Виталий Медведев, CISO компании МТС RED: необходимо выдерживать баланс при выборе вендора

О построении эффективной системы безопасности в компании, о подходке к выбору вендора и о том, как диверсифицировать возможные риски и угрозы, рассказал CISO компании МТС RED Виталий Медведев.

 — МТС RED и Future Crew проводят в рамках ЦИПР секцию «Информационная безопасность от одного вендора глазами CISO: страхи и возможности». О чем пойдет речь?

— К участию в секции приглашены практикующие CISO из крупнейших компаний различных отраслей– «Норникеля», «Транснефти», «Сбертеха» и других. Они поделятся лучшими практиками кибербезопасности, которые применяются в их компаниях. В частности, в фокусе обсуждения будет подход к выбору вендоров, сравнение моновендорного и мультивендорного подхода. Эта тема актуальна для компаний любой сферы деятельности, но представители промышленных компаний дополнят дискуссию практическими кейсами, связанными с отраслевой проблематикой – в том числе задачами и сложностями, которые возникают в связи с уходом зарубежных вендоров.

— Почему вы делаете акцент именно на этом вопросе?

— Сейчас в контексте приближающихся сроков перехода на отечественное ПО заказчики
просчитывают риски и рассматривают преимущества различных ИБ-стратегий на долгосрочный период. И существует целый ряд вопросов, которые рождают дискуссию вокруг того, выгодно ли строить защиту от киберугроз на базе решений одного вендора. С одной стороны, у моновендорного подхода есть очевидные плюсы – интегрируемость различных решений, «единое окно» поддержки для решения всех вопросов. С другой стороны – есть ряд рисков.

Например, многие компании рынка информационной безопасности фиксируют рост числа атак через подрядчика. При этом периодически появляются новости об утечках дистрибутивов отечественного ПО и обнаруживаемых в нем уязвимостях. Они могут негативно влиять на защищенность не только того продукта, в котором обнаружены, но и на другие решения данного вендора. Уязвимость может наследоваться другими продуктами линейки – например, за счет небезопасной архитектуры или общего технологического ядра. В результате поверхность атаки на заказчиков драматически возрастает.

Или же другой пример: заказчик долгое время закупает все VPN-шлюзы у одного производителя. Со временем аппаратная платформа устаревает, и перед ним встает необходимость в замене всего парка устройств. Вендор в такой ситуации может взвинтить цены, понимая, что одномоментно заменить абсолютно все VPN-шлюзы на решения другого производителя будет невероятно сложно. Это только несколько кейсов. В рамках сессии CISO расскажут о том, какие еще выгоды и риски они видят в этих подходах, и по какому пути идут их компании.

— Какого мнения придерживаетесь вы?

— Я считаю, необходимо выдерживать баланс. Важно выбирать надежного вендора, но и самые крупные компании не застрахованы от взлома, поэтому эти риски лучше диверсифицировать. Кроме того, очевидно, что выбор продукта должен опираться на его характеристики, а сейчас даже у самых крупных игроков рынка ИБ не все продукты обладают одинаково высоким уровнем зрелости. При этом в ряде случаев – например, в случае с взаимодополняющими технологиями, имеет смысл приобретать их у одного вендора или, как минимум, у вендоров, которые гарантируют возможность их взаимной интеграции.

Какие-то технологии можно использовать по аутсорсинговой модели, она предоставляет
возможность сделать проект максимально быстрым и экономически привлекательным. Поставщик сервиса снимает с заказчика многие проблемы, в первую очередь, поиск квалифицированного персонала и затраты на ФОТ. И при в виде сервиса компания может получить лучшие технологии на рынке от различных разработчиков, а поддержку получать «из одного окна». И кроме того, зачастую эти сервисы комплиментарны уже используемым заказчиком облачным и телеком- услугам. Глобально подход к построению безопасности должен отталкиваться, в первую очередь, от активов и потребностей компании. Тогда получится собрать эффективную систему безопасности, которая соответствует требованиям текущей ситуации.