Николай Нашивочников: Высокотехнологичная безопасность не может стоить дешево

На правах рекламы

Скачайте детальное сравнение «Продвинутая защита конечных станций» от экспертов «Инфосистемы Джет», чтобы выбрать подходящее решение для защиты вашего бизнеса от киберугроз.

Николай Нашивочников: Высокотехнологичная безопасность не может стоить дешево

Николай Нашивочников

Заместитель генерального директора — технический директор компании «Газинформсервис».

В 2001 году покинул стены ставшего родным Краснодарского высшего военного училища (военного института) имени генерала армии С. М. Штеменко и проходил службу в рядах Вооруженных Сил Российской Федерации в подразделениях по защите государственной тайны.

До прихода на работу в ООО «Газинформсервис» занимался вопросами организации и обеспечения режима секретности в Северо-Западном объединении ВВС и ПВО, глубоко погружался в вопросы обеспечения безопасности информации на объектах вычислительной техники объединения.

В ООО «Газинформсервис» прошел путь от ведущего инженера по защите информации до заместителя генерального директора — технического директора. Стаж работы в сфере информационной безопасности 17 лет, из них почти 12 лет в ООО «Газинформсервис».

...

Николай Нашивочников, заместитель генерального директора, технический директор ООО «Газинформсервис», поделился с читателями Anti-Malware.ru своим мнением о перспективах импортозамещения, рассказал об отличиях европейского GDPR от нашего ФЗ-152, о распространении искусственного интеллекта и о векторах дальнейшего развития компании.

Одной из наиболее значимых тенденций для рынка ИБ и ИТ за последние несколько лет является объявленная государством программа импортозамещения. К каким изменениям на рынке это привело?

Н. Н.: Компании, для которых сегмент государственных структур и корпораций является целевым, воспользовались «окном» возможностей. Они активизировали разработку и поставку продуктов-аналогов. Объемы их продаж выросли. Некоторые зарубежные вендоры, чтобы остаться на российском рынке, приняли решение по локализации разработки своих продуктов (трансфер технологий). На создание продуктов, не уступающих по качеству и функциональным возможностям аналогичным решениям мирового уровня, требуется время, ресурсы и серьезные инвестиции.

При этом мы наблюдаем, что рынок средств защиты информации оказался более подготовлен к санкционной политике по сравнению с ИТ. На рынке средств защиты информации представлено большое количество конкурентоспособных решений отечественного производства. Наиболее широкий выбор наблюдается по направлению систем защиты от утечек информации, защиты от вредоносного воздействия, анализа защищенности и др. Что касается рынка ИТ, отечественные производители ведут активную работу в этом направлении, но на данный момент мы сталкиваемся с отсутствием полноценных российских аналогов по ряду технологических направлений.

Сейчас не все зарубежные решения можно заменить отечественными, но есть такие, в которых прослеживается отечественная уникальность, или, скажем, они разработаны с учетом российской специфики и требований сертификации.

Какое отношение у самих заказчиков к импортозамещению? Есть ли в этом помимо политики какой-то экономический смысл или повышение эффективности ИБ?

Н. Н.: Ощущается как негативное отношение ввиду незрелости отдельных классов продуктов и замещения средств с ограниченной функциональностью, так и положительное — помимо очевидно политической составляющей, налицо экономические выгоды. Капитал остается внутри страны. Большой спрос на отечественные решения позволяет производителям получать дополнительную прибыль, которая инвестируется в R&D.

Всё большее число наших заказчиков начинают понимать, что высокотехнологичная безопасность не может стоить дешево. Экономические выгоды от приобретения незрелых продуктов-аналогов в действительности могут быть полностью нивелированы сложностями дальнейшей эксплуатации, повышенными рисками информационной безопасности из-за низкой надежности и эффективности подобных средств.

Что будет происходить далее в свете санкций со стороны Запада в отношении ряда крупных российских коммерческих компаний? Предполагается, что они сами будут импортозамещаться фактически добровольно.

Н. Н.: У коммерческих компаний в целом сохраняется выбор между импортными и отечественными решениями. При этом стоит понимать, что со стороны государства прослеживаются действия, направленные на постепенную реализацию цифрового суверенитета. Ужесточается контроль за интернетом («пакет Яровой»), меняется законодательная база (№ 187 — ФЗ о безопасности КИИ РФ), в рамках которой создается государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, и т. д.

Крупным коммерческим компаниям нужно быть готовым к требованиям завтрашнего дня. Санкционной политике уже несколько лет, и нет предпосылок для изменения ситуации. В этой связи оправданны меры, предпринимаемые крупными компаниями по снижению рисков в долгосрочной перспективе (3-5 лет). Этого снижения возможно достичь путем максимального замещения высокотехнологичных продуктов зарубежных вендоров на российские даже путем увеличения текущих операционных затрат, снижения качества.

В каких сегментах рынка нам в ближайшее время удастся создать конкурентные решения по ИБ, а в каких это невозможно сделать в принципе?

Н. Н.: Наиболее широкий выбор отечественных продуктов характерен для тех средств, которые до введения санкций отмечены регуляторами в качестве обязательных и рекомендуемых. Выбор российских продуктов также обширен в области антивирусной защиты, межсетевого экранирования, VPN-решений, DLP-систем, средств защиты от несанкционированного доступа, анализа защищенности, средств криптографической защиты информации. Активно совершенствуются продукты обнаружения и управления инцидентами ИБ, управления идентификационными данными и доступом, решения по защите систем технологического управления.

В настоящее время уже начинают появляться качественные решения класса поведенческого анализа (UEBA) с использованием современных технологий машинного обучения и искусственного интеллекта. В нашей стране традиционно сохранилась хорошая математическая школа, и интерес к программированию, разработке растет с каждым годом.

Что касается второй части вопроса, скажу так — нет ничего невозможного. Необходимо только оценить целесообразность разработки, затраченных ресурсов и времени.

Насколько вступление в силу европейского GDPR (General Data Protection Regulation) повлияло на российский рынок?

Н. Н.: Принципы экстерриториальности и наднациональности, заложенные в основу нового европейского Регламента, распространяют действие документа на множество российских компаний, чья деятельность связана с ЕС. Реакция на GDPR со стороны российских компаний была весьма оперативной. Например, многие авиаперевозчики в первый же день действия Регламента опубликовали на своих сайтах новые формы согласий на обработку ПДн. Заинтересованность в приведении организаций в соответствие GDPR на данный момент очень высока. Разумеется, прежде всего всех интересует минимально необходимый состав работ, чтобы быть уже сейчас готовыми к обращениям со стороны регуляторов и контрагентов из ЕС, а также тех граждан, чьи права и свободы призван защищать новый Регламент.

В чем ключевые отличия европейского GDPR от нашего ФЗ-152?

Н. Н.: Во-первых, это уже упомянутые выше принципы экстерриториальности и наднациональности, определяющие границу действия Регламента, выходящую далеко за пределы ЕС. Во-вторых, существенно более высокие штрафы за нарушения требований Регламента. Назначаемые судами штрафы должны быть вразумляющими, и заданные в GDPR диапазоны штрафов позволяют применять их к компаниям самых различных масштабов. В-третьих, Регламентом предусмотрена расширенная ответственность операторов перед регуляторами и субъектами ПДн с одной стороны, и полномочия регуляторов и права субъектов ПДн с другой. Наконец, в-четвертых, можно выделить ряд процессов и процедур, подлежащих реализации в компаниях в соответствии с GDPR, которые в свою очередь отсутствуют в нашем законодательстве.

В то же время и в GDPR, и в нашем законе «О персональных данных» существует много общего. Можно утверждать, что после проведения всех необходимых мероприятий для исполнения требований российского законодательства ваша компания будет в значительной степени соответствовать и требованиям GDPR.

Что нужно делать российским компаниям, подпадающим под действие GDPR?

Н. Н.: Как я уже говорил, существует множество пересечений в части требований между российским законодательством и GDPR, поэтому, вне зависимости от того, подпадает ли ваша компания под действие GDPR или нет, в первую очередь я рекомендую выполнить все требования ФЗ-152 «О персональных данных» и подзаконных нормативных актов.

После этого следует провести адаптацию разработанных документов (в том числе их перевод на английский язык) под требования GDPR, а также реализовать недостающие процессы, предусмотренные GDPR и отсутствующие в нашем законодательстве.

Через форму на сайте «Газинформсервис» можно получить бесплатную консультацию по этому и другим вопросам исполнения требований GDPR.

Ключевая тема этого года — 187-ФЗ, ГосСОПКА и безопасность КИИ. Участвует ли ваша компания в проектах по ГосСОПКА и какие ваши продукты и услуги могут быть для этого использованы?

Н. Н.: Богатый опыт и знания специалистов нашей компании позволяют предлагать решения по созданию сегмента ГосСОПКА с учетом особенностей бизнес-процессов конкретного заказчика даже в условиях недостаточной степени готовности нормативно-правовой базы. Практически все используемые нами продукты и решения при правильном применении и достаточной зрелости процессов управления ИБ у заказчика могут стать ценными источниками информации о признаках компьютерных инцидентов, возникающих в том числе в результате проведения компьютерных атак в отношении объектов КИИ. У нас есть опыт интеграции систем обеспечения информационной безопасности ведущих мировых производителей, а также налажен процесс развития собственных решений класса SIEM, UEBA, GRC, Vulnerability Management и Asset Management, являющихся, согласно имеющимся требованиям федерального законодательства, основой сегмента ГосСОПКА.

Как правильно подходить к проблеме категорирования объектов КИИ на предприятии? Какие информационные системы можно здесь использовать?

Н. Н.: При категорировании объектов КИИ в первую очередь необходимо оттолкнуться от сферы деятельности самого предприятия и определить, в рамках каких федеральных норм на текущий момент обеспечивается безопасность этого предприятия. Предлагается в качестве основы использовать весь имеющийся в организации опыт, включая, например, реализуемые требования промышленной безопасности, требования к объектам топливно-энергетического комплекса или соответствующие требования к государственным информационным системам. В процесс категорирования необходимо вовлечение должностных лиц как можно большего числа подразделений предприятия, чей опыт позволит правильно оценить последствия возможных компьютерных инцидентов.

Помимо формальных действий по выполнению требований 187-ФЗ и подзаконных актов, что вы рекомендуете сделать для повышения реального уровня безопасности объектов КИИ и АСУ ТП в целом?

Н. Н.: Всем известно, что, несмотря на постоянно растущую эффективность средств защиты информации и систем автоматизированного обеспечения безопасности предприятий, наиболее уязвимым местом в безопасности предприятия/системы является человек. Именно культуре информационной безопасности персонала, уровню осведомленности, степени оснащенности и уровню подготовки необходимо, на мой взгляд, уделить первоочередное внимание. Вместе с этим, для устойчивого функционирования и поддержания достаточного уровня защищенности предприятий с высокой степенью автоматизации бизнес-процессов в условиях современных вызовов необходимо постоянное взаимодействие должностных лиц, ответственных за информационную безопасность в рамках организаций, с центрами экспертизы и поддержки принятия решений на базе Security Operation Center.

Какова, по вашей оценке, перспектива применения технологий машинного обучения и искусственного интеллекта в ИБ?

Н. Н.: По-моему, применение в ИБ этих технологий весьма перспективно. Постоянный рост объемов защищаемой информации и растущая изощренность атак требуют обработки и анализа большого количества данных из разнородных источников. Справиться с этим традиционными средствами, особенно в тех областях ИБ, где точность и время реагирования являются определяющими для качества защиты, становится затруднительно. Кроме этого, классический подход на основе задания правил может работать недостаточно эффективно в таких областях как анализ поведения пользователей и сущностей (UEBA), анализ сетевого трафика, выявление аномалий на основе корреляции событий в информационных системах и ИТ-окружении.

Ну и, наконец, просто возникают новые классы задач ИБ, в первую очередь связанные с развитием ИТ, где традиционные методы и программные продукты недостаточно эффективны. Например, обеспечение безопасности в среде интернета вещей (IoT).

В таких условиях определяющим фактором успеха является возможность по распознаванию и предсказыванию пока неизвестных атак. Я считаю, что алгоритмы искусственного интеллекта вообще и машинного обучения в частности в наиболее полной мере предоставляют такие возможности.

На текущий момент я считаю особенно перспективным использование алгоритмов машинного обучения при уходе от выявления «атомарных» (или «элементарных») инцидентов ИБ в сторону комплексного анализа и выявления угроз ИБ. Например, определение стадий и этапов, на которых находится атака в соответствии с той или иной моделью Kill Chain, прогнозирование развития этой атаки. Представляется, что такие возможности могут быть востребованы при реализации Security Operation Center и оценивания эффективности его функционирования.

Какие наработки в области ИИ есть в вашей компании?

Н. Н.: Алгоритмы машинного обучения и распознавания паттернов применяются в прикладных модулях поведенческой аналитики пользователей, анализа операций с объектами файловой системы, анализа сетевого трафика разрабатываемой платформы расширенной аналитики Ankey ASAP (Advanced Security Analytics Platform).

Кроме этого, прошли практическую апробацию в пилотных проектах алгоритмы распознавания и прогнозирования состояний объектов в задачах оперативного мониторинга сложных технологических систем.

Если говорить про перспективу, то на текущий момент мы активно осваиваем технологии и методы машинного обучения для расширения возможностей традиционных систем ИБ: SIEM, IDS/IPS, DLP и др.

В контексте многочисленных скандалов с прослушкой разговоров и перехватом трафика в сетях связи — какие средства защиты могут стать наиболее востребованными?

Н. Н.: Если говорить о технических средствах, то защиту от подобных атак условно можно разделить на несколько классов.

Первый — использование специальных средств связи, где применяется шифрование на аппаратном уровне. Характерное использование такой защиты — спецслужбы, государственные служащие и т. д.

Второй — защита на уровне оператора связи, где должны использоваться специальные системы обнаружения атак, позволяющие выполнять анализ сигнального трафика (SS7, он же ОКС№7) в режиме реального времени и проводить блокировку нежелательных служебных сообщений.

Третий — использование наложенных средств защиты данных и голоса. Примером может служить использование VPN-клиента совместно с VoIP-клиентом.

«Газинформсервис» помимо основной деятельности в качестве системного интегратора является довольно крупным производителем средств защиты информации. Что побудило вас к активному развитию этого направления бизнеса?

Н. Н.: В ходе своей деятельности нам приходилось часто взаимодействовать с вендорами по вопросам доработки продуктов в интересах заказчиков. Имея большой опыт интеграции сторонних решений, понимая их сильные и слабые стороны, сознавая потребности в необходимых функциях, создание собственных продуктов казалось весьма перспективным и закономерным развитием.

Кроме того, занимаясь разработкой средств защиты информации и осуществляя их поддержку, можно значительно быстрее реагировать на изменяющиеся условия в области ИБ, тем самым обеспечивая высокий уровень сервиса.

И, безусловно, задачи по производству собственных средств — это задачи по исследованию новых технологий и новых предметных областей, позволяющие приобретать необходимый опыт и знания, а значит, двигаться вперед.

Спасибо за интервью. Успехов!