Во второй части интервью Українським Новинам ИТ-директор крупнейшего металлургического холдинга "Метинвест" Сергей Детюк рассказал о ситуации с ИТ-защищенности в крупных украинских компаниях, а также о возрастающей роли облачных технологий в бизнесе.
Давайте поговорим об угрозах ИТ-безопасности. Какова в целом ситуация с ИТ-безопасностью в Украине?
Я возглавлял ИТ в компании ДТЭК, когда произошла небезызвестная атака на энергопредприятия Украины. К счастью, мы были полностью готовы к подобному и смогли с ней справиться. По информации Microsoft и Cisco, Украина сейчас входит в топ-5 стран, где происходит наибольшее количество хакерских атак. Так что тема ИТ-безопасности в Украине очень актуальна.
В Метинвесте есть отдельное централизованное подразделение информационной безопасности, которое управляет и контролирует всю деятельность предприятий группы. Сейчас мы постоянно регистрируем различные попытки атак на наши предприятия. Фиксируем DDoS-атаки, фишинговые атаки. Наблюдаются также целенаправленные атаки на конкретные службы и даже на отдельных пользователей.
У группы есть определенный план развития ИТ-безопасности, мы по нему движемся. В частности, мы ориентируемся на ключевых мировых лидеров, переходим на их технологии и облачные сервисы. Например, мы перенаправили входящий почтовый трафик через соответствующие серверы компании Microsoft, у них хорошие защитные технологии.
Или, к примеру, в конце прошлого года мы подписали соглашение с SAP о переходе с наших дата-центров в их облако. Проще говоря, мы переходим от модели покупки софта на модель аренды необходимых нам сервисов, размещенных на мощностях компании-производителя. Мы отдаем полностью весь наш софт, перестаем заниматься поддержкой "железа", управлением платформами и концентрируемся непосредственно на бизнес-логике работы. И кроме определенных выгод от работы самого сервиса, а также от сокращения затрат на его обслуживание, это нам дает еще и дополнительное повышение качества информационной безопасности.
Вы сотрудничаете напрямую с вендорами ПО или же с их украинскими партнерами?
Мы сотрудничаем напрямую с производителями ПО, как один из крупнейших корпоративных заказчиков в Украине. Кроме того, с такими компаниями, как Microsoft, у нас заключен Premier Support Agreement, а с SAP – Mission Critical Support. Ведь уже через несколько часов остановки SAP мы начинаем терпеть убытки, потому что у нас не отгружается металл, простаивают вагоны…
Какие риски с точки зрения ИТ-безопасности для крупных предприятий вы можете назвать? По степени опасности для предприятия…
Мне кажется, что ключевая угроза – внутренняя. Насколько мне известна статистика, около 80% утечек информации, ИТ-диверсий происходит изнутри компании. Здесь вечная дилемма – с одной стороны, нужно обеспечить сотрудникам простой доступ к информации и ресурсам для эффективной работы, а с другой стороны, ограничить и контролировать в целях безопасности.
Внешние угрозы – взлом, проникновение и тому подобное – тоже опасны, и сбрасывать их со счетов не стоит. К счастью, есть целый арсенал технических решений от ведущих мировых производителей по противодействию внешним атакам. И здесь все зависит от правильного баланса – сколько вы готовы вкладывать в защиту усилий и ресурсов в противовес сложности взлома и возможному ущербу.
Мы живем в такое время, когда по отношению к компании возможны различные неправомерные действия недружественных структур. Это довольно часто происходило в последние годы по отношению к ИТ-компаниям, но и крупные производственные предприятия не могут полностью исключать подобные риски. Речь идет о различных механизмах давления на компанию, причем во всем диапазоне – от вполне легитимных до полностью незаконных. И здесь основные задачи – защита информации от утечки и, самое главное, обеспечение непрерывности бизнеса со стороны ИТ.
И все-таки, что вы, как эксперт, можете сказать о степени защищенности объектов критической инфраструктуры нашей страны?
Это достаточно чувствительная тема. Я считаю, что в холдинге мы сейчас ситуацию контролируем. Не верю, что можно быть защищенным на 100%. Это вопрос баланса стоимости атак, стоимости защиты от них и величины возможного ущерба. У нас есть ряд проектов, которые мы сейчас реализуем. Думаю, до середины 2018 года мы дойдем до своей точки комфорта в этом вопросе.
Уровень зрелости ИТ-инфраструктуры и информационной безопасности в госсекторе энергетики и ЖКХ, по моему мнению, низкий. Хотя в энергетике относительно лучше. В первую очередь это связано с тем, что государство – неэффективный собственник. Поэтому вопросами информационной безопасности на предприятиях занимаются по остаточному принципу, если занимаются вообще. К примеру, участники рынка ИТ прекрасно знают, как преимущественно выбираются и реализуются ИТ-проекты в госсекторе…
Но хорошая новость в том, что у нас в основе инфраструктуры страны достаточно устаревшие технологии и оборудование. Как бы странно это ни звучало. Дело в том, что уровень технологической автоматизации крайне низкий. Это значит, что даже легко взломав ИТ-инфраструктуру, сделать что-то существенное с технологическим процессом в наших условиях невозможно. Именно поэтому атака на энергопредприятия страны не привела к значительному ущербу. Но соответствующие агентства Евросоюза и США внимательно изучали этот кейс, запрашивали у нас информацию, консультировались. Поскольку в их случае ущерб будет значительно больше.
Рано или поздно, потенциальный ущерб от рисков информационной безопасности в госсекторе инфраструктуры вырастет до такой степени, что стране нужно быть готовой управлять этим.
Давайте поговорим об использовании облачных технологий в бизнесе. Насколько это сейчас выгодно, и будет ли расти спрос на подобные услуги среди крупных производственных предприятий?
Я считаю, что сфера ИТ уже выросла из той функции, которая ограничивалась сугубо технологией, и стала неотделимой частью бизнеса. Ведь, к примеру, на заводе главный энергетик – не просто старший электрик, а менеджер, отвечающий за существенную часть работы предприятия. По аналогии с приведенным примером, руководитель ИТ-направления также должен становиться бизнес-руководителем, думать категорией бизнеса. И это действительно важно.
Для меня вопрос использования облачных сервисов очень понятный, прагматичный и решенный. Польза в этом есть: при определенных масштабах и более-менее стандартных сценариях использования этих мощностей и сервисов по всем параметрам выгоднее использовать облако, чем создавать отдельную службу, строить дата-центр, нести затраты на обслуживание и ремонты, расходовать электроэнергию и т.д.
Я считаю абсолютно неизбежным переход на облачные сервисы в подавляющем большинстве случаев. Почему не на 100%? Потому что есть ряд ограничений, которые могут этому помешать. К примеру, существуют законодательные ограничения, банковские ограничения по обработке данных только на территории страны. Или компания может считать, что некоторые ее данные будут в большей безопасности внутри отдельного сервера, изолированного на территории предприятия. Еще ряд процессов, связанных, к примеру, с технологической автоматизацией, требует максимально короткого времени отклика и минимизации возможности ошибок. В таком случае также необходимо, чтобы эти мощности находились максимально близко к производственному оборудованию. Именно поэтому полный переход на облака пока невозможен, но в то же время огромное количество задач туда так или иначе будет переведено.
Как насчет украинских дата-центров? Есть ли у них будущее в части сотрудничества с крупными компаниями, или же все крупные игроки так или иначе мигрируют на зарубежные мощности?
Мы, как большая компания и крупный мировой игрок на рынке, сотрудничаем с мировыми вендорами напрямую. При сотрудничестве с локальными компаниями мы просто не получим никакой дополнительной выгоды. Госсектор, средний и мелкий бизнес – именно в этом сегменте украинских облачных провайдеров ждет большое будущее. Но только в том случае, если в нашей стране будут правильная регуляторная среда и контекст ведения бизнеса, чтобы этим компаниям хотя бы не мешали работать. Более того, если государство заинтересовано в развитии рынка высоких технологий, ему стоит задуматься о стимулировании этого сегмента бизнеса.
Вот еще вариант. Сейчас многие государственные монополии строят свои дата-центры. К примеру, инициатива Кyiv Smart City, "Укрпочта" и еще ряд госкомпаний, городов и областей. Зачем они это делают? Я абсолютно уверен, что их дата-центры будут дороже тех, кто этим профессионально занимается.
Должна быть создана и реализована государственная программа взаимодействия с локальными украинскими провайдерами. Тогда этот сектор действительно сможет развиваться.
Хотелось бы также поговорить с вами об инфраструктуре (в частности ИТ-инфраструктуре) предприятий на неподконтрольных территориях. Что с ней происходит сегодня, как она обслуживается, и существуют ли риски проникновения через нее в основную часть ИТ-инфраструктуры холдинга?
На неподконтрольных территориях мы потеряли контроль над предприятиями, перестали заниматься их управлением.
Практически вся инфраструктура предприятий холдинга управляется централизованно. Потому мы просто отключили утерянные активы от центральной системы – все учетные записи, права доступа, централизованные сервисы.
Естественно, все компьютеры, местные серверы, все сетевое оборудование там осталось, доступа к нему у нас нет, и что с ним происходит, я не знаю. Каналы связи на эти предприятия пока еще активны, но уже сейчас находятся в процессе отключения, поскольку я не вижу смысла продолжать платить за то, чего у нас нет.
А с кем вы работаете в части услуг предоставления доступа к интернету?
Интернет мы покупаем в основном у "Киевстара", "Веги" и "Датагруп". Фиксированную телефонию нам обеспечивает "Вега" и немного "Укртелеком". Мобильная связь – преимущественно "Киевстар".
Для построения корпоративной сети WAN мы пользуемся каналами уровня L3 от "Киевстара" и "Веги". В то же время у нас есть ряд выкупленных у операторов каналов, к примеру, между нашими дата-центрами в Киеве. Это было сделано исключительно для того, чтобы обеспечить бесперебойную работу этих дата-центров в синхронном режиме.
Для каналов связи и интернета мы организовываем резервирование, поэтому на каждой производственной площадке присутствует два оператора связи.
Давайте поговорим немного о кадровой политике. В частности, что вы можете сказать об уровне образования в Украине, есть ли здесь квалифицированные кадры, насколько остро стоит вопрос "утечки мозгов"?
Проблема "утечки мозгов" действительно существует. Наши кадры уходят в Чехию, Польшу, в какой-то степени в Канаду и Германию. Не скажу, что для нас это большая проблема, потому что чаще всего уходят программисты. А специфика промышленных предприятий в том, что доля программистов в штате очень небольшая. Особенно, если предприятие, как в нашем случае, использует коммерческие программные продукты.
Одна из наиболее острых проблем в нашей стране – отсутствие качественно обученного менеджмента в сфере ИТ. Нет нормальных менеджеров, которые умеют управлять процессами, людьми и технологиями. Конечно, есть ряд технически подкованных людей, которые выросли до руководящих позиций. Но они не являются руководителями, потому что их никто этому не учил. А учитывая то, что ИТ-менеджмент требует отдельных подходов, и ему не обучишь на каких-то общих курсах юных менеджеров, проблема становится еще острее.
Также мы ощущаем нехватку высококвалифицированных кадров, умеющих работать с узкоспециализированными продуктами от SAP, Microsoft, Cisco и т.п. Таких людей мы предпочитаем выращивать и обучать сами. Да и вообще, персонал в ИТ – это краеугольный камень нашей эффективности. Поэтому мы активно занимаемся обучением, помогаем людям строить карьеру, формируем общую корпоративную культуру.
Кто мы такие: О нас и Контакты. Как мы пишем новости и наши принципы: Редакционный кодекс. Мы старались, если вам понравилось – задонатьте.
Если Вы заметили орфографическую ошибку, напишите нам.