Голубев Александр Владимирович
Полковник запаса.
Работал начальником отдела специальных экспертиз управления ФСТЭК России по Центральному федеральному округу, в Центральном аппарате ФСТЭК России (отдел лицензирования и сертификации).
Награжден медалью Гостехкомиссии России «За укрепление государственной системы защиты информации».
С сентября 2011 года назначен начальником управления по обеспечению информационной безопасности ОАО Банк ВТБ.
В 2016 году был назначен директором по информационной безопасности в ПАО «ВымпелКом».
На конференции ITSF в Казани Илья Шабанов обсудил с директором по информационной безопасности ПАО «ВымпелКом» Александром Голубевым законодательные инициативы государства и их последствия для операторов связи.
Александр Владимирович, что бы вы выделили из тенденций на рынке, и что из них оказывает наибольшее влияние на ваш бизнес как телеком-оператора?
А. Г.: Основная парадигма информационной безопасности состоит из трех частей — целостность, доступность и конфиденциальность. Для телеком-оператора в первую очередь важна доступность. Легитимным абонентам услуга должна быть оказана. Поэтому на сегодняшний момент основная задача — чтобы клиент оператора сотовой связи получил тот доступ, за который платит деньги.
В прошлом году у ряда операторов были проблемы с WannaCry, Petya и другими масштабными атаками. Какие технические и организационные меры были приняты?
А. Г.: Это были эпидемии, с которыми удалось справиться, и это заслуга всей команды, которую я возглавляю. По существу, с подобными эпидемиями все упирается даже не в техническую составляющую, поэтому у каждого уважающего себя оператора все средства защиты есть. Меры больше касались организационного вопроса: то, что должно быть пропатчено, — должно быть пропатчено, система управления бизнеса должна работать, необходимы элементарные вещи вроде цифровой гигиены. Нам повезло — заражение было, но минимальное. Выводы были сделаны, а остальное зависит от руководителей организации и отдела информационной безопасности. Желания одного и возможности другого должны коррелироваться. И если у руководителя отношение к информационной безопасности меняется, когда приходит событие, то это неправильно. Это рутинная, планомерная, но ежедневная работа.
А бизнес-руководство стало после этих случаев уделять больше внимания информационной безопасности?
А. Г.: Да, акценты были расставлены, это вылилось в некоторые преференции в сторону информационной безопасности. В частности, это помогло в решении о выделении новых штатных единиц для компании. Информационная безопасность — это не герой невидимого фронта, это люди, которые работают каждый день. К сожалению, у нас чем дальше от места наступления события, тем больше волна идет на спад. Все забывается.
Одна из главных тем конференции ITSF — 187-ФЗ и связанные с ним методики и требования регуляторов, которые бизнес и инфраструктура должны выполнять. Как принятие этого закона повлияло на вашу компанию?
А. Г.: В соответствии с Федеральным законом №187 от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации» несколько отраслей, и в частности мы как отрасль связи, попали под действие закона как субъект КИИ. При этом надо понимать, что федеральный закон — это верхнеуровневый документ, дальше идут документы в ранге инструмента, в частности Постановление Правительства РФ №127, затем инструкции, приказы игроков рынка и тех, кто регулирует данную отрасль. У нас это относится к деятельности ФСБ России и ФСТЭК России. Закон достаточно жесткий, потому что вводит дополнительные изменения в том числе и уголовный кодекс. Операторы пошли по пути, который ранее был апробирован, когда вводился в действие ФЗ №152 «О защите персональных данных». Операторы большой четверки на нашей профильной площадке для дискуссий пришли к пониманию, что и как должно категорироваться. После согласования с Минкомсвязью список значимых объектов КИИ передается ФСТЭК России, и дальше идет процедура по защите этих объектов. В законе прописано, что руководитель КИИ несет ответственность за исполнение требований закона, и в организации должно быть создано подразделение, которое должно защищать КИИ, и на него запрещается возлагать другие задачи.
Но как в целом эти инициативы государства относятся к реальной защищенности? Вашей компании придется тратиться на людей, железо, софт, хотя основные средства защиты у вас уже есть. Многие считают, что это приведет новому витку «бумажной» безопасности.
А. Г.: Это сложный вопрос, потому что и сейчас «бумажная» безопасность присутствует, но с другой стороны во многих организациях уже есть указанные в законе средства защиты. Нужно просто сделать инвентаризацию ресурсов под объекты КИИ, привязать это к процессам в первую очередь, причем не обязательно стремиться, чтобы это были объекты первой категории. В зависимости от категории будут рассматриваться и средства защиты.
В отрасли связи более серьезная нагрузка ляжет на реализацию «пакета Яровой». На текущий момент ПАО «ВымпелКом», как и другие компании, приступило к реализации установленных Правительством и Минкомсвязи требований. На сегодняшний день предварительные расчеты «ВымпелКома» показывают необходимость затрат на исполнение «Закона Яровой» в объеме 45 млрд рублей в течение ближайших 5 лет, в том числе 6 млрд рублей в 2018 году. Определяется конфигурация системы хранения, ее территориальное распределение, порядок имплементации оборудования в текущую операторскую инфраструктуру, рассчитывается объем и порядок финансирования мероприятий. Перечень производителей оборудования в целом сформирован. Поставщики оборудования будут определяться в рамках конкурсных процедур. Сроки и последовательность ввода оборудования в эксплуатацию уточняются с ответственными органами государственной власти.
Тут возникает кадровый вопрос. Каждой компании нужно будет где-то найти специалистов, которые должны понимать в разборе инцидентов, а дефицит таких людей уже сейчас ощущается. Откуда они возьмутся?
А. Г.: Возьмем для примера наш ПАО «ВымпелКом» — как у нас защищен периметр безопасности? Мы сами знаем свои уязвимые места, у нас есть SOC, есть платформа сбора и корреляции событий информационной безопасности, всевозможные системы обнаружения и предотвращения вторжений, системы, которые защищают данные, антивирусное обеспечение и, наконец, своевременное реагирование на инциденты и в целом система управления непрерывностью бизнеса. Соответственно, у нас просто идут перераспределение акцентов и прописывание должностных инструкций для сотрудников в том виде, в каком указано в законе. Насчет дефицита кадров — вы правы, раньше было наставничество, когда молодой человек приходил в организацию и над ним брал шефство более опытный товарищ и передавал знания. К сожалению, у нас был провал в 1990-е годы в образовании, и людей, которые обладают знанием и сертификатами, на рынке мало. Я знаю команды, которые кочуют из организации в организацию. Моя принципиальная позиция — мы стараемся наращивать свою экспертизу по всем направлениям.
Не могу обойти тему импортозамещения. Многие продукты должны быть заменены на российские. Есть ли все необходимые замены или наблюдаются провалы в определенных сегментах?
А. Г.: У себя всё, что можно сделать без нарушения функциональности и качественных показателей, мы постарались привести в соответствие с законом. В частности, если раньше компания использовала иностранное антивирусное обеспечение, то сейчас мы полностью перешли на Kaspersky Endpoint Security. Есть отечественные решения по защите сигнальной сети, системы, которые позволяют развернуть IPS/IDS. Но аналогов операционных систем пока нет, нет и многих других технологий.
Популярная и очень дискуссионная тема — контроль сотрудников. Вы подобные продукты у себя используете?
А. Г.: У нас в компании мы это успешно апробировали: опыт удаленной работы в отношении более 4,5 тысяч сотрудников, проект BeeFree. Что касается жесткого контроля времени, то помимо технической составляющей, надо учитывать юридическую плоскость и чисто человеческую плоскость. Контроль существуют в виде отчета сотрудника о проделанной работе по реперным точкам, причем, как показала практика, в «свободном режиме» работа эффективнее по ряду показателей. Для остального существует DLP-система.
Недавние действия государства по блокировке популярных веб-сервисов привели к тому, что пользователи обзавелись VPN-сервисами и увеличился процент шифрованного трафика, который никак не проконтролировать. Какие-то последствия от этого будут?
А. Г.: Безусловно, зашифрованный трафик создает дополнительную нагрузку и потребует дополнительных мощностей. Но, тем не менее, мы действуем в рамках предписания регулирующих органов.
IPv6 доступен как протокол в сети Билайн?
А. Г.: В основном мы используем IPv4, но на тестовых зонах мы внутри себя пробуем и IPv6. Недавно прошло знаковое мероприятие с участием премьер-министра Татарстана и представителей большой четверки, где обсуждалось внедрение 5G. Но Государственная комиссия по радиочастотам — а именно она дает разрешение — пока, насколько я знаю, не выдала разрешение на использование сетей 5G ни одному оператору, за исключением тестовой зоны в преддверии ЧМ-2018 по футболу. Посмотрим, как это будет развиваться. К каменному веку никто не хочет возвращаться — хочется, чтобы сервисы были всегда рядом, под рукой и были удобны пользователю с точки зрения эргономики.
Спасибо. Успехов!