Алексей Голопяткин, директор по развитию новых направлений бизнеса ITD Group, структурировал информацию, необходимую для выстраивания тактики взаимодействия с производителями ИБ-решений и выбора ИБ-продуктов.
Недавно на одном из мероприятий, посвященных текущей ситуации в области информационной безопасности, организаторы провели опрос. Аудитория должна была выбрать фактор, который, по её мнению, оказал и продолжает оказывать наибольшее влияние на рынок. Фаворитом оказался исход зарубежных вендоров, опередив даже нехватку специалистов и несоответствие бюджетов потребностям.
Очевидно, что невозможность использовать привычные продукты и решения сильно ударила по способности команд ИБ защищать бизнес на прежнем уровне. А если учесть, что риски и угрозы только растут, ситуация, в которую попали CISO, вообще может показаться патовой.
Так ли беспросветно грядущее? Давайте разберемся.
Попробуем провести параллель со всем известной пирамидой Маслоу, моделью, которая последовательно представляет все человеческие потребности, от простых до возвышенных. Она отображает одну из самых распространённых мотивационных концепций — теорию иерархии потребностей, разработанную психологом Абрахамом Маслоу. Только мы несколько изменим её смысл и покажем иерархию возможностей применения решений в области информационной безопасности. Почему именно пирамида Маслоу? Потому что в её основе находятся «уровни». Не удовлетворив низшие «потребности», - а в нашем случае «условия», - невозможно удовлетворить более высокие.
Уровень 1. Страна происхождения
Итак, самый базовый уровень – это страна происхождения вендора и его продукта. В текущей парадигме страны делятся на «дружественные» и «недружественные». Если решение родом из «недружественной» страны, это тупик. Взаимодействовать с этими вендорами категорически не рекомендуется всем российским заказчикам. Но, как пел когда-то Владимир Шахрин из группы «Чайф», «если есть запрещающий знак, они знают – где-то рядом объезд». При наличии смекалки, бюджетов и определенной доли смелости объезд, и правда, можно найти. Но стоит ли он всех рисков, которые его сопровождают?
Вендор сознательно или несознательно может допустить exploit. Если сознательно, - всё понятно. Этот exploit будет эксплуатироваться для нанесения прямого вреда или утечки информации в пользу иностранных государств и спецслужб. Если же несознательно, а вендор санкционный, он может просто не дать скачать патчи для того, чтобы закрыть эту дыру. Получается, что софт вроде бы и работает, но в нем есть уязвимость, уже известная всему миру, и любой может эту уязвимость использовать, понимая, что компания её запатчить не может.
К слову, технологические риски касаются и кода Open Source. Зачастую, ответственность за контроль СПО лежит исключительно на разработчиках, которые его и создали. Они его проверяют и отправляют в релиз. Видя, что вышел релиз, многие компании берут его, не глядя. Не все задумываются о том, что, если эта группа изначально настроена враждебно, она может включить туда что угодно.
Если же решение из «дружественной» страны, оно все равно попадает в «жёлтую», а то и в «оранжевую», группу риска. Ситуация меняется чуть ли не ежедневно. Те, с кем на прошлой неделе мы обменивались рукопожатиями, на этой уже поворачиваются к нам спиной. Это касается и стран в целом, и отдельных компаний, и даже конкретных людей. Поменялся человек, отвечающий за регион, - поменялась вся «политика партии» в отношении этого региона. Не все готовы поддерживать нейтралитет, не все могут себе позволить быть «Швейцарией» в бизнесе.
Уровень 2. Настроения внутри вендора
Если «фильтр грубой очистки» по стране происхождения пройден, необходимо перейти к анализу ситуации внутри конкретного вендора. Крайне важно понимать, кем являются инвесторы компании-разработчика и кто её основные заказчики. Есть целый ряд примеров среди израильских поставщиков, которые, находясь, между прочим, в дружественной стране, повели себя отнюдь не нейтрально, поскольку сильно зависят от американского капитала и заказчиков, расположенных в США. С подобными вендорами работать рискованно и в долгосрочной перспективе, и в краткосрочной. Слишком большие угрозы политического и макроэкономического характера.
Прежде чем приобретать софт, нужно постараться принять меры, как минимум, правовой защиты. Четко прописывать в договорах, что вендор не имеет право отозвать лицензии в рамках оплаченного срока их действия. В ином случае он понесет приличные убытки. Так появится шанс хоть какие-то деньги вернуть в суде.
Не стоит покупать ПО, которое легко отключается удаленно. Несмотря на договор, вендор может пойти и на это. Пусть заказчик будет тысячу раз прав, он всё равно получит много проблем.
Иная ситуация с ПО, которое устанавливается в закрытом сегменте и не может быть выведено из эксплуатации удаленно. Даже если вендор потребует всё отключить, его требование можно проигнорировать. При наличии соответствующего договора, последствий не возникнет.
Уровень 3. Российские производители и приравненные к ним
Стоит копнуть поглубже, и становится ясно, что не все российские производители такие уж российские. Факт: даже в единый реестр Минкомсвязи попадают продукты, содержащие заметный процент компонент иностранного происхождения. В случае возникновения дополнительного санкционного давления вендор, который лицензирует эту часть внутреннего кода, может отказать в продлении лицензии, обновлениях и поддержке. Ровно в этот момент, не дожидаясь боя курантов, «российский» продукт превратится в тыкву.
Пожалуй, провести оценку рисков на данном уровне сложнее всего. Это теневая, неочевидная сторона. Согласно букве закона, до 30% дохода за программное обеспечение может уходить в сторону другого производителя. Формально инициатор внесения записи в реестр ничего не нарушает, но что со всем этим делать потом? Риски, риски... Если мы находим информацию о наличии в продукте кода иностранных производителей, мы вынуждены возвращаться к тому, с чего начинали, то есть к базовому уровню – стране происхождения вендора. Если вендор «закрутит гайки», российский производитель, владелец торговой марки, ничего с этим сделать не сможет.
Уровень 4. Доступность функционального замещения
Существуют продукты, которые уже сегодня очень легко заместить. Тот же антивирус. У нас есть, как минимум, Kaspersky. Пусть он будет у всех один, но это отличный антивирус. Это продукт мирового уровня, за который не стыдно. Зачем гнаться за иностранными альтернативами, когда можно купить локальное решение без какой бы то ни было головной боли?
Однако есть ниши, в которых у нас аналогов нет. Пример – NAC (Network Access Control). Таких решений и мире-то раз два и обчелся. NAC невозможно разработать быстро.
Если задачи CISO не могут быть решены с помощью функционала локальных разработок, придется снова возвращаться к начальной точке и проходить весь путь с нуля, погружаясь в дебри отбора вендоров и решений и минимизации рисков. В данном случае выбирать придется «наименьшее зло».
Уровень 5. Применимость мер дополнительной защиты
Есть решения иностранных производителей, в том числе из «недружественных» стран, которые напрямую влияют на бизнес. Например, инструменты, на которых держатся бизнес-процессы, и отказ от них - дело не быстрое. В подобных случаях компании становятся заложниками ПО. С одной стороны, они не могут его не использовать, с другой – внутри у них мина замедленного действия. Приходится плакать, колоться, но продолжать…
Сейчас любой импортный код или СПО представляет собой объект, за которым нужно следить и жестко контролировать. Это новая проблема, которую теперь должен решать CISO.
Некоторые CISO склонны настаивать на внедрении технологии нулевого доверия. Такие решения есть, но в большинстве случаев идеологами их являются те же иностранные компании, которые ушли, хлопнув дверью. Что же делать?
Вводить внутренние технические и специальные организационные меры запретительного или ограничительного характера. Например, более жесткий контроль доступов. Причем не только пользователей, но и сервисов, и приложений. Это достаточно большая работа. Необходимы вспомогательные средства, которые позволят сделать её эффективнее и быстрее. Причем важно, что речь может идти не только про дополнительную защиту для бизнес-софта, но и для самих средств ИБ. Их также надо контролировать. Получается, ИБ для ИБ. Благо, специальные технические средства защиты для этого тоже существуют.
Вместо заключения
Что же можно использовать без риска? Разработки выходцев из Сколково либо широко известных, состоявшихся российских разработчиков с прозрачной историей. В «зеленую» категорию можно внести продукты, сертифицированные ФСТЭК. Но не все. Мы бы рекомендовали рассматривать продукты с классификацией по 4-му уровню контроля отсутствия недекларированных возможностей (НДВ4) и лучше. К категории с НДВ6 стоит относиться с осторожностью, там есть шанс «нарваться» на не совсем российские продукты. Проверка в данной категории не столько тщательна.
Решения из стран, не включенных в список «недружественных», рассматривать можно, но только в том случае, если российских аналогов не существует, а задачи, ради которых они должны быть приобретены, невозможно решить иными способами и ресурсами.
Рассматривать также можно вендоров, которые находятся в «дружественных» странах и являются частными компаниями, принадлежащими исключительно гражданам этих стран. Важно обратить внимание на то, чтобы они не были представлены на бирже. Если вендор прошел IPO, очевидно, что он будет сильно зависеть от веяний и настроений в США.
Если мы сталкиваемся с программным продуктом, без которого не можем обойтись, и при этом он не имеет локальных аналогов, покупать его нужно с дополнительными мерами предосторожности. Как юридическими, так и техническими, обеспечивающими контроль и невозможность нанесения вреда со стороны софта.
Что ж, в интересное время живём, товарищи. Но, как говорится, есть свет в конце тоннеля. Рынок российской разработки средств ИБ не стоит на месте. И пусть нам не угнаться за западными «звёздами», мы пройдём свой путь. Нет задачи, которую бы не решил CISO со смекалкой и определенной долей смелости. Был бы бюджет.
Ссылка на источник: https://cisoclub.ru/pamyatka-dlya-ciso-vybor-reshenij-v-epohu-turbulentnosti/