IT-аудит – понятие относительно новое. Проверка состояния безопасности и эффективности информационной системы стала необходимостью для большинства предприятий среднего и крупного бизнеса всего лишь 5-7 лет назад. Тем ценнее тот факт, что на рынке Кыргызстана работает компания, которая может этот вид аудита осуществить на самом высоком уровне.
О деталях и нюансах рассказывает Влад Ткачев, директор департамента IT-аудита Baker Tilly.
— Влад, скажите, что это вообще такое — IT-аудит?
— Это независимая проверка и подтверждение эффективности действующих процессов управления информационными технологиями и информационной безопасностью. Проверяется всё: организационно-распорядительная документация и описанные в ней фактически исполняемые процессы, помещения обработки и хранения информации, задействованный персонал, сети передачи данных и соответствующие системы хранения данных, вычислительное и сетевое оборудование. Мир перешел на цифровые рельсы, это необратимый процесс. И работа с данными во всех смыслах становится центром функционирования бизнеса. А вместе с этим приходят проблемы, о которых мы 20 лет назад даже не подозревали. Чтобы всё функционировало эффективно и корректно, одного внешнего благополучия мало. IT-аудит стоит на трех китах: важность, своевременность, эффективность.
—Кому необходим IT-аудит и что происходит во время процедуры?
— По-хорошему, любому бизнесу, в котором задействовано больше трех компьютеров. Ну а финансовым и банковским структурам в нашей стране он не просто нужен, он обязателен. Наш финансовый регулятор, Национальный банк КР, ещё лет пять назад выпустил постановление, согласно которому процедуру IT-аудита всем коммерческим банкам и финансовым организациям необходимо проходить в обязательном порядке не реже одного раза в два года. Именно благодаря этому финансово-кредитная система Кыргызской Республики отличается от своих ближайших соседей, как мне кажется, в лучшую — более защищённую — сторону.
Мы выполняем анализ рисков, связанных безопасностью информационных систем, оценку текущего уровня их защищённости. Локализуем так называемые «узкие места», проблемы в системе управления информационной безопасностью, защиты и эксплуатации. Проверяем управляемость процессов, это очень важно. Ну и кроме того делаем оценку соответствия информационных систем существующим требованиям эксплуатации и информационной безопасности. И, конечно, готовим развернутые, подробные рекомендации для управления бизнесом в этом аспекте.
— А прекращать работу информационной системы на время IT-аудита необходимо?
— Нет, конечно. Работа продолжается в штатном режиме. Наше вмешательство в работу аудируемой организации минимальное. Мы согласовываем все аудиторские процедуры, которые могут повлиять на работу систем. К примеру, длительность интервью с сотрудником не может превышать норматив в 1 час.
— Какие результаты получает компания по итогам IT-аудита?
— В первую очередь мы представляем итоги аудита, детально показываем, какие результаты мы получили и прилагаем методологию получения этих результатов. Это делается для того, чтобы любой последующий аудитор, внутренний или внешний, мог воспроизвести последовательность наших действий и получить аналогичный результат. Таким образом мы предоставляем гарантию качества нашего IT-аудита.
Руководство компании получает список процессов управления информационной безопасностью, в которых наблюдаются высокие риски потери этого самого управления или наблюдается угроза нанесения ущерба организации. Ущерб организации может возникать как в результате действий сотрудников, так и вследствие воздействия третьих сил: природные катастрофы, кибератака или увольнение ключевого ИТ-специалиста. Непрерывность операционной деятельности зависит от множества факторов, не только от работоспособности оборудования в дата-центре и основных информационных систем, но и от доступности локальной вычислительной сети и рабочих станций сотрудников. К примеру, процесс бухгалтерского учёта может быть остановлен, нарушен или привести к ущербу в результате пожара в серверной комнате, сбоя системы 1С, обрыва кабеля на этаже, поломки коммутатора или «зависания» компьютера главного бухгалтера, но также и в результате вмешательства третьих лиц, вирусной или хакерской атаки, саботажа со стороны сотрудников или их отсутствия на рабочем месте.
Вот мы и указываем на каждое проблемное место: риски возгорания в результате нарушения техники безопасности, риски потери доступа к информации в результате проблем с локальной сетью или оборудованием, риски нарушения конфиденциальности информации, если она на каком-то этапе оказывается в свободном доступе, риски нарушения целостности информации либо потери ее резервных копий, когда backup по документам должен проводиться на ежедневной основе, а на самом деле резервное копирование делалось год назад. Любая нештатная ситуация в этом случае может разрушить компанию до основания и вывести её с рынка навсегда. Таким образом, результат нашей работы позволяет локомотиву компании не сойти с этих цифровых рельс, чтобы компания уверенно себя чувствовала многие годы. Мы детально анализируем каждый ИТ-сервис на вероятные точки отказа и даём рекомендации, каким образом можно избежать наступления ущерба. Обратите внимание, мы не говорим, как необходимо исправить тот или иной недостаток, — это может сделать любой квалифицированный ИТ-специалист и без нас, — мы помогаем руководству компании своевременно выявить риск и предотвратить ущерб.
Иными словами, наша задача — выявить нарушенные или отсутствующие процессы управления информационной безопасностью, которые допускают образование уязвимостей, которые, в свою очередь, повышают риска нанесения ущерба аудируемой организации.
— В каком состоянии находятся информационные системы ваших клиентов в Кыргызстане?
— В целом, если говорить про финансовый и банковский сектор в Кыргызской Республике, мы видим позитивные сдвиги. Они наметились за последние лет пять. Многие коммерческие банки очень хорошо развиваются с точки зрения соблюдения стандартов информационной безопасности. Сейчас мы наблюдаем изменения, которые не могут не радовать. Созданы отделы информационной безопасности, требования НБКР соблюдаются, серверные находятся в нормальном состоянии, процессы начинают управляться. Все это происходит в том числе и благодаря нашим рекомендациям.
— Расскажите о департаменте IT-аудита в вашей компании.
— Наш департамент в целом молодой, практика IT-аудита у нас появилась относительно недавно, в 2014 году. Но надо уточнить, что и сама отрасль информационной безопасности в том виде, в котором мы знаем её сейчас, тоже очень молодая и окончательно оформилась в конце 2010-х годов. Я работаю в компании с 2017 года и возглавляю этот департамент. Несмотря на то, что у меня должность директора, я принимаю непосредственное участие в проведении ИТ-аудитов. Это наш подход: главы департаментов активно участвуют в операционной работе. Международная команда экспертов Baker Tilly имеет многолетний опыт в области практической информационной безопасности и управления информационными технологиями. Мы обеспечиваем комплексный подход в вопросах независимой оценки эффективности и безопасности информационных технологий. Услуги по IT-аудиту и информационной безопасности оказываются на всей территории Центральной Азии: в Кыргызской Республике (Бишкек), в Казахстане (Алматы), в Узбекистане (Ташкент), в Таджикистане (Душанбе) и в Туркменистане (Ашхабад).
— Расскажите о самых интересных кейсах из вашей практики?
— Обычно это истории для посвященных, они широкой аудитории не очень понятны. У многих собеседников сразу становятся грустные глаза, когда они слышат такие непонятные термины как «эксплоит», «пэйлоад», «пентест» или «уязвимость нулевого дня», Но хорошо, я попробую! Исследуя локальную вычислительную сеть одной из организаций на предмет наличия открытых портов, сетевых соединений, мы обнаружили, причем, совершенно случайно, открытую машину, на которой были расшаренные папки. Особо они нас не заинтересовали, потому что это нормальная практика в корпоративной сети: люди делятся информацией по общим проектам, обмениваются файлами, передают их друг другу для печати, консолидации общих отчетов или отправки. Но одна из папок привлекла внимание из-за названия — оно было похоже на название основной информационной системы, на которой работало предприятие. Мы туда зашли и увидели файл под названием Password. В двух словах, доступный практически для каждого сотрудника компьютер содержал файл, который открывал доступ ко всем — вообще всем — новым паролям, которые использовали работники этой организации. В том числе для доступа к той самой секретной информации, которую предприятие пыталось защитить. Включая пароль генерального директора и главного бухгалтера.
Были и другие занимательные истории. Когда мы проводим свою комплексную проверку, то обращаем огромное внимание на многие факторы. Состояние серверной комнаты — немаловажный критерий. Мы измеряем скорость движения воздуха в проходах, влажность, температуру – не только воздуха, но и стен, системных блоков, блоков питания и многое другое. Это нужно, чтобы иметь целостную картину. Один из моментов – измерение количества пыли. Используется специальный прибор, который фиксирует количество частиц размером 2,5 микрона и 10 микрон. Центр обработки данных — это герметично замкнутое помещение, там не должно быть притока воздуха извне. Та пыль, которая там собирается, циркулирует постоянно. Если туда приходят люди, вносят и уносят коробки и другие предметы, количество пыли будет увеличиваться. Без влажной уборки — в геометрической прогрессии. И рано или поздно это может привести к такой ситуации, что эта пылевая аэровзвесь, состоящая из множества мелких частиц и обладающая высокой удельной поверхностью, при низких значения движения воздуха и при наличии источника тепла от серверного оборудования, способна к саморазогреву в результате реакций окисления. Понимаете, что это значит? Это — риск самовозгорания. Так вот, во время одного из аудитов выяснилось, что помещение находилось в шаге от возгорания. То есть, в серверной неизбежно бы вспыхнул пожар.
— То есть, IT-аудит в прямом смысле слова спас бизнес?
— Выходит, что так. Поэтому проведение регулярного IT-аудита профессиональной командой, которая на этом специализируется – жизненная необходимость.