CISO Faberlic Вадим Смирнов — о приоритетах и планах развития кибербезопасности

Вадим Смирнов: Мы – партнер для бизнеса и для ИТ. ИТ-составляющая в нашей компании достаточно большая. У нас есть интернет-магазин и мобильное приложение, поэтому большая часть рисков информационной безопасности связана с ИТ-блоком и, соответственно, основной фронт работ сосредоточен в этом направлении. В части работы с персоналом мы занимаемся повышением цифровой грамотности. Поскольку консультанты Faberlic — это важная часть нашего бизнеса, то перед нами стоит также задача повысить их навыки киберграмотности. В комплексе это позволяет укреплять имидж нашего бренда.

Внутри дирекции информационной безопасности мы выделяем несколько направлений, которые занимаются разными темами. Одно из них – это безопасная разработка. Оно появилось относительно недавно. Мы создали дорожную карту развития DevSecOps, уже внедрили и автоматизировали базовые практики безопасной разработки по проверке кода. В этом направлении мы работаем совместно с командой разработки, их вовлеченность является ключевым фактором успешности, а для них это показатель качества продукта, который они производят.

Помимо этого, мы участвуем в анализе новых решений. Это может быть новый функционал либо какие-то новые технологии или цифровые каналы: например, чат-боты, ИИ-инструменты и др. Можем проверять их по разным параметрам: соответствие законодательным требованиям, требования к безопасной разработки, безопасность архитектуры, качество сетевого взаимодействия с другими нашими системами. Особое внимание мы обращаем на встроенные функции безопасности и стремимся к концепции Secure by Design.

Вадим Смирнов: Основная сложность в том, что лучшие практики и стандарты не всегда вызывают отклик у разработчиков, при первом подходе они воспринимают их как некие новые обязательства. Нам в ИБ важно было понять, как устроены внутренние процессы ИТ, и насколько наши предложения по внедрению новых процессов соответствуют их привычным практикам.

В базовом варианте мы использовали зарубежные стандарты, на которых основан российский ГОСТ безопасной разработки. Мы предварительно провели аудит с подрядчиком, который нам сформировал стратегию внедрения практик, базирующихся на этом ключевом стандарте. Как показала практика, выглядит все красиво, но взлетело, когда мы стали доверять друг другу и попробовали найти какие-то комфортные варианты взаимодействия, исходя из направления, которые задали проведенный аудит и принятая стратегия. Российский рынок BPM-систем: оценки, лидеры, тренды и перспективы. Обзор TAdviser 22.2 т

Дальше просто смотрели, как разработчикам будет комфортно работать, чтобы мы при этом успевали за их релизами. Важно вовремя прийти с вопросами по информационной безопасности — когда у них еще есть время оценить наши требования и что-то успеть исправить. Через какое-то время появилось взаимопонимание со стороны разработки, когда они тоже стали интересоваться критическими уязвимостями и стараться их своевременно поправлять. Они уже начали их оценивать со своей стороны. По итогу мы серьезно сократили сроки, которые требуются на переговоры с ИТ-командой, и ускорили процесс устранения уязвимостей.

В результате произошло своеобразное распределение ответственности между нами. Нам удалось вовлечь команду разработки в процесс устранения уязвимостей, теперь ИТ-специалисты сами понимают, что это нужно и важно. Мы уже не заставляем их устранять проблемы, а просто делимся нашими находками. Мы выполняем триаж уязвимостей и формируем очередь задач. Дальше разработчики берут в работу то, что им кажется актуальным, и постепенно устраняют. Мы последовательно занимаемся оцифровкой этого процесса, чтобы у нас появились методы оценки того, как быстро решаются проблемы и какие из уязвимостей ещё остались. Рассчитываем, что это позволит нам выявить элементы процесса разработки, которые можно ещё улучшить.

Вадим Смирнов: Здесь мы придерживаемся демократичного подхода. Во многом все зависит от вводных для ИТ со стороны бизнеса. Иногда стоит задача в короткий срок реализовать небольшой цифровой сервис для рекламной кампании и буквально нет времени на долгие обсуждения. В этом случае мы показываем ИТ, какие у них есть риски, а они реализуют проект достаточно быстро, стараясь применить наши рекомендации. Таким образом ИТ могут быстро реализовать нужный бизнесу функционал и уже начать тестирование на фокус-группе, а мы параллельно помогаем подготовить решение к релизу с необходимым уровнем безопасности. Так реализуются быстрые проекты, в которых бизнес и ИТ готовы взять на себя риски безопасности, но при этом все успевают воспользоваться «окном возможностей», чтобы получить выгоду от реализованного проекта.

Бывают более обстоятельные и согласованные инициативы. В них ИТ-команда старается подключать нас на самом старте, когда уже примерно понятны очертания проекта со стороны бизнеса. Тогда бизнес делится своими пожеланиями и обозначает важные критерии, а аналитики на стороне ИТ стараются перевести их на язык разработки. В этот момент уже есть понимание потенциальных рисков безопасности, для решения которых необходимо подключать службу ИБ. На базовом уровне они эти риски со своей стороны оценивают – критичные или нет, а мы со своей стороны выступаем с позиции консультанта.

Помимо разработки мы также контролируем установку различных компонентов в корпоративную инфраструктуру, соответствие всех наших продуктов требованиям законодательства по персональным данным, безопасной разработке или безопасности архитектуры систем. Мы стремимся сделать инфраструктуру безопасной, но при этом не помешать, а улучшить клиентский опыт теми безопасными решениями, которые мы предлагаем.

В случае конфликтов решающую роль играет руководитель службы информационной безопасности (CISO). Это представитель бизнеса внутри ИБ. Он должен отстаивать интересы бизнеса, оценивать разумность требований ИБ, находить баланс и между задачами бизнеса и требованиями кибербезопасности, а также своевременно вводить меры, которые требуют дополнительных инвестиций, времени или ресурсов. Роль CISO заключается в том, что он должен понимать, какие риски для бизнеса возникают, насколько они важны. Бизнес также ставит задачи ИТ и обозначает KPI, и в этот момент очень важно всем договориться «на берегу» о рисках и как мы с ними будем работать.

Иногда ИБ-дирекция может выдвигать завышенные требования, которые создают ограничения для бизнеса и снижают ценность получившегося решения. В этом случае важно либо вместе с бизнесом принять возникающие риски или разработать возможные варианты вместо небезопасного решения задачи. Примерно так конфликты обычно и решаются — в результате взаимоприемлемого компромисса, чтобы и задачу решить, и при этом интересы безопасности соблюсти. Но на аспекты информационной безопасности никто не закрывает глаза.

Вадим Смирнов: Сигнатуры обновляются, автоматически, антивирусными политиками управляет ИБ-дирекция. При этом на серверах у нас организовано взаимодействие с инфраструктурным отделом, который отвечает за доступность серверов. Им тоже важно контролировать работу антивируса, они имеют право его отключить или перезагрузить в случае необходимости. Для этого у нас есть специальные регламенты действий.

У нас бывают моменты, особенно в конце года, когда при различных расчетах возникает повышенная нагрузка на сервера, например, «1С». И для них часто антивирус является блокером, потому что он тоже требует определенных вычислительных мощностей. У нас есть утвержденные процессы, которые выработались по итогам решения аналогичных проблем с производительностью оборудования. Мы к этому моменту готовимся: проверяем все политики заранее, чтобы не вызывать проблем, запускаем мониторинг процессов, которые антивирус создает, и таким образом минимизируем их влияние на активы.

У нас также разработаны процессы по взаимодействию с другими подразделениями в случае повышения нагрузки в связи с различными действиями антивируса. Как правило, это использование исключений, графиков обновлений и мониторинга здоровья системы. Эти простые действия позволяют безболезненно пройти пики нагрузки на цифровые активы.

Вадим Смирнов: За устранения уязвимостей отвечают технические владельцы систем. Мы стремимся этот процесс автоматизировать, чтобы снизить риски внезапно возникших уязвимостей. Такую работу невозможно запланировать на квартал. Мы выявляем актуальные уязвимости и реагируем в автоматическом режиме. На это уходит определенное время, конечно, какое-то время риск существует, но мы не считаем его суперкритичным. Конечно, бывают критичные уязвимости, такие как React4Shell. В этом случае важен не стандартный процесс, а налаженное взаимодействие и доверие между подразделениями. Мы говорим: «Ребята, это критично, нужно быстро взять и проверить, эксплойт уже опубликован. Мы не можем это долго обсуждать». Они просто берут эту задачу в работу и реагируют вне стандартного процесса.

Например, о критической уязвимости React4Shell нас предупредили от разных систем мониторинга, производителей продуктов и сервисов, которые мы используем. В этот же день мы все проверили. Мы стремимся реагировать быстро, чтобы не доводить ситуацию до инцидента информационной безопасности.

Вадим Смирнов: Мы используем несколько сервисов, например, сервис мониторинга WAF от группы компаний «Солар». На их стороне работает команда мониторинга с определенным SLA и с таким же процессом реагирования на уязвимости, о котором я упомянул ранее. Это помогает вовремя отражать огромное количество веб-атак, с которыми сталкиваются наши веб-приложения. К примеру, за 2025 год число зафиксированных сервисом WAF сработок правил составило 552,3 млн, что в 4,6 раз больше показателей прошлого года. Большая часть этих сработок − попытки автоматизированных ботов найти уязвимости в веб-приложениях.

В рамках сервиса в том числе есть и возможность оперативного взаимодействия в обход тикетов по срочным вопросам. С командой мы можем также быстро обсудить и решить критические проблемы. «Солар» нам помогает и, возможно, даже больше, чем в рамках сервиса. Они видят проблемы на тех активах, которые у них под защитой и сообщают об этом сразу. Это помогает ИТ-подразделению решить возникшую проблему, которая может быть и не связана с безопасностью, или хотя бы ее подсветить и запланировать меры реагирования.

Вадим Смирнов: Первый шаг – мы проверяем, есть ли у нас такая уязвимость и актуальна ли она для нас. Если мы видим, что требуется время для ее устранения — необходимо провести обновление системы или пересобрать что-то, то мы можем сделать виртуальный «патчинг» с помощью подобного сервиса внешнего мониторинга. Например, если пробито колесо и нужно доехать до автосервиса, то можно использовать такую внешнюю «заплатку». Наши контракты с подобными сервисами такое взаимодействие предусматривает, и команда этим пользуется.

Вадим Смирнов: Конечно, как и все. Все ИТ-подразделения стараются, так или иначе, применить новые технологии, в том числе и искусственный интеллект. В Центре мониторинга Faberlic мы внедрили элементы искусственного интеллекта, которые помогают обогатить информацию о событиях безопасности.

Если говорить про риски, то, мне кажется, что за счет информационного фона риски несколько преувеличены, хотя полностью их исключать не стоит. Конечно, есть риски, связанные с культурой безопасности, но они были всегда в разных проявлениях. Сотрудник, который готовит отчет, может по ошибке отправить информацию не тем людям или использовать незащищенный канал связи, например, мессенджер. Но это же он мог сделать и раньше. Или иногда много информации об инфраструктуре компании и ее системах безопасности можно узнать по тендерной документации, был способ поиска конфиденциальной информации в «мусорной корзине». Это все относится к культуре работы с информацией.

Поэтому необходим постоянный процесс повышения киберграмотности сотрудников, чтобы они осознавали риски в своей работе. Для нас это базовая задача. Мы используем обучающие платформы, проводим различные тестирования. Более того, автоматизировали этот процесс. Например, в Faberlic есть даже рейтинг среди отделов, которые соревнуются между собой и получают дополнительные баллы за успешное прохождение тестов, опросов и решение других задач по взаимодействию с ИБ. Но они же могут получить и отрицательные баллы при различных некритичных, но всё-таки нарушениях информационной безопасности. Мы постоянно рассказываем нашим сотрудникам о новых, только что возникающих угрозах кибербезопасности, тактиках мошенников.

Вадим Смирнов: У меня несколько иной подход: я не планирую ежегодно закупку каких-либо определенных решений. Есть запросы и задачи от бизнеса, которые мы решаем различными способами. Возможно, просто силами собственной команды, без внедрения дополнительных средств защиты. Это уже зависит от компетенций команды и ее зрелости. И уже под эти задачи я подбираю продукты. Если нужны какие-то конкретные инструменты, мы их выбираем из решений, представленных на рынке.

Например, есть задача проверить навыки команды реагирования. Можно организовать внутри команды имитацию кибератак с привлечением Red Team или использовать автоматизированные сервисы тестирования на проникновения. А можно пригласить внешнюю команду, которая могла бы это сделать. Конечно, качество и акценты, которые будут в отчете по результатам работ, будут отличаться. Есть задача, и я под задачу ищу решение. Другой пример — безопасное использование искусственного интеллекта. Можно тоже решить её организационными мерами, кибергигиеной и повышением осведомленности. А можно и отдельное решение подобрать. Для меня в приоритете оптимальное использование средств компании. Как мы знаем, затрачиваемые средства на превентивные меры не должны быть выше возможного ущерба.

Мы также решаем задачи по автоматизации процессов, которые по большей части реализуем силами собственной команды. Для нас важно обеспечить баланс и устойчивость работы бизнеса.