Даже один серьезный инцидент в области кибербезопасности может нанести непоправимый ущерб компании

О тонкостях и подводных камнях управления информационной безопасностью, о том, как в этой связи меняется роль ­ИТ-менеджмента, а также о необходимости развивать цифровую гигиену не только сотрудников, но и внешних пользователей мы беседуем с Евгением Колбиным, генеральным директором SberCloud.

— Расскажите об ­этапах и целях формирования цифровой экосистемы ­Сбера. Как правило, особое внимание, основной фокус в этом случае направлен на выстраивание единства технологий и процессов. Есть ли у экосистемы Сбера ­какие-либо отличительные особенности?

— Первые цифровые сервисы пришли в банковский бизнес еще в 90‑е годы, но формирование цифровой экосистемы, где клиенты банка (частные и корпоративные) получают не только финансовые сервисы, — это уже следующий, значительно более высокий уровень цифровой трансформации бизнеса. И в этой сфере Сбер является одним из лидеров. В настоящее время экосистема Сбера крупнейшая в России, а облачные сервисы — ее важнейший элемент. SberCloud еще очень молодая компания, которая была основана в январе 2019 года. Сейчас SberCloud предлагает широкую линейку инфраструктурных и платформенных облачных продуктов, а также инструменты для работы с искусственным интеллектом. Информационно-­технологические платформы и услуги SberCloud не только являются основой цифровой экосистемы Сбера, но также предоставляются внешним клиентам — компаниям и государственным организациям. Мы предлагаем рынку то, что сами используем в Сбере, и это вызывает доверие клиентов. Отмечу, что в 2020 году объем выручки SberCloud вырос в 22 раза.

— SberCloud предлагает широкую линейку инфраструктурных и платформенных облачных решений. Приведите наиболее показательные примеры. Разрабатываете ли вы собственный софт для всех этих продуктов или используете заимствованные решения?

— SberCloud самостоятельно разрабатывает и выводит на рынок облачные сервисы, причем такие передовые, как, например, ML Space — инновационная облачная платформа для создания продуктов и решений на основе искусственного интеллекта. ML Space позволяет ускорить, оптимизировать и упростить процесс обучения нейросетей, препроцессинга данных и развертывания моделей на высокопроизводительной инфраструктуре для последующего внедрения их в микросервисы, функции и приложения. Сегодня ML Space — это единственная в мире облачная платформа, позволяющая обучать ИИ-модель более чем на 1000 графических процессоров (GPU). Рекордная производительность платформы достигается за счет использования самого мощного российского суперкомпьютера «Кристофари» (40‑е место в мировом рейтинге суперкомпьютеров Top500). «Кристофари» также был разработан и создан ­специалистами SberCloud. Пользователям для работы с данными ML Space предоставляет новые удобные инструменты, а компаниям и организациям, не имеющим глубокой ML-экспертизы, дает возможность начать использовать искусственный интеллект в своих продуктах и приложениях.

— На церемонии вручения сертификата соответствия SberCloud требованиям международных стандартов по информационной безопасности была отмечена готовность компании предложить свои услуги на глобальном рынке. Каким образом планируется обеспечить единый системный подход на основе стандартов ко всем международным игрокам, учитывая различия в их техническом, культурном и организационном уровне?

— Если говорить о работе с международными компаниями, то для нас, наверное, как для любого поставщика облачных услуг, интерес представляют крупные, в том числе международные, компании, работающие в России. Для них полученный нами сертификат, подтверждающий соответствие системы управления информационной безопасностью SberCloud требованиям международного стандарта ISO/IEC 27001:2013, с подтверждением внедрения правил безопасности облачных технологий по стандарту ISO/IEC 27017:2015 и безопасности персональных данных по стандарту ­ISO/IEC 27018:2019, имеет принципиальное значение. Ценность получения этого сертификата заключается в том числе и в подтверждении соответствия нашей системы управления информационной безопасностью международным стандартам, принятым большим количеством стран с различным техническим, культурным и организационным уровнем и различными бизнес-­традициями.

— Одна из главных задач стандартов — сделать пользователя элементом системы безопасности. Как проходит обучение пользователей — и внешних, и внутренних? Ведь повышение осведомленности в вопросах информационной безопасности действительно большая проблема.

— Развитие киберкультуры является не только требованием таких стандартов, как ISO 27001, но и реальной потребностью для обеспечения комплексной защиты информации, такой же, как антивирус или межсетевой экран, поскольку, как известно, где тонко, там и рвется, и, к сожалению, часто этим «тонким местом» становятся пользователи. Ровно поэтому мы можем видеть обучающие мультипликационные ролики по противодействию мошенникам даже в вагонах метро. Для развития цифровой гигиены своих сотрудников мы проводим регулярные мероприятия в виде обучающих тренингов и проверку знаний в виде тестов и эмуляции кибератак.

— Стандарт ISO/IEC 27001 в ранних редакциях не предъ­являл жестких требований к анализу рисков, и многие раньше анализировали их формально, особенно когда компания хотела пройти сертификацию лишь для того, чтобы просто демонстрировать сертификат заказчикам. Теперь требуется достаточно серьезная доработка подходов к анализу рисков. Стандарт выходит на первый план, потому что он не про конкретные меры по безопасности, он про управление; именно это понятие является ключевым. Каким образом всё это работает в SberCloud? На какие нюансы вы бы хотели обратить внимание читателей?

— При построении системы информационной защиты мы выделяем семь технологических уровней (от физического до прикладного), на которых реализуются соответствующие технические и организационные меры защиты информации. Разумеется, при этом мы учитываем и анализируем различные риски. Если потенциальные уязвимости будут выявлены на ранних стадиях разработки, их устранение окажется намного проще и дешевле, чем на этапе запуска продукта в промышленную эксплуатацию. Наш Центр киберзащиты отвечает как за кибербезопасность инфраструктуры, в которой размещаются компьютеры сотрудников и ИТ-системы самой компании, так и за инфраструктуру облачной платформы SberCloud, в которой размещаются информационные системы наших клиентов. Весь этот комплекс мер обеспечивает информационную безопасность SberCloud и наших клиентов. В настоящее время невозможно переоценить важность поддержания высокого уровня информационной безопасности для поставщика облачных услуг: даже один серьезный инцидент в области кибербезопасности может нанести непоправимый ущерб компании.

— Менялись ли с течением времени ключевые показатели эффективности (KPI) компании в плане достижения как стратегических, так и операционных целей в области информационной безопасности?

— Одной из основных стратегических целей компании является предоставление нашим заказчикам качественных защищенных облачных сервисов, достижение которой попросту невозможно без внедрения системы управления информационной безопасностью со своими операционными ключевыми показателями эффективности. И по мере развития компании и появления новых продуктов совершенствуется и сама система управления информационной безопасностью.

— Расскажите о современных трендах в области менедж­мента информационной безопасности.

— По мере проникновения облачных сервисов в корпоративные информационные системы роль менеджера по управлению информационной безопасностью компании трансформируется. Она всё больше становится похожа на роль сервис-­менеджера, который управляет контрактами на те или иные сервисы, а не людьми или средствами защиты информации.

— Какова, на ваш взгляд, роль информационной безопасности и, в частности, управления рисками в обеспечении непрерывности и устойчивости бизнеса?

— Планирование непрерывности бизнеса — показатель зрелости и обязательная практика во всех крупных компаниях, а информационная безопасность — ее неотъемлемый элемент. Современная облачная инфраструктура и сервисы предоставляют гибкий, удобный, управляемый и безопасный доступ к ИТ-ресурсам компании: ИТ-менеджмент может контролировать, кто, когда и какими ресурсами воспользовался. Можно делиться частью инфраструктуры не только с сотрудниками, но и с внешними подрядчиками и партнерами, что особенно актуально сейчас, когда распределенная работа над проектами и продуктами стала мейнстримом. Кроме того, облачные провайдеры берут на себя значительную часть усилий по обеспечению безопасности информационных систем клиентов. Согласно отчету компании Cloudflare, в марте 2020 года, с началом пандемии и переходом значительной части бизнеса на удаленную работу, количество онлайн-­угроз выросло в шесть раз по сравнению с обычным уровнем. Облачные провайдеры максимально снижают такие риски, так как имеют возможность регулярно и много инвестировать в лучшие решения в области информационной безопасности, нанимать самых квалифицированных (и весьма дорогостоящих) специалистов в этой области и имплементировать лучшие практики в области киберзащиты.

01.04.2021

---

448

Поделиться: