Андрей Суворов: Промышленная безопасность движется в сторону иммунности

Руководитель научно-производственного объединения «Адаптивные промышленные технологии» («Апротех») Андрей Суворов рассказал читателям Anti-Malware.ru о промышленной кибербезопасности и стратегии компании на этом рынке.

Андрей, ваша компания создана недавно. Кто является ее учредителем, и в чем вы видите ее основную миссию?

А. С.: Учредителями являются «Лаборатория Касперского» и научно-производственное объединение ИТЭЛМА. Эта компания интересна тем, что развивается в России как научно-производственное предприятие с тремя заводами, являясь при этом частной компанией. Она основана на энтузиазме, интеллекте, активах конкретных людей, и это редкость. Мы — частное малое предприятие без участия госкомпаний. С одной стороны, это уникально, с другой — грустно. Таких компаний, как «Апротех», должны быть тысячи. Германия, Франция живут много десятилетий за счет инжиниринговых фирм, которые были созданы семьями, а потом развивались, привнося и инновации, и аджилити — быстроту адаптации к изменениям.

«Апротех» работает в области цифрового производства, мы считаем себя российским агентом цифровой трансформации. В нашем названии заложена концепция — адаптивные промышленные технологии означают, что мы будем работать: а) на цифровизацию промышленности, б) совмещать в себе передовые технологии и конкурентные преимущества родителей. «Лаборатория Касперского» — это кибербезопасность и колоссальный опыт по разработке приложений, их тестированию, выводу на рынок и поддержке. Мы встречаемся с очень крупными корпорациями, и они удивляются, какая культура у «Лаборатории Касперского» выстроена в этом отношении.

ИТЭЛМА, обладая производственными мощностями трех заводов, может дать конкурентное преимущество в производстве новых решений. Соединяя софтверные компетенции и компетенции по производству, мы можем достичь хорошей синергии.

Третьим участником является стратегический партнер — компания Siemens. Мы стали первым в России бизнес-партнером по направлению открытой облачной системы интернета вещей MindSphere. Мы видим в этом большой рыночный потенциал. Наша компания будет заниматься не только кибербезопасностью, но мы видим, что именно кибербезопасность позволит нам обеспечить связность киберфизической системы и поможет применять новые сервисы, которые будут иметь обратную связь на уровне основных активов промышленных предприятий.

Вы сказали про передовые технологии и опыт, которые есть у «Лаборатории Касперского» и ИТЭЛМА — что бы вы отнесли к этим передовым технологиям?

А. С.: Сейчас мир движется даже не в сторону термина security, а в сторону термина «доверенная зона». Возьмем информацию и артефакты, которые мы хотим использовать в навороченных технологиях — машинное обучение, прескриптивная аналитика, да даже 3D-печать. Мы должны быть серьезно уверены, что информация, которая поступает на выход — доверенная, что она не подменена, что она не прошла даже неумышленное изменение. Для этого вся парадигма работы с источниками этой информации идет от кибербезопасности в сторону иммунности. Это означает, что надо смотреть не наложенными средствами, что произошло что-то плохое, и срочно в красный цвет все красить, а надо внутри каждой системы, которая проектируется, вырабатывать такой профиль работы этого устройства, чтобы он делал ровно то, для чего он предназначен и все остальное не делал. Допустим, стоит какая-то IP-камера, в которую вставлен стандартный Linux, и эта камера использует только 20% от своих возможностей. Но разработчикам некогда было думать о безопасности — создали образ системы, продали, поехали. А в реальности это означает, что кто-то через избыточные возможности получит управление и сможет делать, что хочет.

Что мы уже видели на примерах ботнета Mirai и других атак.

А. С.: Опасно, что это можно использовать не только для ботнетов, но и для контроля промышленных устройств. В нашей истории мы с помощью инновационных активов «Лаборатории Касперского» можем реализовать безопасную систему на уровне софта, то есть профилировать устройство делать то, что оно должно делать. Дальше этот софт мы будем вставлять в некое устройство, которое будет спроектировано с учетом возможностей того, что оно должно делать, и затем оно будет массово производиться на заводах ИТЭЛМА.

То есть основная идея на уровне продукта состоит в том, чтобы встроить безопасность в само решение по управлению промышленным производством, чтобы оно являлось частью системы?

А. С.: Частично да. Мы понимаем, что заказчики хотят платить не столько за безопасность, сколько за то, на чем они сами зарабатывают. «Апротех» спозиционирован на две отрасли: безопасные устройства промышленного интернета, с помощью которых мы осуществляем доверенные соединения с приложениями в облачной инфраструктуре, а также эти самые приложения, которые мы также планируем разрабатывать и продавать. Эта связка является для нас ключевой — мы хотим выйти за пределы только информационной безопасности.

Если говорить о концепции индустрии 4.0, какие основные риски с точки информационной безопасности вы видите и что в этом плане вы готовы предложить?

А. С.: Мы построили функциональную архитектуру интернета вещей, и на каждом уровне проанализировали, что мы можем предоставить в контексте потенциальных угроз, помимо безопасного шлюзосопряжения. Мы видим, что мы можем быть ценными для клиентов на уровне самой облачной платформы. На этом уровне есть две задачи, которые сегодня не решаются, но важны для корпоративного промышленного сектора.

Задача первая — каждый день «Лаборатория Касперского» анализирует всевозможные скомпрометированные устройства по всему миру, это большой список, но среди них есть устройства, которые мы нашим решением пока не защищаем, и это устройства IoT — медиаконверторы, IP-камеры, контроллеры и тд. У нас эта информация складируется, мы о ней знаем, но мы не знаем, как ее применить. Если у нас есть корпоративное облако промышленного интернета, и мы сейчас проектируем подобное приложение, мы налаживаем взаимодействие сети Kaspersky Security Network с нашим облаком. А дальше мы снабжаем фидами корпоративное облако о том, что ваши камеры, или конверторы, или контроллеры уже являются частью общей ботнет-сети, которая куда-то внешне стучится.  Это серьезный риск для компании, и сегодня если такие данные получают владельцы IoT-девайсов, а не компьютеров, — это скорее исключение, чем правило.

В случае реализации на уровне вертикальной облачной системы это будет красивое облачное приложение, которое будет пользоваться популярностью. Вторая тема внутри этой же задачи — снабжение заказчиков информацией в режиме реального времени о найденных уязвимостях на уровне устройств. Не секрет, что в программировании каждая последняя ошибка является предпоследней, так же и на уровне устройств найденная уязвимость будет дополнена следующей. Ищем мы, «Лаборатория Касперского», ищут другие компании, а вендоры, производящие оборудование, устраняют их не сразу — проходит до 6 месяцев. Компаниям, которые идут в интернет вещей, важно понимать о найденных или еще не зафиксированных уязвимостях, то есть знать, что в моем зоопарке подвержено риску. Это будет приложение, которое будет говорить, что из 256 (цифра вымышленная) устройств 215 содержат уязвимость, срочно что-то делайте. Сейчас никто не предоставляет такую информацию для IoT-устройств.

Другое дело, что в промышленных системах большая проблема это пропатчить, потому что надо останавливать линии…

А. С.: Это меньшее зло, чем знать, что контроллеры являются частью атаки. У нас был кейс, когда контроллеры перезагружались. Это было проблемой для завода, но вендоры посмотрели на них и сказали, что они исправны. Когда приехали наши аналитики, они выяснили, что в какой-то момент контроллеры становились источником внешней ботнет-сети. Это простой пример, когда знание помогло бы избежать серьезных проблем.

Есть ли у российских компаний, которые смотрят в сторону цифровизации, отличия от зарубежных компаний?

А. С.: У наших компаний продолжает бытовать мнение, что «мне нужно свое». Даже если облако — оно должно быть приватным. Это говорит о степени закрытости предприятия и желании контролировать все. В облако выносится только разработка или тестовые системы. Здесь мы чуть-чуть отстаем от Запада. Из хорошего я бы отметил отсутствие боязни экспериментировать, люди готовы начать разработку чего-то нового, если эта задача превалирует над тем, что предлагается в виде готовых сервисов. Наши менеджеры больше готовы рисковать.

Регуляторы, такие как ФСТЭК и ФСБ, помогают это двигать? 187-ФЗ — главная тема этого года для всего рынка ИБ.

А. С.: Я могу сказать, что позитивного в 187-ФЗ больше — люди стали задумываться о безопасности. Если говорить в контенте, что можно улучшить, — перестать переносить требования и средства традиционной информационной безопасности методом copy/paste в промышленную безопасность. Я уверен, что этот документ будет дорабатываться, но сам факт его появления — огромный шаг вперед, надо только адаптировать его к реальной модели угроз.

Распространено мнение, что для OT актуальны такие же методы и продукты защиты, как в IT, отличий практически нет. Вы согласны с этим?

А. С.: Я могу привести два примера «сверху» и «снизу», почему это не так. «Снизу» — у нас есть команда, которая в каждом проекте исследует элементы уровней контроллеров и конвертеров, что не является компьютерными элементами, и в каждом случае мы идентифицируем угрозы нулевого дня. Эта команда нашла их уже больше сотни. Если клиент заказывает такого рода сервис — оценка уязвимостей, и его проводят традиционными средствами, не проверяя элементы АСУ ТП, — это очень далеко от реальности.

Простой пример. Одна из уязвимостей (не называю уважаемого вендора): можно скачать опенсорсный сканер, который по определенному порту может установить соединение с моделью контроллера. И если соединение по этому порту установится, то сам факт останавливает этот контроллер, и его нельзя увидеть с места администраторов, надо идти к нему в сапогах или тапочках по месту его монтажа. Это очень серьезно, если говорить про устойчивость бизнеса.

А «сверху» история — о том, что каждом анализе защищенности АСУ ТП надо искать возможности найти дырку в бизнес-приложении. Мы очень часто ищем доступ извне в контур АСУ ТП и находим его через бизнес-приложения, которые установлены на смартфонах и ноутбуках (это может быть система документооборота, HR-система и так далее). Мы получаем определенные привилегии, выступаем от имени этой системы или получаем пользовательские данные — дальше дело техники. Если речь идет об анализе защищенности, важно анализировать приложения, к которым есть доступ не из корпоративной сети, а со своих устройств.

Давайте обсудим тему иммунных устройств. Вы представили такое устройство — шлюз сопряжения. У него пока специального названия нет?

А. С.: У него есть кодовое название — IKSGL 1000. IKS означает — ИТЭЛМА, Kaspersky, Siemens. Это не первое устройство с точки зрения иммунности, если говорить о продуктах «Лаборатории Касперского». У нас разработан роутер совместно с компанией Kraftway —ряд устройств на общей платформе уже сделан. Но новое устройство — это первое устройство, которое можно отнести к устройствам промышленного интернета, поскольку он нацелен чтобы получать трафик от промышленных устройств по специфическому протоколу — OPC UA. Дальше можно эту информацию передавать в облачную систему либо обработать ее системами класса ERP или MES.

Для начала использования этих устройств какую подготовку надо осуществить, и насколько это сложно? Это же не «поставил и забыл».

А. С.: Само устройство включается достаточно быстро. Эволюционно оно будет дополнять похожий ряд шлюзов сопряжения компании Siemens — Connect Nano. Этот шлюз обеспечивает сбор, некоторую обработку и передачу информации от промышленных протоколов, чего не могут осуществить обычные шлюзы и роутеры, и передачу их выше. Установка и конфигурирование устройства штука простая, а дальше встает вопрос — какого рода информационный поток идет и куда его нужно выводить. Здесь есть 2 класса задач. Во-первых, уже есть набор приложений MindApps, можно их реализовать. Например, есть приложения — управляй моими машинами, поток информации проходит через это устройство, и вы видите в режиме реального времени загрузку станка с ЧПУ. Либо это приложение может создавать новую визуализацию, как в приведенном примере с визуализацией скомпрометированных устройств. Мы сейчас проектируем такое приложение, но он будет работать через тот же шлюз.

А этот шлюз только мониторит и визуализирует? Или он может осуществлять активные действия?

А. С.: Нет, активные действия — это не задача шлюза. Вообще, эволюция шлюзов предполагает, что они идут от gateway к гибридной модели gateway и edge-компьютера. На edge-компьютере идет обработка трафика. На данной модели идет валидация, проверка и передача трафика в формате для облачной инфраструктуры. Все, что касается приложений и визуализаций, делается в облаке. Шлюз выполняет базовую функцию — валидации и соединения с нижним слоем.

Если говорить о технологиях внутри шлюза — там используется защищенная операционная система от «Лаборатории Касперcкого» и технологический стек от Siemens?

А. С.: Мы деталей раскрывать не можем, пока не представили работающую модель. Но классов задач три: «Лаборатория Касперского» — кибербезопасность, затем повторение функциональности библиотек, которые есть у Siemens, плюс мы добавляем вопрос прослеживаемости, чего раньше не было. Это нужно, чтобы ответить не только на вопрос, как работает физическое устройство, а что на нем еще обрабатывается.

То есть контекст события будет важен?

А. С.: Мы следуем классической модели 4М — Machine (как работает устройство), Material (что на нем обрабатывается), Man (человек, и что он делает), Method (метод, которым идет обработка). Если у нас будет возможность обрабатывать информацию по 4M — это будет круто.

Когда можно будет заказать пилот и купить это устройство?

А. С.: Я прошел суровую корпоративную школу — неправильно будет называть точные сроки. Мы стараемся это сделать в режиме «чем скорее, чем лучше». Акционеры дали зеленый свет на формирование команды и разработку продукта. До конца года сможем дать информацию, когда это устройство выйдет. Мы понимаем, что рынок уже готов. Первая модель будет не суперсовершенная, но уже будет безопасная.

Спасибо за интервью. Желаем успехов!