Сергей Клевогин — независимый эксперт в информационной безопасности, обладатель более 50 международных сертификатов, включая OSCP, CCISO, LPT (Master). В интервью CNews он рассказал, как за последние годы изменилась роль руководителя службы информационной безопасности (CISO), почему дефицит кадров и регуляторика — это не «боль», а рабочие задачи, и какие метрики нужны для разговора с советом директоров. Эксперт объяснил, почему без SGRC-системы («управление, риски и соответствие») невозможно управлять сотнями активов и как наступательная безопасность помогает выстраивать реальную защиту. Также Сергей назвал три ключевые компетенции будущего для CISO — финансы, право и искусственный интеллект — и перечислил типичные ошибки, которых стоит избегать.
Сергей Клевогин: Отвечу как сертифицированный руководитель службы информационной безопасности и человек с практическим опытом управления ИБ в крупном холдинге. Реальная ответственность CISO — это непрерывность бизнес-процессов. Мы отвечаем за то, чтобы бизнес не остановился из-за проблем с информационной безопасностью: атак на наши системы, цепочку поставок или отказов импортозамещённого ПО. Также это правовые риски, особенно связанные с выполнением нормативных требований. Но есть и ещё один невидимый уровень — контроль всех вопросов ИБ так, чтобы проблемы не доходили до высшего руководства от кого-либо помимо CISO. Если руководство узнаёт о проблемах из другого источника — значит, CISO не полностью контролирует направление. Зона ответственности — выстроить процессы и коммуникации так, чтобы замкнуть все вопросы ИБ на себе, а если что-то нужно обсуждать на высшем уровне, инициатором должен быть сам CISO.
Сергей Клевогин: Вы, наверное, ожидаете, что я скажу: дефицит кадров, рост регуляторных требований и сложность управления активами в условиях импортозамещения. Но я скажу, что это не боли. Боль — это когда получил удар и неприятно. А здесь — реальные задачи, с которыми CISO справляется с воодушевлением. Дефицит кадров решается бюджетом и выращиванием своих специалистов. Рост требований — дружбой с юристами. Сложность управления активами — мы сами затеяли трансформацию бизнеса, значит, готовы управлять активами в любых условиях. Всё решаемо.
Сергей Клевогин: Я уверенно вижу, что роль трансформировалась из старшего админа в полноценного бизнес-лидера по управлению рисками. Но окончательно перейти в эту роль часто мешает отсутствие инструментов, которые позволяют говорить с бизнесом на языке цифр, а не технических уязвимостей. Во многих компаниях у CISO слабая интеграция в процессы принятия решений, сильная зависимость от ИТ-директора, который становится фильтром влияния. Задача CISO — либо интегрироваться с ИТ-директором и идти вместе, либо подняться через службу безопасности или напрямую руководству, чтобы убедить: CISO должен принимать решения. Тогда он сможет говорить на языке бизнеса, денег и рисков.
Сергей Клевогин: На уровне совета директоров главная метрика — ожидаемый годовой финансовый ущерб от реализации ключевых киберрисков, выраженный относительно общего оборота или бюджета. Вторая — время восстановления критичных бизнес-процессов (RTO). Если мы докладываем: «В случае сбоя восстановимся за 516 часов», а совет директоров хочет 30 часов — значит, нужна горячая площадка за столько то миллионов. Пусть решают: снижаем время или терпим. Третья — процент охвата защитными мерами критически важных активов или доля активов с недопустимым риском. Это даёт понимание руководителям бизнес-подразделений, насколько они рискуют своими процессами. Можно добавить динамику устранения критических уязвимостей, но это уже дальше от финансов.
Сергей Клевогин: SECURITM — это SGRC-система («управление, риски и соответствие»). В контексте бизнес-рисков она становится единым окном для CISO. Без такой системы невозможно оперативно видеть актуальные статусы проектов, соответствие требованиям и состояние активов. Какой бы талантливый ни был CISO, даже если голова как Дом союзов, всё это удержать в голове невозможно. Отсутствие централизованного управления создаёт риск «слепых зон» или «белых пятен» ИБ, где инцидент может быть пропущен из за хаоса в документах и таблицах. Решения принимаются на ощущениях, приоритеты искажаются — чиним то, что громче, а не то, что важнее. Нет явной связи «актив — риск — меры — эффект». Пример: финансовый директор пишет гневное письмо об утечке данных из бизнес-системы, а CISO даже не знал, что такая система существует. У нас 300 бизнес-приложений — и без систем класса «управление, риски и соответствие» (SGRC) держать их в голове и увязать с рисками невозможно.
Сергей Клевогин: Первое и самое главное — думать как атакующий. Защищать не всё подряд по чек-листу стандарта, а выявлять пути, которыми реально пойдёт хакер, и закрывать их. Я проводил тест на проникновение (пентест) в одном холдинге: мы поднялись до самого главного администратора, а потом вместе с ИТ-подразделением внедрили защитные меры, которые не позволяют пройти этим путём. После этого я сам, как этичный хакер, развожу руками — больше не могу проникнуть, потому что расставил растяжки. Второе — правильная приоритизация. Одна закрытая критическая цепочка важнее сотни средних патчей. Третье — предполагать взлом (breach resistance, defence in depth). Строить защиту на разных уровнях, исходя из того, что злоумышленник уже внутри. Тогда даже если где-то не доуследили, мы его перехватим при перемещении по сети.
Сергей Клевогин: Реальный эффект — прежде всего в управлении уязвимостями. Там много времени тратится на обработку типовых данных и подготовку отчётности. Автоматизация позволяет определять приоритеты не по стандартному CVSS (Прим.ред.: Common Vulnerability Scoring System — открытый стандарт для оценки серьёзности уязвимостей в программном обеспечении, программно-аппаратных комплексах и других ИТ-системах), а по реальному риску. Также автоматизированные проверки безопасности, встроенные непосредственно в планы (пайплайны) разработки — SAST, DAST (Прим.ред.: SAST — это метод статического анализа исходного кода приложения без его запуска. DAST — это метод динамического тестирования, при котором анализируется работающее приложение), дают огромный эффект — вручную находить и оценивать уязвимости в коде, когда их тысячи, невозможно. Обработка инцидентов — системы класса SOAR (Прим.ред.: Security Orchestration, Automation and Response — класс программных продуктов и технологий в сфере информационной безопасности, которые автоматизируют процессы обнаружения, анализа и реагирования на киберугрозы) типовые реакции обрабатывают отлично. Управление доступом и жизненным циклом доступа (IDM) — в большой компании ручное управление доступами тяжело. Управление активами с автообнаружением — тоже. А маркетинг — это когда вы слышите термины «полностью автономное» («full autonomous»), «самовосстанавливающееся» («self healing») или «ИИ всё сам защищает». Такого не бывает.
Сергей Клевогин: Три ключевые компетенции. Первая — финансовая: умение обосновывать бюджет через возврат инвестиций и управление рисками. Нет бюджета — всё пропало. Вместе с ней идут правовые компетенции — знание законодательства в области защиты данных и требований ИБ. Юридический департамент не всегда может отличить, что реально повлияет на ИБ, поэтому CISO должен сам понимать правовое поле. Третья — техническая компетенция, связанная с искусственным интеллектом. Понимание, где ИИ и машинное обучение в кибербезопасности дают эффект. Можно купить дорогую систему анализа журналов, а можно использовать LLM (большую языковую модель), которая прочитает логи и найдёт подозрительное. Тот же результат за другие деньги. Если мы поймём, где ИИ эффективен, — сэкономим бюджет, освободим человеческие ресурсы и повысим эффективность.
Сергей Клевогин: Ошибка номер один — распыляться и пытаться закрыть всё. Желание сделать безопасность везде приводит к тому, что критические риски остаются недозакрытыми, а внимание уделяется тому, с чем к CISO пришли и чем его дёргали. Нужна жёсткая приоритизация через риски и ущерб. Вторая ошибка — вовлекаться в чужие задачи и операционную «пожарку». На CISO постоянно давят ИТ, бизнес, срочные проекты. Риск стать узким горлышком, универсальным солдатом, который всё решает. Необходимо держать границы ответственности, фильтровать входящий поток задач через стратегию и риск, а не просто через срочность. Третья ошибка — принимать решения без полной картины активов и зависимостей. Некритичная система может влиять на ключевой бизнес-процесс. Сначала добиваемся прозрачности активов и потоков данных с помощью системы класса «управление, риски и соответствие» (SGRC), например, SECURITM, а потом выбираем защитные меры.