Безопасность у нас в крови

Кларк Роджерс:
Добро пожаловать на подкаст Executive Insights, созданный AWS. Меня зовут Кларк Роджерс, я директор по корпоративной стратегии, и я буду вашим проводником в серии бесед с руководителями служб безопасности.

Сегодня ко мне присоединился Мэтт Гарман, генеральный директор HAQM Web Services. Послушайте наш разговор о культуре безопасности HAQM, узнайте, что мы думаем об инвестициях в безопасность и о том, как клиенты могут использовать облако AWS для защиты своей среды. Приятного прослушивания.

Мэтт Гарман, генеральный директор HAQM Web Services. Большое спасибо, что присоединились.

Мэтт Гарман:
Да, конечно. Спасибо, что пригласили!

Кларк Роджерс:
Итак, вы были первым менеджером по продуктам AWS. Можете ли вы вспомнить то время и то, как безопасность стала частью вашей работы?

Мэтт Гарман:
На самом деле, она стала моей первой работой. Я прошел стажировку в бизнес-школе AWS еще до того, как мы что-либо запустили в 2005 году. С самого первого дня Энди Джасси убеждал нас в том, что безопасность имеет нулевой приоритет. Это было первое, о чем мы должны были думать, несмотря ни на что. И когда мы думали о первых днях существования AWS, мы постоянно думали о том, что это значит. Как мы относимся к безопасности? Как мы относимся к изоляции? В частности, в то время было много опасений по поводу того, чтобы доверять свои данные кому-то. И я думаю, что мы правильно сделали упор на безопасность, правильно сделали ставку на изоляцию, изоляцию рабочих нагрузок клиентов, а также на собственную безопасность, на доступ к данным клиентов и на защиту данных клиентов. С самого начала мы уделяли этому большое внимание. Для нас это была важная область инвестиций, и, конечно, она остается такой и сегодня.

И она росла по мере роста угроз безопасности. Мы все больше думаем о том, как обеспечить безопасность облака, например нашу собственную безопасность, и таким образом защитить рабочие нагрузки клиентов, а также предоставить клиентам инструменты для защиты своих рабочих нагрузок в рамках этой модели общей ответственности. Поэтому из всего, что мы делаем, это первое, о чем мы просим наших разработчиков подумать. В первую очередь мы просим сотрудников наших центров обработки данных посмотреть с точки зрения физической безопасности, логической безопасности, безопасности программного обеспечения, обслуживания нашего программного обеспечения и услуг, работы наших сервисов. Это в центре всего, что мы делаем.

Кларк Роджерс:
Как вы наделили руководителей бизнеса AWS ответственностью за безопасность их операций и реальных направлений бизнеса по мере развития вашей карьеры в AWS, а теперь и в должности генерального директора?

Мэтт Гарман:
Смотрите, во-первых, я думаю, самый важный рычаг – это то, что мы сосредоточены на культуре. Основное внимание уделяется тому, чтобы руководители знали, что безопасность – это их ответственность и что им нужно думать о ней. У нас есть несколько механизмов, чтобы обеспечить соблюдение этого требования и чтобы они учились, потому что я думаю, что у людей из других сфер другие взгляды, а в других местах безопасность не всегда стоит на первом месте. Они откладывают это или это чужая проблема, или, может быть, о безопасности заботится служба безопасности. И вы в службе безопасности. Мы не полагаемся на вас в части безопасности. За безопасность отвечает каждый. Вы – отличный партнер на этом пути, помогающий нам разрабатывать передовые практики и повышать безопасность.

Но нам необходимо сделать это частью культуры. Поэтому, безусловно, это часть обучения новых технических руководителей, руководителей по продуктам. Они должны относиться к этой ответственности как к чему-то важному для их продукции. У нас много механизмов, и мы стараемся побудить руководителей задуматься о том, как они улучшают безопасность, считают ли они, что их продукция надежна, но именно поэтому существуют перестраховки и дополнительные страховки, а как еще постоянно совершенствоваться? Потому что наша работа и обещание, которое мы даем клиентам, таковы: «Мы постоянно становимся лучше», да? Сфера безопасности постоянно усложняется, злоумышленники умеют все больше, и нам нужно постоянно наращивать уровни защиты. Нужно искать способы усилить безопасность благодаря руководителям, не наказывать людей, чтобы это было не наказание, а понимание того, что мы не будем поставлять продукт, не имеющий должного уровня безопасности.

Мы даже не приступаем к чему-то, пока не решим, что в основе изоляции для безопасности лежат правильные концепции. И в первый раз получается, что что-то так и не было запущено, потому что мы сочли, что это не соответствует требованиям, или мы читаем предложения по новому продукту и отвечаем: «Нам не нравится, как воспринимается эта архитектура, это так не работает». Это послание подкрепляется, и я думаю, что это во многом способствует правильному поведению.

Кларк Роджерс:
Вы упомянули механизмы. В прошлом сезоне у меня была возможность взять интервью у директора по информационной безопасности AWS, и он рассказал о еженедельном совещании генерального директора и директора по информационной безопасности. Не могли бы вы немного рассказать о ценности таких совещаний?

Мэтт Гарман:
Это просто. Да, есть пара моментов. Во-первых, для нас это отличная возможность укрепить связи с руководителями и, честно говоря, отличная возможность для меня и для всех нас чему-то научиться. Мы проводим еженедельное совещание, на котором проводим разбор. Часто... На самом деле, почти всегда это такие проблемы безопасности, когда мы стараемся предвидеть, где могла бы возникнуть проблема, если бы мы ее не обнаружили или, опять же, если бы у нас не было других мер по смягчению последствий. Но это отличная возможность для нас углубиться в предмет и понять, какие проблемы мы могли упустить, почему мы что-то упустили, где мы выявили новый тип проблем, которые мы хотим довести до сведения разных команд. Поэтому мы проводим совещание каждую неделю и ищем возможности для работы со всеми командами AWS, чтобы углубиться в вопрос и понять, что на самом деле можно сделать.

Я думаю, это мощный механизм и, прежде всего, отличная возможность научить руководителей по-настоящему мыслить и погружаться в тему. У нас есть целый ряд руководителей, которые участвуют дистанционно или лично, которые готовы углубиться в эти проблемы и разобраться, что происходит. И мы часто обсуждаем компромиссы между вариантами А и Б, потому что зачастую это тонкие вопросы и нет однозначного ответа: «О, вы забыли закрыть порт», или дело не в этом, да?

Это не такие проблемы. Это более тонкие вопросы, такие как: «Могло произойти это или то». Или мы имеем дело с пограничным случаем. А еще есть такой механизм: «Хорошо, отлично. Теперь, когда мы это сделали, как нам поговорить с остальными 50 или 100 командами, у которых может быть что-то похожее, и обеспечить распространение полученных знаний?» Нам как руководителям также полезно услышать мнения людей на следующей неделе и на следующей, и дальше, и мы сможем узнать и понять больше, и подумать о том, где можно предвидеть проблемы. Так что это очень мощное напоминание для всех нас о том, как мы думаем об этом, и, честно говоря, хорошая возможность поучиться друг у друга тому, как стать лучше.

Кларк Роджерс:
И это включает безопасность в ритм бизнеса.

Мэтт Гарман:
Верно. Думаю, еще важно вот что... некоторые думают о подобном механизме, как о том, что мы будем ругать кого-то за ошибку. И я думаю, очень важно, что вы не собираетесь наказывать за проблему, которая была поднята на собрании. В определенном смысле, хорошо, что вы отметили ее и нашли, и мы все извлекаем из этого урок. Поэтому я думаю, что это тоже важно, потому что вам не нужна культура, в которой сотрудники стремятся скрыть проблему и говорят: «Ой, я не хочу, чтобы об этом узнали, потому что я не хочу, чтобы на меня кричали». Так что действительно стоит поощрять культуру, в которой люди сообщают о проблемах, выносят их на всеобщее обозрение, чтобы более широкая организация могла учиться на этом.

Кларк Роджерс: 
И сосредотачиваться на проблеме, а не на человеке.

Мэтт Гарман:
Верно. Верно.

Кларк Роджерс:
Еще один эффект этого совещания в том, что оно демонстрирует. Оказывается, у генерального директора есть как минимум час в неделю, чтобы узнать все о безопасности. Я считаю, что это способствует формированию общей культуры безопасности во всей организации и подчеркивает ее важность.

Мэтт Гарман:
Возможно, так и есть. Думаю, это так.

Кларк Роджерс:
Глядя на ближайшие три-пять лет, чем вы хотите заниматься с AWS, как вписываются в ваши планы безопасность и, шире, соблюдение нормативных требований, регуляторные вопросы и так далее?

Мэтт Гарман:
Как я уже сказал, я думаю, нигде на рынке нет и признаков того, что безопасность становится менее важной, а злоумышленники менее изощренными. Поэтому мы должны и будем инвестировать в нее, потому что, на мой взгляд, именно это отличает AWS от всех остальных, особенно в том, что можно сделать. Честно говоря, даже по сравнению с другими поставщиками облачных услуг AWS обладает совершенно другими возможностями. И мы хотим, чтобы так и было.

Думаю, в ближайшие пару лет нам придется думать о том, как обеспечить безопасность в новых сферах. Когда вы думаете об искусственном интеллекте, стоит подумать и о множестве новых векторов атак, и о том, как избежать их, и о способах обеспечения безопасности... Я оптимистичен в том плане, что искусственный интеллект это невероятно мощный инструмент и технология, могущая приносить большую пользу компаниям. Вероятно, он эффективен и для злоумышленников, и для борьбы с ними и решения проблем безопасности. Я думаю, что мы сможем использовать его и для того, чтобы понять, как дальше улучшать наши предложения и базовую безопасность. Еще я думаю, что это одна из тех вещей, которая расширит сферы, где требуется наша защита.

Поэтому я думаю, что в этой области нам придется удвоить и утроить наши усилия, и мы уже это делаем. Думаю, что в ближайшие три-пять лет нам определенно будет нужно подумать об этой сфере. И еще, на мой взгляд, важная вещь. Поскольку это пространство быстро меняется, у людей иногда возникает соблазн сказать: «Да, наверное, мы займемся защитой позже».

С моей точки зрения, это неприемлемый компромисс. Вопросы, где должна быть граница изоляции и когда лучше запускать продукт, услугу или что-то еще – не равнозначные вопросы. Это не та область, где я готов идти на какие-либо компромиссы, но я понимаю, что есть такой соблазн. Поэтому нам нужно просто продолжать обучать наши команды. Я уверен, что у других участников рынка возникнет соблазн уступить в этом, чтобы двигаться быстрее. Но я ставлю на то, что в долгосрочной перспективе это будет неправильный выбор.

Кларк Роджерс:
Да. Похоже, в конечном итоге уйти от вопроса безопасности никогда не получится.

Мэтт Гарман:
Что ж, сейчас на рынке есть несколько примеров, которые обошлись намного, намного дороже как поставщику облачных услуг, так и конечному клиенту.

Кларк Роджерс:
Конечно. Давайте поговорим о клиентах. Вы много встречаетесь с их генеральными директорами. О чем они говорят с вами с точки зрения безопасности, не только того, что им следует делать, но и того, как AWS помогает им?

Мэтт Гарман:
Да. Смотрите, есть очевидные вещи. Людей беспокоят атаки с целью захвата и тому подобное. И я думаю, можно сделать много, чтобы и дальше помогать клиентам на этом направлении. Я думаю, все больше клиентов с беспокойством осознают, что один из самых больших их активов и наиболее важная часть их интеллектуальной собственности – это их данные. Как им защитить свои данные так, чтобы предотвратить их утечку? Это еще одна сторона безопасности, но она важна, когда вы думаете об искусственном интеллекте, аналитике и больших данных. Это то, как вы обеспечиваете правильную защиту данных одновременно сотрудниками вашей компании и внешними по отношению к вашей компании сотрудниками. И часть этих данных – ваши собственные данные о клиентах. Это информация, позволяющая установить личность. Или в основе вашей деятельности могут быть только ваши собственные корпоративные данные.

Я думаю, это чрезвычайно важная сфера о которой люди все больше беспокоятся, потому что, если эти данные утекут или перестанут быть их собственностью, думаю, многие клиенты поймут, что в этом и заключается их ценность. Так что это интересная сфера, о которой, на мой взгляд, люди продолжат думать. Но я думаю, что есть и другая сторона, где мы помогаем клиентам: это то, как вы думаете о том, где должны храниться данные, о суверенитете данных, о шифровании и о том, кому принадлежат ключи шифрования. И тут много... Что-то может значительно усложнить работу с вашей системой, а что-то, несмотря на это, совершенно оправдано. Поэтому я думаю, что это другой уровень принятия решения, это не «да» или «нет». Это не одно из решений, где есть очевидно правильный или неправильный ответ.

Но я думаю, наша задача в том, чтобы помочь клиентам понять, как найти баланс. Если есть проблемы с суверенитетом данных, когда ужесточается нормативно-правовая база и данные не могут или не должны покидать страну, как управлять глобальной компанией в условиях таких ограничений? Если подумать, возможно, эта тема близка к обеспечению безопасности, это своего рода контроль безопасности.

Кларк Роджерс:
Конечно. Таким образом, защита данных и фактическое размещение их в облаке могут в первую очередь упростить их защиту. Кроме того, это одно из самых базовых требований, чтобы люди могли пользоваться, например, генеративным искусственным интеллектом. Если ваши данные не в облаке, вы не сможете использовать множество замечательных возможностей генеративного искусственного интеллекта.

Мэтт Гарман:
Это очень интересная область, и если оглянуться на 18 лет назад, все были очень обеспокоены. Все говорили: «Как я могу доверять облаку? Как я могу больше... Безопасно ли облако? Я нахожусь в многопользовательской среде, которая пугает». А сегодня я бы сказал, что подавляющее большинство клиентов изменили мнение и поняли, что в облаке им безопаснее. У нас больше возможностей. Мы вложили миллиарды долларов в безопасность в этой сфере. Этого не делают в их центрах обработки данных.

Кларк Роджерс:
Правильно.

Мэтт Гарман:
И в этом большая разница. Произошел большой сдвиг. Я думаю, многим клиентам еще много предстоит сделать для миграции, модернизации и перехода в облако. На самом деле, большинство клиентов, если их данные хранятся локально, менее защищены, да? Они больше подвержены хакерским и другим атакам, и тому подобным угрозам. И они не могут воспользоваться преимуществами многих замечательных новых технологий, связанных с генеративным искусственным интеллектом, данными и аналитикой, новыми возможностями для вычислений и хранения данных, и другими подобными вещами, которые мы внедряем. Они как бы застряли в прошлом, в инфраструктуре и технологиях.

Кларк Роджерс:
С этой точки зрения, чаще ли вы обсуждаете вопросы миграции и модернизации с клиентами?

Мэтт Гарман:
Да. Это очень важно для роста бизнеса. И я думаю, что все больше клиентов понимают это и просто хотят двигаться быстрее. Отчасти поэтому мы инвестировали в такие вещи, как Q преобразование, которое помогает модернизировать некоторые устаревшие хранилища данных, такие как мэйнфреймы, VMware и другие, а также ускоряет переход в облако.

Кларк Роджерс:
И это безопасно.

Мэтт Гарман:
Думаю, это очень важно. Переход в облако, в облачный мир помогает повысить безопасность. Уход от Windows помогает повысить безопасность. Переход на более современную архитектуру помогает повысить безопасность. Это важные шаги, которые сегодня, как известно, сопряжены с риском. И я думаю, это помогает людям двигаться быстрее.

Кларк Роджерс:
Есть ли у вас совет для генеральных директоров клиентов, с которыми вы общаетесь, какие вопросы им следует задать своим службам безопасности?

Мэтт Гарман:
Здесь целый ряд вопросов. Во-первых, когда вы выбираете поставщика облачных услуг, что вы думаете об истории безопасности и каков его послужной список? И откуда вы знаете, что там, куда вы переезжаете, правильный уровень? Нужна определенная культура, чтобы каждый новый продукт, каждое новое предложение и каждая новая вещь начинались с заботы о безопасности клиентов. И, я думаю, с точки зрения клиента вопрос должен быть: «Как вы строите культуру?»

Потому что, действительно, это общая модель. И это очень важная часть нашей общей работы. Мы работаем со всеми нашими крупнейшими заказчиками, чтобы убедиться, что у них правильная архитектура, правильная настройка, понимание того, как относиться к учетной записи с root-правами по сравнению с правами доступа к учетной записи, к разрешениям IAM, шифрованию данных, защите ключей учетных записей и так далее. Клиенты тоже должны выполнить свою часть работы. Поэтому генеральным директорам я бы рекомендовал использовать процесс аналогичный тому, о котором мы уже говорили, который позволяет еженедельно поддерживать безопасность, благодаря передовым методам безопасности AWS, на которые можно полностью положиться, и мы за это отвечаем.

Мэтт Гарман:
О чем-то вам не нужно беспокоиться. Есть много вещей, о которых вам просто не нужно беспокоиться. Вам не нужно беспокоиться о безопасности центра обработки данных. Вам не нужно беспокоиться ни о чем таком. Вам не нужно беспокоиться о безопасности гипервизора, все это наша забота. Но в сфере приложений есть множество вопросов, о которых компаниям действительно стоит беспокоиться. И здесь не менее важно, чтобы у них был аналогичный механизм, когда их директор по информационной безопасности будет еженедельно проверять и показывать, где можно повысить уровень безопасности приложений. Кстати, мы бы хотели стать партнерами в этом.

Кларк Роджерс:
Конечно.

Кларк Роджерс:
Какой совет вы бы дали директорам по информационной безопасности клиентов о том, как сообщать руководству о рисках? Как вы предпочитаете узнавать о рисках с точки зрения безопасности?

Мэтт Гарман:
Да. Я думаю, самое главное – это быстрая передача вопроса на более высокий уровень и прозрачность. Если предприятие имеет дело с реальными рисками, не следует замыкаться на плохих новостях. Поэтому я доволен тем, что знаю нашего директора по информационной безопасности Криса. Если есть проблема, о которой мне следует знать, он сообщает мне сразу, а не через два часа. Мне нужно узнать об этом как можно скорее, чтобы мы могли привлечь всех нужных людей. И я бы рекомендовал так делать, потому что скорость имеет большое значение, особенно когда речь идет о срочных вопросах безопасности. Быстрота действий действительно важна. Собрать людей в одной комнате, отвлечься от всего остального и заняться главным, будь то оповещение клиентов, нужные действия, что-то еще – это невероятно важно, и скорость здесь невероятно важна.

Другое – это... Я думаю, что для решения менее срочных вопросов, важных, но не всегда срочных, необходимо создать культуру, в которой на людей не перекладывают ответственность и не обвиняют их, а сосредотачиваются на решении проблемы...

Кларк Роджерс:
Вернемся к этой проблеме.

Мэтт Гарман:
Думаю, здесь тонкое различие, но от этого зависит, насколько прозрачны ваши команды и скрывают ли они проблемы или передают их наверх. Компания и бизнес не станут лучше, если вы не будете прозрачны и не извлечете уроки из того, что пошло не так. Безопасность – трудное дело. Кстати, каждый день все находят что-то новое. Так что это трудная сфера. Это быстро изменяющаяся сфера. Нужно учиться и быть готовым учиться, а это значит, что все будет далеко не идеально, и вам просто нужно извлекать уроки, становиться лучше и стараться понять, как смягчить последствия и улучшить работу всей команды. Но вы этого не добьетесь, если не будете поощрять прозрачность. Вот пара вещей, о которых я бы советовал всем подумать.

Кларк Роджерс:
Фантастический совет. Большое спасибо, что присоединились, Мэтт!

Мэтт Гарман:
Да, конечно. Спасибо, что пригласили!

Слушать

Слушать

Слушать