Алексей Митюшов: Думать о безопасности нужно уже на стадии проектирования

Алексей Митюшов: Думать о безопасности нужно уже на стадии проектирования

Алексей Митюшов

В области информационной безопасности работает более 15 лет. Более 5 лет трудился в должности CISО пассажирской железнодорожной компании Аэроэкспресс, сейчас отвечает за обеспечение ИБ в одной из крупнейших энергетических компаний России и участвует в международном проекте. Является активным участником международных и российских конференций по кибербезопасности.

Имеет статус ведущего аудитора ISMS — Системы менеджмента информационной безопасности по международному стандарту ISO 27001:2013. 

Обладает престижным статусом и международным сертификатом CISSP.

...

Алексей Митюшов — CISO RAOS Project Oy поделился с читателями Anti-Malware.ru своим видением места ИБ в современной компании и выделил основные особенности защиты критических инфраструктур.

Первый вопрос — о месте информационной безопасности в современной организации. Раньше ИБ воспринималась как сервисная функция, что изменилось за последние годы?

А. М.: На мой взгляд, в современных организациях и в современном обществе в новой ипостаси появляется понимание необходимости кибербезопасности. Акцент сегодня смещается на бизнес-процессы. Если раньше ИБ выполняла действительно сервисную функцию, то сейчас это бизнес-функция. И бизнес сейчас активно задает векторы развития информационной безопасности. Плюс к этому, проявляется тенденция вовлеченности экспертов в области информационной безопасности в бизнес-процессы верхнего уровня. Раньше ИБ-специалист являлся администратором средств защиты или методологом, который готовит документы для проверок. Сейчас в зрелых организациях намечается тенденция обеспечения ИБ сверху вниз, то есть руководство организации вовлечено в этот процесс на начальных этапах и применяется так называемый top-down approach, что гораздо эффективнее, чем обратный подход.

А что привело к этому, что бизнес осознал необходимость такого места ИБ в этой организационной структуре? Это какие-то раскрученные атаки, финансовые потери или действия регуляторов?

А. М.: По-моему, есть несколько основных причин, которые позволили информационной безопасности стать на несколько уровней выше в управленческом плане. Но прежде всего надо отметить, что сами эксперты по информационной безопасности сегодня прекрасно понимают риски, которые может повлечь для бизнеса тот или иной негативный сценарий. Они научились объяснять это бизнесу в терминах самого бизнеса — в деньгах, во времени простоя процессов, и это эффективно работает.

То есть показать, что информационная безопасность — это выгодно?

А. М.:  Да, конечно, правильно настроенные бизнес-процессы — это основа для правильно настроенных процессов информационной безопасности, и наоборот. Прослеживается прямая зависимость между пониманием создания прибыльного бизнеса и процессов эффективного обеспечения информационной безопасности. Приведу простой пример из практики: время вынужденного простоя критичных для бизнеса информационных систем — это прямые потери, которые выражены в уменьшении прибыли или, в самом худшем случае, в потере доверия и лояльности клиентов, партнеров и владельцев бизнеса.  

Если говорить о защите критических инфраструктур, каковы ее основные отличия? В вашем докладе на BIS Summit прозвучало выражение security by design.

А. М.: Да, думать об информационной безопасности нужно уже на уровне архитектуры и на стадии проектирования — до промышленного внедрения, на начальном этапе жизненного цикла системы, а не после того, когда может быть поздно и ничего нельзя изменить или это уже слишком дорого. Гораздо проще и выгоднее заложить требования к информационной безопасности на несколько лет или десятилетий вперед, если это возможно — а это возможно в некоторых случаях, — чем потом все исправлять. При этом требования к ИБ должны учитывать не только текущие и известные угрозы, но и новые, прогнозируемые с учетом развития технологий. 

Это подходит только для новых предприятий. Нет ли здесь ограничений? Представим классическую ситуацию: предприятие построено в 1970-е годы, людей, которые строили АСУ ТП, уже нет, и непонятно, как все работает. И что теперь им делать с этим «дизайном»?

А. М.: В 1970-80-х годах оборудование было по большей части аналоговым, и проблемы кибербезопасности не стояли остро. Что делать предприятиям? Модернизировать по возможности свою инфраструктуру. Многие предприятия — знаю из общения с коллегами из нефтегазового сектора — этим занимаются, применяют модернизированные средства управления с заложенными требованиями по кибербезопасности. Еще важно отметить в плане безопасности критических инфраструктур, что и у экспертов, и у регуляторов появляется понимание того, что комплайнс — это не главное, документы нужны и необходимы, но главное — это обеспечение практических вещей. Акцент смещается в сторону Safety. Safety — это безопасность людей и окружающей среды. Это понятие — ключевое во всех процессах, все остальное направлено на обеспечение Safety.

Регулируется ли в мире связь ИБ и безопасности окружающей среды?

А. М.: Во многих странах Европы существуют национальные и общеевропейские стандарты, требования и процедуры обеспечения кибербезопасности, которые требуют соответствия жестким нормам безопасности, направленным на минимизацию возникновения риска технологических аварий и уменьшения их последствия для человека и окружающей среды.

Каким образом должна правильно определяться и разграничиваться ответственность за возможные инциденты между ИБ и бизнесом? Какой линии придерживаться директору по ИБ, чтобы в случае чего не стать крайним?

А. М.: Необходимо четко, прозрачно и своевременно разграничить роли и зоны ответственности каждого участника процесса обеспечения безопасности и ввести персональную ответственность должностных лиц.

А если говорить о наложенных средствах безопасности, существующие предложения наших и зарубежных вендоров покрывают все потребности?  

А. М.: Сложно ответить на вопрос однозначно. Думаю, что существующие решения и те, которые разрабатываются — я знаю о некоторых интересных тенденциях, — они покрывают существующие уязвимости и успешно противостоят существующим угрозам. Например, системы обнаружения кибератак с использованием алгоритмов машинного обучения показывают все более высокую эффективность. Однако надо и в дальнейшем анализировать векторы атак и разрабатывать что-то новое, что будет минимизировать риски предприятий.

Ваше отношение к импортозамещению в ИБ? Насколько переход на российские продукты ослабит или усилит защищенность предприятий?

А. М.: На мой взгляд — усилит, но только если создатели российских продуктов будут учитывать опыт и ошибки зарубежных коллег.

Как вы считаете, идея защищенной операционной системы для АСУ ТП имеет право на жизнь? Или это утопия?

А. М.: Я считаю, что любую операционную систему можно сделать защищенной. Есть даже такое понятие — hardening, это укрепление защиты путем отключения специфических сервисов, четкого change-менеджмента, внедрения лучших практик, поддержки и интеграции с вендором этой операционной системы. Но проблема в том, что это все требует больших ресурсов и высокой квалификации персонала, поэтому в некоторых случаях будет проще и выгоднее использовать защищенные операционные системы со встроенными средствами обеспечения ИБ.

Иногда создается впечатление, что вендоры пытаются взять свои продукты, минимально их адаптировать и сказать, что они подходят для АСУ ТП...

А. М.: Да, среда другая, требования другие, но их просто необходимо учитывать. Подходы в целом — одни и те же, ничего нового не придумано в обеспечении безопасности критической инфраструктуры по сравнению, допустим, с обеспечением информационной безопасности финансового сектора. Возьмите стандарт PCI DSS — я в рамках своей компании использую лучшие практики этого стандарта, я их внедрил в виде дополнительных контролей.

Сейчас многие говорят, что защищаться от угроз — недостаточно, это посыл вчерашнего дня. Сегодня надо обнаруживать угрозы, которые обошли детектирование. Но применительно к критической инфраструктуре это может быть поздно, на одной из секций BIS Summit даже говорилось о кибервыживании.

А. М.: Точнее — о киберустойчивости. Я считаю, в критических инфраструктурах, в системах обеспечения безопасности производственных процессов, разумеется, должны быть обязательно внедрены механизмы, обеспечивающие отказоустойчивость, обеспечено резервирование, чтобы минимизировать негативное воздействие успешной атаки и предотвратить возможные аварии. Это сродни процессам планирования и обеспечения непрерывности бизнеса и восстановления после аварий, только на кону — человеческие жизни и безопасность окружающей среды.

Все больше говорят о пересечении сфер ответственности ИБ и СБ (включая экономическую безопасность). Как правильно должны вестись взаимодействия этих структур? Объединение — это правильный шаг в обозримом будущем?

А. М.: Да, я уверен, что это абсолютно правильный шаг и закономерная тенденция развития современной безопасности.

Благодарим за интервью и желаем успехов!