Контроль запуска: как устроена ИБ при старте новых сервисов
Лидеры IT-рынка выпускают обновления многократно в течение дня, в то время как компании с низким уровнем зрелости делают это раз в несколько месяцев — об этом говорят данные, основанные на отчетах Google DORA. При этом как при обновлениях существующих продуктов, так и при запуске новых сервисов важнейшую роль играет обеспечение информационной безопасности. SecPost разбирался, как устроена ИБ при старте новых сервисов и обновлениях в российских компаниях, какие полномочия в эти моменты есть у специалистов по кибербезопасности и какова экономика подобных проверок.
Как часто IT-компании проводят запуск обновлений?
Данные из открытых источников о выпуске обновлений, основанные на отчетах Google DORA, показывают, что лидеры рынка (elite performers) выпускают обновления многократно в течение дня, — рассказал SecPost руководитель департамента аудита и консалтинга компании F6 Евгений Янов. Для команд с высокой производительностью это значение — от одного раза в день до одного раза в неделю. «Организации среднего уровня обновляют программное обеспечение раз в неделю или месяц, а компании с низким уровнем зрелости выпускают обновления раз в несколько месяцев», — рассказывает Евгений Янов.
Если под обновлением систем понимать закрытие появляющихся уязвимостей, то это происходит постоянно, практически в онлайн-режиме, поскольку уязвимости возникают регулярно, — дополняет руководитель управления информационной безопасности «Своего Банка» (финтех-группа «СВОЙ») Алексей Ахмеев.
А вот запуск новых сервисов всегда связан с двумя вещами — с появлением соответствующего требования на рынке (то есть со стороны спроса), и с желанием компании расширить сферу услуг (со стороны предложения). При этом, по словам Алексея Ахмеева, в обоих вариантах всегда есть стремление реализовать проект как можно быстрее, из-за чего требования безопасности нередко уходят на второй план или даже игнорируются.
Как новые сервисы и обновления влияют на ИБ-стратегии?
На ИБ-стратегии IT-компаний влияет не сам факт появления нового сервиса, а его роль внутри бизнеса и те риски, которые он приносит вместе с собой, — рассказывает руководитель продукта PT Cloud Application Firewall (Positive Technologies) Павел Пархомец. В первую очередь оценивается критичность сервиса: какую выручку он генерирует, насколько он важен для ключевых бизнес-процессов, какие данные обрабатывает, с какими внутренними и внешними системами интегрирован и к каким последствиям может привести его компрометация.
«Например, внутренний вспомогательный сервис и публичная клиентская платформа требуют принципиально разного уровня контроля, мониторинга и защитных мер», — объясняет собеседник SecPost. По его словам, компрометация одного может пройти практически незаметно для бизнеса, а компрометация другого — привести к финансовым потерям, утечке данных или остановке критичных процессов.
В зрелой модели ИБ-проверка начинается еще на стадии проработки идеи, — говорит директор по информационной безопасности группы «Рунити» Сергей Журило. На этом этапе важно определить, какие данные будет обрабатывать сервис, какие интеграции ему потребуются, какие внутренние требования компании и внешних регуляторов к нему применимы. Это критически важный момент: если требования безопасности не заложены в архитектуру и техническое задание, то позднее их приходится «достраивать» поверх уже готового решения, что почти всегда дороже, дольше и менее эффективно. «На этапе разработки подключаются автоматизированные средства контроля: анализ исходного кода, проверка используемых библиотек и компонентов, поиск известных уязвимостей в зависимостях, контроль секретов, контейнерных образов и конфигураций», — объясняет эксперт. Он уточняет, что такие инструменты позволяют выявлять часть проблем на ранней стадии, когда исправление стоит дешевле и не тормозит запуск продукта.
По словам Сергея Журило, уже ближе к выводу в промышленную среду проводятся ручные проверки защищенности: анализ архитектуры, тестирование критичных сценариев, проверка доступов, бизнес-логики, внешних интерфейсов и интеграций.
Каковы полномочия CISO при подготовке к запуску?
Полномочия CISO при подготовке обновлений и запуска новых сервисов сильно зависят от конкретной организации, — говорит начальник отдела по информационной безопасности компании «Код Безопасности» Алексей Коробченко. По словам эксперта, хорошая практика — когда у CISO есть полномочия для блокировки новых сервисов при запуске. Однако на практике бизнес нередко игнорирует требования безопасности, создавая дополнительные ИБ-риски.
«Теоретически полномочия по блокировке нового сервиса у CISO должны быть, но на практике такая блокировка — это исключительная ситуация, когда риски от его внедрения носят неприемлемый характер и их невозможно купировать», — дополняет директор по информационной безопасности «Группы Астра» Дмитрий Сатанин.
По словам эксперта в области информационных технологий и информационной безопасности компании «Стахановец» Артема Жадеева, CISO может остановить запуск сервиса, если в нем найдена критическая уязвимость, которую нельзя исправить настройками и которая требует переписывания кода, либо если сервис нарушает требования закона о персональных данных — например, передает их за границу без разрешения, а также в случае отсутствия обязательного мониторинга инцидентов или резервного копирования. «Технически блокировка выглядит так: CISO ставит запрет в системе управления релизами, и без его снятия команда разработки не имеет права переключать реальный трафик на новый сервис», — рассказывает собеседник SecPost.
Подобные полномочия у CISO, безусловно, должны быть, особенно если сервис разработан или запущен с нарушением требований ИБ, либо при его создании требования ИБ не учитывались в принципе, — отмечает Алексей Ахмеев. В то же время часто бывает так, что на согласование ИБ проект приходит уже на этапе его ввода в эксплуатацию, из-за чего подобный запуск несет в себе высокие технические и регуляторные риски.
Как обновления и новые сервисы влияют на расходы IT-компаний?
Для крупных технологических компаний запуск новых сервисов и обновлений давно стал частью постоянного операционного процесса, поэтому сам по себе факт релиза обычно не оказывает драматического влияния на расходы бизнеса, — рассказывает Павел Пархомец. Вопрос чаще стоит не в плоскости «сколько стоит выпустить новую функцию», а в том, принесет ли она дополнительную выручку, удержание пользователей или стратегическое преимущество.
«Основные затраты в подобных проектах обычно связаны не столько с безопасностью, сколько с разработкой, инфраструктурой, поддержкой, эксплуатацией и ростом команды», — говорит эксперт. При этом, подчеркивает он, ИБ уже встроена в производственный цикл и воспринимается как базовая часть процесса разработки, а не как отдельная дорогостоящая активность перед релизом.
По словам Павла Пархомца, если говорить про рынок в целом, то экономическая ситуация и высокая стоимость денег действительно могут влиять на подход компаний к запуску новых инициатив. Особенно это заметно у среднего бизнеса и стартапов, где бюджеты ограничены сильнее. В таких условиях компании начинают внимательнее оценивать ROI новых функций, сокращать количество экспериментальных проектов и стремиться к максимальной автоматизации процессов, включая безопасность.
Сегодня как в России, так и в других странах есть тенденция к экономии, — соглашается Евгений Янов. Компании регулярно проводят оценку дублирующихся команд, оптимизируют состав существующих, отказываются от избыточных, по их мнению, инструментов, стараются автоматизировать процессы и внедрять ИИ для оптимизации расходов на найм персонала.
«Однако экономия на ИБ несет большое количество рисков. Поэтому крупные компании стараются оптимизировать процессы так, чтобы это минимально влияло на безопасность конечного продукта», — заключает собеседник SecPost.
