Требования бизнеса к IT- и ИБ-службам многочисленны и противоречивы: нужно снижать расходы, эффективно использовать данные, вводить автоматизацию, переходить в облако и правильно учитывать ИБ-риски. Как основные тенденции и изменения в IT влияют на ИБ-портрет организации и что нужно учесть, реагируя на требования бизнеса? Мы собрали самые важные и практичные тенденции в IT (по мнению нескольких групп независимых экспертов и аналитиков рынка решений безопасности) и сосредоточились на ИБ-аспектах каждой из них.
Оптимизация IT
Сейчас во всех крупных странах у бизнеса есть весомые поводы, чтобы потуже затянуть пояс. Это и геополитические изменения, и инфляция, и экономическая рецессия. Для служб IT это означает серьезный пересмотр операционных затрат. Под лупой у финансистов находятся расходы на облака, поскольку 60% данных организаций уже сегодня хранятся там. Во многих компаниях переход в облако происходил стихийно и несистемно, что привело к накоплению неэффективно используемых SaaS-контрактов, а также неоптимально настроенных виртуальных машин и других облачных сред. Здесь обычно кроется большой потенциал для оптимизации, но она не должна быть одноразовым процессом. Компаниям нужно создавать культуру, когда о стоимости облака думают не только айтишники, но и сами пользователи облаков.
ИБ-аспект. При оптимизации и консолидации происходит перенастройка облачных сервисов, переносы данных между разными облачными средами и тому подобное. Важно выделить время и ресурсы на аудит состояния системы после переноса, чтобы убедиться в применении корректных настроек безопасности, отсутствии служебных аккаунтов, которые были нужны на время переноса портов, и так далее. При переносе желательно обновить секреты и применить самые актуальные политики, касающиеся паролей и шифрования.
Если после этого переноса выводится из использования какое-то оборудование или облачные сервисы, важно корректно очистить их от конфиденциальной, а также служебной информации (отладочные и временные файлы, тестовые данные и прочее).
Open source
Экономические выгоды приложений с открытым исходным кодом многообразны: компании-разработчики ПО снижают затраты и время до выхода на рынок, используя уже готовый код; компании-пользователи получают систему, которую при необходимости можно дорабатывать и поддерживать своими силами.
ИБ-аспект. Главный риск open source — уязвимости и закладки в чужом коде, который использует компания. При этом не всегда понятно, кто и как должен исправлять этот код. Нередко организация пользуется библиотекой или фрагментом программы, не зная об этом. Для устранения рисков open source нужны системы инвентаризации и сканирования кода. Более подробно риски и меры их снижения описаны в отдельном материале.
Управление данными
Крупные компании почти во всех индустриях уже два десятка лет накапливают огромные объемы данных, касающихся их работы. В теории это помогает оптимизировать и автоматизировать бизнес-процессы, разрабатывать принципиально новые продукты (порой и сами данные становятся востребованным товаром). На практике все сложнее: зачастую данные собираются, но их состав, актуальность и форма хранения таковы, что находить информацию и пользоваться ей сложно или вовсе невозможно.
Чтобы действительно развивать бизнес при помощи данных, нужен четкий порядок их сбора, каталогизации, хранения и использования. Для этого внедряют стратегию управления данными — Data Management и Data Governance. Она описывает структуры и характер хранимой информации, полный жизненный цикл данных, позволяет управлять их хранением и использованием.
ИБ-аспект. Внедрение Data Governance начинают по экономическим причинам, но «побочная» польза для ИБ огромна. Ведь зная, где и какие данные хранятся, организация может лучше оценивать свои риски, обеспечивать все пулы данных адекватной защитой, соблюдать требования законов по хранению персональных данных. ИБ-службе нужно активно участвовать в создании и воплощении стратегии управления данными, отразить в ней: политики доступа и шифрования, контроль compliance, меры по защите данных в покое и при пересылке, процедуры получения доступа и так далее. Важно включить в стратегию даже такие «вспомогательные» виды данных, как резервные копии и служебную техническую информацию в облачных сервисах (особенно SaaS).
Low code & no code
Подход low code позволяют модифицировать и развивать бизнес-системы, не привлекая программистов. Среди распространенных доработок — модификация интерфейса приложений и сайтов, создание новых сценариев анализа или контроля данных, автоматизация бизнес-процессов, проходящих на компьютере (RPA). Это помогает развивать CRM-решения, электронный документооборот, создавать маркетинговые веб-страницы и так далее. Организациям выгодно внедрять этот подход, потому что затраты на IT-обслуживание систем оказываются существенно ниже, чем для их аналогов, требующих «настоящего программиста». Популярными системами, использующими подходы no code и low code, являются Microsoft Power Apps, Salesforce, UIpath и даже WordPress.
ИБ-аспект. Системы low code создают существенные риски, поскольку такая система по определению имеет довольно широкий доступ к данным и другим IT-системам организации, а настраивают и используют ее пользователи без глубокой подготовки в IT и ИБ. В результате возможны утечки данных, разные формы повышения привилегий, выполнение действий с низким уровнем их протоколирования, а также неавторизованный доступ к информации.
Кроме того, пользователи таких систем регулярно вносят секреты, например API-ключи, прямо в код. Ну и на десерт, почти все системы no code активно используют плагин-архитектуру и имеют своеобразные магазины компонентов для пользовательских проектов. Уязвимости в этих компонентах зачастую очень серьезны, а отследить их и оперативно обновить стандартными инструментами ИБ-служб крайне сложно.
ИБ-служба должна разработать специализированную политику и процедуры для каждого приложения low code, применяемого в организации. Администраторы и владельцы приложения должны пройти глубокое обучение по этим ИБ-процедурам, а для обычных пользователей приложения low code нужен базовый специализированный тренинг. В рамках этих тренингов пользователей нужно научить безопасным практикам программирования и использования системы. В качестве программы-минимум — не хранить пароли в коде, проверять вводимые данные, минимизировать операции, связанные с изменением данных.
IT-администраторы должны тщательно проработать минимизацию привилегий и управление доступом к данным, которые доступны через приложения low code. ИБ-службе стоит оценить специализированные решения по защите конкретных приложений low code, например довольно развитую мини-индустрию вокруг WordPress. Вообще, это достаточно обширная тема, чуть подробнее она раскрыта в отдельном посте.
Устойчивость и надежность (robustness & resilience)
Крупные IT-инциденты последних десяти лет (необязательно связанные с кибератаками) научили бизнес, что инвестировать в надежность IT — экономически эффективно и выгодно. В первую очередь инвестиции идут на исключение катастрофических потерь и обеспечение непрерывности бизнес-процессов. Но даже оставляя за скобками крупные инциденты, надежность работы систем приносит выгоду, благодаря улучшению пользовательского опыта у клиентов и сотрудников организации, повышению репутации компании и лояльности к ней.
Можно выделить несколько направлений развития устойчивости:
- глубокое тестирование IT-систем при их разработке (devops, devsecops);
- разработка систем, продолжающих функционирование при частичном выходе из строя (избыточность, дублирование);
- внедрение систем мониторинга, позволяющих отслеживать как ИБ- так и IT-аномалии и предотвращать инциденты на ранних стадиях (отказ баз данных, дисбаланс нагрузки, запуск вредоносного ПО и так далее);
- внедрение многоуровневой системы информационной безопасности в организации;
- разработка сценариев автоматизации для экономии времени и минимизации человеческих ошибок, в том числе сценариев автоматического решения проблем в IT-инфраструктуре;
- изучение цепочки поставок для исключения инцидентов, связанных с кодом, инфраструктурой или внутренними процедурами поставщиков и контрагентов компании;
- внедрение и практическая проверка процедур реакции на инцидент, восстановления систем после инцидентов разной природы.
ИБ-аспект. Хотя бизнес требует от своих IT-систем «надежности в целом», здесь IT- и ИБ- требования тесно переплетены, и реализация любого из перечисленных направлений потребует глубокого сотрудничества соответствующих служб. Бюджет ограничен, поэтому важно определить приоритеты совместно с бизнес-заказчиками и распределить работы и проекты между «общим IT» и ИБ, находя возможности оптимизации и синергии. В идеале одно решение, например система резервного копирования, решает задачи IT и ИБ одновременно, а определение требований к ним, учения по их использованию и тому подобное, проходят совместно. В результате организация получает целостный план повышения киберустойчивости. Первые шаги, способные дать самый значительный и быстрый эффект для повышения киберустойчивости, описаны в еще одном нашем посте.
В этой статье не было ни слова про генеративный ИИ и ряд других тенденций, которые в корпоративном IT пока находятся в статусе «мы экспериментируем, как это применить». Про многообещающие, но сыроватые тенденции мы планируем выпустить отдельный обзор.