«Аудит — это не формальность, а трезвый взгляд на себя»: Александр Скорик о безопасности, которую не видно


Когда всё работает, кажется, что так будет всегда. Но в информационной безопасности главное — уметь заглянуть внутрь системы до того, как это сделают злоумышленники. Мы поговорили с Александром Скориком, руководителем отдела аудита и аттестации компании «АйТи Новация», о том, зачем бизнесу нужен аудит ИБ, как он проводится, и почему не стоит бояться услышать правду о себе.
  • Контент-менеджер АТН
    Александр, когда компании стоит задуматься об аудите информационной безопасности? Какие сигналы говорят, что пора?
    Александр Скорик
    На самом деле, я бы не ждал никаких сигналов — потому что когда они появляются, часто бывает уже поздно. Аудит — это профилактика. Это возможность узнать свои слабые места раньше, чем их найдёт кто-то другой.

    Но если говорить о конкретных ситуациях, то, конечно, есть «триггеры». Во-первых, это законодательные изменения: например, обновления в законах по персональным данным, требования ФСТЭК, Роскомнадзора, ЦБ. Во-вторых, технические инциденты — утечки, фишинг, взломы, подозрительная активность. В-третьих, любые изменения в структуре компании: рост, слияния, переход на новые платформы, облака. И, наконец, бывают «внутренние сигналы»: когда нет базовых политик по безопасности, сотрудники получают доступ ко всему подряд, а ПО обновлялось последний раз при царе Горохе.

    Ну и требования партнёров — тоже причина. Особенно если речь идёт о госсекторе или медицине: там аудит — это уже часть договора.

    Планово аудит стоит проводить хотя бы раз в год или два. А если есть высокий риск или что-то поменялось — значит, раньше.
  • Контент-менеджер АТН
    Многие путают аудит с пентестом. В чём разница, и когда нужен один, а когда другой?
    Александр Скорик
    Это два совершенно разных инструмента. Аудит — это как раз тот «медосмотр», про который вы сказали. Он охватывает всё: процессы, документы, политику, регламенты, соответствие требованиям законодательства.

    А пентест — это уже симуляция атаки. Мы пробуем взломать систему, как это сделал бы хакер. И смотрим, получится ли.

    Если вам важно понять, соответствуете ли вы требованиям — нужен аудит. Если хотите узнать, можно ли вас взломать — нужен пентест. А лучше — и то, и другое, потому что в связке они дают полную картину.
  • Контент-менеджер АТН
    А что именно вы проверяете в ходе аудита? Где чаще всего находите проблемы?
    Александр Скорик
    Всё начинается с контроля доступа. Кто, куда и зачем имеет доступ — это всегда первое. Часто сталкиваемся с ситуацией, когда у сотрудников слишком много прав, и никто этим не управляет. Следом идёт безопасность периметра — как настроены сетевые экраны, VPN, удалённый доступ. Потом — обновления систем, антивирусы, настройка рабочих станций и серверов.

    Данные — это отдельная история. Мы смотрим, как они хранятся, шифруются, как делаются резервные копии. Проверяем, что происходит с персональными данными — кто к ним имеет доступ, как они передаются и защищаются.

    Ну и, конечно, организационные вопросы: есть ли политики, как проводится обучение, как компания реагирует на инциденты. Многие уверены, что всё под контролем, пока не начинаем копать.

    Мы регулярно сталкиваемся с самыми разными уязвимостями, но есть набор типичных, которые повторяются почти в каждой проверке. Это, в первую очередь, слабые пароли, устаревшее или не обновлённое программное обеспечение и операционные системы.

    Внутри корпоративных сетей до сих пор используются программы с давно известными уязвимостями — те, о которых специалисты предупреждали ещё несколько лет назад. Из-за этого хакер может получить доступ к системе, запустить вредоносный код или даже получить повышенные права внутри сети.

    Некоторые уязвимости позволяют обойти аутентификацию, читать файлы без разрешения или провести так называемые атаки через принуждение к авторизации.

    По данным ФСТЭК, сейчас в их базе зарегистрировано более 70 тысяч уязвимостей и свыше 220 актуальных угроз. И это число продолжает расти. Поэтому системный подход к безопасности — это не роскошь, а необходимость.
  • Контент-менеджер АТН
    Как подготовиться к внешнему аудиту, чтобы всё прошло без боли?
    Александр Скорик
    Самый главный совет — не пытайтесь «прикрыть» слабые места. Это не проверка на оценку. Задача — показать, что есть на самом деле. Аудит эффективен только тогда, когда компания открыта: рассказывает, как у неё устроено, делится реальными кейсами, не скрывает проблемы. Так и эксперту проще разобраться, и результат будет честным.

    — Насколько вообще сейчас востребован аудит информационной безопасности? Или это история только для больших компаний?

    — Наоборот. Сейчас аудит заказывают и крупные корпорации, и средний бизнес, и госструктуры. Потому что кибератаки становятся всё изощрённее, а требования регуляторов строже. Мир становится цифровым — и ИБ становится обязательным.

    К тому же партнёры и клиенты стали внимательнее. Если ты не можешь гарантировать безопасность данных — с тобой просто не будут работать.
  • Контент-менеджер АТН
    Как понять, что аудит действительно полезен, а не просто «галочка» в отчёте?
    Александр Скорик
    Важен подход. Если вы просто заказываете аудит, чтобы «отчитаться» — толку от него не будет. А если вы заранее понимаете, зачем вам это нужно — тогда и результат будет ощутимым. Например, вы хотите понять, где слабые места, или готовитесь к сертификации, или только выстраиваете процессы. Цель должна быть конкретной. И тогда по итогам вы получите не просто отчёт, а внятный план действий.

    — А бывает, что проблем слишком много, и руководство говорит: «Нет, мы это не потянем»? Что делать в такой ситуации?

    — Бывает. И довольно часто. Но это не повод сдаваться. Просто нужно трезво оценить риски — и финансовые, и репутационные. Лучше потратить деньги на устранение проблем, чем потом на ликвидацию последствий.

    В таких случаях мы помогаем выстроить приоритеты: что критично и требует немедленных мер, а что можно отложить. Главное — двигаться поэтапно.
  • Контент-менеджер АТН
    Если нашли серьёзные уязвимости, как правильно выстроить процесс их устранения?
    Александр Скорик
    Есть проверенная стратегия:

    Первое — закрываем то, что можно быстро и самостоятельно.

    Второе — расставляем приоритеты: что действительно критично.

    Дальше — составляем чёткий план, кто и что делает.

    Обязательно контролируем, как устраняются уязвимости.

    И, конечно, смотрим на корень проблемы — как не допустить повторения.

    Важно, чтобы это не превратилось в хаотичную суету. Уязвимость — это симптом, а не диагноз. Надо лечить причину.
  • Контент-менеджер АТН
    Что бы вы сказали компаниям, которые ещё сомневаются — нужен им аудит или нет?
    Александр Скорик
    Я бы предложил просто задать себе один вопрос: что будет, если ничего не делать?

    Если страшно сразу идти в большой аудит — начните с малого. Проверьте, как у вас обстоят дела с персональными данными. Это уже покажет общую картину.

    И помните: аудит — это не наказание. Это возможность сделать безопасность осознанной. А осознанная безопасность — это устойчивый бизнес.