Дмитрий Михеев: Любая информационная безопасность – это вопрос контроля и доверия. Люди, которые непосредственно со всем этим работают, — потенциальный источник проблем. Если люди работают с информационными базами, например, персональными данными, они могут с этого что-то поиметь.
Роман Пустарнаков: То есть, цитируя классика, «кто что охраняет, тот то и имеет».
Дмитрий Михеев: Я процитирую китайцев: «Живёшь у горы — кушай от горы». Если мы видим, что информационная система применяется всё шире и шире, понятно, что зависимость бизнеса от людей, которые ответственны за то, чтобы эти информационные системы работали, повышается.
Дмитрий Михеев: Любых специалистов, отвечающих за работу информационной системы, можно назвать привилегированными пользователями, потому что они облечены правами на взаимодействие с этой системой как администратор. Даже на уровне управления пропусками в бизнес-центре человек, который там налажает, условно говоря, может испортить день большому количеству людей и куче разных компаний.
Роман Пустарнаков: Поскольку они являются привилегированными пользователями и обладают соответствующими правами, ещё могут аккуратно замести за собой следы, правда?
Дмитрий Михеев: Если это осознанное вредоносное намерение.
Дмитрий Михеев: Можно говорить много неприятного про западные продукты, у них там тоже проблем хватает, но чего у них не отнять – это то, что они по любому поводу организовываются в те или иные группы, консорциумы, принимают стандарты и проводят институционализацию. На мой взгляд, рынок России более чем к этому готов.
Роман Пустарнаков: Но нам сейчас этого не хватает.
Дмитрий Михеев: И этого нам не хватает. У нас много наработок по информбезу. На мой взгляд, организовывать горизонтальное взаимодействие в тех местах, где это имеет смысл, просто необходимо.
Роман Пустарнаков: Пандемии породила вопросы удалённого доступа, защищённого удалённого доступа. Сейчас эта тенденция актуальна?
Дмитрий Михеев: Да, сейчас вместо пандемии видим, например, что специалистов на удалённую работу набирают из разных городов везде, где смогут их найти. Мы ищем уже не работника в офис, а работника, который будет эффективно решать проблемы.
Роман Пустарнаков: И неважно, где он будет сидеть.
Дмитрий Михеев: Много изменений, и техники они касаются постольку поскольку. Основной вопрос: «Как учитывать часы?»
Дмитрий Михеев: Тратить на безопасность можно бесконечное количество сил и ресурсов. А они есть в нужном объёме? Как правило — нет. Достаточно сложно обосновать, что если бы нас не было, если бы мы не занимались такими вещами, то потери были бы такие-то. Поэтому здесь должен присутствовать разум, лекарство не должно быть хуже проблемы.
Роман Пустарнаков: Целесообразно обратиться к интеграторам, которые занимаются информационной безопасностью.
Дмитрий Михеев: Если вы им доверяете — да. Чтобы общаться с интеграторами, нужно знать, как минимум, 70% того, что они делают.
Роман Пустарнаков: Если компания начинает заниматься информационной безопасностью, то она, наверное, нанимает сотрудника, который разбирается в вопросах регуляторики, в вопросах текущих решений на рынке.
Дмитрий Михеев: Я очень надеюсь, что это так происходит. На практике, я вижу, что так происходит не всегда. Во-первых, нет большого наличия свободных специалистов нужного уровня на рынке. Тема безопасности разогрета, и далеко не все люди, которые могли бы этим заниматься, хотят этим заниматься. Всё-таки тема очень специфическая, она не тиражируется.