Xakep.ru побеседовал с директором компании «Ростелеком-Solar» — одной из немногих в России, предлагающих безопасность в качестве услуги. У Игоря Ляпунова уникальный взгляд на индустрию и происходящие в ней процессы, которым он с нами и поделился.
Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком», генеральный директор компании «Ростелеком-Solar»
Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком», генеральный директор компании «Ростелеком-Solar»
 

Об аутсорсинге

Руководители служб ИТ и ИБ устали от классических проектов внедрения, когда три месяца уходит на обследование, еще три на проектирование, потом шесть-восемь недель на поставку и еще четыре месяца на внедрение. Все это крайне затратно, но главное — спустя этот год, потраченный на внедрение, одни бизнес-задачи компании уйдут и придут другие, поменяется ландшафт ИТ. В итоге менеджер может обнаружить, что ошибся в выборе и система, которую он холил и лелеял, не соответствует потребностям компании.

Сервис же хорош тем, что работает, как кран в ванной: открыл, потрогал воду, если не понравилась температура — поменял ее или закрыл кран. И при этом не заплатил за установку всего трубопровода. Получается, что SaaS или в случае с более сложными вещами — аутсорсинг гораздо удобнее, в том числе с операционной точки зрения.

Но при этом нужно очень четко понимать, что возможность отдать информационную безопасность на аутсорсинг не снимает необходимость в наличии соответствующей компетенции внутри компании и не нивелирует ценность внутреннего безопасника.

В 2012 году, когда мы только открывали сервисное направление и начинали строить центр мониторинга Solar JSOC, казалось, что почти любой процесс, связанный с информационной безопасностью, можно отдать на аутсорсинг. Одним из наших первых заказчиков был «Лето Банк» (сейчас «Почта Банк»). Он быстро развивался — открывались десятки отделений в месяц. Так что аутсорсинг ИБ подходил банку как нельзя лучше, ведь услугу можно подключить практически сразу. Однако со временем мы поняли, что некоторые функции ИБ-подразделения правильнее оставлять на стороне заказчика. Невозможно отдать вовне ответственность за обеспечение безопасности. Невозможно передать на аутсорсинг функцию принятия решений.

У компании в штате всегда должен быть человек или скорее даже команда, ответственная за информационную безопасность. Можно передать сервис-провайдеру функцию рук и ног, но мозги на аутсорс не отдашь.

 

Об ответственности и ответственных

Часто, обращаясь к поставщику ИБ-сервисов, заказчик полагает, что тот возьмет на себя ответственность за информационную безопасность организации в целом. Но это не совсем так.

Мы беремся защищать клиентов от вполне конкретных рисков, определенных векторов и сценариев атак. И соответственно, отвечаем мы не за весь комплекс безопасности, а только за те функции, выполнение которых мы на себя взяли. Ответственность за них прописана в SLA — соглашении об уровне сервисов. Мы обязуемся выявлять инциденты в защищаемых сегментах и реагировать на них определенным образом в течение установленного отрезка времени.

При разговоре с клиентом я часто привожу такую, может быть, не очень точную, но зато понятную аналогию. Предположим, у вас есть площадка e-commerce или интернет-банк. Провайдер предоставляет вам канал связи. Вопрос: отвечает ли он за непрерывность вашего бизнеса в целом? Должен ли он возместить вам ущерб и недополученную прибыль, если, скажем, приедет трактор и оборвет линию связи?

Поэтому, чтобы не возникало разрыва между ожиданиями клиента и возможностями сервис-провайдера, заказчик должен четко понимать, что именно он отдает на аутсорсинг.

 

О службах ИБ в компаниях

Сила внутреннего безопасника — это четкое понимание бизнеса, структуры компании, финансовых вопросов, которое позволяет ему говорить с другими менеджерами на одном языке.

Безопасник должен понимать, что для руководителя компании бизнес-риск — это отнюдь не вирусное заражение. Бизнес-риск — это, например, активности конкурентов, нарушение основных бизнес-процессов компании, действия фискальных органов, изменение законодательства, проблемы у клиентов, репутационные риски, санкции, в конце концов. Руководители рассуждают именно в такой парадигме, и каждый из этих рисков распадается на операционные составляющие, которые уже могут относиться к сфере ответственности служб ИТ и ИБ.

На мой взгляд, то, что безопасник не понимает истинных проблем бизнеса, не умеет слышать руководителя компании, — это сейчас одна из болевых точек многих организаций. На конференциях часто можно слышать выступления ИБ-специалистов, рассказывающих, как обосновать бизнесу необходимость тех или иных средств защиты. По сути — как запугать руководителя и как им манипулировать. Однако в реальности это не сработает: любой бизнес-руководитель на то и руководитель, чтобы пресекать такие вещи.

Именно поэтому безопасник должен говорить с руководителем бизнеса на одном языке, должен уметь построить цепочку от бизнес-рисков до рисков ИБ. Ну и конечно, он должен хорошо понимать, какие риски существуют внутри организации, какими уровнями доступа обладают сотрудники и в чем логика их работы.

Мы периодически встречаемся с сотрудниками служб ИБ, и в разговоре об аутсорсинге они рано или поздно задают вопрос: «А что, нас всех уволят?» Да ничего подобного. Идите, занимайтесь тем, за что вам на самом деле платят деньги, — безопасностью бизнеса, а мы займемся operations.

 

Об отличии российских бизнес-реалий от западных

Говорят, что в сфере ИТ Россия отстает от Запада на 3–5 лет. И возможно, в отношении разработки новых продуктов, связанных с кибербезопасностью, это утверждение верно. Но тут ничего не поделаешь: у нас в отрасли нет таких инвестиций, чтобы конкурировать с западными корпорациями на должном уровне.

А вот с точки зрения практики обеспечения безопасности мы очень крутые. В России умеют по-настоящему бороться с киберугрозами и ловить злоумышленников. Это наше преимущество. Российским специалистам часто приходится сталкиваться с реальными угрозами и нарабатывать методы их пресечения, что дает ценнейший опыт, к которому за рубежом проявляют большой интерес.

 

О современных трендах в ИБ

На стороне защиты сейчас можно наблюдать действительно интересные тренды: из-за рубежа идет мода на искусственный интеллект. С одной стороны, я искренне верю, что нейросети и машинное обучение действительно через три, пять, максимум десять лет снимут с людей порядка 90% нагрузки.

Но на данном этапе мы видим, что у безопасника эти технологии пока вызывают скорее негативную реакцию. Предположим, система пару месяцев обучается, затем ее включают и в какой-то момент она сообщает об инциденте. Логично, что у безопасника сразу возникает вопрос: на основании каких признаков система решила, что это инцидент? Нейросеть же не может «объяснить», почему она приняла то или иное решение, и это вызывает у человека некоторое раздражение.

Это естественный этап, который проходит каждая прорывная технология. Чтобы получить широкое распространение, она должна завоевать определенный уровень доверия, и, пока его нет, прорывные изобретения остаются в категории любопытной игрушки. Но я верю, что в будущем машинное обучение станет очень серьезным подспорьем для информационной безопасности.

Сейчас мы сталкиваемся с тем, что даже инженер первой линии центра мониторинга и реагирования на киберугрозы должен очень много знать. Проводя обучение, мы понимаем, что с каждым годом количество информации, которую нужно вложить в его голову, быстро растет. Нам приходится все время интенсифицировать программу обучения, делать гайды, помогающие автоматизировать сбор и отображение всей нужной информации.

Однако всему этому есть предел, и столкнуться с ним придется не через 50 лет, а уже через год-два. Тогда-то мы и будем вынуждены искать технологии, которые станут не просто собирать, очищать и подготавливать информацию, а самостоятельно делать определенные выводы уже на этих ранних этапах.

 

О карьере и образовании безопасника

Сейчас у нас работает порядка 250 человек. При поиске людей на мониторинг мы очень много работаем с вузами. Забираем студентов с третьего, четвертого, пятого курсов и приглашаем их пройти стажировку в компании. В ходе этой стажировки мы даем студентам базовые практические навыки в области информационной безопасности, рассказываем о типах инцидентов, методах их выявления. Дальше стажер может за год пройти первую линию, перейти на вторую и через два года уже начать заниматься аналитическими задачами. Это хороший трек.

Аналитики — это своего рода «белая кость», они создают ценность компании. Это инженеры, которые умеют видеть качество информационной системы с архитектурной точки зрения, а с точки зрения безопасности — понимать векторы атак и методы противодействия им. Это очень востребованная профессия с очень высокими зарплатами.

Вообще, хороших аналитиков в России сейчас два, может быть, три десятка — по крайней мере, таких, которые действительно могут обеспечить защиту от кибератак. У них отличный кругозор в области информационных технологий, идеальное знание сети и архитектуры операционных систем, глубокое понимание механизмов атак и так далее. Такие специалисты будут востребованы и через три года, и через пять лет.

 

О проблемах больших зарплат и ожиданий

Сейчас рынок труда в разработке и кибербезопасности сильно перегрет. Из-за этого возникает неприятная тенденция и определенная ловушка для молодых специалистов: опережающий спрос на кадры и готовность работодателей перекупать их друг у друга приводит к опасному превышению зарплат людей над стоимостью их реального опыта, то есть их личной «капитализацией».

Предположим, мы берем специалиста на 100 тысяч рублей, он работает три месяца, пишет в своем резюме о знании Java, Scala и Python, после чего может запросить зарплату уже в 200 тысяч. Дальше некоторая «магия» на собеседовании — о том, как себя продать работодателю, много написано в интернете, — и вот его берут и на 200, и на 250, а если повезет в поисках, то и на 300 тысяч. Но реального опыта у него по-прежнему три месяца, а новый работодатель ожидает, что компетенции сотрудника будут соответствовать его зарплате. Так что в долгосрочной перспективе эта стратегия оказывается проигрышной — как и всегда, когда человек перестает искать развития, новых вызовов и знаний, фокусируясь на сиюминутных заработках.

Моя рекомендация ребятам, которые только начинают, — выбирать профессиональный коллектив, людей, за которыми можно расти, и амбициозные задачи. Это два главных фактора, мотивирующих человека развиваться и расти над собой. И когда специалист переходит от простого кодинга к пониманию архитектуры и внесению своих идей, тогда, конечно, он будет много зарабатывать и его личная стоимость будет принципиально другой.

3 комментария

  1. Juni Cortez

    18.06.2018 at 14:01

    Про зп — Прозоров Андрей делал в октябре 17 года обзор и по его данным в среднем спец по ИБ в столице получает 100 тыс., ИБ-Директор 200-215. В этой статье пишется о 200+ тыс. у ИБ-специалиста. Что-то не сходится.

  2. Dmitry Morozov

    18.06.2018 at 19:12

    По поводу «Нейросеть же не может «объяснить», почему она приняла то или иное решение», в этом направлении ведётся достаточно интересная работа. Читал к примеру «Rationalizing Neural Predictions» от MIT

  3. Xendler

    21.06.2018 at 06:57

    А кто-то работает за 15к рублей и не ноет)

Оставить мнение

Check Also

Энкодеры msfvenom. Разбираемся с кодированием боевой нагрузки при бинарной эксплуатации

Генерация полезной нагрузки — неотъемлемая часть эксплуатации. При использовании модулей M…