Отдел информационной безопасности – один из самых важных департаментов любой IT компании. Данные клиентов и сотрудников, процессы, оборудование – все это и многое другое нужно защищать от атак и посягательств извне. В ISsoft безопасность данных защищали разные специалисты, однако Information Security Department появился в 2016 году вместе с приходом в компанию Алексея Евменкова, который стал директором по информационной безопасности. Алексей рассказал, как оказался в сфере ИБ, поделился устройством отдела и его планами, а также приоткрыл завесу инцидентов, которые случаются.
– Алексей, расскажи, пожалуйста, как ты оказался в сфере информационной безопасности?
– Во время моего обучения профиля “Информационная безопасность” не было. В конце 1990-х я окончил БГПА (теперь БНТУ) по специальности “Роботы и робототехнические системы”. К сожалению, работы по моей квалификации не было, но мне всегда нравились различные компьютерные вещи, например, в университете я программировал базу данных для деканата. Тогда в Минске, насколько я помню, было буквально две IT компании, и я устроился в одну из них на должность специалиста по тестированию. Начинал с ручного тестирования, потом перешел в автоматизированное. Мне всегда нравились процессы: порядок, системность, последовательность. Поэтому так вышло, что я переквалифицировался в процессного товарища – директора по качеству.
В информационную безопасность попал достаточно неожиданно для самого себя, так как сначала я сертифицировал компанию, где работал по стандарту ISO 9001 (это про систему менеджмента по качеству), а потом руководитель попросил заняться сертификацией ISO 27001, а это уже стандарт по информационной безопасности. Я переключился, погрузился в доменную область информационной безопасности, и мне понравилось. Так я переквалифицировался в специалиста по Information Security. С 2008 года я занимался сертификацией ISO 27001 в международной компании Tieto, у которой были офисы в 27 странах и штат в 15 тысяч человек. Я ездил по офисам и настраивал процессы в соответствии с требованиями ИБ. А в 2016 году я пришел в ISsoft, где стал 600-ым сотрудником.
– Чем тебе нравится область информационной безопасности?
– В информационной безопасности невозможно достичь нормального уровня без структурированных и четких процессов. Это область, где есть требования и их нужно внедрить. Делать это нелегко, так как большинство требований и процессов строятся на людях, которые что-то забывают, чего-то не хотят и так далее. С одной стороны – четкая структурированность ИБ, с другой стороны – постоянный человеческий фактор, что меня и привлекают. Еще здорово, что information security неподъемная, в чем-то даже бесконечная. Классически ИБ подразделяют на 12 доменных зон, для углубления в каждую из которых не хватит и жизни. Ну и конечно, моя работа будет актуальна всегда. Мир без privacy и ИБ не сможет существовать безопасно. Иногда мне даже становится страшно, насколько возрастают риски и моя ответственность.
– Да, ответственность твоей работы представить сложно. Твои задачи больше про взаимодействие с людьми или с документами?
– Из-за специфики внедрения проектов ИБ, больше всего я работаю с людьми. Процессы, прежде всего, выполняют сотрудники. Поэтому, например, политику информационной безопасности, которую мы создавали в первую очередь, мы прорабатывали в постоянной коммуникации с ключевой группой сотрудников. Работа с сотрудниками начинается с их первых дней в компании: они приходят в ISsoft и попадают на мой тренинг по ИБ. Еще постоянное взаимодействие происходит ежедневно, так как у меня есть оперативные задачи: поток проблем, вопросов, которые нужно решить. Например, кто-то создает тикет в HelpDesk с запросом на доступ, или спрашивает: “Можно ли использовать определенный софт?” и так далее.
Вот пример типичного проекта ИБ. Сейчас WFH, и для дополнительной защиты мы включали фаервол на корпоративных устройствах, расположенных дома (для ОС Windows). Нужно было сначала разработать прототип: подобрать настройки, продумать процесс внедрения. Потом создать пилотную группу для разработанного решения (а чтобы внедрить ее, нужно было договориться так, чтобы это не мешало бизнесу). После проверить все ли окей, и только в конце запускать на всю компанию.
– Приходится ли взаимодействовать с заказчиками?
– Относительно редко. Только когда им нужна наша помощь. Например, клиенты иногда присылают чек-листы, с помощью которых хотят убедиться, что у вас все нормально с ИБ. И тогда я их заполняю. Также иногда проводятся встречи с заказчиками, когда они хотят лично поговорить и выяснить какие-то детали. На проекте иногда встает необходимость внедрения специфического требования от заказчика, и тогда тоже встречаемся с ними и находим решение. Это случается нечасто, но я осознаю важность таких задач для бизнеса, и они всегда приоритетны.
– Расскажи, как обычно, проходит твой рабочий день?
– Мои задачи зависят от дня недели, плюс у некоторых обязанностей есть цикл. Понедельник, например, всегда загруженный: много митингов, на которых мы планируем задачи на неделю.
Кроме оперативки, которую я уже упоминал, мы занимаемся работой над своими проектами. У нас имеется годовой план работ, в котором в общих чертах описаны все планируемые проекты.
Проекты – это что-то новое, что мы решили сделать и делаем. Например, недавно внедрили процесс Vulnerability scanning – это сканирование наших активов (компьютеры, оборудование) на уязвимости. Для этого у нас есть инструмент, который мы запускаем на определенных областях и в определенном порядке. Это большие усилия, у нас выстроен целый процесс в этой области.
Еще пару слов про так называемую «оперативку». В нее, кроме обработки запросов сотрудников, входит, например, регулярный анализ по паролям, двухфакторной аутентификации, по нежелательному софту, по сетевой активности и многим другим вещам. У нас пару десятков срезов, по которым мы делаем мониторинг. Все это повторяется.
– Кто работает с тобой в команде?
– Как только официально появился отдел, я работал один. Через пару лет ко мне присоединились секьюрити инженеры Никита и Андрей. В этом году наша команда вырастет еще на одного сотрудника. Это моя core team.
Есть еще и расширенная команда InfoSec: туда входят ключевые люди компании – это CTO компании, IT директор, Helpdesk директор, представитель executive team Minsk. С ними мы тоже постоянно взаимодействуем: планируем и реализуем задачи.
Кстати, на своих тренингах по ИБ для newcomers, я обязательно проговариваю состав нашей InfoSec team. Ведь тот факт, что в InfoSec, можно сказать, на постоянной основе работают топ-менеджеры компании – говорит о серьезном отношении нашей компании к теме ИБ.
– Как трансформировался отдел за 5 лет?
– Придя в компанию, я первым делом провел аудит, выстроил базовый план и начал его двигать. С самого начал я выстраивал систему менеджмента информационной безопасности, где мы не просто “тушим пожары”, а процессно и системно выстраиваем защиту. У нас есть ключевая модель, которая построена на ISO 27001, в ней все доменные зоны, внутри каждой свои технические и организационные защитные меры.
– Отразилась ли пандемия на твоей работе?
– Конечно. Это связано с тем, что люди стали работать из дома. Когда мы строили систему InfoSec первоначально, то WFH была в ней исключением, одним из блоков remote work. Сейчас же удаленка стала правилом, возникли новые риски. Вот сидит сотрудник, работает, а на каком оборудовании: на личном или на рабочем? Если на рабочем, то он подключается к нему из дома с домашнего компьютера, или принес рабочее оборудование домой? Если принес, то, где рабочее оборудование стоит, кто имеет доступ к нему? Нюансов много, и из-за того, что инфраструктура расползлась, нам сложнее ее контролировать. Конечно, мы пытаемся все это собрать воедино.
– Получается, что работы стало больше?
– Работы однозначно стало больше 🙂 Во-первых, задач становится больше за счет роста компании, ведь на больший объем процессов, нужно больше усилий. Во-вторых, мы постоянно внедряем новые процессы, что требует времени. И опять же, эти новые процессы нужно поддерживать. Например, в 2020 году мы внедрили SIEM систему, которая собирает информацию из множества систем компании, коррелирует и выдает события и алерты по определенным критериям. Это крутая система, которая есть далеко не во всех компаниях. Забот прибавилось. Мы становимся более зрелыми в области ИБ, но и усилий на то, чтобы это поддерживать, нужно больше.
– Поделись популярными инцидентами сотрудников, если можно.
– Рассказывать об этом даже нужно. Один из повторяющихся серьезных инцидентов – работа на личном оборудовании. Код, созданные документы и другие рабочие данные – это конфиденциальная информация, которая не должна храниться на личном оборудовании, находящемся вне инфраструктуры компании, которое мы не мониторим и не контролируем. Этот инцидент сложно отслеживать: сотрудники не в офисе, и каждый решает свои проблемы, как ему кажется правильным. Напомню про решение по поводу личного оборудования – вы можете сдать его на так называемый «IT check», и после этой процедуры на нем можно будет полноценно работать.
Второе нарушение – использование неразрешенных cloud решений на проекте. Например, недавно сотрудник отправил ссылку на неразрешенный опросник с непонятного сайта, на котором не ясно, как и кем контролируются данные. Также бывает, что люди пересылают продакшн данные через письма или скайп, что запрещено нашей Политикой ИБ. Для мониторинга подобных инцидентов у нас есть определенная система и подходы.
Еще не частый, но «прикольный» инцидент – сработавший фишинг. Это когда тебе пришло письмо, и мало того, что ты его открыл, так еще и в открытом окошке ввел свои креды. Твоя почта это cloud, люди, которые получили твои данные, могут войти в твою почту. Там они создают forwarding rule по определенным критериям, например, письма, которые содержат ключевые слова вроде «credentials» или «password», пересылаются на «левый» ящик. Данные из них могут быть использованы для различных злонамеренных вещей. К счастью, у нас цепочка фишинга не доходила до конца, но были кейсы, когда люди доходили до середины пути. Это обширная область, с которой мы работаем и будем работать. В этом году мы планируем запустить проект обучения против фишинга.
– Интересно, надеюсь, сотрудники возьмут себе на заметку эти случаи. Подскажи, а насколько в твоей работе нужно быть доступным 24/7?
– К сожалению, инциденты не выбирают рабочее время, они случаются, когда случаются. Если что-то происходит, то все подключаются к проблеме, и я в первую очередь. У нас есть процесс управления инцидентами, поэтому все делается по инструкции.
– Поделись планами InfoSec отдела и своими личными?
– Мы продолжим и дальше выстраивать зрелую систему менеджмента информационной безопасности. А также планируем получить сертификат ISO 27001. Многие клиенты спрашивают о нем. Несмотря на то, что у нас все процессы, которые там описаны, уже существуют, но они не заверены внешней стороной. Было бы неплохо получить такое подтверждение (сертификат), чтобы и с клиентами упростить коммуникацию, и внутри компании мобилизировать разные отделы.
Я же планирую и дальше развивать информационную безопасность в большой международной компании. Имею в виду ISsoft, если кто-то не сразу догадался. 🙂
Конкретно личное развитие имело перекос в процессную сторону, мне не хватало технических знаний. Последние пять лет я восстанавливаю пробелы: проходил различные курсы по системному администрированию, по работе с различными системами. У меня есть, к примеру, сертификаты CompTIA Network+, Security+ и др. Я знаю свои слабые и сильны стороны и пытаюсь привести все к гармонии.
– Здорово. Подскажи, как сейчас попасть в сферу информационной безопасности?
– Смотря кто ты, и какие у тебя цели. Если ты студент, то лучше учиться на специализации по ИБ, они уже появились. Там остается лишь выбрать направление и область, и развиваться.
Если же ты состоявшийся специалист, то зависит от твоего бэкграунда. Проще всего входить в область имея бэкграунд системного или сетевого администратора, возможно DevOps. Потому что в информационной безопасности добрая половина задач связана с техническими работами с инфраструктурой (по сути, речь идет о системном администрировании). Кстати, системные администраторы обычно не любят общаться. В ИБ же ты постоянно коммуницируешь с людьми, к этому нужно быть готовым, лучше любить общение. Далее необходимо изучать выбранную доменную область ИБ, связанные стандарты. Как? Есть множество способов, например, сертификация. Она не для того, чтобы просто получить бумажку, а чтобы тебе системно преподали информацию, показали направление, чтобы ты дальше сам продолжал учиться. Про личное развитие в ИБ у меня есть небольшая презентация, если кому-то интересно смотрите по ссылке.
Благодарю за интервью! Уверена, что информационная безопасность ISsoft в руках надежной команды.
