В пятницу прошел CISO Forum 2023, на котором мне довелось модерировать пленарную секцию с восемью достойными CISO, представляющими различные компании и сектора российской экономики. У нас был всего 1 час на дискуссию и мне, как это часто бывает, не удалось расспросить коллег обо всем, о чем я хотел. Но на многие вопросы коллеги все-таки ответили и я бы хотел, по традиции модерируемых мной мероприятий, тезисно осветить наиболее интересные мысли:
Организаторы обещали вскоре выложить видео с конференции и тогда можно будет насладиться нашим искрометным юмором, с которого начался форум директоров по кибербезу!
- 2 из 8 CISO (Виталий Терентьев из hh.ru и Дмитрий Гадарь из Тинькофф) являются или находятся в процессе утверждения на роль заместителя руководителя организации согласно 250-му Указу. С одной стороны это неплохой показатель, все-таки 25%, а с другой, — за год с момента выхода Указа далеко не все реализовали его самые одиозные положения. Вообще, в кулуарах пообщавшись с разными коллегами, выяснилось разное. Кто-то просто не готов становиться замгендира — это ж надо выходить из зоны привычного комфорта и брать на себя ответственность. Кто-то не знает, как донести до генерального важность 250-го Указа. Где-то в замы назначили уже существующего директора по безопасности или просто повесили эту тему на зама по общим вопросам.
Сейчас, почти год спустя, надо признать, что именно тема с заместителем руководителя организации затмила собой все остальное, что гораздо более важно, чем наличие штатной единицы на уровне CEO-1.
- Все участники отметили важно общения с бизнесом на его языке. Вообще отличительной особенностью настоящего CISO является его бОльшая погруженность в вопросы бизнеса, стратегии, инвестиций, а не борьбы с угрозами и выполнения нормативки ФСТЭК и Банка России. Но это требует особых навыков и знаний, за которыми бессмысленно идти на курсы в ИБшные учебные центры и получать корочку за прохождение 512 часов обучения кручению отечественных криптошлюзов и настроек отечественных же антивирусов вкупе с изучением законодательства о лицензировании и попунктного зачитывания 239-го приказа ФСТЭК.
Могу сказать открытым текстом — ни один ИБшный УЦ у нас не способен научить не то, что CISO, но даже дать материал, нужный для заместителя руководителя организации по 250-му Указу. Ладно бы они просто не знали, чему учить (это еще можно решить), но нет. Они просто боятся пойти наперекор ФСТЭК, которая требует согласования с ней программ и меньше 512 часов не согласует. Вот и приходится наполнять такие программы всякой херней, а потом продавать их за конские деньги, выбрасываемые на ветер. А могли бы забить на регулятора и давать нормальное обучение для менеджмента по принципу MGT512 или MGT514 от того же SANS.
В канале «Результативный CISO» я выложил свою презентацию с CISO Forum 2023, в которой рассказывал как раз о BISO, роли бизнес-ориентированного ИБшника. Собственно этот канал и создавался для того, чтобы обмениваться знаниями и опытом как раз для людей уровня CISO — без дурацкого compliance и страшилок про угрозы.
- Выход на уровень бизнеса для CISO означает не только новые знания и навыки, но и расширение ответственности, которую надо брать на себя. Ты приходишь к топам и вместе с ними определяешь недопустимые события, которые делаешь невозможными. Но если они все-таки происходят, ты должен нести за это ответственность, как и за любые другие неудачи, которые уже не на кого списывать — ведь это же ты сам, и никто другой, несешь все бремя ответственности за все, что имеет отношение к ИБ (а может и к операционным рискам, и к операционной надежности, и к непрерывности бизнеса, и т.п.). С другой стороны, выход на новый уровень дает и больше возможностей, больше ресурсов, больше денег, больше статуса и вот этого всего.
Нельзя не вспомнить про прошлогоднее уголовное дело против CISO Uber, который защищал своего работодателя (по просьбе прежнего CEO) и скрыл факт утечки ПДн клиентов, замаскировав его под обращение к услуге пентеста/багбаунти. Но новый CEO решил, что это незаконно.
- CISO, в отличие от директора по ИБ, в первую очередь думает о функции ИБ в организации, а не о службе ИБ, которая реализует мероприятия по кибербезу. В этом заключается достаточно серьезное отличие между двумя подходами. Например, во втором директор по ИБ будет стремиться все реализовывать своими силами, набирая все больше и больше людей под разные свои задачи. А в первом — CISO делегирует это другим подразделениям. Например, безопасная разработка. Кто-то пытается навязывать разработчикам свои инструменты и свои требования, а кто-то просто дает возможность программистам самим ловить кайф от интеграции темы ИБ в DevOps. Например, в Тинькофф решения класса SAST/DAST вообще куплены не из ИБ бюджета и управляют ими именно в команде разработке, а не ИБ.
- Еще одной особенностью нового времени является фокус на результативность ИБ. Как сказал Эльман Бейбутов из Positive Technologies в своем выступлении после пленарки: «Нас учили, что безопасность это процесс, но не говорили, что у безопасности должен быть результат» и в этом действительно новое веяние в отрасли. Хватит строить из себя самураев без цели и без господина — все-таки CISO работают на бизнес, который хочет видеть результат от деятельности любого подразделения в компании. И ИБ не является исключением. Что может быть таким результатом? Ну самое очевидное, что может прийти в голову топ-менеджменту — «чтобы нас не взломали хакеры». Но как быть в этом уверенным? Ведь обычно ИБшники и так предпринимают кучу усилий для этого, тратя все свои бюджеты на немыслимые по своей стоимости игрушки.
На пленарке прозвучала фраза, которая стала мемом, про «штучку за полмиллиарда» 🙂 А у другого CISO была оговорка про «штучки за 500 миллиардов» 🙂 Хорошие такие бюджеты у коллег 🙂
- Самым простым, и очень эффективным при этом, способом является программа багбаунти, которая позволяет проверить доступные извне системы на предмет наличия уязвимостей, позволяющих хакерам проникнуть внутрь организации. Но в отличие от обычного сканера уязвимостей или продуктов классов BAS (Breach & Attack Simulation), в багбаунти вы платите только за результат, который пытаются достичь не один исследователь, не два, не пять, а сотни и, возможно, тысячи багхантеров со всего мира, которые хотят заработать денег.
Обратите внимание. Приглашая аудиторов вы платите им не за результат, а за потраченное ими время и какие-то проверки каких-то требований. Неважно, найдут они что-то или нет, вы все равно им должны заплатить (хотя Дмитрий Гадарь из Тинокофф рассказал, что пару раз он отказывался платить, не видя результата от приглашенных специалистов; и это тоже пример того, что CISO берет ответственность за такое решение на себя). В багбаунти вы платите только за найденные дыры. Более того, багхантер заинтересован в их нахождении, так как от этого зависит его заработок. Он не будет тянуть время или делать работу спустя рукава. И если он и другие багхантеры ничего не могут найти в рамках багбаунти, то с высокой вероятностью это значит, что и «плохие парни» не смогут ничего сделать, что дает определенные гарантии бизнесу, что вы реально защищены, а не на бумажке.
Алексей Мартынцев, отдувавшийся за промышленность вместе с Андреем Нуйкиным, высказал мысль, что для сферы АСУ ТП багбаунти не является чем-то правильным и единственно верным. Это интересная тема для дискуссии, конечно. Возможно, удастся мне ее поднять на конференции Smart Mining & Metals, секцию по ИБ на которой я буду модерировать в эту пятницу.
- У Алексея Новикова, CISO в Positive Technologies, ситуация с багбаунти еще сложнее. Позитив запустил эту программу не на поиск уязвимостей, а на реализацию недопустимых событий. То есть хакеры должны не просто найти дыру, а пролезть через нее и попробовать реализовать то, что топ-менеджеры Positive Technologies считают для себя недопустимым. Получится и хакер получит 10 миллионов рублей. С момента запуска программы в прошлом году пока такое не удалось никому, что само по себе показательно. На вопрос Алексею, не боится ли он, что реализация недопустимого события поставит крест на его карьере CISO, он ответил, что «за битого двух небитых дают» и вообще такая программа челенджит команду ИБ компании, делая ее работу интересной и нескучной.
- Вообще тема багбаунти вызвала живой отклик и дискуссия вокруг нее развернулась нешуточная. Кто-то считает, что и пентест не хуже решает аналогичную задачу, кто-то считает иначе. Кто-то планирует запустить багбаунти для сотрудников, а не только внешних людей, давая им возможность попробовать навредить компании изнутри. Например, в Тинькофф есть внутренняя программа багбаунти в части защиты персональных данных и сотрудники получают вознаграждение, если находят способ нарушить приватность данных своих клиентов и сотрудников. Позитив тоже хочет запустить внутреннюю багбаунти в компании. Но все признают, что талантливых, да и просто хороших пентестеров и багхантеров у нас не хватает, а многие только называют себя таковыми, по сути ими не являясь.
- Также мы вкратце прошлись по уже очевидной мысли, что многие привычные парадигмы ИБ давно устарели и требуют замены. Например, периметровый подход, во время COVID-19 и повсеместной удаленки доказавший свою непригодность. Или триада «конфиденциальность-целостность-доступность», на смену которой пришла новая аббревиатура DIE («распределенность-неизменность-эфемерность»). Понимаю, что по-русски звучит совсем непонятно, поэтому дам ссылку на видео автора этой концепции Сунила Ю, который представил ее на RSA Conference 4 года назад (спустя год Сунил продолжил эту тему, развив ее на RSA Conference 2021). Kubernetes, Zero Trust — яркие примеры реализации этой концепции.
- В конце дискуссии успел забросить удочку насчет китайских и индийских производителей, но четкого ответа от коллег так и не увидел. Все как-то расплывчато — то тестируем, то не хотим; то мы патриоты, то а других вариантов по ряду направлений и нет. Разве что у Славы Касимова из МКБ прозвучало, что сегодня головная боль — это NGFW и MDM, аналогов которых нет ни в России, ни в Индии, ни в Китае.
C NGFW вообще у всех проблема. Несмотря на засилье отечественных игроков, которые заявляют, что их МСЭ самый нгфвшный из всех, ни один из CISO так и не сказал, что на российском рынке есть такие решения. Несмотря на агрессивную рекламу вендоров, существующий функционал и производительность не устраивают никого. И даже попытки выдать iptables с web-прокси и СОВ c чужими сигнатурами за новый российский NGFW не сильно кого-то впечатляют.
- В заключение пленарной секции я, сославшись на американскую статистику, которая говорит, что во время COVID-19 20% CISO стали пить больше вина, спросил у наших CISO, насколько изменилось их алкогольное поведение с 24-го февраля прошлого года. Большинство оказалось стало сторонником здорового образа жизни, почти исключив алкоголь из своего рациона. Кто-то, правда, прикупил себе новый винный шкаф, в дополнение к уже имеющемуся 🙂 Так и живем. У всех разные стратегии, но вместе мы всегда найдем время не только пошутить, но и поделиться какими-то лайфхаками и советами!
Жалко, что очень однобоко рассмотрели тему багбаунти. В России уже есть небольшая практика подобных сервисов и, основываясь на личном опыте, как мне кажется, все печально.
Находишь уязвимость, которая является критической (CVSS 9.9), ожидаешь, что тебе заплатят соответствующую сумму, а представители сервиса начинают играть цифрами и буквами. И к концу из критической уязвимости в 9.9 получается 5.4 и сумма в 10 раз меньше ожидаемой. Проще было продать заинтересованным лицам за сумму в 10 раз бОльшую, чем изначально предлагавшуюся за критическую уязвимость
Да, мир не идеален. Возможно, нужен механизм арбитража, как по ту сторону баррикад. Но рынок только формируется — есть шанс, что все наладится