Эксперты обсудили необходимость синергии информационной и экономической безопасности

Евгений Хасин, врио директора департамента обеспечения кибербезопасности Минцифры:

«Эффективность безопасности бизнеса зависит от трех показателей: насколько компания может определять риски и недопустимые события, насколько комплексно она анализирует уровень защищенности бизнеса и как быстро реагирует на требования регуляторов. За определение рисков должен отвечать непосредственно руководитель организации, делегируя конкретные задачи специалистам по ИБ и IT. Анализ защищенности — это вотчина ИТ и ИБ-отделов. И самый эффективный способ провести анализ защищенности — выкладывать информационные системы на багбаунти».

Вячеслав Гребнев, руководитель группы инновационного развития ГК Гарда:

«Понятно, что метрики в информационной и экономической безопасности зависят от поставленных задач. В ИБ — это сохранение данных и инфраструктуры, в ЭБ — безопасность финансовых операций. Но интереснее метрики на стыке. Например, за устойчивость системы отвечают специалисты всех отделов безопасности. Роль ИБ — продуманные планы восстановления системы при инцидентах и оперативное реагирование, а роль ЭБ — своевременная проверка контрагентов, чтобы катастрофа не случилась».

Алексей Борисов, директор по консалтингу, исследованиям и аналитике Центра экспертизы и коммерциализации в секторе информационных и финансовых технологий Фонда «Сколково»:

«Важно рассматривать метрику не изнутри компании, а извне. Например, посчитать, сколько стоит взлом компании. Если за взлом нужно заплатить 1 млн рублей, то компания не защищена. Если больше 100 млн рублей, то это значит, понадобятся высококомпетентные команды с огромными вычислительными ресурсами. А оценить киберустойчивость компаний можно с помощью проведения кибериспытаний, в том числе через багбаунти».

Эксперты также обсудили необходимый уровень квалификации специалистов информационной и экономической безопасности. При этом мнения насчет ключевых компетенций разделились. Например, Евгений Хасин высказался, что по требованиям законодательства, специалисты должны знать, как работает инфраструктура компании, зачем она нужна, в чем она уязвима.

Юрий Драченин, заместитель руководителя продуктовой группы Контур.Эгида и Staffcop:

«ИБ-специалист не только должен быть подкован в ИТ, он разбираться в экономической безопасности. Ему важно понимать, как он влияет на выручку компании, как ее защищает, сколько будет стоить для компании решение и какой эффект оно даст».

На первый план выходит насмотренность специалиста, например, опыт в расследовании тех или иных инцидентов.

Виктор Минин, председатель АРСИБ:

«Сейчас 160 вузов готовят специалистов ИБ, но это все равно не обеспечивает высокий уровень подготовки, потому что IT развивается быстрее, чем учатся специалисты. Поэтому хорошие выпускники вузов, в которых работают киберполигоны, проводятся CTF-чемпионаты, практикумы. Если студент во время обучения только изучает требования ФСТЭК, он не справится с защитой IT-инфраструктуры».

В финальной части заседания эксперты обсудили, возможна ли синергия между экономической и информационной безопасностью.

Василий Окулесский, вице-президент по информационной безопасности ЦМРБанк:

«Кажется, что специализация появилась только в последние годы — 30 лет назад, например, я работал ИБ-специалистов в отделе экономической безопасности. Но если уровень зрелости организации высок, то задачи экономической и информационной безопасности тесно смыкаются и метрики становятся общими».

В конце дискуссии эксперты сошлись во мнении, что синергия ИБ и ЭБ во многом зависит от руководителя. Некоторые понимают функции подразделений и знают, как настроить их совместную работу. Другие сталкивают отделы лбами: ставят одну задачу на всех и смотрят, кто быстрее справится. Алексей Борисов считает, что эффективность ИБ- и ЭБ-отделов можно определить через киберустойчивость, она обеспечивается слаженной работой обеих команд, которые вносят в нее разный вклад.