Интервью с ИБ-экспертами: Юлия Омельяненко

Все ошибаются, а безопасность с этим сталкивается постоянно. ИБ-отрасль вообще родилась как работа над ошибками

Юлия Омельяненко, комплаенс менеджер, Wrike облачный сервис для совместной работы и управления проектами

Все ошибаются, а безопасность с этим сталкивается постоянно. ИБ-отрасль вообще родилась как работа над ошибками.

— Юля, спасибо, что согласилась дать интервью для спецпроекта «ИБ в лицах» в блоге InfoWatch. Ты у нас в рубрике первый гость, представляющий инфобезопасность облачных технологий. Тем интереснее, потому что в период пандемии и удаленной работы «облака» и их безопасность — темы максимально насущные. Расскажи, как ты стала заниматься инфобезом в облачном сервисе?

Я начинала с консалтинга в большом российском системном интеграторе. Принимала участие в проектах в разных экосистемах: нефтяные компании, банки, фарма и т.д. Это было в 2012-2013 годах, и тогда еще «облака» не были так повсеместно распространены, и безопасники только нарабатывали с ними первый опыт. Мне тогда повезло поучаствовать в проекте с первой серьезной отечественной облачной платформой. В то время на нашем рынке аббревиатуры SaaS, IaaS, PaaS звучали как ноу-хау. Покопавшись на том проекте в самой сущности облачной платформы, пришло понимание, что это такой же сервис со своей инфраструктурой, которая обслуживается полностью другой компанией-владельцем «облака», а клиенту предоставляется в пользование лишь ее часть. По сути, появляется распределение обязанностей. Облачный сервис берет на себя обязательство поддерживать инфраструктуру, платформу, работоспособность и, естественно, обеспечивать безопасность.

После интегратора была фармацевтическая отрасль. Было интересно поработать в большом международном бизнесе, туда меня пригласили на роль Governance, Risk and Compliance (GRC) — территориального менеджера по управлению governance. Там я занималась не только безопасностью, «облаками», но и управлением качеством, поскольку ранее имела опыт работы с персональными данными и с проектами по оптимизации бизнес-процессов. Я была связующим звеном между юристами, IT и другими подразделениями, прокручивая через свои security-фильтры все бизнес-процессы и документацию. В фарме у меня произошло уже более детальное знакомство с облачными сервисами. Западные компании, несмотря на наличие стека старых технологий, стремятся примкнуть к инновациям. Например, однажды мы переводили рекрутмент-платформу из старого SAP в большое облачное решение Workday. Это был один из первых сложных SaaS наряду с SalesForce, и именно эти решения тогда использовались для управления продажами и персоналом компании, представленной в разных географических регионах. Тогда я и ощутила, что облачные решения очень сильно помогают интернациональным компаниям унифицировать процессы: например, ты и твой линейный менеджер работаете в разных странах, но благодаря облачной платформе все процессы прозрачны. И даже в условиях отсутствия на тот момент регуляторики, казалось бы, малоповоротливая машина международной фармкомпании научилась работать с «облаками», освоила концепцию удаленной работы и смогла наладить работу торговых представителей в полях.

— Расскажи подробнее про Wrike. Кто вы и какой сервис предоставляете?

Wrike родился в Санкт-Петербурге. Сейчас штаб-квартира находится в Калифорнии (США), а офисы расположены по всему миру: Ирландия, Чехия, Япония, Австралия, США и Россия. Wrike входит в тройку лидеров среди облачных систем по управлению проектами и повышению продуктивности команд (Forrester, Gartner). Все начиналось с продукта для управления задачами в рамках одной команды, который оказался очень востребованным и в итоге вырос в самостоятельное гибкое SaaS-решение. В настоящее время у Wrike множество различных лицензий и дополнительных сервисов, каждый может выбрать то, что подходит для его команды или бизнеса. Активное использование нашими клиентами дало развитие отдельным сервисам Wrike for Marketers и Wrike for Professional Services во многом благодаря богатому опыту в этих направлениях. Мы и сами с удовольствием используем наш продукт внутри компании, в частности наша команда через него поддерживает большое количество процессов безопасности.

У Wrike большое количество интеграций, решение Wrike Integrate позволяет создавать интеграции с более 400 сервисов. Среди них и мессенджеры, и облачные хранилища, и CRM, финансовые инструменты и многое другое. Также есть API, с помощью которого можно автоматизировать процессы и в самом Wrike.

— Учитывая твой предшествующий богатый опыт с облачными технологиями с разных сторон, каково в целом твое видение безопасности «облаков»?

В целом мне ближе всего подход, когда security является неотъемлемой частью процессов. Мне нравится, что исходя из этого принципа построен Wrike. Это первая облачная компания, где ИБ изначально встроена в продукт и непрерывно развивается вместе с меняющимися требованиями рынка.

— Это выражается в том, что вы придерживаетесь принципа безопасной разработки? В чем еще?

Да, мы придерживаемся практики безопасной разработки на всех этапах разработки и поддержки продукта. Из существующих практик безопасной разработки самой известной по-прежнему остается подход Secure Development Lifecycle, но мы ушли вперед в своем видении безопасности продукта к подходу Comprehensive Product Security. Безопасность продукта у нас же не ограничивается разработкой: это и поддержка инфраструктуры, и работа с поставщиками, интеграциями. Безопасная разработка уже становится составной частью, добавляются регулярные ревью, добавление security функциональности в сам продукт, как фичей, этичное продвижение и тд. Мы постоянно анализируем запросы клиентов, обратную связь от отдела продаж, по какой причине, связанной с безопасностью, тот или иной клиент мог от нас отказаться и что мы можем улучшить, анализируем актуальные новости, приветствуем обратную связь от внешних энтузиастов. Это все часть разработки. Security функционалом самого продукта у нас занимается команда разработчиков, накопившая определенный опыт. Команда же Application Security занимается сопровождением всех реализуемых решений. Есть некоторые фичи, связанные с ИБ, которые продаются в рамках enterprise-пакета. Но есть и обязательные вещи, которые мы имплементируем для любого типа лицензий, в том числе и для бесплатной. Каждый клиент получает Enterprise Grade Security.

— Получается, ты сделала такой переход в карьере, что, работая в команде безопасности в Wrike, можешь полноценно влиять на продукт и продуктовую стратегию, не только на ИБ?

Двигаясь по карьерной лестнице, я хотела влиять на развитие компании, построить здоровую безопасность. Видела оторванность комплаенса от, как это называют многие, «реальной безопасности». Я тогда еще не знала, что синергия этих двух направлений, которую мне всегда хотелось видеть, и есть философия Agile подхода. У нас в отделе ребята с разными компетенциями: и продуктовая безопасность (application security), и инфраструктурная, и compliance. Структура отдела плоская, мы все работаем как одна цельная команда. Я отвечаю за направление compliance, которое занимается соблюдением требований международных стандартов, а также сопровождение сертификаций. Моя глобальная миссия — обеспечивать интеграцию compliance с технической стороной, чтобы безопасность непрерывно развивалась вместе с продуктом. И в такой команде это впервые на моей практике оказалось реальным. Это коллективная цель и ответственность — делать хорошо и правильно. И мы в этом помогаем друг другу.

Проблема compliance в том, что на нас «вешается» много разных стандартов. Они напрямую зависят от законов в разных странах и вытекающих из них отраслевых требований. Удержать в голове эту цепочку очень сложно, и поэтому у безопасника-«бумажника» может появиться проблема. Он развивается как специалист по нормативно-правовой базе и не может корректно донести свои требования до внедренцев или коллег по цеху. Это отдельный челлендж. У меня была задумка сделать интегрированную систему, в которой compliance понятен для всех, декомпозируется на задачи, понятные каждому подразделению от сисадмина до юристов. Кроме того, из разных требований у тебя в какой-то момент складывается стратегия улучшения. А дальше ее можно было бы сделать автоматизированной и отслеживать — это высший пилотаж.

Только вот мечтать это хорошо, а сделать в реальности гораздо сложнее. И я до сих пор постоянно учусь этому благодаря коллегам.

— Мы в InfoWatch любим напомнить, что любой виток корпоративных технологий находит свое отражение в безопасности. Согласна ли с таким высказыванием?

Конечно. Во многом потому, что лень — двигатель прогресса. Перед нами стоит много задач, которые без средств автоматизации решить невозможно. Приведу простой пример. Сейчас модно говорить про Big Data и подходы к работе с ней. На мой взгляд, двигателем прогресса в IT, как ни странно, являются маркетологи и рекламщики с их стремлением находить и совершенствовать способы максимально точно определять аудиторию, иметь под рукой автоматизированный таргетинг с тонкими настройками, системы, разделяющие аудиторию по предпочтениям. Поведенческий анализ родился отсюда. Маркетологи, сами того не понимая, дали толчок к использованию поведенческой аналитики в ИБ. Технологии развиваются семимильными шагами, а безопасность отстает. Причем она отстает как на стороне злоумышленников, так и на стороне двигателей ИТ-прогресса. Это логично — что-то работает-работает, потом оно ломается, ты анализируешь, почему. Из этого рождаются требования к безопасности. Так родились все отраслевые стандарты. Мы все знаем, что правильно закладывать безопасность на этапе проектирования, но все равно никто не застрахован от случая. И всегда лучше сразу делать хорошо ☺

— В частности, что-то может пойти не так и с облачной платформой. Достаточно посмотреть на количество и регулярность утечек из них — наши аналитики такое постоянно мониторят. Как заказчику выбирать облачное решение с точки зрения его требований к безопасности? Как оценить, на что смотреть и т.д.?

Уже есть богатый практический опыт, что может случиться с облаками. Мы изучаем новостную ленту на предмет, у кого какие утечки, какие уязвимости, по каким причинам и т.д. Безопасник может сам строить требования по проверке облаков и создавать внутренние критерии. Так, например, благодаря инициативной группе отраслевых экспертов родился Cloud Security Alliance. Они разработали матрицу по проверке безопасности облачных сервисов и Cloud Control Matrix, которая превратилась в сертификацию STAR. С точки зрения заказчика удобнее всего проверять облачное решение по требованиям этого альянса. Потому что, когда рождаются правильные и адекватные требования? Когда группа людей, у которых «наболело», садится и формулирует все эти «боли» и требования в виде стандарта.

Можно легко проверить, насколько клиенту безопасно пользоваться тем или иным облачным решением, — просто дайте вашему облачному провайдеру заполнить опросник Cloud Security Alliance. Там, например, есть такие вопросы: что можно выгрузить, как получить информацию, к кому можно обратиться, есть ли порядок проверки на уязвимости, который заказчик может посмотреть и др. Этот стандарт именно про защиту интересов и защищенность конечного пользователя. Кроме того, есть всем нам известный базис в виде ISO 27001, если говорить о защищенности компании в целом. Этот стандарт не про формальный набор галочек, а про непрерывный анализ того, что можно улучшить — continuous improvement подход.

— А как считаешь, какие навыки будут больше востребованы у безопасников в будущем?

Хороший безопасник — он и чтец, и жнец, и на дуде игрец. Первое, чему нужно научиться, — убрать спесь куда подальше и не бояться ошибаться. Все ошибаются, а безопасность с этим сталкивается постоянно. ИБ-отрасль вообще родилась как работа над ошибками

Нужно постоянно совершенствовать свою квалификацию, потому что знания устаревают. Невозможно с одним и тем же багажом знаний плыть дальше и решать вновь возникающие задачи. Безопасник должен быть своего рода коучем, чтобы аргументировать свою точку зрения. Например, объяснить команде, зачем нужно выполнить то или иное требование. Наладить взаимопонимание с сотрудниками с узкой специализацией не так-то просто. Безопасник должен обладать и лидерскими качествами и «пинкоприводом», как я это называю, чтобы доводить задачи до логического результата и эффективно управлять процессами и людьми.

— Насколько, по твоему мнению, нужен навык управления бюджетами, обоснования инвестиций в ИБ?

Я не так много занималась бюджетированием, но в ИБ я около 10 лет и поняла, что умение безопасника обосновать бюджет — это действительно навык. В том числе продажи себя, своих услуг, значимости.

Безопасники зачастую преследуют цель закрыть ИБ-задачи, абсолютно не интересуясь тем, что нужно бизнесу. У нас в компании безопасность успешно взаимодействует с бизнесом, потому что мы не ставим целью проталкивать свои решения любой ценой, чтобы закрыть kpi.

Мы стремимся выполнить эти kpi общими усилиями. У нас в компании даже девиз есть — Work as one. И, наконец, безопасник должен понимать, в каком месте целесообразно затянуть пояса, и уметь это обосновать. Это про способность скоррелировать задачи ИБ с бизнес-целями.

Зачастую цель у многих сервисов — получение какой-нибудь бумажки, чтобы формально прикрыться ею и стать привлекательными для продаж. Но есть альтернатива — сделать действительно хорошую инфраструктуру, по уму. Тогда необходимо мыслить в разрезе построения такой безопасной экосистемы. А это значит не бездумно взять денег на какое-то решение, а провести анализ, сравнение цен, функций. Быть subject matter экспертом, которому можно доверять.

— InfoWatch недавно провела глобальное исследование по утечкам из облачных сервисов. С 2018 г. в 3,5 раза выросло количество утечек в мире и в 22 раза в России. Причем более 53% всех утечек из облаков совокупно приходится на две страны — Россию и США. Можешь это прокомментировать?

Число утечек будет расти по экспоненте. По двум причинам: облачные сервисы сейчас поднять очень просто — любой онлайн конвертер или рисовалка диаграмм из загруженного файла превращаются легким движением руки и щепоткой маркетинга в инновационный облачный сервис.

Почему Россия и США? Ответ очень простой — хостинг. Сейчас очень многие крупные облачные решения открываются на таких же облачных хостингах. Самые известные — это Google и Amazon в США, Яндекс.Облако в России. Данные могли утечь из некорректно настроенной базы данных, расположенной в одном из облачных сервисов. Возьмем условный поисковик открытых баз: он находит подобную базу с некорректными настройками доступа, смотрит, где она находится. И вне зависимости того, получилось определить владельца данных или нет, факт утечки попадет в статистику.

Еще один фактор — это благоприятный инвестиционный климат в Кремниевой долине и Сколково, где очень много еще не пуганных суровой реальностью ИТ-стартапов представлено именно облачными платформами. И функции безопасности в них попросту нет. Опять же, возращаясь к теме таргетированных рекламных технологий, там облачные решения растут как грибы — это, например, агрегаторы данных с разных платформ с красивой визуализацией. Естественно, они обрабатывают и агрегируют ПДн, которые точно так же утекают.

За рубежом в плане утечек ПДн аудиторы в принципе выявляют больше несоответствий, в частности в тех же сертификациях. Это можно посмотреть в обезличенных годовых отчетах таких компаний. Я сейчас говорю именно о процессе обработки таких инцидентов. Это самый тяжелый процесс, потому что упирается в юридическую составляющую, — как правильно об этом инциденте сообщить, обнародовать информацию. Об очень многих инцидентах мы не знаем и, более того, сами компании могут не знать, как на них реагировать. Поэтому статистика известных утечек, может сильно отличаться от реальной. Кроме того, регуляция со штрафами за несвоевременное информирование только появилась, поэтому сейчас прирост был как минимум на том, что информирование сделали обязательным. Но в целом, с ростом количества сервисов и ростом количества данных, которые они собирают, будет расти число утечек, и хорошо, что это кто-то исследует и анализирует.

— Хочется тебя спросить про разницу менталитетов, подходов у европейцев, у русских, у смешанных ИБ-команд. Как бы ты ее сформулировала?

Чем компания крупнее, тем она более неповоротливая и менее склонная к радикальным изменениям.

Что касается России, исторически так сложилось, что у нас сильная забюрократизированность. Сказывается и средний возраст регулятора. Если брать западные страны, Кремниевую долину, там законодательство подстраивается под экономическую целесообразность. У нас в стране правила несколько другие, поэтому регулятора экономическая целесообразность волнует в последнюю очередь, а больше заботит подконтрольность и обязательное выполнение для галочки.

У нас даже нормативные документы называются нормативными, а на Западе — laws and regulations, то есть законы и регуляции, подразумевающие волатильность. А не строгую нормативность как на уроках физкультуры — когда разница в прыжке составляет несколько сантиметров, но кто-то получает «отлично», а кто-то «неуд». Хорошо, что у нас в принципе есть тенденция к тому, чтобы адаптировать зарубежные стандарты под российские, но все это идет с опозданием по времени. К тому же это два разных подхода к пониманию рекомендации: «сделай хорошо для того, чтобы» и «мы зачтём, если сделаешь вот так или вот так».

— Как ты считаешь, обязательно ли безопаснику надо в жизни поработать в международной компании? Это «перепрошивает» мозги, повышает ценник на рынке труда?

Не столько повышает ценник, сколько учит тебя работать в определённых рамках. Я проработала в фарме три с половиной года и отвечала за регионы России и СНГ, EMEA и Asia Pacific, включая Австралию.

Мне это позволило накопить много знаний, как большие заказчики работают с облачными решениями и чего от них хотят. Какие есть критерии успешности и неуспешности. Как можно проверить облачный сервис, если он для тебя черный ящик, и что облачный сервис может предложить, чтобы быть привлекательным для крупной организации с точки зрения безопасности. Любая работа с облачным сервисом — это аутсорсинг. Ты избавляешься от инфраструктуры, но правила безопасности остаются. Их необходимо с умом переложить на «облако» — быть уверенным, что облачная инфраструктура отвечает требованиям бизнеса к информационной безопасности. Мы же все понимаем, что утечка через облака аукнется репутации. Потому что кто принял решение о переходе в «облако»? Сделал ли он все, что от него зависело? Или, может, поставщик облачного сервиса что-то скрыл, а безопасник не проверил? На одной части весов быстрое развитие, на другой — репутация ИБ-отдела и всей компании, сохранность данных.

Безусловно, для безопасника опыт работы только в отечественных компаниях накладывает ограничения в мышлении, поэтому в голове у них чаще линейный подход и знания только российской нормативной базы. Многие мои знакомые при подобном переходе, увы, так и не сумели перестроить образ мышления и адаптироваться. Опыт на международном поприще мне многое дал, но там был свой недостаток — какая бы компания ни была гибкая, ты в ней все равно маленький винтик.

А сейчас мое место не просто «с боку», а непосредственно в продукте. Для профессиональной идентификации безопасника это колоссальный рост.

— В одной из дискуссий коллег по ИБ, связанных с удаленкой, слышали интересное мнение, что как только безопасники настроят «облака», их через 5 лет можно будет увольнять и заменить роботизированными системами. Как тебе такое заявление?

Так и про аутсорсинг уже говорили, мол проще и дешевле. Для малого и среднего бизнеса это конечно станет хорошим подспорьем. Но ни одна роботизированная система в настоящий момент не сможет определять цели и стратегию, а без этих двух составляющих она теряет свой смысл. Любая автоматизация, облачная или нет, существенно облегчает жизнь и снижает объем ручной работы, да и в принципе делает работу эффективнее. Но пока есть человеческий фактор, ни одно даже самое лучшее решение его не предскажет. Не определит фолсы в работе сканеров, не предугадает действия конкретного пользователя. Возможно, когда-то появятся какие-то квантовые оракулы, но это уже совсем другая история.

— Ты училась в МИФИ, причем конкретно на факультете информационной безопасности. Как оцениваешь соответствие вашей подготовки реалиям профессии?

Мне многое не нравится в ИБшном профильном образовании в России, но в моем родном МИФИ в этом вопросе повезло: нас научили применять аналитический аппарат и брать в работу нестандартные задачи. Когда я устроилась на свое первое место работы, было ощущение, что 5 лет мы делали что-то малоприменимое к жизни. Но это оказалось не так. Спасибо преподавателям, которые дали мне отправную точку и научили быстро ориентироваться в большом количестве методичек. Это основное, что мне помогло начать работать как compliance менеджеру. Во время учебы у нас сильно поощрялось использование зарубежной информации, а курсовые нас заставляли делать не по материалам лекций, а давали тему из реальной практики и говорили «раскручивай».

— Какое было соотношение девушек и парней на факультете, когда ты училась?

Сначала на потоке учились 100 человек, потом осталось 60, включая 7 девушек. В моей группе из 20 человек было 3 девушки. То есть изначально это был мужской коллектив, но нам было не до гендерных предрассудков. Всем надо было как-то выживать в сессию, поэтому девочки подтягивали мальчиков по точным наукам, математике, а парни помогали писать лабы по программированию. Позже я работала в разных смешанных коллективах, а вот в фармкомпании на старте карьеры в русском дивизионе была единственной девушкой в ИТ-департаменте, не говоря уже про ИБ-отдел. После сделки слияния ИБ-отдел стал интернациональным, и нас стало поровну.

В целом, я привыкла быть в мужском коллективе, привыкла к продуктивным и дружелюбным отношениям с коллегами, но бывали и казусы. Когда, например, девушки в отделе набирали себе большее количество проектов, чем парни, при этом уровень заработной платы у нас был такой же или даже ниже. Однажды пришлось коллегам-мужчинам прямо сказать, чтобы брали себе новые проекты, потому что у меня их 11, а у них по 3. Но на командный дух это потом влияло только с позитивной стороны.

Кстати, вот еще один плюс получения опыта в международной компании — стираются гендерные, возрастные и любые другие стереотипы, потому что вы делаете общее дело и объединены профессиональной общностью. Субординация, конечно, остается, но она какая-то другая, именно функциональная. Это здорово прививает навык выхода за пределы собственных ограниченных представлений. Тем, кто сейчас учится, я бы сказала, что адаптивность и готовность воспринимать обратную связь помогают делать карьеру в ИБ.

— Последний вопрос. Wrike — во всех смыслах гибкая команда, и наверняка удаленка не сильно изменила ваш внутренний уклад и эффективность. Но, возможно, у тебя была возможность увидеть еще примеры, на кого как повлияла удаленка?

Да, вся компания ушла на удаленку по одному щелчку пальцев. Была своевременно поставлена задача подготовить среду для перехода, и он произошел очень плавно. Тяжелее было подразделениям, которые работали с российским законодательством. Но даже они оказались настолько гибкими, что свои бизнес-процессы перевели на удаленный режим. По нашему ИБ-отделу могу сказать, что у нас даже продуктивность повысилась в отличие от аналогичного периода прошлого года. Как оно скажется на бизнесе в целом, покажет время. Мы сами давно используем достаточно большое количество облачных сервисов.

Международным компаниям переходить было удобнее, потому что когда у тебя бизнес-процесс связан с другими континентами, это один из подвидов удаленной работы.

— Но, получается, ты сама осваивала профессию в вузе. Да и сейчас Information Security является очень модным и востребованным выбором среди абитуриентов.

Это так, но высшее образование не гарантирует ничего. Вы вышли после 5 лет обучения, а всё уже изменилось. ИБ сильно отстает от IT, потому что продукты для защиты каких-либо новых фреймворков появляются позже, чем внедряется этот стек технологий. Кроме того, просто учебная программа без опыта параллельной работы, никуда не продвинет. Только стажировки и самообучение.

— Но, получается, ты сама осваивала профессию в вузе. Да и сейчас Information Security является очень модным и востребованным выбором среди абитуриентов.

Это так, но высшее образование не гарантирует ничего. Вы вышли после 5 лет обучения, а всё уже изменилось. ИБ сильно отстает от IT, потому что продукты для защиты каких-либо новых фреймворков появляются позже, чем внедряется этот стек технологий. Кроме того, просто учебная программа без опыта параллельной работы, никуда не продвинет. Только стажировки и самообучение.

И в целом, те, кто были цифровизированы и до этой пандемии, переживают ее гораздо легче. А те, кто тормозил с автоматизацией и цифровыми сервисами, тем гораздо неудобнее — непрозрачные процессы, несистематизированные данные, слабые возможности быть эффективными.

Подпишитесь на рассылку INFOWATCH