Григорий Ушаков
Директор департамента безопасности, «СберРешения»
В компании занимает должность директора департамента безопасности и отвечает за информационную, физическую и экономическую безопасность. Кроме того, отвечает и за соответствие продуктов и услуг компании требованиям законов и стандартов в области защиты информации: федеральному закону № 152-ФЗ «О персональных данных», приказу ФСТЭК России № 17, международному стандарту ISO 27000 и другим.
В 2009 году окончил Дальневосточный государственный университет (ДВГУ) по специальности «Компьютерная безопасность».
Отечественный рынок ИБ за минувшие два года претерпел заметные изменения, которые коснулись широкого спектра компаний. Продукты, потребности и тенденции рынка мы обсудили с экспертами компании «СберРешения» — Григорием Ушаковым, директором департамента безопасности, и Андреем Митяшиным, руководителем направления в управлении централизованной инфраструктуры и технической поддержки.
Работая со внешними клиентами, вы видите потребности разных организаций, особенно малого и среднего бизнеса. Насколько важной является сейчас тема информационной безопасности для компаний, с которыми вы работаете, и как изменилась потребность в ИБ за минувшие полтора года?
Григорий Ушаков: Российский рынок ИБ значительно перестроился за последнее время, появилось множество решений со стороны отечественных производителей средств ИБ. Но восприятие потребностей в ИБ для широкого рынка практически не изменилось.
Григорий, на ваш взгляд, были ли какие-то кардинальные пересмотры стратегий инвестирования, затрат на ИБ?
Г. У.: Если говорить о нашей компании, то явных изменений стратегии не было.
Мы максимально критичны в вопросах кибербезопасности, так как у нас в роли регулятора выступает не только российское государство, но и вышестоящая организация. Требования с её стороны бывают намного жёстче, чем со стороны российских регуляторов. Также мы сертифицированы по международному стандарту ISO/IEC 27000, что подтверждаем каждый год.
Андрей Митяшин: Добавлю, что во время первых DDoS-атак на ИТ-инфраструктуру в феврале прошлого года мы реализовали резервирование по хостинг-провайдерам.
В классическом представлении ИБ — это люди, процессы и технологии. Какой компонент этой триады сейчас наиболее важен?
Г. У.: Явно вывести что-то на первый план трудно, всё взаимосвязано.
Рынок ИБ кардинально поменялся, но люди на рынке есть, просто надо их хорошо поискать и привлечь. Если есть люди и технологии, то полноценно выстраивается внутренний процесс.
Главное — заполнить верхнюю и нижнюю ниши по людям и технологиям, а далее планомерно надстраивать все внутренние процессы компании.
На рынке ощущается фундаментальный недостаток кадров. Это ведёт к тому, что мы стараемся действовать интенсивнее и увеличивать производительность за счёт автоматики. Ощутили ли вы какую-то потребность в дополнительной автоматизации процессов ИБ?
Г. У.: Да, мы стараемся все процессы автоматизировать по максимуму. На поиск кадров у нас иногда уходит до полугода, поэтому автоматизация сильно помогает закрывать некоторые внутренние пробелы.
Несмотря на то что крупные российские организации имеют необходимые средства защиты и обученных сотрудников, утечки всё равно происходят, причём по примерно одинаковым сценариям. В чём кроется причина этой тенденции?
Г. У.: В большинстве случаев объяснение утечек банально —это человеческий фактор. Всё предусмотреть невозможно.
Чем больше в компании инструментов и систем, тем сложнее управлять, отслеживать и настраивать, необходимо больше контроля.
Что можно сделать, чтобы попытаться снизить риски утечек конфиденциальных данных?
Г. У.: В нашей компании человеческий фактор сведён к минимуму. Уже много лет мы используем решение для усиленной аутентификации пользователей — Indeed Access Manager. Эта платформа обеспечивает многофакторную аутентификацию пользователей, усиливает защиту подключений к определённым ИТ-системам и безопасность доступа в целом. Вместо привычных паролей, которые не всегда соответствовали требованиям безопасности и были трудны для запоминания, используется двухфакторная система аутентификации.
Как должен выстраиваться процесс управления правами доступа к конфиденциальным данным и ИТ-ресурсам в целом?
Г. У.: Здесь можно ответить одной фразой: принцип минимальных привилегий.
Согласно концепции «нулевого доверия» (Zero Trust), каждый пользователь должен иметь минимальный необходимый набор прав и проходить безопасную аутентификацию, что подразумевает в том числе отказ от использования паролей в пользу иных способов усиленной аутентификации (биометрия, смарт-карты, одноразовые пароли).
Какую внутреннюю систему управления доступом вы используете?
Г. У.: Мы используем IdM. Все доступы у нас централизованно выдаются через неё. Новый сотрудник автоматически получает доступ в минимальный набор систем, остальное согласовывается по заявкам. Доступ предоставляется по согласованию руководителя, владельца системы и департамента безопасности.
Ещё одна важная тема — идентификация и аутентификация пользователей, в том числе удалённых. Как у вас устроена эта система?
Г. У.: «Удалёнщики» у нас работают по VPN, второй фактор, сертификат. Плюс у нас используется только корпоративная техника, с личной техники подключиться невозможно.
В сторону внедрения биометрии вы сейчас не двигаетесь?
Г. У.: Нет, не двигаемся.
А. М.: Здесь возникает вопрос к системе авторизации: насколько она готова поддерживать биометрические данные. На глобальном уровне — допустим, Active Directory от Microsoft — полноценной поддержки биометрии, насколько я знаю, нет.
Также возникает вопрос, где держать эту базу биометрических параметров и как её соотносить с пользователями. Если это будет полностью проработано на уровне больших систем, то мы только «за».
Ранее вы упоминали, что пользуетесь системой Indeed Access Manager (Indeed AM). Для каких целей применяется это решение?
А. М.: Мы используем Indeed AM для доступа внешних клиентов в изолированном сценарии по сервисам SaaS. Доступ внутренних клиентов в настоящий момент мы защищаем с помощью других инструментов.
Давайте поговорим о внешних пользователях. Речь идёт о ваших клиентах, верно?
А. М.: Да, мы предоставляем сервис работы на нашей инфраструктуре SaaS. Клиентам, которые эту услугу запросили, оплатили и готовы ею пользоваться, мы предоставляем доступ к некоторой изолированной инфраструктуре. Понятно, что таких клиентов никто не пустит во внутреннюю сеть с неограниченным набором прав доступа.
Почему вы выбрали именно эту систему для внешних пользователей? Сегодня на рынке есть конкурирующие продукты, в том числе российские.
А. М.: Мы сотрудничаем с «Компанией Индид» по вопросам доступа внешних клиентов более десяти лет. Нас полностью удовлетворяют в том числе возможность использования аппаратных OTP-токенов и механизм интеграции с Active Directory. Мы рассматривали альтернативные решения, но по соотношению цены и качества победила «Компания Индид».
Когда вы говорите об OTP, речь идёт о мобильном приложении?
А. М.: Нет, для внешних клиентов используются аппаратные токены. Мы отправляем клиенту физический токен с генератором паролей.
Какие рекомендации можете дать компаниям, которые находятся в процессе выбора аналогичной системы защиты доступа или только планируют её внедрять?
Г. У.: Проводить «пилотирование», выбирать решение, которое вам больше подходит с точки зрения ваших требований.
А. М.: Да, надо опираться на то, к чему вы хотите предоставить доступ, и выбирать решение, которое гарантированно охватывает ваши потребности по предоставлению доступа. Здесь надо отталкиваться от той системы, которую вы хотите защищать, и уже под неё искать решение на рынке.
Можете ли вы рассказать о выгодах и улучшениях, связанных с Indeed Access Manager, для клиентов, себя и ИБ в целом?
А. М.: Начать нужно с нашей реализации, что используется для доступа внешних клиентов. Григорий подтвердит, что у нас практически от всех внешних клиентов, как минимум — от крупных, идут свои требования по обеспечению безопасности. Проходят постоянные аудиты, причём довольно жёсткие. Одно из обязательных требований — многофакторная аутентификация с точки зрения контроля доступа. И даже если бы мы хотели что-то упростить со своей стороны, мы не можем отказаться от определённых процедур, потому что это требование клиента.
Indeed Access Manager побеждает, потому что это российское производство. Требования к системам аутентификации и доступа он полностью удовлетворяет. И ещё важный фактор — цена. С точки зрения наших масштабов Indeed AM выигрывает у большого количества продуктов. Насколько я знаю, в российском сегменте у него не так много конкурентов.
Андрей Митяшин
Руководитель направления в управлении централизованной инфраструктуры и технической поддержки, «СберРешения»
В компании с 2014 года, основная зона ответственности направления — управление ключевыми сервисами, такими как служба каталогов, системы электронной почты, клиентские сервисы доступа, клиентские программные продукты.
В течение восьми лет был сертифицированным тренером Microsoft, вёл авторизованные курсы по администрированию и информационной безопасности.
Образование высшее, в 1998 году окончил радиофизический факультет Нижегородского государственного университета по специальности «Информационные системы».
И, наверное, играет свою роль выбор в пользу облачного или локального решения?
А. М.: Да, был и такой фактор. Часть клиентов требовала именно локального (in-house) решения. Indeed Access Manager в этом плане выгоден и надёжен.
Пришлось ли вам каким-то образом индивидуализировать саму систему? Дорабатывалось что-то под конкретные задачи?
А. М.: Практически нет. Indeed AM в сценарии удалённого терминального доступа нас полностью устроил. В процессе внедрения некоторые подводные камни были, но техподдержка «Компании Индид» оперативно помогла нам решить все вопросы.
Много ли времени заняло у вас внедрение системы?
А. М.: Если считать пилотный проект, который проверялся на департаменте ИТ, то около трёх месяцев. В большей степени это были вопросы внутреннего согласования. Развернуть, поднять систему — не очень долгий процесс: порядка двух недель со всей перепиской с поддержкой, получением соответствующего софта, лицензии и так далее. Плюс около двух месяцев внутреннего тестирования и согласования для вывода в промышленную эксплуатацию.
Как для самих себя и для руководства аргументировать необходимость внедрения подобных систем?
Г. У.: Руководству необходимо транслировать возможные риски и потери, которые мы можем понести, если это не будет внедрено.
А. М.: Добавлю аргумент: все современные сервисы с доступом либо уже используют многофакторную аутентификацию, либо стремительно к ней переходят.
Чтобы идти в ногу со стандартами безопасности, крайне необходимо использовать многофакторную аутентификацию для контроля доступа ко критически важным системам.
И тут уже возникает вопрос, что вы выберете в качестве второго фактора и какая система будет его обрабатывать. Дальше будут учитываться простота внедрения, стоимость и так далее. В нашем случае для аутентификации внешних пользователей, как уже упоминалось ранее, полностью подошла система многофакторной аутентификации Indeed Access Manager.
Не планируете ли вы использовать эту систему в будущем для собственных нужд? Например, в связке с IdM?
Г. У.: Нет, это избыточно.
Используете ли вы у себя систему для управления привилегированными пользователями?
Г. У.: Да, у нас полноценно внедрён PAM для всех администраторов. Подрядчики тоже подключаются через PAM.
Есть ли, на ваш взгляд, какая-то перспектива в интеграции этих двух систем?
Г. У.: Их задачи разнятся, зачем их интегрировать? IdM — для управления пользовательскими доступами. PAM — система для управления привилегированным доступом.
А. М.: В PAM уже есть и второй фактор, и распределение доступа между группами администраторов. «Прикручивать» что-то к нему дополнительно нет смысла.
Хотелось бы вернуться к системе управления доступом, к системам многофакторной аутентификации сотрудников. Что бы вам в будущем хотелось получить от таких систем? Чего там не хватает?
Г. У.: Поменьше доработки. В большинстве случаев такие большие системы, как PAM или IdM, нужно много дорабатывать и долго внедрять. Хотелось бы, чтобы вендоры изначально со своей стороны предусмотрели больше возможностей интеграции, больше гибкости.
Сейчас много говорят о переходе на российский стек информационных технологий. Есть и прикладное ПО, которое активно развивается. Смотрите ли вы в эту сторону? Если да, как оцениваете уровень готовности средств защиты, существующих на рынке, к миграции на отечественные технологии?
Г. У.: Это всё в планах. Также российские вендоры в большинстве случаев уже стараются переходить на Linux, но часть ещё осталась на Windows.
А. М.: Как минимум это стоит у нас в планах на следующий год. Большие планы исходят не только от внутреннего департамента безопасности, но и со стороны самого «Сбера».
Постепенно двигаемся, доля соответствующих систем постепенно растёт. Но глобально взять и полностью отказаться от Active Directory в пользу российского аналога — это небыстрый процесс.
Сколько потребуется времени, чтобы постепенно мигрировать на отечественный стек технологий, если всё будет идти так, как идёт сейчас?
А. М.: Зависит от сложности инфраструктуры. Для небольших компаний это может произойти в течение месяца. Для крупных компаний, где много связанных систем, скорее всего, понадобится даже не один год, так как надо протестировать не только отдельно взятый продукт, а всю связку.
Коллеги, большое спасибо за содержательное и информативное интервью! Уверен, многим участникам рынка будут полезны ваши опыт и мнение. Всего вам самого безопасного!