До списку

Відділ Information Security в ISsoft: історія розвитку, плани та типові інциденти

15 Липня, 2021

Відділ інформаційної безпеки — один із найважливіших департаментів будь-якої IT компанії. Дані клієнтів і співробітників, процеси, обладнання — усе це й багато іншого потрібно захищати від атак і зазіхань ззовні. В ISsoft безпеку даних захищали різні фахівці, однак Information Security Department з’явився у 2016 році разом із приходом у компанію Олексія Євменкова, який став директором з інформаційної безпеки. Олексій розповів, як опинився у сфері ІБ, поділився устроєм відділу і його планами, а також відхилив завісу інцидентів, які трапляються.

Олексію, розкажи, будь ласка, як ти опинився у сфері інформаційної безпеки?

— Під час мого навчання профілю «Інформаційна безпека» не було. У кінці 1990-х я закінчив БДПА (тепер БНТУ) за фахом «Роботи й робототехнічні системи». На жаль, роботи за моєю кваліфікацією не було, але мені завжди подобалися різні комп’ютерні речі, наприклад, в університеті я програмував базу даних для деканату. Тоді в Мінську, наскільки я пам’ятаю, було буквально дві IT компанії, і я влаштувався в одну з них на посаду спеціаліста з тестування. Починав із ручного тестування, потім перейшов в автоматизоване. Мені завжди подобалися процеси: порядок, системність, послідовність. Тому так вийшло, що я перекваліфікувався в процесну людину — директора з якості.

Я з CISO компанії Tieto у 2008–2009 році

У Tieto я займався сертифікацією, у тому числі провів першу офіційну сертифікацію ISO 27001 в Білорусі.

В інформаційну безпеку потрапив досить несподівано для самого себе, адже спочатку я сертифікував компанію, де працював за стандартом ISO 9001 (це про систему управління якістю), а потім керівник попросив зайнятися сертифікацією ISO 27001, а це вже стандарт з інформаційної безпеки. Я переключився, занурився в доменну галузь інформаційної безпеки, і мені сподобалося. Так я перекваліфікувався в спеціаліста з Information Security. З 2008 року я займався сертифікацією ISO 27001 в міжнародній компанії Tieto, у якій були офіси у 27 країнах і штат в 15 тисяч осіб. Я їздив офісами і налаштовував процеси відповідно до вимог ІБ. А у 2016 році я прийшов в ISsoft, де став 600-им працівником.

Чим тобі подобається сфера інформаційної безпеки?

— В інформаційній безпеці неможливо досягти нормального рівня без структурованих і чітких процесів. Це сфера, де є вимоги і їх потрібно впровадити. Робити це нелегко, оскільки більшість вимог і процесів будується на людях, які щось забувають, чогось не хочуть і так далі. З одного боку — чітка структурованість ІБ, з іншого боку — постійний людський чинник, що мене і приваблює. Ще класно, що information security непідйомна, у чомусь навіть нескінченна. Класично ІБ поділяють на 12 доменних зон, для заглиблення в кожну з яких не вистачить і життя. Ну і звичайно, моя робота буде актуальна завжди. Світ без privacy та ІБ не зможе існувати безпечно. Іноді мені навіть стає страшно, наскільки зростають ризики й моя відповідальність.

Так, складно уявити відповідальність твоєї роботи. Твої завдання більше про взаємодію з людьми чи з документами?

— Через специфіку впровадження проєктів ІБ найбільше я працюю з людьми. Процеси насамперед виконують співробітники. Тому, наприклад, політику інформаційної безпеки, яку ми створювали передусім, ми опрацьовували в постійній комунікації з ключовою групою співробітників. Робота зі співробітниками починається з їхніх перших днів у компанії: вони приходять в ISsoft і потрапляють на мій тренінг з ІБ. Ще постійна взаємодія відбувається щодня, оскільки в мене є оперативні завдання: потік проблем, питань, які потрібно вирішити. Наприклад, хтось створює тікет в HelpDesk із запитом на доступ або запитує: «Чи можна використовувати певний софт?» і так далі.

Ось приклад типового проєкту ІБ. Зараз WFH, і для додаткового захисту ми включали фаєрвол на корпоративних пристроях, розташованих вдома (для ОС Windows). Потрібно було спочатку розробити прототип: підібрати настройки, продумати процес впровадження. Потім створити пілотну групу для розробленого рішення (а щоби запустити її, потрібно було домовитися так, щоби це не заважало бізнесу). Після перевірити чи все окей, і тільки в кінці запускати на всю компанію.

Чи доводиться взаємодіяти з замовниками?

—Порівняно рідко, тільки коли їм потрібна наша допомога. Наприклад, клієнти іноді надсилають чек-листи, за допомогою яких хочуть переконатися, що у нас усе гаразд з ІБ. Тоді я їх заповнюю. Також іноді проводяться зустрічі з замовниками, коли вони хочуть особисто поговорити і з’ясувати якісь деталі. На проєкті іноді постає необхідність впровадження специфічної вимоги від замовника, і тоді теж зустрічаємося з ними і знаходимо рішення. Це трапляється нечасто, але я усвідомлюю важливість таких завдань для бізнесу, і вони завжди є пріоритетними.

Розкажи, як зазвичай проходить твій робочий день?

— Мої завдання залежать від дня тижня, плюс у деяких обов’язків є цикл. Понеділок, наприклад, завжди завантажений: багато мітингів, на яких ми плануємо завдання на тиждень.

Крім оперативки, про яку я вже згадував, ми займаємося роботою над своїми проєктами. У нас є річний план робіт, у якому в загальних рисах описані всі заплановані проєкти.

Проєкти — це щось нове, що ми вирішили зробити й робимо. Наприклад, недавно впровадили процес Vulnerability scanning — це сканування наших активів (комп’ютери, обладнання) на вразливості. Для цього в нас є інструмент, який ми запускаємо на певних частинах і в певному порядку. Це великі зусилля, у нас збудований цілий процес у цій сфері.

Додам ще кілька слів про так звану «оперативку». До неї, крім оброблення запитів співробітників, входить, наприклад, регулярний аналіз паролів, двофакторної аутентифікації, небажаного софту, мережевої активності й багатьох інших речей. У нас є кілька десятків зрізів, за якими ми робимо моніторинг. Усе це повторюється.

Ліворуч — Микита. Праворуч — Олексій. Фото з корпоративу ISsoft 2020

Хто працює з тобою в команді?

— Щойно відділ офіційно з’явився, я працював один. Через кілька років до мене приєдналися інженери з безпеки Микита й Андрій. Цього року наша команда виросте ще на одного співробітника. Це моя core team.

Є ще й розширена команда InfoSec: туди входять ключові люди компанії: CTO компанії, IT директор, Helpdesk директор, представник executive team Minsk. З ними ми теж постійно взаємодіємо: плануємо й реалізуємо завдання.

До речі, на своїх тренінгах з ІБ для новачків я обов’язково розповідаю про склад нашої InfoSec team. Адже той факт, що в InfoSec, можна сказати, на постійній основі працюють топ-менеджери компанії, свідчить про серйозне ставлення нашої компанії до теми ІБ.

Як трансформувався відділ за 5 років?

— Прийшовши в компанію, я насамперед провів аудит, вибудував базовий план і почав його втілювати. Із самого початку я вибудовував систему менеджменту інформаційної безпеки, де ми не просто «гасимо пожежі», а процесно й системно вибудовуємо захист. У нас є ключова модель, яка побудована на ISO 27001, у ній є всі доменні зони, всередині кожної є свої технічні та організаційні захисні заходи.

Чи позначилася пандемія на твоїй роботі?

— Звісно. Це пов’язано з тим, що люди почали працювати з дому. Коли ми будували систему InfoSec спочатку, то WFH була в ній винятком, одним із блоків remote work. Зараз же віддалена робота стала правилом, виникли нові ризики. Ось сидить співробітник, працює, а на якому обладнанні: на особистому або на робочому? Якщо на робочому, то він підключається до нього з дому з домашнього комп’ютера, або приніс робоче обладнання додому? Якщо приніс, то де робоче обладнання розташоване, хто має доступ до нього? Нюансів багато, і через те, що інфраструктура розповзлася, нам складніше її контролювати. Звичайно, ми намагаємося все це зібрати воєдино.

Виходить, роботи стало більше?

— Роботи однозначно стало більше 🙂 По-перше, завдань стає більше завдяки зростанню компанії, адже на більший обсяг процесів потрібно більше зусиль. По-друге, ми постійно впроваджуємо нові процеси, що вимагає часу. І знову ж, ці нові процеси потрібно підтримувати. Наприклад, у 2020 році ми впровадили систему SIEM, яка збирає інформацію з безлічі систем компанії, корелює і видає події і сповіщення за певними критеріями. Це крута система, яка є далеко не у всіх компаніях. Турбот додалося. Ми стаємо більш зрілими в галузі ІБ, але й зусиль на те, щоби це підтримувати, потрібно більше.

Якщо можна, поділися інцидентами, які найчастіше стаються з працівниками.

— Розповідати про це навіть потрібно. Один із повторюваних серйозних інцидентів — робота на особистому обладнанні. Код, створені документи та інші робочі дані — це конфіденційна інформація, яка не має зберігатися на особистому обладнанні, що перебуває поза інфраструктурою компанії, яке ми не моніторимо й не контролюємо. Цей інцидент складно відстежувати: співробітники не в офісі, і кожен вирішує свої проблеми, як йому видається правильним. Нагадаю про рішення щодо особистого обладнання: ви можете подати його на так званий «IT check», і після цієї процедури на ньому можна буде повноцінно працювати.

Друге порушення — використання недозволених cloud рішень на проєкті. Наприклад, недавно співробітник відправив посилання на недозволений опитувальник із незрозумілого сайту, на якому не ясно, як і ким контролюються дані. Також буває, що люди пересилають продакшн дані через листи або скайп, що заборонено нашою Політикою ІБ. Для моніторингу подібних інцидентів у нас є певна система й підходи.

Ще не розповсюджений, але «прикольний» інцидент — спрацював фішинг. Це коли тобі прийшов лист, і мало того, що ти його відкрив, так ще й у відкритому віконці ввів свої креди. Твоя пошта — це cloud, люди, які отримали твої дані, можуть увійти у твою пошту. Там вони створюють forwarding rule за певними критеріями, наприклад, листи, які містять ключові слова на кшталт «credentials» або «password», пересилаються на «лівий» ящик. Дані з них можуть бути використані для різних зловмисних речей. На щастя, у нас ланцюжок фішингу не доходив до кінця, але були кейси, коли люди доходили до середини шляху. Це велика сфера, з якою ми працюємо й будемо працювати. У цьому році ми плануємо запустити проєкт навчання проти фішингу.

Робота роботою, а сім’ю й дітей ніхто не скасовував!

Цікаво, сподіваюся, співробітники візьмуть собі на замітку ці випадки. Підкажи, а наскільки у твоїй роботі потрібно бути доступним 24/7?

— На жаль, інциденти не вибирають робочий час, вони трапляються тоді, коли трапляються. Якщо щось відбувається, то всі долучаються до розв’язання проблеми, і передусім я. У нас є процес управління інцидентами, тому все робиться за інструкцією.

Поділися планами відділу InfoSec і своїми особистими.

— Ми і далі будемо вибудовувати зрілу систему менеджменту інформаційної безпеки. А також плануємо отримати сертифікат ISO 27001. Багато клієнтів запитують про нього. Незважаючи на те, що в нас усі процеси, які там описані, уже існують, але вони не завірені зовнішньою стороною. Було б непогано отримати таке підтвердження (сертифікат), щоб і спростити комунікацію з клієнтами, і мобілізувати різні відділи всередині компанії.

Я ж планую й далі розвивати інформаційну безпеку у великій міжнародній компанії. Маю на увазі ISsoft, якщо хтось не відразу здогадався. 🙂

Особистий розвиток мав перекіс на процесний бік, мені не вистачало технічних знань. Упродовж останніх п’яти років я заповнюю прогалини: проходив різні курси із системного адміністрування, з роботи з різними системами. У мене є, наприклад, сертифікати CompTIA Network +, Security + і ін. Я знаю свої слабкі й сильні сторони й намагаюся їх збалансувати.

Круто. Підкажи, як зараз потрапити у сферу інформаційної безпеки?

— Дивлячись на те, хто ти, і які в тебе цілі. Якщо ти студент, то краще вчитися на спеціальності з ІБ, вони вже з’явилися. Там залишається лише вибрати напрям і сферу, і розвиватися.

Якщо ж ти достатньо кваліфікований, то все залежить від твого бекграунду. Найпростіше входити у сферу ІБ маючи бекграунд системного або мережевого адміністратора, можливо, DevOps. Тому що в ІБ добра половина завдань пов’язана з технічними роботами з інфраструктурою (по суті, йдеться про системне адміністрування). До речі, системні адміністратори зазвичай не люблять спілкуватися. В ІБ ти постійно комунікуєш із людьми, до цього потрібно бути готовим, краще любити спілкування. Далі необхідно вивчати обрану доменну галузь ІБ, пов’язані стандарти. Як? Є безліч способів, наприклад, сертифікація. Вона не для того, щоби просто отримати папірець, а щоби тобі системно дали інформацію, показали напрям, щоби ти далі сам вчився. Про особистий розвиток в ІБ у мене є невелика презентація, якщо комусь цікаво, дивіться за посиланням.

Дякую за інтерв’ю! Впевнена, що інформаційна безпека ISsoft в руках надійної команди.