«Станиславом Барташевичем, директором продуктового офиса "Информационная безопасность" ПАО "Ростелеком"» 

Сегодня мы пообщались со Станиславом Барташевичем, директором продуктового офиса «Информационная безопасность» ПАО «Ростелеком». Из этого интервью ты узнаешь, что Ростелеком — не только один из крупнейших операторов связи, но и провайдер сервисов кибербезопасности (Managed Security Service Provider, MSSP). Компания одной из первых в России стала использовать комплексный подход при оказании телекоммуникационных услуг: если у клиента много информации, то ее нужно сразу защитить от возможных киберугроз.

Также Станислав поделился своими личными соображениями о будущем киберкриминалистики, проблемах IoT и рассказал о том, почему большой ИБ-отдел в компании далеко не всегда оказывается преимуществом.

Станислав, давайте начнем с простого вопроса. Чем Ростелеком принципиально отличается от других компаний в области информационной безопасности? В чем заключается его ключевое преимущество?

Ростелеком — телекоммуникационный оператор, который изначально не специализировался на услугах в области информационной безопасности. Однако мы быстро поняли требования рынка: если нашим клиентам требуются каналы для передачи большого объема данных и ЦОДы, чтобы хранить эти данные, то им также необходимы услуги по защите от сетевых угроз. При этом клиентам удобно использовать комплексное решение, то есть приобретать услуги у одного оператора, так меньше хлопот с договорной работой, счетами и контролем над выполнением обязательств партнером.

Сейчас изменяется сама концепция информационной безопасности. Раньше средства защиты информации и отделы защиты информации традиционно располагались непосредственно у потребителя услуг, а оператор связи только предоставлял канал и обеспечивал передачу данных. Сегодня ситуация изменилась, и все больше корпоративных клиентов предпочитают отдавать это на аутсорсинг компаниям, которые обладают необходимыми техническими возможностями и экспертизой в сфере ИБ. Ростелеком стал такой компанией — не просто оператором связи, а центром компетенций по информационной безопасности. Мы берем на себя всю систему защиты: организовываем защищенный транспорт, шифрование, защиту от целевых атак и DDoS-атак.

Основное преимущество такого подхода заключается в том, что клиенту больше не нужно тратить средства и время на создание собственной системы информационной безопасности, он может купить готовую услугу «под ключ». В данном случае мы предлагаем сервисную модель, то есть клиент вносит абонентскую плату, а оператор на постоянной основе выполняет функции департамента ИБ. При этом размер абонентской платы фиксированный, что позволяет клиенту легко рассчитать свои расходы. Также мы берем на себя ответственность за конфиденциальность, целостность и доступность данных.

«Берете на себя ответственность» — что именно это означает? Платите за ущерб?

Представьте, что у вас в компании есть традиционный отдел информационной безопасности и, допустим, на вас напал шифровальщик WannaCry. Все данные зашифрованы. Что вы как руководитель бизнеса можете сделать для компенсации потерь? Ничего. Вы, конечно, вправе уволить сотрудников отдела ИБ, но здесь у вас получится разве что сэкономить на выплатах. Никто не компенсирует вам время простоя производства, логистических сбоев, репутационных рисков.

Подать жалобу, исковое заявление на производителей железа тоже достаточно трудоемко, кроме того, сложно будет доказать, что убытки ваша компания понесла по вине поставщиков оборудования, особенно если это крупные зарубежные вендоры, а у вас небольшая компания.

Дела обстоят совсем по-другому, если вы заключили договор на услуги информационной безопасности с компанией, которая специализируется в данной области. В договоре прописаны обязательства компании обеспечивать ИБ клиента, а также показаны средства защиты, которые будут для этого использоваться. Применение этих средств защиты и своевременная экспертная оценка ситуации практически исключают возможность успешных атак. Но если атака все же состоится и нанесет значительный ущерб, клиент всегда может потребовать компенсации и получить ее.

** Получается, вы берете на себя немного больше обязательств, чем сейчас принято на рынке. Хорошо, а каковы ваши расценки и какие компании, какого класса попадают в число ваших желаемых клиентов?**

Услуги информационной безопасности востребованы как компаниями малого и среднего бизнеса, так и крупными холдингами, предприятиями и государственными организациями. Информационные атаки очень серьезно бьют по бюджету компаний: если бизнес небольшой, то даже одна успешная сетевая атака может его «убить», а крупные компании несут огромные потери, связанные с различными аспектами бизнеса — производством, логистикой, хранением и реализацией продукции. Все больше компаний приходят к пониманию того, что оплата услуг ИБ — это необходимость.

То есть у вас масштабируемая модель?

Да, главное — понять, что требуется конкретному клиенту. У нас есть основной перечень услуг ИБ — это SOC, работа с почтой, все, что связано с сетью, системы обнаружения и предотвращения вторжений, файрволы, Web Application Firewall’ы, система управления мобильными устройствами (EMM), что раньше называлась MDM (Mobile device management) и MAM (Mobile application management). Специалисты Ростелекома могут проанализировать систему информационной безопасности клиента и предложить оптимальный по стоимости и функциональности набор защитных механизмов.

Я правильно понимаю, что вы выбираете лучшие из существующих на рынке решений и предлагаете их своим клиентам?

Да. Мы постоянно мониторим рынок услуг ИБ, изучаем новые продукты в сфере кибербезопасности, поэтому видим киберугрозы в момент их зарождения и способны превентивно купировать их. Удачные решения мы интегрируем, чтобы наши клиенты могли получить их в рамках единого договора с Ростелекомом. Это обеспечивает наших клиентов лучшими решениями без лишней бумажной волокиты и заключения дополнительных договоров.

То есть вы — классический интегратор в области безопасности? В общем-то, в других странах эта индустрия устроена именно так. Просто раньше она не была устроена таким образом в России, и вы стали первыми.

По сути, да. В России до недавнего времени системные интеграторы просто продавали клиентам оборудование, необходимое для создания системы информационной безопасности, однако и запуск системы, и ее обслуживание оставались в зоне ответственности клиента. Последствия такого подхода мы уже рассматривали. Сейчас сервисная модель в сфере ИБ становится все более популярной, это общемировые тенденции рынка.

Современный подход. Признаться, не ожидал узнать, что именно Ростелеком станет первым двигаться в данном направлении.

Это логическое развитие бизнеса. Ростелеком имеет самую обширную в России сеть передачи данных, которую компании постоянно приходится защищать, в том числе от киберугроз. Выявляя и предотвращая киберугрозы, Ростелеком нарастил компетенции в сфере ИБ. Параллельно с этим участились кибератаки, возрос урон от них, а клиенты пришли к осознанию необходимости качественной экспертизы и приобретения услуг ИБ.

Можно сказать, что мы просто «транслировали» нашу компетенцию и экспертизу на клиентов и предложили им защитить и «последнюю милю» тоже.

Правильно ли я понимаю: вы где-то физически ставите файрвол для клиентов под вашим управлением? То есть не обязательно пропускаете весь трафик через себя и свои средства?

Все зависит от того, как изначально был организован канал передачи данных. Бывают, конечно, некие эксклюзивные решения, реализованные клиентом на базе сети другого оператора, с которым у Ростелекома нет договора присоединения. Но и в этих случаях мы можем найти решение, которое всех устроит, хотя, возможно, это будет немного дороже и займет больше времени. В целом мы можем подключить практически любого нашего абонента практически к любой услуге.

Многие компании сейчас хотят сэкономить, в том числе на услугах ИБ. Как создать эффективную систему ИБ и не разориться?

Да, стоимость оборудования и программного обеспечения в сфере информационной безопасности высока, и клиенту действительно зачастую приходится выбирать между желаемым и жизненно необходимым. В таких случаях Ростелеком предлагает клиенту возможность поэтапного решения задач: сначала выстраивается один уровень, затем, когда у клиента появляются новые ресурсы и потребности, создается другой и так далее. Этот подход хорош тем, что клиенту не приходится сразу хвататься за все и тратить много средств из оборота компании на непрофильные, «дополнительные» расходы на ИБ. При этом уже на начальном этапе сотрудничества мы обеспечиваем минимально достаточный уровень безопасности. То есть клиент может легко оценить эффективность используемых инструментов, просто изучив статистику в личном кабинете.

У всех крупных компаний есть свой ИБ-отдел, как правило достаточно большой и состоящий из компетентных специалистов. Но на самом деле такой отдел нужен далеко не каждой компании. Просто так исторически сложилось: в компании должны быть специалисты, которые отвечают за определенное направление и могут оценить, например, целесообразность закупок в своей сфере. Но это неэффективный путь, гораздо выгоднее нанять компанию, которая специализируется в этой области, обладает экспертизой и способна предлагать готовые решения.

Современный уровень развития ИБ дает клиентам возможность не погружаться в технические детали организации киберзащиты своего бизнеса. Клиент может не разбираться в том, какое оборудование, ПО или партнерские решения использует оператор, главное — все работает и у клиента есть удаленный доступ ко всем ресурсам для управления ими.

У вас, должно быть, работает большое количество IT-специалистов?

В Ростелекоме создан продуктовый офис «Информационная безопасность», специалисты которого отвечают за формирование новых продуктов в сфере ИБ, а также «докрутку», актуализацию уже действующих. Разработанные ими сервисы и решения в дальнейшем масштабируются на все регионы России. Для мониторинга инцидентов в собственной сети оператора, а также клиентского оборудования в компании работает Центр кибербезопасности и защиты. Специалисты из этих подразделений есть в каждом макрорегиональном филиале Ростелекома.

Центр кибербезопасности и защиты как отдельное структурное подразделение — это достаточно новое явление для российских телекоммуникационных и IT-компаний. Это подразделение занимается четырьмя основными направлениями. Первое направление — это SOC (Security Operation Center), с ним все понятно. Второе направление — это compliance и аудит, оно отвечает за анализ защищенности различных устройств и технологических решений (банкоматов, мобильных платформ, IoT, встроенных устройств и так далее). Третье и четвертое направления — это R&D и DevOps.

Сейчас IT-специалистов в Ростелекоме достаточно, но с развитием направления кибербезопасности их количество в компании будет увеличиваться.

Еще в начале беседы я упомянул, что на Западе давно работает другой подход. Я говорил именно о том, что в России компании фундаментально боятся отдавать безопасность на сторону.

Да, это так, но сейчас ситуация меняется. В России основными драйверами отрасли информационной безопасности выступают, как это ни парадоксально, государственные заказчики. Федеральные и местные органы власти все чаще сталкиваются с необходимостью защиты данных. Для стимулирования развития ИБ выпускают федеральные законы, различные постановления и приказы. Киберзащита также актуальна для банков и промышленных предприятий.

Еще одним фактором, который влияет на развитие рынка услуг ИБ, стали участившиеся кибератаки. Только в этом году шифровальщики WannaCry, NotPetya и Bad Rabbit атаковали миллионы компьютеров и информационных систем по всему миру, в том числе в России и странах ближнего зарубежья. На примере этих атак многие компании ощутили реальность киберугроз, которые раньше казались им частью сценария фильмов про далекое будущее.

Есть множество способов повысить киберустойчивость систем. Например, мне очень нравится технология краудсорсинга безопасности в Microsoft. Выплачивать от 600 до 2000 долларов за каждую найденную «дырку» — это не много, особенно в масштабах такой огромной компании, но это отличный стимул для многих подзаработать полезным трудом.

Среди наших читателей немало людей, которые зарабатывают на bug bounty. Также я регулярно вижу российских специалистов на HackerOne, к примеру сотрудников Mail.Ru и «Яндекс».

Это показывает, что спрос на работу IT-специалистов есть, что их компетенции необходимы компаниям для создания качественных программных продуктов и их защиты от киберугроз. На мой взгляд, сейчас недостаточно дополнительного образования в этой сфере и информирования IT-специалистов о том, где и как они могли бы применять свои знания. То есть, возможно, есть люди, которые хотели бы заниматься поиском уязвимостей, они просто не знают — как.

Здесь мы понемногу переходим к вопросам образования. Как у Ростелекома обстоят дела в этой области?

Руководство Ростелекома осознает важность постоянного обучения IT-специалистов, ведь они работают на передовой отрасли, и для поддержания и развития навыков им необходимо постоянно узнавать о новых способах атак и защиты от них. Эту информацию зачастую нельзя прочитать в учебниках, зато ее можно узнать на международных конференциях, где специалисты из разных стран делятся кейсами об отражении различных видов угроз. Чтобы быть наравне с конкурентами и обгонять их, мы должны на лету схватывать все тенденции рынка, все ноу-хау.

Изучение зарубежного опыта необходимо нам для успешного отражения киберугроз в России. Дело в том, что есть инциденты, в которых мы похожи на Бразилию, в других вопросах похожи на Индию, где-то на Иран, а где-то на Европу. И это обязательно нужно учитывать. Понимание особенностей этих атак позволяет нам предотвращать их и устранять последствия.

То же касается и использования оборудования: мы используем как зарубежное, так и отечественное, при этом большое внимание уделяем перспективным стартапам, которые касаются разработки и внедрения новых технологий. Зачастую узнать о таких стартапах в первую очередь можно именно на конференциях, форумах и других подобных мероприятиях.

Когда-то Ростелеком был частью государственной отрасли связи, а сейчас это большая публичная компания, которая, помимо традиционных телекоммуникационных услуг, развивает множество дополнительных прикладных сервисов. Компания больше не ассоциируется с телефонными проводами и каналами связи, все больше клиентов видят в Ростелекоме инфраструктурного партнера для реализации сложных ИКТ-проектов.

Наверное, вас можно сравнить с CASCOM, если проводить параллели с США, ведь ваши кабели повсюду…

У Ростелекома действительно самая разветвленная магистральная сеть передачи данных в стране. Но это лишь часть бизнеса компании. Мы умеем создавать сети и с использованием беспроводных технологий, уже создаем тестовые зоны сети передачи данных нового поколения 5G.

Вернемся к вопросам обучения. Какие профессии в сфере IT, по вашему мнению, сейчас наиболее актуальны и будут актуальны в дальнейшем? Каких специалистов ищет Ростелеком?

Я могу выделить четыре основные группы профессий, которые будут востребованы в будущем. Первое — специалисты по сетям. Все, что касается организации сетей и межсетевого экранирования. Второе — специалисты по прикладным системам безопасности, то есть анализ систем безопасности и разработка ПО для бизнеса. Третье — специалисты по анализу рисков. Четвертое, отдельное и очень перспективное направление — противодействие мошенничеству в промышленных сетях. Эта работа требует знаний в области автоматики, которая давно не была в тренде.

Также, я думаю, в ближайшие десять лет в топе будут решения, связанные с интернетом вещей: умными домами, офисами и городами. В целом проникновение IT-технологий в быт будет ускоряться. Будет появляться все больше решений, позволяющих дистанционно решать все более сложные бытовые и производственные задачи. Пока это немного гиковская сфера, которой в основном интересуются энтузиасты. Но как только все это станет более…

Массовым?

Оно и сейчас массовое, ведь IoT-устройства можно спокойно приобрести на AliExpress. Скорее, когда все это станет более user friendly. Сейчас интернету вещей не хватает простоты. За что пользователи любят iPhone и современные машины? У них простое и интуитивно понятное управление. Как только IoT станет таким же, спрос на умные устройства и решения начнет расти. Здесь вопрос скорее в промышленных дизайнерах и программистах, именно в UA и UX.

Кроме того, с развитием интернета вещей снова остро встают вопросы кибербезопасности. Многие люди, которые заинтересованы в использовании умных гаджетов, отказываются от них, потому что боятся за сохранность своих данных из-за ненадежности этих устройств.

Мы создали умные розетки, чтобы не бояться оставить утюг включенным. И вот вы ушли из дома, вспомнили про утюг, нажали кнопку в своем смартфоне, и он выключился. Но теперь проблема в другом, теперь вы боитесь, что кто-нибудь может включить этот утюг обратно. Это замкнутый круг.

Пока встроенные системы работают на отдельных устройствах, вы можете контролировать их без особых проблем. Но с развитием IoT, когда «умными» станут буквально все устройства, вы более не сможете постоянно держать под контролем взаимодействие и управление различными системами. Поэтому в будущем IoT станет очень перспективной и большой сферой.

Как вы считаете, развитие технологий — это прогресс или скорее новые опасности?

Любое развитие влечет за собой новые вызовы. Уже сегодня есть много работы, связанной с защитой персональных данных в сети. Многие сейчас смело пересылают по сети свои данные, например перекидывают сканы своих паспортов через мессенджеры, фотографируют домашнюю обстановку и свой двор и выкладывают эти фото в социальные сети. Пока люди редко задумываются о том, что эта информация никуда не исчезает из сети и может быть использована мошенниками.

В корпоративной сфере потребность в защите информации уже сегодня намного выше: к примеру, если компания пользуется системой управления почтой от Ростелекома, мы можем шифровать корпоративную почту, архивировать данные и удалять лишнее по требованию клиента.

Также со временем станут более востребованы IT-криминалисты, это именно то, о чем вы говорили чуть раньше. Эти люди будут обладать необходимыми компетенциями в сфере ИБ для раскрытия преступлений, как на уровне корпораций, так и в интересах государства или отдельных граждан. Это направление достаточно развито и сейчас, но на пути поимки преступников зачастую стоят те самые высокие технологии. Так, можно определить устройство, но нельзя вычислить конкретного пользователя.

В связи с этим государству предстоит решить ряд нормативных и законодательных задач, в том числе принять закон о возможности использования удаленной идентификации личности. В Ростелекоме уже существует подразделение, которое занимается развитием цифровых технологий идентификации, а также проработкой возможностей их внедрения.