Особенности управления сложными программами в области кибербезопасности

Гладышев А.Ю.

выпускник группы MBA-CIO-50

Школы IT-менеджмента

РАНХиГС при Президенте РФ

В современном мире даже одна успешная кибератака может привести к практически неограниченному ущербу по всем видам рисков:

• прямой финансовый ущерб;

• прерывание оказания банковских услуг;

• ущерб репутации, потеря клиентов;

• санкции со стороны регуляторов и контролирующих органов.

Начиная с 2010 года мировыми экспертами и аналитиками Банка был отмечен взрывообразный рост киберпространства за счет новых сервисов и услуг, не обеспечивающих адекватный уровень безопасности, создающих благоприятную почву для роста киберпреступности.

Единое киберпространство стало создавать возможности для трансграничных преступлений. Киберпреступное сообщество начало использовать принципы сервисной модели (Crime-as-a-Service) со следующими отличительными чертами: виртуальность участия, четкая специализация, анонимность, монетизация отношений между участниками.

Финансовый же сектор, в особенности крупные банки стали привлекать интерес преступного сообщества в силу возможности прямой монетизации результатов кибермошенничества, извлечения сверхдоходов, а также огромного потенциала для атак, объектами которых могут быть все финансовые организации, юридические и физические лица.

Банки при этом является наиболее привлекательной целью для киберпреступников вследствие наибольшего количества клиентов и сотрудников, полного спектра предоставляемых электронных услуг, крупнейшей сети офисов, банкоматов и терминалов.

В Группе ПАО Сбербанк вопросам информационной безопасности всегда уделялось пристальное внимание, однако в 2014 году были выявлен ряд проблем, требующих решения в период 2014-2018. К ним относились:

• недостаточная удовлетворенность бизнеса взаимодействием со службой информационной безопасности;

• случаи неудовлетворенности Клиентов, пострадавших от мошенничества, уровнем защиты их интересов со стороны Банка;

• потенциально высокий уровень внутреннего мошенничества, в случае непринятия экстренных мер по противодействию;

• неэффективность законодательства и правоприменительной практики;

В Стратегии развития Сбербанка на период 2014-2018гг. были определены следующие основные направления развития:

• с клиентом — на всю жизнь: глубокие доверительные отношения с нашими клиентами, наша цель — превосходить ожидания наших клиентов;

• команда и культура: сотрудники и корпоративная культура Сбербанка являются одними из основных источников нашего конкурентного преимущества;

• технологический прорыв: завершение технологической модернизации и интеграция в бизнес всех самых современных технологий и инноваций;

• финансовая результативность: высокая финансовая отдача бизнеса благодаря более эффективному управлению расходами и соотношением риска и доходности;

• зрелая организация: формирование организационных и управленческих навыков, создание процессов, соответствующих масштабу Группы Сбербанк и уровню амбиций.

Реализация этих направлений развития происходит в условиях, которые, основываясь на наших прогнозах и информации ведущих мировых аналитиков в области информационной безопасности, можно описать следующим образом:

• интерес преступного мира будет сконцентрирован на банковском секторе;

• появится возможность реализации DDoS-атак (Distributed-Denial-of-Service attack) практически неограниченной мощности, их сложность также существенно возрастет;

• продажа кибератак любому заказчику (Crime-as-a-Service);

• количество угроз нулевого дня (zero-day) продолжит нелинейно расти вследствие взрывного увеличения количества приложений, доступных пользователю;

• повсеместный переход на облачные сервисы приведет к появлению дополнительных рисков ИБ;

• приватность пользователей будет практически утрачена в связи с продолжающимся развитием мобильных устройств, социальных сетей и интернета вещей;

• для подготовки и осуществления кибератак преступниками используются все современные технологии, включая искусственный интеллект для генерации новых вирусов.

Поэтому для успешного противостояния имеющимся угрозам, обеспечения развития бизнеса в условиях угроз завтрашнего дня было необходимо использовать лучшие мировые практики и компетенций в сфере ИБ с опорой на собственные ресурсы, прорывные подходов и инновационные решения, а также обеспечить высокий уровень киберкультуры у клиентов и сотрудников.

С учетом изложенного рабочей группой, включавшей в себя специалистов службы кибербезопасности, представителей служб ИТ-Банка, бизнес-блоков с привлечением внешних консультантов была разработана Стратегия, которая в октябре 2014 года была утверждена Правлением Банка, а в конце 2014 года была открыта Программа, направленная на ее реализацию.

Основные положения работы:

1. Обзор и сравнение ключевых стандартов в области управления проектами.

2. Программа по кибербезопасности является первой программой банка в этой области и по своим масштабам и комплексности не имеет аналогов в банковском секторе России. Отличительной особенностью программы является то, что она направлена на реализацию Стратегии информационной безопасности, в которой рассматриваются все аспекты направления кибербезопасности, начиная от киберкультуры, выстраивания партнерских отношений с функциональными блоками внутри Банка, заканчивая внедрением сложных и передовых систем защиты информации.

Поэтому, на мой взгляд, профессиональный интерес вызывает применение на практике положений Международной Ассоциации Управления Проектами IPMA в разрезе функциональных областей управления проектами:

- управление предметной областью;

- управление временными параметрами;

- управление финансированием;

- управление рисками;

- управление ресурсами;

- управление коммуникациями;

- управление контрактами;

- управление изменениями.

По каждой из указанных областей выделены проблемные зоны и драйверы улучшения ситуации.

3. Выводы.

- основным акцентом при реализации программы является вовлечение Спонсора в процесс целеполагания, решения стратегических вопросов, управления рисками. На мой взгляд, при всей тривиальности данного заключения, на практике это один из самых сложных аспектов

- в сфере кибербезопасности особую роль играет выстраивание партнерских отношений с бизнес-блоками, в случае отсутствия диалога, данная заинтересованная сторона может негативно влиять на ход реализации. Необходимо выстраивать диалог на понятном бизнесу языке.

- для выстраивания отношений с ИТ-блоком необходимо наличие знаний в области ИТ-технологий у сотрудников службы кибербезопасности на уровне не ниже специалистов ИТ. В противном случае, программа будет неуспешна.

- с учетом большого влияние программы на рынок кибербезопасности в России в части работы с подрядчиками необходимо выстраивать систему проведения сложных конкурсных процедур по выбору решений, включающих в себя функциональное, нагрузочное тестирование, сложную систему оценки решений и т.д. В противном случае возможны конфликтные ситуации, связанные с подачей претензий в ФАС в части проведения конкурсных процедур.

В ходе реализации программы проходила кардинальная трансформация организационной структуры службы кибербезопасности, что сильно повлияло на организационную структуру Программы (перестройка матричной организационной структуры Программы). В этих условиях необходимо грамотно использовать поведенческие компетенции по управлению конфликтами, разрешению проблем, согласованию, которых у меня не доставало. Поведенческие компетенции в проектном управлении необходимо развивать в первоочередном порядке.

Основными вызовами является необходимость быстрого изменение в ландшафте киберугроз, которое требует оперативной реакции. В контексте программы это означает необходимость быстрого внесения изменение в портфель проектов программы.