Как обычно, я подготовил вопросы, и, как обычно беседа потекла сама по себе. Главное, что меня интересовало после предварительного осмысливания докладов, сделанных Михаилом на семинаре Cisco в Самаре 15 октября 2014 года: как коррелируют между собой реальные потребности владельцев в защите информации и требования регуляторов. На этот вопрос навело принципиально разное отношение к моим персональным данным меня самого и законодателя. Я даже не могу представить, что я хотел бы о себе скрыть. Дату рождения? Диоптрии в моих очках? Имена жены и детей? Да ради бога! Однако в последнее время наблюдается какое-то патологическое стремление со стороны государства сделать так, чтобы про меня никто ничего не узнал. Как будто я его об этом просил… И я начал немного издалека, объясняя свои впечатления.
Михаил Кадер: Вскоре после того, как был принят закон о персональных данных, дали нам в школе подписать согласие на обработку персональных данных. Смотрю я на этот документ, а там, в переводе на человеческий язык, написано следующее: я разрешаю передавать персональные данные моего ребёнка любому человеку в любое время любым способом. Это прямое противоречие букве закона, который говорит, что должно быть указано кто, как и в течение какого срока может обрабатывать персональные данные.
Владислав Бояров: Но это же не на уровне школы сочинили?
М.К.: Да, видимо, это министерство образования Москвы так решило снять с себя всякую ответственность. Так вот, я взял этот бланк и вместе с Алексеем Лукацким привёл его в адекватный вид. Прихожу к директору, объясняю, что привёл заявление в соответствии с законом. И тут директор неожиданно говорит: так вот почему нас заставляют эти документы у родителей подписывать – закон вышел! Понятно, что у директора множество других задач, однако этот факт говорит об уровне знаний законов и отношении к безопасности данных.
В.Б.: То есть получается, что есть осознаваемые человеком опасности (причём, человеком грамотным – директором школы) и то, что считает опасным государство. Эти представления сильно расходятся, поэтому требования закона считаются необоснованными, навязанными непонятно зачем. И как, по Вашему мнению, человек должен относиться к одной и другой безопасности?
М.К. Я бы сказал, что безопасность бизнес не волнует. Бизнес волнует функционирование бизнеса, а дальше они оценивают риски. Больше всего в безопасность вкладывают те компании, для которых киберугрозы могут нанести прямой ущерб бизнесу. Это в первую очередь игровые сайты, казино, банки. То есть, это те, у кого минута простоя, недоступность сервисов для клиентов стоит больших денег. Это те, у кого хищение данных несёт такие репутационные риски, которые могут привести к потере всех клиентов и прекращению деятельности. Если же посмотреть на муниципальное учреждение, его деятельность и зарплата сотрудников не зависят от того, живой у них сайт, или упал. Отсюда и отношение к кибербезопасности.
В.Б. А как же начальство? Как наверху на них посмотрят, разве это не важно?
М.К. Да, это риски, но совсем другие, не бизнес-риски и даже не репутационные, потому что начальство – это не клиенты, которые могут разувериться и уйти.
В.Б. Я вообще бы не хотел конкретизировать риски: нагорит ли от начальства или уйдут клиенты. Во всех этих случаях это реальный ущерб.
М.К. Я понимаю. В одном случае это компании, у которых может пострадать бизнес, завязанный на интернет, в другом – главным стимулом являются требования государства к обеспечению безопасности.
В.Б. И мой вопрос в соответствии этих вещей. Насколько выполнение нормативных требований обеспечивает реальную безопасность? Случается ли, что нормативные требования по безопасности и реальное обеспечение безопасности вообще не связаны? К примеру, что страшного может произойти в том случае, если злоумышленник получит доступ на чтение к школьному журналу с оценками (это о персональных данных)?
М.К. Таких нормативных требований сейчас мало. Я бы сказал, что они отмирают. А все те, что разрабатываются сейчас, имеют непосредственное отношение к реальной действительности. Иногда мы наблюдаем завышение нормативных требований, и тогда бизнес тем или иным способом их обходит.
В.Б. А как бизнес определяет, завышены требования, или нет.
М.К. Есть несколько подходов:
1. Если нормативные требования не дают возможности вести бизнес, то надо или закрывать бизнес, или находить пути обхода этих требований.
2. Прорабатывается возможность снижения влияния требований безопасности на бизнес, в том числе изменение самого бизнеса.
В.Б. А какую помощь может оказать здесь Cisco?
М.К. Наша компания не является юридическим консультантом. Как мы знаем на примере некоторых нефтяных компаний, можно работать по схемам, утверждённым юристами, и всё равно потерять бизнес. Поэтому брать на себя полную ответственность за последствия решений Cisco не может. Мы можем только высказать свою точку зрения на то, как можно выполнить нормативные требования, чем я и был занят весь сегодняшний день.
В.Б. Попробую переформулировать вопрос: как бизнесу понять, где его собственная потребность в безопасности (и тут он должен землю рыть, ибо не дай бог), и где требования регулятора, перед которым ему просто нужно отчитаться о выполнении, даже не пытаясь понять, зачем всё это регулятору нужно. Ведь на предприятии всегда есть кто-то, кто отвечает за информационную безопасность.
М.К. Или нет.
В.Б. Чтобы совсем не было, так не бывает. Хотя бы приходит мальчик и ставит антивирус.
М.К. Давайте порассуждаем. Часто за информационную безопасность отвечает ИТ-служба, с которой спрашивают за функционирование софта. Что-то не работает? Попробуем отключить антивирус. Не помогло? Выключим правила на межсетевом экране.
То есть: если на предприятии люди занимаются информационной безопасностью по совместительству, то приоритетной для них будет не безопасность, они будут добиваться функционирования системы любыми способами, в том числе и с помощью отключения всех средств информационной безопасности. А потом ещё забудут включить. Классический конфликт интересов.
В.Б. Вы нарисовали каких-то самоубийц. Ведь если по причине нарушение безопасности система прекратит функционирование или данные окажутся на «свободном рынке» - с ИТ-службы голову и снимут. Часто руководитель даже их ИТ-службой не называет и слово сисадмин ему неведомо – все они программисты и за всё отвечают.
М.К. Начну немного издалека. Недавно я выступал на саммите IDC в Казахстане, а передо мной выступал представитель компании Check Point и рассказывал, что все, всюду и всегда заражены. И я задал вопрос: сейчас вы услышали ужасную историю, и кто из вас после этого пойдёт разбираться со своими политиками безопасности? Ни один человек руку не поднял.
В.Б. Мало напугал?
М.К. Бояться перестали. У одного нашего крупного заказчика из-за эпидемии червя в третий раз за год рушится вся информационная система. Я было посочувствовал ИТ-службе, мол, вас сейчас всех поувольняют, а они мне: ты ничего не понимаешь, нам бюджет наконец-то дадут.
В.Б. Ну, это уже внутренняя политика подразделения, и, похоже, не очень честная.
М.К. Тем не менее, исполнение требований регулятора, если вернуться к рассмотренной в докладах модели, это защита «до». У нас только крупные компании адекватно относятся к защите, остальные, как правило, думают о защите, когда нападение уже случилось.
В.Б. «Гром не грянет…»
М.К. Совершенно верно. Поэтому, если мы посмотрим на динамику продаж средств информационной безопасности, как только выходят новые нормативы регуляторов, имеет место всплеск активности.
В.Б. Хорошо: их обязали, и они обеспечили защиту персональных данных. А остальные данные, которых не коснулся норматив, но которые важны для их бизнеса…
М.К. Если они действительно важны для их бизнеса, то, либо у них есть правильный подход… давайте ещё случай из жизни.
Очень крупное, даже регионообразующее предприятие. Приезжаем обсуждать с ними вопрос ИБ. И их специалист говорит: вот на полке стоят 7 заказанных и оплаченных концепций ИБ, только мы ещё не решили, начальник какого подразделения будет за это отвечать. Я очень скептичен и даже циничен в этом плане. Если на предприятии есть сильный идеолог в ИБ, тогда предприятие обеспечит себе адекватный уровень защиты. Такой человек может возникнуть сам по себе, а может и нужда заставить, если от сетевых сервисов слишком многое зависит. Если же такого человека нет, то единственное, что может заставить предприятие внедрять решения по ИБ – это нормативные требования.
В.Б. Вы знаете, я только сейчас понял: это как с пожарной безопасностью. Совсем не обязательно, чтобы все учились на своих ошибках, пожарный инспектор должен заставить всех соблюдать. Полная аналогия с пожарной безопасностью!
М.К. С любой безопасностью.
В.Б. Да, с любой. Казалось бы, о своей безопасности каждый должен думать сам, но в традиционных областях выработаны требования, которые все просто обязаны соблюдать. Информационная безопасность просто ещё очень молода, но приходит ровно к тому же. Кстати, у «загнивающих» тоже государство зверствует в этой области?
М.К. Да, строгие нормативные требования, контроль их выполнения. Люди-то везде одинаковые! Крупные компании непрерывно занимаются совершенствованием собственной безопасности и идут впереди регуляторов. Они понимают опасность, а обычная школа не понимает, но вынуждена выполнять требования регулятора.
В.Б. То есть осознанная защита и нормативные требования друг другу не противоречат, а взаимно дополняют друг друга. Считаю тему исчерпанной, спасибо.