Сергей Бочкарев: «Приобретая системы безопасности на распродаже, рискуете заплатить больше»

Сергей Бочкарев, генеральный директор «АйТи Бастион», рассказал журналу RUБЕЖ, что в 2025 году будет важно российское происхождение систем защиты информации. Нет гарантии, что завтра продукт не отключат, кроме того, имея доступ к видеоархивам, предпочтениям клиентов, сотрудники могут продать персональные данные. Построение безопасности – игра вдолгую, оно требует стратегического подхода.

— Как заходите на рынок гостиниц и насколько он интересен интегратору?

С. Бочкарев: Среди наших заказчиков есть крупнейший курортный комплекс черноморского побережья, поэтому мы отталкиваемся от актуальных запросов гостиничного сектора. Летом 2024 года подсистема платформы СКДПУ НТ получила сертификат ФСТЭК России № 4811. Сертифицированы компоненты PAM-платформы СКДПУ НТ по четвертому уровню доверия. Платформа предоставляет возможности контроля и аналитики привилегированных пользователей и доступов. Решение востребовано у заказчиков разных отраслей, от госструктур до финансовых организаций, от крупных производственных предприятий до ритейл-сетей. Сертификат открыл возможности полноценного использования сразу нескольких подсистем PAM-платформы на объектах КИИ и в контурах АСУ ТП, в том числе по анализу поведения и детектированию аномалий в рамках сессий пользователей.

Наш продукт по контролю и мониторингу привилегированных пользователей востребован, поскольку отельному бизнесу есть что терять. Это персональные данные клиентов, репутация, финансы, управление оборудованием в сложных инфраструктурах гостиниц. Очевидная причина, почему отели заинтересованы в обеспечении информационной безопасности, это новые законы об ответственности бизнеса за сохранность персональных данных. Туристической отрасли здесь в первую очередь важны даже не штрафы, а репутация, ведь клиенты просто не поедут в ненадежное место.

— Чем гостиницы отличаются от других объектов, есть ли какие-то специальные решения для них?

С. Бочкарев: С точки зрения потенциальных уязвимостей гостиницы очень схожи с объектами из других отраслей, например, финансовой или транспортной. Риск внутренних утечек и обилие подрядчиков, которые обеспечивают работу гостиничной инфраструктуры, – вот основные «узкие места».

Когда есть доступ к персональным данным (архивам видеонаблюдения, спискам индивидуальных предпочтений гостей), у сотрудников по разным причинам может возникнуть соблазн выгодно продать эту информацию. В конце концов, утечка может произойти из-за банальной ошибки внутреннего администратора.

Но большинство преднамеренных атак на целевые цифровые активы начинаются с обслуживающих организаций, которые время от времени получают доступ к ИТ-системам или оборудованию «жертвы». Подрядчик может даже не знать, что через его администраторов реализуется атака на целевые системы. Поэтому стек средств защиты информации для гостиниц должен включать решения по контролю действий внешних и внутренних привилегированных пользователей (PAM), системы контроля утечек (DLP), платформы по анализу событий информационной безопасности (SIEM).

— С какими особыми требованиями сталкиваются вендоры и интеграторы при работе с гостиницами?

С. Бочкарев: Если говорить о крупных гостиничных объектах и сетевых отелях, то для таких заказчиков важна отказоустойчивость информационных и технологических систем. От стабильности работы цифровой инфраструктуры зависит не только комфорт, но и физическая безопасность постояльцев. Сбои в управлении «умными» номерами, банями, бассейнами, климатическими системами или лифтами могут привести к непоправимым последствиям. Также актуален запрос на универсальные ИТ- и ИБ-решения, которые легко встраиваются в имеющуюся инфраструктуру и масштабируются без значительных затрат.

— Каким должен быть безопасный отель в 2025 году? По каким критериям отели должны выбирать системы безопасности?

С. Бочкарев: Определяющим критерием 2025-го года становится российское происхождение систем защиты информации. Даже если сегодня отель беспроблемно применяет иностранное решение ИБ, то нет никакой гарантии, что уже завтра этот программный продукт не отключат, например, из-за санкций, политических или экономических событий.

Еще один критерий, обусловленный нововведениями в законодательство, это продвинутые возможности программных продуктов по защите от утечек данных. Также при выборе средств защиты информации необходимо оценить два важных параметра: насколько высока степень автоматизации гостиничных объектов и насколько хорошо защищен доступ к цифровым системам и базам данных.

Чтобы обеспечить базовый уровень киберзащиты, рекомендую следовать следующим правилам. Учетные данные для входа во все системы изменены на безопасные комбинации со сложными паролями. Защита доступов обеспечена включенными межсетевыми экранами и многофакторной аутентификацией. Внедрены инструменты ограничения неудачных попыток входа в систему, включая блокировку. Используются сервисы уведомлений о любой неудачной попытке входа в систему. Определен ограниченный список специалистов, имеющих привилегированный доступ к критически важным элементам инфраструктуры. Обеспечена защита таких учетных записей. В договорах с поставщиками услуг и подрядчиками прописаны обязательства о регулярном обновлении ПО до актуальных версий. Важные системы отключаются от глобальной сети, когда в интернет-соединении нет необходимости. Утвержден план реагирования на кризисные ситуации, когда информационные системы оказываются недоступны или вышли из строя.

— Может ли быть система безопасности отеля дополнительным конкурентным преимуществом для привлечения гостей?

С. Бочкарев: Да, особенно на фоне постоянных новостей о кражах десятков и сотен тысяч строк персональных данных россиян из различных закрытых баз данных. Информация о том, что тот или иной отель ответственно подходит к обеспечению сохранности данных своих клиентов, это конкурентное преимущество, которое можно использовать в маркетинге.

— Экономя на модернизации систем безопасности, гостиницы сохраняют прибыль или теряют репутацию?

С. Бочкарев: Построение информационной безопасности организации – это игра вдолгую, которая требует стратегического подхода. Да, сэкономить можно, например, когда вендоры объявляют существенные скидки. Тогда заказчик получает полнофункциональные решения ИБ по цене ниже рынка.

Но «распродажа» может не совпасть с планами по информатизации объекта, поэтому зачастую экономия на безопасности лишь повышает риски. Приведу пример, когда заказчик сэкономил, приобрел дешевые программные продукты, но уже в следующем году незначительное расширение инфраструктуры вызвало несопоставимые траты из-за невозможности быстро масштабировать внедренные решения.

Бывает и так, что разработчики «сбивают цену», когда функционал еще находится в доработке, а значит, продукт не полностью работоспособен. Это провоцирует ошибки, в том числе критические. Зрелые решения отличаются не только ценником, но и комплексным подходом к обеспечению безопасности заказчика. В них заложены возможности расширения, интеграции с другими программными и аппаратными средствами, отказоустойчивости, включена экспертная техническая поддержка. Российские эксперты по кибербезопасности посчитали, что в прошлом году один инцидент с утечкой информации в среднем обходился бизнес-структурам в 5,5 млн рублей. Для многих компаний это критичные суммы, и после инцидента информационной безопасности бизнес может просто закрыться.

Я рекомендую рассматривать кибербезопасность не только как исключительно технический вопрос, то есть относиться к вопросам ИБ не в отрыве от задач бизнеса. Грамотно выстроенная политика информационной безопасности оказывает положительное влияние на автоматизацию бизнес-процессов, помогает топ-менеджерам не допускать ошибок в стратегических решениях, снижает репутационные риски.