Loading ...Днес изтичането на чувствителни данни и слабости в кода могат да доведат всеки бизнес до истински апокалипсис, а темата стана толкова гореща, че в началото на годината Белият дом издаде нова изпълнителна заповед за подобряване на националната киберсигурност. Ето защо все повече организации започнаха да гледат на сигурността като на интегрирана, а не допълнена част от работния процес, и вместо постфактум да търсят дупки в сигурността, вече го правят още в началния етап от създаването на продукта.
Но изграждането на DevSecOps култура изисква екипите да „пренапишат” мисленето си по отношение на триадата „програмиране, сигурност и операции”, защото тя стои в основата на оптимизирания жизнен цикъл на всеки IT продукт. За да разберем как целият процес на разработване в KBC Digital Development Center поетапно се сраства със сигурността, за да може компанията да предложи наистина сигурни продукти, и как тази сигурност се превръща в споделена отговорност, разговаряме с Ивайло Ламбрев, Risk&CMP мениджър.
Въпреки че темата DevSecOps не е нова, дълго време сигурността в софтуерните разработки и операции оставаше настрани. На какво се дължи това?
DevSecOps цели да предостави максимална защита, като позволи ускоряване на разработките и надеждност в операциите. Факт е, че броят на компаниите, които организират дейността си по този начин и внедряват информационната сигурност от най-ранния стадий на проекта, все още е ограничен, но ако се върнем малко назад, ще забележим, че допреди 5-7 години ситуацията с DevOps беше същата. В процеса на работа напредничавите компании установиха, че могат успешно да надграждат DevOps чрез целенасочено въвличане на експертите по информационна сигурност — от възникването на идейния проект, през дизайна и дефинирането на изискванията до разработката и тестването на приложенията. Това неминуемо е свързано и със самата култура и сфера на дейност на конкретната организация, а именно доколко информационната сигурност е приоритетна за нея.
Не само големите фирми, които оперират в сферата на финансовите услуги, но и много други увеличават интереса и мотивацията си бързо и ефективно да разработват защитени и надеждни приложения. Тези компании със сигурност разпознават в DevSecOps полезен и практичен подход за постигане на конкурентно предимство и значително съкращаване на времето за предоставяне на нови функционалности и продукти. Сред водещите имена, които работят по този начин, ще откриете Microsoft, Verizon, Pokemon и др.. Ако трябва да отговоря обобщено на какво се дължи ограниченото навлизане на DevSecOps, бих казал, че е въпрос на зрялост и мотивация за постигане на бързина в разработките, без да се прави компромис със сигурността и надеждността.
При KBC Digital Development Center в частност какво точно обозначава sec в термина DevSecOps от вътрешнокорпоративна и бизнес гледна точка?
KBC Digital Development Center във Варна e най-младото звено на белгийската група KBC, която инвестира значително в България. ОББ, ДЗИ, NN и KBC Shared Service Center Варна са част от тази инвестиция, а скоро и Райфайзенбанк България ще бъде присъединена към KBC Group. Дейността на Digital Development Center e насочена в задоволяване на нуждите на дружествата от Групата извън България и придобиване и запазване на ключови знания за критичните продукти в банките и застрахователните дружества в Европа.
Основните поделения на групата работят в силно регулиран сегмент, който ни задължава да спазваме много високи стандарти за оценка на кибер рискове и непрестанно усъвършенстване на решенията. В същото време поемаме и много сериозни ангажименти към многобройните ни клиенти, за да им предоставим непрекъсваемост на услугите, защита на личните данни и поверителност на информацията, свързана с техните финансови трансакции. В този смисъл ние сме изцяло фокусирани в информационната сигурност, а добавянето на sec елемента е много съществен компонент в работата ни. Тя е организирана в SAFe Agile и за всеки един от влаковете и вагоните (SAFe Agile Release Trains) се изготвя формална оценка на рисковете, включително и информационните такива.
Тази година стартирахме и много интересен проект, изцяло насочен в подпомагане на Групата и предоставяне на определени услуги, свързани с информационната сигурност. Целта е да бъдат сформирани няколко екипа с различна насоченост, които да си взаимодействат и съвместно да повишават квалификацията си.
За много хора DevSecOps просто е новото име на старите инструменти за сигурност. Какво наложи KBC да включи сигурността в собствен DevSecOps подход, как интегрирате съществуващи security инструменти и какво се случва с тези, които не могат да бъдат интегрирани?
Далеч сме от момента, в който ще можем да кажем, че DevSecOps e широко внедрен в процесите на KBC Group. Говорим за международни екипи от програмисти, които работят в много държави, създават и доразвиват стотици приложения. В повечето от проектите първото въвличане на специалисти по информационна сигурност е още на ниво Epic (Agile). Използват се добре познати средства и инструменти. Стратегическата ни цел е да сформираме балансирани екипи, в които разработчиците да се грижат повече за сигурността, като ги учим на уменията, нужни за създаването на защитен код. По време на специализираните обучения се стремим те да придобият умения, позволяващи им да пишат бързо сигурен и качествен код, както и в най-ранен етап да коригират често срещани грешки в сигурността.
Как идентифицирате и отговаряте на проблеми, свързани със сигурността, които възникват в различните отдели? Кои са препъникамъните в този сложен процес?
През последните години компаниите инвестират много средства в инструменти за проверка на кода и практиката показва, че те значително могат да повишат ефективността на специалистите по информационна защита. В Групата използваме инструменти като Secure Code Warrior, Checkmarx и SonarQube, но се оказва, че едно от най-изпитаните и работещи средства е независима проверка на кода от експерт или старши програмист със задълбочени познания в информационната сигурност. Подобно на други големи финансови институции KBC Group използва mainframe базирани системи, разработени понякога на Cobol. При тях възможностите и инструментите за проверка на кода са ограничени. Затова стратегията ни е да създадем интеграционен слой между тези монолитни и надеждни платформи и съвременните контейнер-ориентирани приложения с цел да изместим голяма част от разработките в microservices архитектура, където DevSecOps ще е напълно приложим.
Има много DevSecOps митове и един от тях е, че сигурността не е приоритет наDevOps екипите, които се целят в „скорост”, а не „защита”. Как разрешавате конфликта между двете от мениджърска гледна точка?
Трудно е да се намери баланс между скорост, качество и сигурност, но мисля, че ние го правим доста успешно. Това е и мотивацията ни да търсим работещи модели и добри практики, както и да изграждаме DevSecOps култура. Мениджмънтът е ангажиран с приоритизирането на задачите и много добре разбира рисковете, които могат да възникнат при използването на незащитено приложение. Точно затова лесно се приема философията на DevSecOps, която залага сигурността в дизайна на приложението и я надгражда успоредно с разширяването на възможностите.
Какви техники използвате, за да улесните процеса на създаване на здравословна DevSecOps култура в цялата организация?
Всичко опира до повишаване знанията на програмистите в сферата на информационната сигурност, допълнителни вътрешни и външни обучения, както и скъсяване на дистанцията между разработчиците и специалистите, които пишат софтуерен код, и експертите по информационна защита. За промяна на културата в голяма многонационална организация като KBC Group е необходимо време и усърдна работа. По-лесно е с новосформираните екипи от млади специалисти и определено отнема повече време за служители, които са работили по традиционния начин през последните десет или повече години. Опитваме се да намерим успешна рецепта, за да извлечем максимална полза от SAFe методологията, която е стандарт в KBC Digital Development Center Варна, създавайки подходяща среда и условия за DevSecOps.
През последните години хибридният и дистанционен начин на работа се превърнаха в ежедневие и очаквана придобивка. Какви промени претърпяха вашите политики за сигурност и въведохте ли нови security инструменти, които да следват тези тенденции?
През последната година екипите ни работиха основно в хибриден режим и това определено донесе допълнителни предизвикателства. Успяхме да подобрим контролите, предотвратяващи изтичането на лични данни, но най-вече бяхме фокусирани върху допълнителното повишаване на знанията на служителите, свързани с киберсигурността. Всички специалисти преминават през задължителен курс от вътрешни обучения, регулярно се провеждат разяснителни програми и кампании на всички нива. Голяма част от служителите получават и достъп до външни ресурси, предоставящи богат набор от специализирани обучения като LinkedIn Learning. Надяваме се, че тези постоянни инвестиции и целенасочена работа ще ни позволят да достигнем високо ниво на информираност на служителите и по-задълбочени познания в сферата на информационната сигурност.
Ако и ти искаш да твориш в сигурна среда, в която отговорностите се споделят, разгледай всички актуални възможности за работа на KBC Digital Development Center Варна още сега.