количество утечек данных возросло, плюс некая ситуация проявилась, плюс пандемия тоже сыграла.
Все пошли на удалёнку, всем неохота идти в офис, а кого в офис загоняют, они теряют интерес к работе, опять начинают саботировать.
Потому что мы все люди, мы все привыкаем к лучшему. И, к сожалению, Почта России и Яндекс стали примерами, Сбер недавно был.
А что на ваш взгляд должно поменяться в защите компании, чтобы сливов данных становилось меньше?
Я думаю, что для защиты компании надо работать как в сторону технических средств, так и в сторону работы именно с кадрами, с сотрудниками.
Всё-таки, наверное, второй пункт был бы наиболее важен, потому что если в компании нет элементарной культуры информационной безопасности или кибербезопасности, то городить какие-то технические средства было бы бесполезно. Они ничего не дадут. Просто нельзя будет даже выбить бюджет на эти технические средства, если никто не понимает зачем они нужны. Поэтому надо эту работу вести прежде всего с руководством, с топ-менеджерами, с директорами и вниз спускаться.
Когда будет понимание зачем это надо, будет понимание проблематики, тогда будет и заинтересованность во внедрении этих технических средств, будет некое понимание как их обосновывать, и будут какие-то бюджеты выделяться.
Если в компании вообще ноль в части культуры безопасности, то продать туда DCAP, DLP и прочее, только если не угроза со стороны регулятора, не получится никак.
Как вы считаете, как можно и нужно работать сотрудникам, чтобы снизить вероятность появления инсайдеров и утечек со стороны сотрудников?
Такой немножко дискуссионный вопрос, он может затянуться надолго. Сейчас люди, работники сильно поменялись. То есть была у нас там третья технологическая революция, были выходцы ещё с Советского Союза, где было проще. Им сказал, что за ними наблюдают, у них это отложилось в голове, всё, они сидят тихо и смирно, как в армии.
Потом дальше мы пошли уже на упразднение. Стали разрешать различные удалёнки. Появились различные команды по разработке.
В общем стали развивать культ продукта и ориентироваться уже от клиента. Удобства стали какие-то вводить дополнительные. И вот здесь уже с одной стороны как бы мы развязываем руки, не сильно вмешиваемся в безопасность людей, а с другой стороны сформировалось новое общество. Люди, которых просто запереть в четыре стены проблематично достаточно.
Многие люди не ходят на работу. Их задача – сделать проекты, создать продукты. То есть результат. Руководитель от них требует результат. Собственно, к вашему вопросу подходим. Как сделать безопасность так, чтобы она и не мешала, и был результат? Вот такая проблематика, наверное, сейчас.
Кто должен создавать безопасность в компании? То есть это HR? ИБ?
Я за то, чтобы владельцем этого процесса был HR. Сейчас у нас четвёртая технологическая революция, кибербез 4.0. На форумах выступаю, понятия такие использую. У нас сейчас появляются цифровые юристы, HR с цифровым профилем, мир в принципе трансформируется, и общество подходит, наверное, к тому, что и в HR, и в юридических подразделениях появляются люди способные адаптироваться к новым условиям. Они, наверное, должны быть двигателем процесса. И ключевое – это руководитель. Если руководитель будет старого образца, то никакое новшество сюда не продвинешь. А дальше уже можно всё это распространять и привлекать дополнительные инструменты – IT-службы, кибербезопасность. Кибербезопасность – это инструмент, по сути, для HR`а для того, чтобы контролировать сотрудника, отслеживать какую-то его деятельность.
Как вы думаете, если был выявлен инсайдер, можно ли дать сотруднику второй шанс и на каких условиях?
Всё зависит от уровня доверия, от уровня значимости этого сотрудника. Сколько он стоит для этой организации. Не сколько он платит этой организации, а сколько он стоит.
Потому что может присутствовать ещё некая не финансовая составляющая. И сколько стоит то, чего он там слил. Вот этот ущерб.
И в принципе я думаю, что можно дать второй шанс, если вот эти критерии все приемлемые, и с одной стороны не сильно нанесли ущерб для организации, а с другой стороны сохранилось ещё некоторое доверие к сотруднику. Наверное, в таких условиях мы можем дать ему второй шанс.
Данных становится очень много, на их фоне легко затеряться. В связи с этим стало сложнее расследовать инциденты и преступления. Поэтому технические средства совершенствуются. Много, где говорится про использование ИИ в ИБ. Можно ли создать систему ИБ, которая целиком могла бы справиться без человека?
Вы предлагаете создать некий Скайнет, как в Терминаторе. Идей таких было множество. Они были и в книгах, и в фильмах, и есть идеологи соответствующие, которые это пропагандируют.
Но чем отличается машинное обучение, ИИ и нейросеть?
Машинное обучение – это некое обучение исходя из подобных операций. Нейронка может сама учиться и давать какие-то данные на основе обучения. А вот ИИ – это уже что-то более зрелое. Это некий, по сути, организм, который принимает самостоятельные решения.
И здесь возникает сразу первая ключевая и самая важная проблема. А насколько этот ИИ, этот организм обучился правильно? Потому что мы можем его тестировать на какой-то небольшой организации, а можем принести в ядерную физику. И степень рисков очень высока. То есть насколько правильно ИИ обучился и может корректно применить свои решения? Насколько этично? Вот это является стоп-фактором сейчас для того, чтобы ИИ куда-нибудь внедрять повсеместно.
Я думаю, что мы будем как-то с этим жить, это всё будет развиваться. Но я не знаю когда создадут полный ИИ, которому можно было бы доверить какую-то сферу деятельности без человека.
Скорее всего это будет с человеком. Это то же самое, как и с сотрудником: мы сотрудника берём, он компетентный, лояльный может быть, но всё равно нужно будет выстраивать некое доверие и некий контроль. Вот контроль всё равно нужен будет здесь за ИИ. Без этого никак.
