Александр Новожилов: «Безопасность производства: в стране невыученных уроков»

 

Выход закона об обеспечении безопасности критической информационной инфраструктуры – один из сигналов государства участникам рынка, которые разрабатывают инструменты защиты, и предприятиям, эксплуатирующим АСУ ТП. Какие требования предъявляются законодателем к такой инфраструктуре, интересы каких компаний и предприятий сходятся в сфере действия нормативных актов, регулирующих порядок использования автоматизированных систем? На каких сегментах рынка уже отреагировали на вступление в силу закона и какие надежды специалисты по информационной безопасности связывают с технологиями искусственного интеллекта, Интернета вещей? Об этом в интервью нашему журналу рассказал генеральный директор компании «Айти Бастион» Александр Новожилов.

 

Вступили в силу Федеральный закон № 187-ФЗ «Об обеспечении безопасности КИИ» и ряд подзаконных актов. Как вы оцениваете их влияние на развитие рынка информационной безопасности в нашей стране?

– Я приветствую появление этого закона. На конференциях по информационной безопасности часто слышу мнение представителей заказчиков, производителей и интеграторов, которые говорят, что «пока государство не заставит всех – ничего не произойдет». Многие участники рынка ждут мотивации от государства: мол, когда деваться будет некуда – придется исполнять указания. Поэтому с точки зрения настроений на рынке появление № 187-ФЗ – хороший, позитивный сигнал. Причем важно, чтобы издаваемые нормативные акты были конкретными, а не расплывчатыми. Иначе не исключено, что некоторые заказчики не станут прилагать усилий для повышения уровня безопасности.

С другой стороны, мы уже несколько лет настаиваем на том, что заказчикам нужно ориентироваться на собственные потребности и риски, а не выжидать, когда государство выдвинет общие для всех требования в виде ультиматума.

 

С чего начать?

– С оценки вероятности наступления событий с негативными последствиями. Например, установили видеокамеры для предотвращения воровства, условно говоря, ведра бензина. Вероятность такого события 3% – ущерб 1 тыс. руб. Перемножаем: получаем 30 руб. – риск, от которого защищаемся. А если говорим про атаку на информационную систему с вероятностью в 0,0001% и ущербом в 3 млрд руб., то последствия хуже и стоимость риска значительно выше, по сравнению с украденным ведром бензина. Если бы действительно атак не происходило или это была такая исчезающая вероятность, что миллиардные ущербы ее не перевешивали, то, безусловно, эта тема не возникала бы с завидной регулярностью на разных уровнях – от государства до рядовых специалистов на объектах.

 

Какую отрасль можно назвать драйвером реализации проектов, связанных с АСУ ТП?

– Регулярно приходится слышать о проблемах в нефтяной отрасли. В частности, в прессе несколько раз появлялась информация об утечках на заводе в Капотне, которые якобы имели место. Мы видим, что предприятия нефтепереработки, нефтедобычи, транспортировки, сбыта нефтепродуктов постоянно вкладываются в усовершенствование очистных сооружений, технологий производства. Сомневаюсь, что люди сознательно наносят вред, чтобы сэкономить или отравить кого-то. Очевидно, что подобные события из разряда сбоев, нештатных ситуаций.

В настоящее время драйвером в развитии направления АСУ ТП становятся нефтяные компании, как upstream, так и downstream. У нас уже есть несколько проектов с крупнейшими в России компаниями, которые связаны с безопасностью АСУ ТП, т. е. по нашей тематике.

 

А сбытовые компании проявляют интерес к таким проектам?

– Здесь несколько иная ситуация. Эти компании ориентированы преимущественно на установку камер и обеспечение контроля «над ведрами с бензином». Но это до поры до времени. В какой-то момент компании обнаруживают, что пора вникнуть в то, что происходит в их информационных системах.

 

И что же?

– Условно говоря, «делай что хочешь». Информационные системы на маленьких объектах тем не менее требуют обслуживания. А организовать квалифицированный контроль выполнения работ на таких объектах без использования специальных систем невозможно – дорого. Таким образом, обслуживающий персонал чувствует себя «свободным» в своих действиях. Тема периодически поднимается, какое-то время бурлит, но пока намерения не выливаются в значимые проекты. Однако тенденция такова, что тема обсуждается с завидной регулярностью, причем повод для этого находится даже тогда, когда нет инцидентов. Так что, на мой взгляд, рано или поздно эта тема все-таки «выстрелит».

 

Сравнительно недавно большой резонанс получила история в Австрии на хабе, когда несколько стран оказались без газа. Такие события подстегивают интерес к проектам?

– В России пока нет. В Австрии и других европейских странах эта история оказала влияние на рынок. Ну, смотрите: чрезвычайные ситуации возникают, но они с трудом доходят до бизнеса – слишком много промежуточных звеньев, которые пытаются сохранить свои места, уйти от ответственности. Например, говорят, что это ошибка инженера (с кем не бывает) или технический сбой. Но с помощью специальных систем можно нивелировать риски, связанные с некорректными действиями персонала, а также снизить вероятность сбоев, благодаря более качественному обслуживанию. Получается, что указанные инциденты являются следствием отсутствия средств автоматизированного контроля. Возможно, инженер решил попробовать повысить давление на 2 мегапаскаля. Получилось не очень хорошо. Списали на сбой в системе. Сейчас все инциденты пытаются по максимуму скрыть или списать на какие-то невероятные обстоятельства. Пока такие объяснения удовлетворяют руководство компании, подвижек в сторону реализации проектов не будет. Однако подобные случаи имеют свойство накапливаться. Аналогичная ситуация и в промышленности, где также занялись контролем АСУ ТП, но не настолько решительно, как нефтяники. Не исключено, что интерес стимулируется, в частности, принятым законом.

 

Что представляет собой система обеспечения безопасности критической информационной инфраструктуры с учетом положений принятого закона? И как это соотносится с решениями компании «Айти Бастион»?

– В статье 10 Закона содержатся положения, которыми описывается суть этой системы. Первый пункт предусматривает исключение несанкционированного доступа к информации и защиту ее от модификации, копирования, уничтожения, блокирования и т. д. Это описание – часть функционала, который предоставляет система, предлагаемая нашей компанией. Во втором пункте говорится о предотвращении несанкционированных действий на информационных системах, обрабатывающих информацию критической информационной инфраструктуры (КИИ). Фактически это прямая отсылка к системам нашего класса, потому что других решений, которые действительно могут предотвращать действия на информационных системах, на мой взгляд, нет. Поэтому сотрудники нашей компании воспринимают данный закон очень позитивно.

 

Каковы, по вашему мнению, будут ближайшие и отдаленные последствия применения этого закона?

– Если говорить о ближайших последствиях, то я ожидаю яростных обсуждений того, что же делать. А в отдаленной перспективе принятый закон, на мой взгляд, приведет к более высокой защищенности инфраструктуры в стране. Закон № 152-ФЗ «О защите персональных данных» так же долго обсуждали, когда он только появился, но, в конце концов, базы данных, можно сказать, исчезли из свободной продажи на рынках.

 

Какова, на ваш взгляд, роль ГосСОПКА в защите российского бизнеса?

– О результатах говорить пока рано, но движение в правильном направлении. Если построенная система будет действительно работать, то это принесет существенную пользу. Безусловно, мониторинг и накопление информации об инцидентах способствуют тому, чтобы появилось понимание, какие угрозы и уязвимости характерны для инфраструктуры. До сих пор этим занималась ФСТЭК, но при наличии инструментов, которые позволят собрать огромные потоки информации, можно увидеть, какие уязвимости существуют. ГосСОПКА, реагируя на уже обнаруженные угрозы, может выдавать рекомендации, например, установить такие-то настройки межсетевых экранов, обновления (хотя бы оптимальный минимум) для устранения набора критических уязвимостей. Наличие таких рекомендаций, безусловно, будет полезным.

 

Насколько создание государственных и особенно отраслевых центров реагирования на инциденты поможет усилению защищенности российской инфраструктуры?

– Подключить компании напрямую к главному центру ГосСОПКА не получится, потому что данные окажутся не просто большими, а огромными. Идея в том, чтобы собрать информацию об инцидентах и аномалиях для передачи на следующий уровень, например корпоративный. Затем информация агрегируется по отраслевому принципу, неповторяющиеся данные передаются на уровень выше. И потом уже эксперты разбираются в причинах инцидентов.

В концепции ГосСОПКА, как было показано ФСБ, несколько уровней. Корпоративный («Россети» оборудуют свой центр реагирования, «Росатом» – свой), отраслевой – на уровне Минэнерго собираются данные этих компаний и других. Более того, концепцией предусмотрены региональные центры реагирования. По отраслям собираем в один центр, по регионам – в другой, и получается некоторое дублирование. Создание таких отраслевых и региональных центров реагирования, думаю, уже идет, но пока процесс скрытый. Тем не менее еще не все участники процесса задумались о создании центров реагирования, несмотря на то что закон уже действует.

 

Насколько критичен, по вашему мнению, уровень импортозамещения для обеспечения информационной защищенности российских предприятий? Помогли ли вашей компании принятые государством меры стимулирования замещения импортных решений?

– Нам, как это ни странно, импортозамещение помогло. Но не в объеме продаж. Мы смогли технологически шагнуть вперед. Не секрет, что изначально компания занималась продажей иностранного продукта. Однако, оценив происходящее в части импортозамещения и сертификации, мы перешли к производству собственного продукта. Нашли технологических партнеров, выполнили ряд собственных разработок. Да, мы по-прежнему используем некоторое количество технологий из-за рубежа, но в общем продукт является российским и доля иностранных технологий планомерно снижается.

Если же говорить о рынке в целом, то создается двоякое ощущение.

 

Почему?

– Наблюдается определенное ограничение конкуренции. Госорганы и госкомпании вынуждены ориентироваться на реестр отечественного ПО при организации закупок. В тех классах, где присутствуют российские производители, приходится обосновывать приобретение иностранного продукта, даже если он дешевле, качественнее и функциональней. Для государственных корпораций это тоже актуально, хотя они движутся в этом направлении не так решительно, как госорганы.

Что касается замещения импорта в части разработок для обеспечения информационной безопасности, то не думаю, что все иностранное ПО и аппаратные продукты напичканы закладками и тому подобными вещами. Мы проводили сертификацию, в частности французского продукта, представили исходные коды, которые подверглись серьезной проверке со стороны соответствующих органов. Уязвимостей и закладок найдено не было. Поэтому по части информационной безопасности импортозамещение не настолько критично. Установленный ФСТЭК России порядок сертификации и использования иностранных СЗИ был и остается эффективным.

 

С какими результатами ваша компания завершила 2017 г.? Чего удалось добиться, а что запланировано на ближайшее будущее?

– У нас появились референсные заказчики уже во всех отраслях. У нас были не очень большие успехи в банковском секторе – мы это преодолели. Не было проектов в ритейле – теперь один выполнили, на подходе еще несколько. Мы значительно усилили позиции в телекоме. Оборот компании за год вырос почти в два с половиной раза. Серьезно расширили техническое направление, разработку, поддержку. Готовы предлагать самый высокий уровень сопровождения. У нас появились проекты, где поддержка осуществляется в режиме 24×7.

В целом мы расширили команду и благодаря этому не только хорошо завершили минувший год, но и сделали значительный задел на текущий. Мы провели сотни пилотов. Так что довольны 2017 годом и с оптимизмом смотрим в 2018-й. Наш небольшой, если судить по штатной численности, коллектив работает очень эффективно.

 

Какие проекты из числа выполненных компанией или реализуемых сейчас стоит отметить и почему?

– Прежде всего, проект по заказу департамента информационных технологий Москвы. Это, пожалуй, наиболее интересный проект не только в России, но, возможно, и в Европе. Работы выполнялись нашим партнером – компанией «ТехноСерв». Проект оказался интересным как с точки зрения бизнеса, так и с точки зрения технологий.

 

Суть проекта заключается в следующем: на базе ЦОД московского правительства предоставляются все госуслуги и реализуются сервисы, в том числе по программе «электронного правительства». Любое действие, которое выполняется поставщиками, вендорами или подрядчиками на ИТ инфраструктуре, проходит через нашу систему и фиксируется. Поэтому в любой момент можно увидеть, кто и с какой целью взаимодействовал с ресурсами дата-центра .

Стоит отметить также, что проект был выполнен по инициативе службы ИТ, а не подразделения безопасности, хотя ИБ-специалисты, конечно, тоже были заинтересованы. Нельзя не отметить, что ДИТ Москвы – масштабный и уважаемый заказчик.

Также можно привести пример одной крупной территориально распределенной энергетической компании. Мы выполнили пилотный проект в 16 регионах одновременно. Инициатором была служба безопасности. Однако, как только руководитель ИТ увидел важность и актуальность проекта, работа над ним была перенесена в ИТ-департамент. ИТ-директор считает важным иметь возможность контролировать действия каждого своего сотрудника вне зависимости от удаленности филиала.

 

Как за минувший год изменилось отношение российских компаний к технологиям контроля привилегированных пользователей?

– С каждым годом тема контроля привилегированных пользователей становится все более популярной. Трудно встретить заказчика, который бы ничего не слышал об этом. И уже не так много специалистов, которые утверждают, что им это не надо. Вначале полезность такого контроля поняли службы безопасности, но сейчас и ИТ-отделы все чаще приходят к пониманию, что технология представляет для них интерес. Иногда возникает ситуация, когда информационная безопасность начинает разговаривать, а ИТ- служба подхватывает идею и выясняется, что им технология тоже нужна. Преимущество для специалистов по безопасности в данном случае в том, что им проще найти бюджет и заручиться поддержкой нужного количества сторонников проекта внедрения. В этом плане можно говорить о замечательной синергии. Наконец-то ИТ-службы начинают воспринимать технологию как инструмент, созданный не для того, чтобы сделать им «больно и плохо», заставив работать под постоянным наблюдением. ИТ-службам нужен инструмент, позволяющий организовать контроль качества исполнения работ как подрядчиками, так и собственными специалистами, а также обладать детальной информацией обо всех выполненных действиях, в том числе в целях быстрого восстановления при сбоях.

 

Насколько охотно российские компании и операторы облачных сервисов используют системы контроля действий привилегированных пользователей при взаимодействии с аутсорсерами и сторонними сотрудниками?

– При взаимодействии с операторами и аутсорсерами мы также задавались этим вопросом, причем давно. Однако объективная трудность заключается в том, что на аутсорсинг заказчики отдают, как правило, некритичные сервисы. Для критичных сервисов предпочитают строить частное облако либо вовсе оставлять их на выделенных серверах. Пока я не готов сказать, насколько сейчас ситуация изменится, но с несколькими операторами мы прорабатывали соответствующие проекты. Сервис-провайдеры подходят к этому с точки зрения предоставления услуги своим заказчикам: если есть спрос, то есть и сервис. Но в целом ситуация двоякая. При наличии потребности заказчики покупают наш продукт для себя. Никто не мешает им развернуть систему на своей площадке и контролировать действия аутсорсеров, в том числе администраторов облачных сервисов, не приобретая у них услугу.

 

В каких сферах еще недооценивают потенциал систем контроля привилегированных пользователей?

– К сожалению, развитие темы в госсекторе идет неритмично. Отдельные госорганы активно движутся в этом направлении, но большинство пока не уделяет должного внимания задачам контроля привилегированных пользователей. Особо выделяющимся моментом является полное отсутствие интереса к этой теме со стороны государственных медучреждений, что тем более странно при наличии там чувствительных данных и деклараций о развитии проектов типа «единая карта пациента» и телемедицины. Это особенно заметно на фоне того, что коммерческие медучреждения активно внедряют подобные системы. В качестве другого примера можно привести бездействие телеком-операторов в части выполнения требований приказа № 135 Минкомсвязи.

На этом фоне отрадно видеть понимание департаментов ИТ региональных органов власти необходимости получения такого сервиса. К сожалению, бюджетные возможности у них ограничены. Возможным решением является получение услуги от сервис-провайдера. Было бы логичным, если бы в роли такого провайдера выступила компания «Ростелеком».

Интегрируется ли предлагаемое вашей компанией решение в информационные системы центров реагирования на атаки и какое место им отводится в них? С какими российскими разработчиками SIEM, DLP, других средств защиты у вас налажены партнерские отношения?

– В требованиях регулятора, которым является ФСБ, указаний на необходимость передачи конкретно этого типа информации пока не было. Кроме того, наиболее целесообразной является схема, при которой наши данные агрегируются со всеми остальными данными, собранными SIEM, и передаются в центр реагирования. Наш продукт интегрируется с любым SIEM. Что касается интеграции с DLP, то мы ее реализуем. Позиционируем систему как решение, которое должен иметь любой владелец DLP, поскольку DLP со временем становится главным хранилищем всех секретов компании. Следовательно, доступ к DLP означает доступ ко всей информации. Не контролировать эти действия, наверное, легкомысленно.

 

Какие перспективы технологического развития продукта вы видите?

– На мой взгляд, все более перспективными становятся автоматизированные системы, упрощающие работу сотрудников, сокращающие затраты времени на механическую работу. Важна экспертная составляющая продукта, позволяющая задать шаблоны действий (блокировка, оповещение) при наступлении инцидентов, аномалий в действиях привилегированных пользователей. Это связано с тем, что загрузка специалистов по информационной безопасности и так высока. Заказчики постоянно интересуются, каким образом они будут обрабатывать все полученные с помощью нашего решения сведения. Все специалисты завалены работой, а тут еще дополнительные средства защиты внедряются. Таким образом, простота эксплуатации, в том числе минимизация времени на обработку информации, ставятся во главу угла.

 

Как реагируете в подобных случаях?

– Отвечаем, что не обязательно механически просматривать все собранные данные – можно реагировать только на признаки опасных действий и в случае расследования инцидента использовать информацию, относящуюся непосредственно к нему.

Стоит отметить, что наши специалисты работают над внедрением элементов искусственного интеллекта в наши продукты, хотя мы еще не говорили об этом широко. Планируем выпустить их до конца 2018 г. Речь идет о том, как с помощью нейросети обработать накопленную продуктом статистику. На начальном этапе все сводится к некоторым шаблонам событий. При отсутствии статистики искусственный интеллект с трудом поддается обучению. Второй этап предусматривает машинное обучение: по мере накопления информации система должна обучаться самостоятельно в процессе работы.

 

Возможны ли прорывные решения в этом направлении?

– Мы не рассчитываем сразу перевернуть рынок. Однако в перспективе это станет мэйнстримом. Кроме того, мы планомерно продолжаем работу по внедрению централизованного управления распределенной инфраструктурой заказчиков. Наряду с этим разрабатываем технологии взаимодействия с виртуализацией. В качестве примера можно привести задачу автоматического предоставления защищенного доступа к вновь создаваемым виртуальным машинам.

 

Что это даст и насколько востребована идея заказчиками?

– При создании новой виртуальной машины доступ к ней можно будет по умолчанию организовать только через нашу систему, исключительно через нее. Это очень востребовано. И это только одна из задач, которую мы реализуем по требованиям заказчиков.

 

Какие технологии защиты вы относите к наиболее перспективным в будущем?

– Технологии безопасности Интернета вещей. Мы уже подготовили решение, в частности для сегмента SOHO. Если есть «безопасный дом», который кто-то обслуживает, то имеет смысл приобрести нашу систему на специальном устройстве. Основные ее преимущества в том, что решение компактное, потребляет мало электроэнергии, но при этом контролирует все внешние соединения обслуживающих служб. Все, кто получает доступ извне к внутренним системам, должны это делать под запись нашего устройства.

Как быстро нам удастся привлечь частных покупателей, до конца неясно, но для Интернета вещей на производстве это устройство однозначно будет востребовано. В частности, многие утверждают, что со станками с ЧПУ все закрыто. А мы, если честно, устали объяснять, что в современных условиях полной гальванической развязки не бывает. Какой-то доступ к устройствам сохраняется: сознательно, из-за халатности, в результате огрехов безопасности – не суть, но доступ все равно есть. Иногда постоянный, чаще временный: для обслуживания станков либо для их программирования. Не следует забывать, что станок управляется извне и доступ к нему необходим. Нередко такой доступ предоставляется из-за рубежа для сотрудников компаний-производителей.

 

Как это в общих чертах выглядит на практике?

– Предприятие покупает станок у производителя вместе с обслуживанием на три года. Контрактом предусмотрен трансграничный доступ к оборудованию для проведения регламентных работ, устранения сбоев. И никто не знает, какие данные в ходе этой операции получили со станка, что заложили. Эксперты говорят, что при таком подходе могут быть изменены характеристики изделия, производимого на станке. Также нельзя сбрасывать со счетов вероятность копирования производственной программы, которая содержит по сути полное описание детали. Такая ситуация типична для Интернета вещей, в том числе и на производстве.

 

Станок отличается от холодильника, но принцип доступа и управления у них примерно одинаковый?

– Это если говорить упрощенно. Понимание того, что управление станками должно быть безопасным, на предприятиях есть. На мой взгляд, данное направление – одно из перспективных для нашей компании: ведь заказчик может в режиме реального времени видеть, что происходит с приобретенным станком, что именно было выполнено представителем производителя. Кроме того, можно предусмотреть реакцию на команды, которые отнесены к запрещенным.

 

– Многие говорят, что перед предоставлением доступа для обслуживания программа стирается из памяти станка. Несмотря на это, вы считаете, что это не решает проблему?

– Никто не может утверждать достоверно об отсутствии предустановленной функции копирования программы или, например, детального журнала выполнения команд заданной программы. Причем делаться это может из добрых побуждений, чтобы оптимизировать работу станков. Также не прекращается полемика на тему необходимости контроля действий собственного персонала при работе со станками. Опыт показывает, что клиенты уже сейчас стараются всячески ограничить их. Наша система контролирует доступ к станкам, но при этом не вмешивается в технологический процесс. В этом одно из ее преимуществ.

 

А если требуется, например, исключить действия по копированию программы?

– Для этого нужно сначала увидеть, что копирование действительно выполняется. Без нашей системы сделать это в принципе невозможно. При первой такой попытке можно заблокировать операцию вручную. Ведь мы можем наблюдать за действиями на системе в реальном времени. Впоследствии можно настроить правила автоматического реагирования на подобные действия.

 

Возможно ли полностью исключить внешний доступ к оборудованию на производстве?

– Мы такого еще ни разу не видели. Иногда формы предоставления доступа приобретают экзотические формы. Например, когда наступает срок обновления, ИТ-служба подключает к станкам специально выделенные модемы. По завершении операции модем убирается обратно «на полку», станок используется в обычном режиме. Следовательно, хоть временный доступ, но предоставляется. К сожалению или к счастью. Современные системы не могут работать без обслуживания.

Развитие технологий безопасности Интернета вещей – одно из перспективных направлений нашей работы

На фоне всего вышесказанного хотел бы отметить, что переход на новую – цифровую экономику – невозможен без применения новых подходов и технологий. Не удастся.


(c) 2013-2020