/

01.07.2024

Алексей Джураев: «Продумать все сценарии практически невозможно, поэтому зачастую стратегии описывают план действий»

Непрерывность бизнеса становится все более критической составляющей современного корпоративного управления, особенно в условиях быстро меняющегося информационного ландшафта и усиливающихся угроз. Эта специализация на стыке информационной безопасности, технологий, физической защиты, риск-менеджмента и кризисного управления требует не только глубоких знаний в каждой из этих областей, но и умения интегрировать их в единый стратегический подход.

В «J Новости» интервью с Алексеем Джураевым, признанным экспертом в области непрерывности бизнеса. Алексей имеет богатый опыт работы с крупными организациями, помогая им не только предотвращать потенциальные кризисные ситуации, но и эффективно управлять ими в случае необходимости. В нашем разговоре мы обсудили ключевые аспекты внедрения систем непрерывности бизнеса, текущие вызовы и тренды в этой области, а также перспективы развития данной специализации в Узбекистане и за его пределами.

  • Алексей, расскажите, пожалуйста, как вы пришли к специализации в области непрерывности бизнеса?

А.Д.: Я получал магистерскую степень в области международной безопасности, когда меня пригласили на техническую должность в один из внутренних департаментов фирмы PwC Russia (аудиторская компания, Big4), где я проработал на нескольких проектах до окончания магистратуры. После получения диплома я понял, что на технической позиции меня не ждет никакого карьерного роста и начал искать варианты развития карьеры, в том числе внутри PwC. В ходе моих поисков я вышел на команду по непрерывности бизнеса, которая функционировала внутри группы по кибербезопасности. Ребята хотели усилить свою экспертизу в международной плоскости, и мое образование и уже имеющийся опыт им подошли. Я проработал в этой команде 3 года, после чего (по ряду причин) покинул фирму. После этого занимался информационной безопасностью и непрерывностью бизнеса в российском ИТ-интеграторе, где я с коллегами отвечал за восстановление этого проектного направления. Сейчас я занимаюсь непрерывностью, в том числе, in-house в одной из компаний в Ташкенте.

  • В чем состоит основная задача системы по непрерывности бизнеса и почему она так важна для современных организаций?

А.Д.: Если взять определение из международного стандарта по непрерывности (ISO 22301), то непрерывность – это стратегическая и тактическая способность организации планировать свою работу в случае инцидента и нарушения её деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.

Основная задача системы по непрерывности бизнеса (Business Continuity Management System, BCMS) заключается в обеспечении способности организации продолжать критически важные функции и операции в случае возникновения значительных нарушений или катастроф. Это включает уменьшение времени простоя и снижение финансовых потерь, связанных с нарушениями бизнес-процессов. Система позволяет организации адаптироваться и продолжать функционировать в условиях неопределённости и изменений внешней среды, оставаясь конкурентоспособной. Также BCMS обеспечивает защиту интересов сотрудников, клиентов, партнеров и других стейкхолдеров.

В рамках системы в компании определяются критические процессы, т.е. те, без которых компания не сможет выполнять свою основную деятельность значительное время либо не сможет функционировать в принципе. Также BCMS позволяет заранее понять, какие ресурсы (персонал, оборудование, инфраструктура и т.д.) и в каком объёме нужны компании, чтобы поддерживать критические процессы на минимально приемлемом уровне.

Внедрение BCMS позволяет компании заранее определить актуальные и наиболее вероятные угрозы и риски, такие как землетрясения, аномальные погодные условия, техногенные инциденты, социальная или геополитическая нестабильность. После этого заранее прорабатываются различные сценарии и стратегии действий. Это позволяет реагировать быстро и с минимальными ошибками.

Приведу пример: идёт кибератака на ЦОД, при этом аномальная жара вызывает проблемы с охлаждением серверов, и какие-то из них перестают отвечать. В такой ситуации специалистам по ИБ сложнее быстро обнаружить злоумышленника внутри периметра компании. В рамках функционирования BCMS рассматриваются события разной степени вероятности, и для таких случаев пишутся стратегии реагирования, чтобы специалисты компании заранее представляли, как можно и нужно действовать в таких ситуациях. Конечно, продумать все сценарии практически невозможно, поэтому зачастую стратегии описывают план действий, применимый к определённой ситуации, угрозе или группе угроз, например, реагирование на кибератаку (не на какую-то определённую, а на угрозу в целом).

Также создаются детальные планы действий по восстановлению работоспособности организации, которые включают процедуры для восстановления критических операций, включая ИТ-системы, инфраструктуру, персонал и другие ресурсы.

BCMS позволяет выявлять новые возможные риски для компании, которые без этой системы могли даже не оцениваться.

  • Какие основные компоненты включаются в систему по непрерывности бизнеса?

А.Д.: BCMS включает в себя ряд мероприятий и разрабатываемых документов:

  1. Анализ воздействия на бизнес (BIA, Business Impact Analysis) – анализ, который помогает определить критичные процессы и ресурсы, о которых я говорил выше.
  2. Оценка рисков – анализ и оценка рисков и угроз непрерывности, релевантных для конкретного региона, отрасли и компании.
  3. Разработка сценариев и стратегий реагирования на утрату непрерывности.
  4. Разработка подробных планов восстановления после инцидентов.

В систему также обязательно входят сотрудники с установленными зонами ответственности, полномочиями и обязанностями, начиная от менеджера по непрерывности, куратора и заканчивая командами восстановления после инцидента.

И ещё один важный момент. В компании, желательно на уровне политики, должно быть понимание и желание обеспечить выживание на рынке, а также документально зафиксировано, что такая система нужна и будет разрабатываться, так как внедрение BCMS — это в какой-то степени бюрократизация процессов. Я, конечно, перечислил не всё. Это ключевые вещи.

  • Как ваша экспертиза в информационной, ИТ, физической безопасности, риск и кризис-менеджменте помогает в разработке и внедрении таких систем?

А.Д.: Экспертиза в области информационной, ИТ, физической безопасности, риск и кризис-менеджмента ключевые роли во внедрении систем по непрерывности бизнеса (BCMS).

Качественное, регулярное и документально описанное резервное копирование определённых данных и систем является одним из ключевых компонентов BCMS, включающим такие важные понятия, как RTO и RPO.

В рамках физической безопасности для BCMS важны такие аспекты, как защита инфраструктуры (обеспечение безопасности физических объектов и активов, что минимизирует риски краж, вандализма и катастроф), контроль доступа (внедрение систем контроля доступа, видеонаблюдения и других аспектов физической и технической безопасности для предотвращения несанкционированного доступа к критичным объектам), а также планы эвакуации и безопасность сотрудников.

Для BCMS также важно понимание риск-менеджмента, а именно идентификация и оценка рисков (специалисты по риск-менеджменту проводят оценку рисков организации в рамках своей сферы, что упрощает процесс выявления и приоритизации угроз непрерывности).

Вы также спросили про важность кризис-менеджмента. Непрерывность бизнеса направлена на обеспечение непрерывного функционирования определённых процессов в компании и снижение воздействия на организацию в случае инцидента. Кризис-менеджмент включается в тот момент, когда инцидент произошёл, поэтому он является неотъемлемой частью BCMS. Это включает планирование действий сотрудников в случае инцидента, управление всеми коммуникациями и определённый набор действий и шагов после разрешения кризиса. Без понимания кризис-менеджмента невозможно выстроить полноценную BCMS.

  • Какие наиболее частые кризисные ситуации вы видите в банковской и финтех сферах, и как система по непрерывности бизнеса помогает минимизировать их последствия?

А.Д.: Основываясь на различных исследованиях последних лет, могу сказать, что это кибератаки, сбои различных ИТ-систем, технические сбои, природные катастрофы, различные инциденты, связанные с поставщиками и партнёрами, регуляторные и правовые изменения.

Внедрённая BCMS позволяет выявить эти риски и подготовить планы действий в случае осуществления той или иной угрозы. Например, разработка действий в случае проблем с поставщиком, диверсификация поставщиков, регулярные проверки партнёров, альтернативные цепочки поставок, регулярный мониторинг регуляторных изменений, адаптация бизнес-процессов, разработка планов восстановления ИТ-систем и т.д. Можно перечислять множество возможных действий на разные угрозы.

BCMS позволяет выявить эти возможные угрозы и быстро на них реагировать, чтобы последствия не были критичны для компании. В совокупности BCMS обеспечивает комплексный подход к подготовке, реагированию и восстановлению после кризисных ситуаций, что помогает минимизировать их влияние на бизнес и поддерживать устойчивость организации в долгосрочной перспективе.

  • Можете ли вы привести примеры успешного внедрения системы по непрерывности бизнеса в реальных компаниях?

А.Д.: Да, конечно. Если взять международный рынок, то такими примерами могут быть следующие компании:

  • JPMorgan Chase. В 2012 году, когда ураган «Сэнди» обрушился на Восточное побережье США, банк смог быстро восстановить свои операции. Благодаря заранее подготовленным планам и резервным центрам обработки данных, JPMorgan Chase удалось минимизировать время простоя и продолжать обслуживание клиентов, несмотря на масштабные отключения электроэнергии и затопления.
  • MasterCard. MasterCard успешно использовала свою BCMS во время пандемии COVID-19. Система позволила компании оперативно перейти на удалённую работу, обеспечивая при этом безопасность и доступность платёжных сервисов.
  • Walmart. Ритейл-гигант Walmart также успешно перешёл на удалённый формат работы. В профессиональной среде я видел рассказы, что Walmart понёс минимальные финансовые потери по сравнению с другими компаниями в США, хотя официальные подтверждения этому я не искал.
  • Toyota. После землетрясения и цунами в Японии в 2011 году Toyota быстро восстановила свои производственные мощности, несмотря на серьёзные разрушения.
  • Southwest Airlines. В 2017 году авиакомпания столкнулась с массовыми сбоями в своей ИТ-системе, что привело к задержкам и отменам рейсов. Благодаря заранее разработанным планам и обученным сотрудникам, Southwest Airlines удалось быстро восстановить работу и минимизировать неудобства для пассажиров.

Если брать страны СНГ, то приведу пример компании “Инфосистемы Джет”, в которой 25 января 2003 года произошёл пожар. Офис оказался полностью недоступен, но благодаря внедрённой BCMS уже к вечеру 26 числа были найдены новые помещения и восстановлены основные процессы компании. Клиенты даже не заметили перебоев в обслуживании.

Также могу отметить, что в 2022 году не прекратил свою работу сервисный центр и офис PwC в городе Львов (Украина).

Из компаний, где внедрена BCMS в каком-то виде, можно перечислить: ВЭБ.РФ, Т-Банк, Сбер, Газпром, МТС (Россия), Киевстар (украинский телеком-провайдер).

В Узбекистане в некоторых организациях также внедрены или внедряются BCMS. Мы тоже развиваемся в этом направлении, хоть и не так быстро, как хотелось бы.

  • Как вы оцениваете уровень осведомлённости и готовности узбекских компаний к внедрению таких систем?

А.Д.: Полноценной аналитикой я только занимаюсь, поэтому мне сложно говорить наверняка, но есть компании, где эта система внедрена полностью и отлично функционирует. Есть компании, которые только внедряют или планируют внедрение BCMS. Есть такие, в которых вроде что-то есть, но не функционирует. В некоторых банках такая ситуация. А есть компании, где один-два инициативных сотрудника понимают важность обеспечения непрерывности, но сталкиваются с тотальным непониманием со стороны более высоких руководителей. Очень много компаний, где про это ничего не слышали и внедрять не планировали и не планируют.

  • Какие шаги необходимо предпринять компании для начала работы над системой по непрерывности бизнеса?

А.Д.: Есть множество шагов, обеспечивающих управление непрерывностью бизнеса (BCMS): актуализация релевантной матрицы рисков, проведение анализа воздействия на бизнес, регулярные тестирования, определение максимально возможного объема безвозвратно потерянных данных (RPO) и мощностей, которые необходимы для восстановления, и другие.

Главная проблема в случае ЧП — ступор и незнание, к кому обратиться за указаниями и разъяснениями. После подготовки верхнеуровневых планов можно задумываться над углублением вопроса непрерывности.

Я однажды уже писал статью, примерно отвечающую на этот вопрос, так что воспользуюсь тем чек-листом, который тогда был разработан:

  • Определите релевантные для вашей компании риски нарушения непрерывности и согласуйте их с другими ключевыми сотрудниками. Не нужно использовать суперсложную методику определения рисков и угроз. Например, можно воспользоваться методом Дельфи.
  • Определите ключевые системы и процессы для вашей компании. Достаточно небольшой анкеты для общения с бизнесом. В ней должна быть указана информация о системе: кто за неё отвечает, время, за которое нужно восстановиться, а также максимально допустимый период времени, за который вы готовы лишиться данных из неё.
  • Проверьте параметры резервного копирования ключевых систем: все ли утверждённые бизнесом RPO выдерживаются? Систему могли создать много лет назад, и никто не помнит, как происходит копирование. Узнайте у технических владельцев критичных систем, за счёт чего обеспечивается их работоспособность: какое обслуживание им необходимо, какие комплектующие, как скоро закончатся лицензии.
  • Проверьте безопасность СРК. Как правило, современные СРК уже имеют встроенные механизмы защиты от шифровальщиков: Honeypot, защиту базы данных дедупликации. Проверьте, что эти настройки активированы, система выделена в отдельный сегмент и реализованы базовые меры по её защите.
  • Определите круг людей, которые будут принимать решения в случае критичных нештатных ситуаций, например, экстренно «потушить» все серверы. Иногда драгоценное время уходит, поскольку нет понимания, кто должен дать «целевое указание» на такие действия.
  • Разработайте план коммуникации для ИТ и СБ. Он должен быть максимально простым.
  • Создайте альтернативный канал связи на экстренный случай. Например, группу в безопасном мессенджере (Telegram/Signal), куда будут добавлены все ответственные сотрудники и ключевые руководители.
  • Сделайте памятки для пользователей. Памятка может содержать текст: «В случае ЧП звонить по этому номеру». И ниже будут указаны номера.
  • Сделайте памятки для ИТ-администраторов для снижения ключевых рисков. Укажите в них, с кем можно связаться на случай поломки ИТ-оборудования, если что-то произошло с каналом связи и т. д.
  • Проверьте хотя бы на бумаге подготовленный план реагирования. Его можно оформить в виде блок-схемы для наглядности.

Реализовав эти несложные шаги, вы перейдёте к более зрелому процессу обеспечения непрерывности в вашей компании.

  • В каких отраслях, кроме банковской и финтех, системы по непрерывности бизнеса могут быть наиболее полезны?

А.Д.:

  • Здравоохранение (в больницах и медицинских центрах критически важно поддерживать непрерывную работу для обеспечения безопасности пациентов).
  • Энергетика и коммунальные услуги (компании, предоставляющие электроэнергию, газ, воду и другие коммунальные услуги, должны обеспечивать непрерывность поставок).
  • Телекоммуникации (провайдеры телекоммуникационных услуг должны обеспечивать непрерывность связи для своих клиентов).
  • Транспорт и логистика (непрерывная работа транспортных компаний и логистических операторов критически важна для глобальных цепочек поставок).

Также можно выделить различные компании, связанные с повышенной опасностью для своих работников или клиентов, такие как добывающие компании, шахты, нефтегазовые месторождения, аэропорты и другие.

  • Какие ключевые риски вы видите при отсутствии системы по непрерывности бизнеса в организациях?

А.Д.:

  • Простои и потеря производительности: неожиданные прерывания в работе могут привести к простоям в производственных процессах, что в свою очередь снижает производительность и эффективность работы.
  • Финансовые убытки: простои и нарушение бизнес-процессов могут привести к значительным финансовым убыткам из-за потери доходов, дополнительных затрат на восстановление и упущенных возможностей.
  • Потеря данных и информации: отсутствие надлежащих мер по защите данных может привести к их утрате или повреждению в результате кибератак, технических сбоев или природных катастроф.
  • Ухудшение репутации и доверия клиентов: несвоевременное реагирование на инциденты и неспособность обеспечить непрерывность услуг могут негативно сказаться на репутации компании и доверии клиентов.
  • Проблемы с цепочками поставок: прерывания в работе могут вызвать сбои в цепочках поставок, что приведет к задержкам и нехватке ресурсов.
  • Регуляторные и правовые последствия: несоблюдение нормативных требований и стандартов в области непрерывности бизнеса может привести к штрафам и санкциям со стороны регулирующих органов. Также определенные действия или бездействие в условиях кризиса могут повлечь за собой различные регуляторные санкции.
  • Какое оборудование и программное обеспечение обычно требуется для эффективной работы системы по непрерывности бизнеса?

А.Д.: Я бы сказал, что самое важное – это поддержка сверху. Как я уже упоминал, внедрение BCMS требует бюрократизации некоторых процессов, и сотрудники могут относиться к этому с определённым сопротивлением, особенно в части необходимости выучить и автоматизировать шаги и действия в случае инцидентов.

Касательно остального, компании, где установлен BCMS, обычно используют уже имеющуюся инфраструктуру, если в организации нет хаоса в бизнес-процессах и наличествует достаточно выстроенная ИТ-инфраструктура (системы резервного копирования, мониторинг инцидентов) и сформированы процессы PR и GR, если компания достаточно крупна.

  • Какие тренды и новшества вы наблюдаете в области непрерывности бизнеса на международном уровне?

А.Д.: Помимо глобальных трендов, таких как Big Data и машинное обучение, которые также влияют на непрерывность бизнеса, можно выделить следующие направления:

  • Усиление регуляторного давления и стандартов, как например, недавно принятый в ЕС акт DORA, направленный на регулирование цифровой операционной устойчивости.
  • Укрепление цепочек поставок.
  • Увеличение внимания к устойчивости в общем и климатическим рискам.

Отдельно стоит отметить развитие культуры непрерывности и устойчивости, а также цифровизацию данного направления. Я не работал с таким программным обеспечением, но существуют компании, специализирующиеся на разработке ПО, предназначенного исключительно для BCMS, начиная от автоматизации анализа воздействия на бизнес до мониторинга угроз непрерывности 24/7. Узнав об этих разработках (например, такая компания существует в ОАЭ), я понимаю, как важно следить за самыми последними мировыми трендами.

  • Чем отличаются ваши методы и подходы от других специалистов в этой области?

А.Д.: У меня нет 10, 15 или 20 лет опыта в данной области, чтобы утверждать, что мои методы кардинально отличаются от общепринятых методик, основанных на лучших мировых практиках. Я стараюсь учитывать все возможные факторы и влияния, не ограничиваясь одной областью, так как BCMS требует интеграции ИТ, информационной безопасности и управления рисками.

  • Какие советы вы бы дали руководителям компаний, рассматривающим внедрение системы по непрерывности бизнеса, но не знающим, с чего начать?

А.Д.: Оцените текущее положение дел, проведите анализ текущих рисков и уязвимостей вашей компании, включая наиболее вероятные техногенные, природные и социальные риски. Определите ключевых сотрудников, которые могут руководить выстраиванием такой системы и вступить в команду восстановления в случае инцидента. Изучите существующие стандарты: хотя это, возможно, не приведет к мгновенному внедрению отлаженной системы, но вы сможете понять, что вам предстоит делать. Обратитесь за помощью к экспертам и консультантам. Создайте культуру устойчивости, распространяя среди сотрудников понимание важности непрерывности бизнеса и их роли в обеспечении устойчивости компании. И, конечно, следуйте шагам, о которых я упомянул выше.

  • Каковы ваши планы на будущее и как вы видите развитие этой специализации в Узбекистане в ближайшие годы?

А.Д.: Со временем специализация по непрерывности бизнеса начнет регулироваться со стороны Центрального Банка. Я слышал от узбекских специалистов, что местный регулятор часто адаптирует или принимает положения от Центробанка России, где сфера непрерывности бизнеса и операционной надежности сильно регулирована. Например, в России Центробанк установил, что автоматизированная банковская система должна быть восстановлена в течение 2 часов после сбоя или простоя. Местный рынок пока не готов к таким жёстким требованиям. В общении с представителями Центробанка РУз мне было сказано, что в ближайшие 3-5 лет не планируются значительные изменения, хотя уже существует постановление №3431, требующее от операторов платежных систем иметь планы обеспечения непрерывности бизнеса. Однако, как строго соблюдаются эти требования на практике и насколько эффективно работают такие планы, я не могу сказать.

Однако на различных форумах и мероприятиях я всё чаще слышу о важности непрерывности бизнеса, особенно от CIO, CEO и других руководителей крупных организаций, что меня очень радует. В мои ближайшие планы входит выступать на тематических мероприятиях, писать статьи на эту тему и возможно вести социальные сети, чтобы распространить знания о непрерывности бизнеса среди аудитории Узбекистана. Это поможет подготовить бизнесы к будущим требованиям Центрального Банка и снизить замешательство при введении новых регуляций по обеспечению непрерывности.

Подписывайтесь на мой профильный канал в Telegram, там скоро будут выходить статьи по непрерывности бизнеса.

  • Благодарю за интервью.

А.Д.: Спасибо вам.

Больше интересных статей