Нам нечасто удается узнать об обустройстве корпоративной информационной безопасности (ИБ) непосредственно от представителей высшего звена руководства крупных международных корпораций, особенно если разговор касается организации ИБ именно в их компаниях.
Джон Саффолк назначен руководителем глобальной службы информационной безопасности (Global Cyber Security Officer) корпорации Huawei Technologies 1 октября 2011 г. Об общих подходах к организации ИБ в Huawei, а также о наиболее актуальных аспектах информационной безопасности, связанных с использованием ИКТ, с ним беседует научный редактор PC Week/RE Валерий Васильев.
PC Week: В чем суть общей стратегии и комплексной системы обеспечения ИБ в вашей компании? В чем здесь отличие от ИБ-систем других крупных ИКТ-вендоров?
Джон Саффолк: При разработке своих стратегий мы прежде всего стараемся понять, что предлагает рынок, а также стремимся детально изучить опыт как можно большего числа технологических и инфраструктурных вендоров.
На самом деле все компании сталкиваются с одними и теми же проблемами в области ИБ. Нам необходимо тщательно отобрать лучшие способы преодоления этих проблем. Конечно, у нас есть и свой собственный корпоративный опыт, которым мы, кстати, делимся с другими.
Процесс обеспечения ИБ в Huawei начинается с набора персонала и управления им, далее он распространяется на все структуры компании, включая как вспомогательные (например, юридические), так и основные — технологические. Мне как руководителю корпоративной ИБ-службы не нужно знать, где стоит тот или иной отдельный модуль нашей ИБ-системы, — я должен целиком видеть всю цепочку прохождения информации, в которую этот модуль входит. Именно в этом случае я могу влиять на безопасность информации в целом.
Мне не требуется указывать нашим разработчикам, как надо писать безопасные программные коды или проектировать устройства, являющиеся неуязвивыми, я формулирую общие ИБ-требования ко всей продукции. В результате каждый наш продукт содержит в себе часть общей системы безопасности Huawei. Это комплексный подход к дизайну, разработке, внедрению и поддержке технологий и систем.
PC Week: Какие показатели используются в системе контроля ИБ вашей корпорации?
Дж. С.: Основой системы контроля ИБ нашей компании является так называемая Red Line (красная линия). Каждое подразделение Huawei имеет свои, различающиеся требования по ИБ, свою “красную линию”, свой отдел, сотрудники которого следят за тем, чтобы показатели безопасности не опускались ниже Red Line и соответствовали требованиям “красной линии”. Так, в подразделении научно-исследовательских и опытно-конструкторских работ требования к ИБ гораздо строже, чем, например, в юридическом. Каждая структурная единица Huawei следует своей “красной линии”, и в результате компания получает требуемый общий уровень ИБ.
PC Week: Каковы же ключевые показатели состояния ИБ в компании? Какими инструментами пользуетесь лично вы для расчёта и контроля этих показателей?
Дж. С.: Я отчитываюсь за каждый ИБ-инцидент, если он случается, перед генеральным директором корпорации Жэнь Чжэнфэем. А помимо этого, разумеется, представляю ему и совету директоров компании регулярные отчёты. Из количества и характера инцидентов мы и составляем заключение о текущем состоянии ИБ в корпорации. Так вкратце можно описать вертикаль контроля ИБ в Huawei.
PC Week: Давайте теперь посмотрим на горизонтальные уровни контроля ИБ.
Дж. С.: Наша продукция проходит несколько фаз проверок на соответствие требованиям к ИБ. Первая из них обеспечивается внутрикорпоративными стандартами процесса разработки и тестирования продукции. Когда, например, речь идет о разработке какого-нибудь программного продукта, мы сразу оговариваем, каким ИБ-критериям он должен удовлетворять и как эти критерии будут контролироваться в процессе его создания.
Кроме того, у нас есть отдельное подразделение, специализированно занимающееся тестированием нашей продукции на предмет уязвимостей. К этой работе мы привлекаем и наших партнеров. Например, специалисты корпорации Symantec проводят тесты на устойчивость наших продуктов к хакерскому взлому. Есть и еще один важный этап проверки. В Великобритании находится центр, в котором продукция Huawei проходит такие тесты, о технологии и методиках которых наши разработчики практически ничего не знают.
Если на каком-то этапе тестирования обнаруживается проблема с защищенностью, продукт возвращается к архитекторам, в самое начало проверочной цепочки, для выяснения причин. Таким образом, находя уязвимости, мы обновляем наши процессы и процедуры для улучшения качества наших решений.
PC Week: А какие ИБ-угрозы для бизнеса Huawei в настоящее время ощущаются вами как наиболее острые? Они одинаковы во все мире или в разных странах различаются?
Дж. С.: Я не вижу каких-либо существенных различий между возможными ИБ-угрозами, которые ожидают нас в разных странах. Например, ноутбук, который я подарил жене на Рождество, прежде чем попасть к ней, проехал через пять стран. Логистическая задача по доставке этого устройства потребителю была общей для всех стран и компаний, участвовавших в ее решении. Бизнес становится трансграничным, трансграничными становятся и его проблемы. Это в полной мере относится и к бизнесу Huawei.
PC Week: Есть ли специфика ведения бизнеса с позиций обеспечения корпоративной ИБ в России?
Дж. С.: Да нет — в любой точке мира ИБ-специалисты обсуждают одни и те же проблемы.
PC Week: Данные различных исследований показывают, что одним из мощных каналов утечки корпоративных секретов являются партнеры и заказчики. Какие механизмы расширения корпоративных ИБ-политик на клиентов и партнеров применяет Huawei, особенно если они находятся за рубежом, скажем, в нашей стране?
Дж. С.: Очевидно, что чем больше людей вовлекается в разработку и использование того или иного продукта, тем выше ИБ-риски, потенциально сопутствующие ему на протяжении жизненного цикла. Мы организуем тщательный контроль за тем, к чему следует допускать каждого из наших заказчиков и партнеров на протяжении всего жизненного цикла продукта, ведь порой проблемы с ИБ обнаруживаются спустя месяцы после их возникновения. За это время многое меняется: уходят одни специалисты и приходят другие, в системах заказчиков появляется оборудование других вендоров, о свойствах которых специалисты Huawei могут ничего не знать… Приходится возвращаться к началу жизненного цикла продукта и оттуда искать причины проблемы. Причем искать нужно совместно и с партнерами, и с клиентами, поскольку неизвестно, на чьей стороне она возникла. Мы стараемся вести максимально подробные журналы событий — только так зачастую и удается локализовать причину и вынести урок из всех инцидентов, которые могут возникнуть.
PC Week: Вашим клиентам и партнерам отводится заметная роль в выстраивании “красной линии”. Но есть ли у Huawei возможность в достаточной мере контролировать выполнение ими этих требований?
Дж. С.: У компании многие сотни партнеров, и сказать, насколько они открываются для Huawei, чтобы мы могли контролировать выполнение наших требований к ИБ, я затрудняюсь. На мой взгляд, открытость и прозрачность — хорошая модель ведения бизнеса. Мы, со своей стороны, готовы искать условия, устраивающие все стороны — нас, партнеров и клиентов, будь это частные компании или государственные учреждения. Мы должны защитить всю цепочку поставок, включая всех наших партнеров.
PC Week: Насколько остро Huawei ощущает сегодня проблемы экономического кибершпионажа?
Дж. С.: Да, такая проблема существует… Но ведь шпионаж в экономике существовал во все времена, в том числе когда еще не было никаких цифровых технологий. Однако для Huawei я не считаю кибершпионаж большой проблемой. Я уже сказал, что нам нравится вести бизнес прозрачно. При необходимости мы демонстрируем тем, кому это нужно (например, представителям государственных структур, отвечающих за национальную сертификацию), свои разработки и производство. Более того, как я уже говорил, мы передаем наше оборудование в другие организации на независимое тестирование. Конечно, те сведения, которые эти организации получают при этом, они не должны разглашать третьим сторонам. Мы рассчитываем, что независимое тестирование поможет улучшить наши решения и сервисы.
PC Week: Сегодня все чаще говорят о проблемах международной киберпреступности и межгосударственного противостояния в киберпространстве. Есть ли реальные и эффективные пути решения этих проблем?
Дж. С.: Что касается противодействия в отношении киберпреступности, то для начала людям следует просто внимательнее относиться к ИКТ-инфраструктуре, с которой они имеют дело на работе и дома. Тривиальное своевременное обновление ПО, исключение из корпоративной практики делегирования сотрудникам неоправданно расширенных прав доступа, использование только необходимых программ — эти несложные меры, как показывают исследования, помогают снять около 85% ИБ-проблем, возникающих при работе с ИКТ-ресурсами.
Если же будут приняты международные правила, запрещающие цифровое взаимодействие без соблюдения упомянутых выше (самых общих) мер по ИБ, то правительства стран смогут сконцентрироваться на более сложных задачах противодействия киберпреступности. Пока же бóльшая часть проблем связана с теми простейшими ИБ-правилами, которые я упомянул.
Теперь о кибервойнах. Увы, кибервойны — это современная реальность. Цифровые технологии ничем не отличаются от других — они служат для производства инструментов, которые могут быть использованы в том числе и в военных целях.
PC Week: Как вы оцениваете влияние законодательного регулирования сферы ИБ в Китае и в России?
Дж. С.: Законодательное регулирование ИБ оказывает самое серьезное влияние на ИБ-разработчиков во всем мире. Huawei ведет бизнес в более чем 140 странах, и законы в них разные. Но даже там, где законы, казалось бы, одинаковы, их по-разному интерпретируют и выполняют. Такую ситуацию я наблюдаю даже в Евросоюзе, объединяющем двадцать семь стран. Одна из моих задач как раз и заключается в том, чтобы продукты Huawei соответствовали требованиям этих законов в их интерпретации.
PC Week: Законодательное регулирование ИБ помогает или мешает бизнесу Huawei?
Дж. С.: Среди законодательных требований разных стран есть и во многом похожие, например, требования к защите персональных данных. Выполнение законов, регулирующих использование этого вида данных, позволяет распространять наши продукты в разных странах практически без доработок.
Однако если бы у меня была волшебная палочка, я попросил бы ее максимально точно определить, что же понимается под персональными данными в каждой стране. Сегодня в одних странах IP-адрес и адрес электронной почты являются персональными данными, а в других — нет... Четкость определений помогла бы бизнесу не только нашей компании.
PC Week: Трудно ли европейцу исполнять столь деликатные обязанности, как руководство корпоративной службой информационной безопасности в китайской компании?
Дж. С.: Нет, совсем нет.
PC Week: Благодарю за беседу.