Cyber Media: Как концепция Secure by Design влияет на время разработки и финансирование?
Максим Хараск: Если в стандартной парадигме ИБ реализуется как внешний компонент, который интегрируется в систему или ландшафт, то в SbD защита «встроена» в саму ткань системы, и внешние средства защиты требуются в меньшей степени. При этом предварительное согласование требований и рисков между ИБ- и ИТ-отделами, а также бизнесом позволяет не снижать доступность сервисов и не нарушать текущие бизнес-процессы во время эксплуатации и модернизации.
Логика такая: если сразу все сделать «как надо», менять бизнес-процессы и архитектуру систем из-за ИБ в процессе их развития не потребуется. Общий пример Secure by Design — создание частных облаков, в которых информационная безопасность реализована на уровне платформы как услуги (PaaS) или софта как услуги (SaaS) для корпоративных пользователей. Они получают доступ к защищенным ИТ-ресурсам без усложнения взаимодействия с сервисами, бесшовно. Думать о том, включен ли антивирус или VPN, им не нужно.
Также SbD может реализовываться через принцип микросегментации, который предполагает разделение сетевой инфраструктуры компании на мелкие сегменты для обеспечения более точного управления и быстрого реагирования на инциденты, минимизируя риски в случае атаки.
SbD в разработке приложений может выражаться в создании такой архитектуры, где случайная утечка данных или несанкционированный доступ к определенным компонентам не будут возможны «физически». Просто в силу правильного подбора конкретных библиотек, БД, инструментов и сред разработки, их конфигураций, а также процессов тестирования и развертывания в продуктивном контуре.
Cyber Media: Суть подхода Secure by Design заключается в проектировании киберсистем, в которых меры безопасности интегрированы в архитектуру и программный код и являются его частью. Почему же тогда этот метод до сих пор не получил широкого распространения?
Максим Хараск: Сначала немного общей информации. Комбинирование концепций Secure by Design, а также более распространенных DevSecOps и Zero Trust может значительно усилить общий уровень информационной безопасности компании, особенно когда есть цель «прокачать» ИБ-периметр.
В то время как Secure by Design фокусируется на начальных этапах разработки, DevSecOps вносит безопасность в каждую фазу жизненного цикла приложения, включая непрерывную интеграцию, тестирование и развертывание. Это подразумевает регулярные проверки кода на уязвимости, автоматизированное тестирование безопасности и непрерывный мониторинг «прода».
Zero Trust добавляет дополнительный слой защиты, обеспечивая доступ к любым ресурсам только после строгой проверки, независимо от того, внутри или вне периметра находится пользователь. Этот подход минимизирует возможности для атак и утечек данных, требуя аутентификации и минимизации доступа на каждом шаге взаимодействия с системой.
Интегрируя эту «ИБ-тройку», компания может создать многоуровневую защитную стратегию, которая не только реактивно отвечает на угрозы, но и проактивно встраивает безопасность в саму ткань ИТ-инфраструктуры и бизнес-процессов.
Между тем, широкого распространения SbD по сравнению с ZeroTrust или DevSecOps, пока не наблюдается. Почему так? Во-первых, SbD требует значительных временных затрат и финансовых вложений, особенно если компания решает кардинально изменить существующие процессы и привязанную к ним ИТ-архитектуру. Во-вторых, для работы в такой парадигме требуется решение на высшем уровне управления или полное согласие между ИТ- и ИБ-службами, что не всегда достижимо. И, наконец, само признание необходимости изменений в архитектуре как неизбежного аспекта устойчивости к киберугрозам – трудное решение для многих организаций.
Тем не менее Secure by Design набирает популярность и реализуется в двух основных форматах: трансформация текущей архитектуры или создание новой с нуля.
Cyber Media: Подход Secure By Design обсуждается, как правило, в контексте разработки продуктов с нуля. Применим ли он к тем проектам, где уже есть определенное количество легаси-кода и начинать с нуля нерентабельно для бизнеса?
Максим Хараск: Действительно, чаще всего про метод Secure by Design говорят в контексте разработки продуктов с нуля. При таком сценарии реализации SbD проблемы кроются в балансе между целевой скоростью выпуска продукта на рынок, темпами развертывания корпоративной ИТ-среды и уровнем безопасности их эксплуатации.
Так, в современных условиях часто приходится идти на компромисс, выбирая между быстрым запуском MVP и тщательной проверкой кода или инфраструктуры. Это делает неприменимым строгое следование принципам Secure by Design на начальных проекта, когда важнее всего подтвердить перспективы нового продукта.
Тем не менее, даже при разработке MVP возможно соблюдение определённого ИБ-минимума, который не увеличивает существенно стоимость проекта, но обеспечивает базовую уверенность в защищенности для конечных пользователей и компании. Это может стать компромиссным решением, позволяющим совместить скорость разработки с обеспечением надёжности.
Secure by Design «с нуля» может успешно реализовываться при открытии нового офиса компании, когда новый участок корпоративного ИТ-ландшафта под него строится по новым же принципам. Подход также может быть частью модернизации определенного участка ИТ-ландшафта или пилотным проектом нового руководства, заинтересованного в последующих изменениях бОльшего объема.
Это позволяет заложить в ИТ-инфраструктуру компании основы безопасности, масштабируемости и управляемости на новом уровне.
Для существующих IT-систем, уже имеющих определенное количество легаси-кода, использование SbD возможно только путем перестройки. Но тут возникает ряд проблем. Переосмысление и перестроение существующего ИТ-ландшафта требует значительных затрат и вовлечения высшего руководства компании, от которого требуется обеспечить принятие и выполнения непростых решений — без признания проблемы ничего не получится. Руководству нужно честно оценить ситуацию и уметь признать, что развитие ИТ-архитектуры и связанной с ней киберустойчивости по старым лекалам уже совсем скоро может потребовать полной замены.
И этот проект обязательно будет запредельно сложным и очень дорогим. Чтобы прийти к правильному решению, организациям нужно выявить потенциальные уязвимости, а также определить ситуацию с кадровыми и техническими ресурсами в перспективе перестройки. Честный аудит и сотрудничество между ИТ и ИБ-подразделениями могут здесь помочь, но потребуют времени, денег и внешней экспертизы.
Построение целевой архитектуры начинается с глубокого понимания текущих бизнес-процессов и выявления тех из них, которые можно изменить для повышения уровня защиты. Также стоит учитывать ограничения, налагаемые желаниями и требованиями бизнеса, например, доступ к каким-то системам без VPN.
Проблема подготовки квалифицированных специалистов также стоит остро. Необходимо не только переобучить текущий персонал работать по новым стандартам, но и создать условия для обучения, а также практики без риска для операционной деятельности компании, например, через обучающие стенды.
Кроме того, стоит рассмотреть возможность привлечения специалистов из других подразделений компании, которые могут перейти в ИБ-службу. Например, сетевых специалистов — их уникальные знания о сетевой инфраструктуре могут быть крайне ценными в контексте повышения уровня безопасности.
Помимо этих моментов проблемы с перестройкой Secure by Design для существующих ИТ-систем дополнительные вызовы могут быть связаны с тем, что ИБ-обновления и патчи, даже если они выпущены крупными вендорами, могут не соответствовать отраслевым или корпоративным требованиям безопасности.
Cyber Media: Как оценивается эффективность концепции Security by Design в долгосрочной перспективе и какие практические выгоды она приносит компаниям?
Максим Хараск: Эффективность Secure by Design в долгосрочной перспективе является значительной для задач корпоративной цифровизации, хотя ИБ традиционно не приносит прямого дохода компаниям. Вместо этого вклад ИБ проявляется через минимизацию потенциальных рисков и предотвращение потерь, что важно для устойчивости и долгосрочного успеха бизнеса.
Самое главное — Secure by Design позволяет рассматривать ИБ не как статью издержек, а как инвестиции в долгосрочное развитие ИТ и обеспечиваемые таким путем стабильность и пространство для роста.
То есть, компании не идет по пути «сначала построим ИТ-продукт на своей инфраструктуре, а потом будем ломать голову, как его защитить и тратить на это миллионы». Наоборот, в рамках SbD вложения в ИБ неотделимы от инвестиций в разработку основных ИТ-систем и инфраструктуру, превращаясь, тем самым, в средство для достижения конкурентных преимуществ на рынке.
Также, в условиях, когда репутация и надежность становятся ключевыми дифференциаторами на рынке, инвестиции в безопасность могут способствовать укреплению позиций компании среди клиентов и партнеров, что в конечном итоге может привести к увеличению доходов.
Secure by Design — тот самый случай, когда скучная и дорогая информационная безопасность при определенном подходе предоставляет не только защиту от потенциальных угроз, но и служит основой для устойчивого развития и операционной надежности, что является неотъемлемой частью современного бизнеса.
В условиях современной России — в контексте импортозамещения и глобальных изменений в базовых принципах организации ИТ-инфраструктуры – возникает благоприятный момент для адаптации Secure by Design. Многим приходится строить заново или модернизировать свои ИТ-ландшафты с учетом обновленных реалий доступа к аппаратным решениям и постоянно растущих требований к защищенности.
И здесь важно этот момент не упустить, заложив максимально прочную основу для своего развития и роста на самом базовом уровне для любой современной компании – ИТ и ИБ.