Алексей Мартынцев
Начальник отдела защиты информации и IT-инфраструктуры в ПАО «ГМК «Норильский никель». В компании отвечает за управление подразделениями по информационной безопасности дочерних обществ и филиалов.
Имеет сертификаты CISSP и CISM.
Алексей Мартынцев, начальник отдела защиты информации и IT-инфраструктуры в ПАО «ГМК «Норильский никель», рассказал Anti-Malware.ru о корпоративной защите, эффективности вложений в ИБ и комплексном подходе к безопасности промышленных предприятий. Также была затронута тема нехватки специалистов в области ИБ.
«Норникель» придает особое значение вопросам информационной защиты своих активов. В чём состоит основная мотивация к развитию именно этого сегмента корпоративной безопасности?
А.М.: Говоря о типологии корпоративной защиты, чаще всего упоминают такие ее виды, как объектовая, экономическая, кадровая и т.д. В последнее время на «передовую» защиты предприятий от преступных посягательств выдвинулись и подразделения кибербезопасности. «Норникель», будучи одним из лидеров мировой горно-металлургической отрасли, действительно представляет повышенный интерес для лиц и объединений, использующих электронные коммуникации в деструктивных целях. Логика их понятна — нарушение функционирования производственных, финансовых, логистических, транспортных и сбытовых цепочек ведущих предприятий может не только привести к снижению их инвестиционной привлекательности, но и оказать ощутимое влияние на национальные экономики в целом.
«Норникель» взял курс на цифровую трансформацию с целью увеличения операционной эффективности бизнеса, полным ходом идет «оцифровка» производственных процессов. В этом причина и основной мотив наших активностей в сфере ИБ.
Как взаимодействуют бизнес и информационная безопасность на корпоративном уровне?
А.М.: Это — симбиоз. Его императив прост и очевиден: безопасность — для бизнеса, а бизнес — с учетом требований безопасности.
Как показать эффективность вложений в ИБ?
А.М.: Просчитать эффективность инвестиций в безопасность — наиболее сложная и противоречивая задача, поскольку фундаментальная задача безопасности — «чтобы ничего не случилось, а было, как минимум, как есть». Следовательно, как оценить то, что не произошло? Идти от противного и посчитать сумму вероятного ущерба в случае, если бы «оно» (инцидент) произошло? А по каким критериям?
Для нас как горно-металлургической компании приоритетным направлением в обеспечении информзащиты является безопасность автоматизированных систем управления технологическими процессами (АСУ ТП), прежде всего системы диспетчерского управления и сбора данных, распределенных систем управления и программируемых логических контроллеров. По-простому говоря, непрерывность производства прямо зависит от непрерывной работы АСУ ТП, которая, в свою очередь, напрямую зависит от состояния информационной безопасности.
Может ли ИБ стать конкурентным преимуществом на рынке?
А.М.: Да, причем в прямой логической цепочке: «сильная ИБ — стабильные ТП; стабильные ТП — непрерывность бизнеса; непрерывность бизнеса — эффективность работы в компании в целом», и т.д.
Перейдем к технологиям. Что должен включать в себя комплексный подход к безопасности промышленных предприятий?
А.М.: Во-первых, корпус нормативной документации, включающий прежде всего «Политику информационной безопасности». Она является основой для всех дальнейших действий. Следующим логическим шагом можно считать внедрение комплекса технических средств, реализующего предусмотренные «Политикой» меры. Это — длительный и сложный этап, так или иначе затрагивающий почти все процессы в компании. Но и на этом нельзя сказать, что весь комплекс мер принят и безопасность предприятия обеспечена: остается человеческий фактор, который оказывает существенное влияние. Работа в этом направлении называется «Повышение осведомленности в области ИБ» и не должна прерываться во всё время существования компании. Это — умение сотрудников правильно обращаться с информацией, с информационными системами и технологиями.
Как контролировать состояние инфраструктуры, информационных активов?
А.М.: Контроль является одной из основных функций управления. Правда, здесь возникает ряд сложностей: если мы хотим управлять целым, то и контролировать тоже нужно целиком, а не только какую-то часть. И мы приходим к понятию «прозрачности». При этом совершенно согласен с выражением: «Без прозрачности нет безопасности». Безусловно, важнейшую роль в этом играют автоматизированные системы, позволяющие не только собирать информацию со множества источников, но и структурировать ее, а также проводить корреляцию событий с целью выявления отклонений от принятых норм безопасности. Есть также другие способы контроля состояния безопасности инфраструктуры и информационных активов, например осуществление контроля доступа, прав и полномочий пользователей систем, в процессе которого анализируется достаточность запрашиваемых прав и проверяется наличие возможных конфликтов полномочий, могущих повлечь за собой неправомерные действия со стороны сотрудников компании. Эти и другие способы позволяют собирать, структурировать и анализировать информацию, что, в свою очередь, приводит к «прозрачности» активов компании и ее информационных потоков и, соответственно, управляемости процессами ИБ. Суммируя вышесказанное: важна не «прозрачность» как таковая, а «прозрачность архитектуры» информационной безопасности компании.
Управление уязвимостями и патч-менеджмент — одна из ключевых проблем безопасности АСУ ТП. Как правильно подходить к этому процессу, не оставлять «дыры», но при этом минимизировать риски?
А.М.: АСУ ТП, обладая существенной спецификой и тесной взаимосвязью с производственными процессами, требуют от специалистов высоких навыков, как в сфере применяемой ИТ-инфраструктуры, так и в операционных технологиях. Бесперебойная работа АСУ ТП обеспечивает функционирование производства, поэтому имеет высокий приоритет задача защиты, где, действительно, одной из ключевых проблем является всё, что касается уязвимостей и работ по их устранению. Все мы регулярно слышим новости о появлении очередной угрозы, эксплуатирующей уязвимость в какой-либо системе или технологии. В документе SANS Institute под названием «CIS Critical Security Controls», также известном как «SANS Top 20», описывающем 20 наиболее критичных защитных мер и средств ИБ, одним из пунктов значится «Непрерывное управление уязвимостями».
Таким образом, мы видим, какое большое значение придается данному вопросу, но в еще большей значимости мы увидим данную тематику применительно к системам АСУ ТП. Если заглянуть внутрь процесса управления уязвимостями, то здесь будет и постоянный мониторинг уязвимостей, и регулярное тестирование информационных активов на их наличие, и тестирование на проникновение, и, конечно же, принятие компенсирующих мер по закрытию уязвимостей. На деле зачастую приходится сталкиваться с такими уязвимостями, которые не удается закрыть установкой патча или обновлением программного обеспечения (по причине их отсутствия либо технической невозможности установки на данной системе), и тогда открывается простор для творческого поиска альтернативного решения, которое порой представляет собой целый комплекс организационных и технических мер.
Какие источники информации об уязвимостях можно использовать?
А.М.: Как мы уже поняли, управление уязвимостями — процесс многогранный. И, пожалуй, ключевую роль в нем играет выявление, поскольку именно этот шаг становится катализатором дальнейших действий. Источниками могут служить как внешние ресурсы, например регулярно публикуемые сообщения в Интернете, так и внутренние, на которые мы, в частности, делаем серьезную ставку. На фоне усилившейся киберпреступности нам необходимо своевременно предупреждать очевидные риски и уметь с ними бороться, а также пытаться выстроить эшелонированную оборону по периметру компании путем организационных, технических и, в том числе, методологических приемов.
Чтобы противостоять современным угрозам ИБ, нужно не только всегда быть наготове, но и уметь контролировать самих себя. Для этого применяются, среди прочего, такие технические меры, как оценка рисков, формирование матрицы рисков, а также проведение поведенческого аудита безопасности, связанного с оценкой рисков. Да, сейчас эти услуги — тестирование на уязвимости — можно заказать у сторонних компаний, что порой позволяет обойтись только операционными затратами, однако наша компания решает вопросы тестирования самостоятельно.
Что же касается пентеста и анализа на уязвимости программного кода, то и здесь мы двигаемся в том же направлении, формируя собственные компетенции и создавая для этого необходимые ресурсы. Хочу отметить, что последние направления становятся всё более актуальными на фоне возрастающих угроз, в том числе направленных на критическую информационную инфраструктуру, защищать которую с недавних пор мы обязаны в соответствии с требованиями законодательства.
С подачи "Лаборатории Касперского" стало модно говорить об иммунности в контексте киберугроз. Насколько такой подход возможен для безопасности промышленных сетей, и при каких условиях?
А.М.: С недавних пор в сфере высоких технологий появились такие термины, как «нейронные сети» и «машинное обучение». С использованием этих механизмов создаются системы, способные решать сложные и нетривиальные задачи, например распознавание образов и выявление в них отклонений. Существуют также алгоритмы, действующие наподобие иммунной системы живого организма. Системы на основе таких алгоритмов — искусственные иммунные системы — позволяют выявлять отклонения, то есть инциденты, в области информационной безопасности. Функционал этих систем позволяет решать задачи информационной безопасности там, где классические средства защиты могут быть не столь эффективными.
Если говорить применительно к обеспечению безопасности технологических сетей промышленных предприятий, то здесь нельзя забывать о необходимости поддержания условий непрерывного производства, а это накладывает свои ограничения на эксплуатацию тех или иных применяемых средств защиты. Другими словами, сфера промышленности весьма консервативна, и применение новых технологий всегда очень серьезно рассматривается с точки зрения возможного влияния на производственные процессы. Да, производители решений безопасности, в том числе и для промышленности, всё больше внимания уделяют построению продуктов на базе данной технологии, а мы, в свою очередь, всё внимательнее присматриваемся к данной тенденции.
Поиск аномалий и применение машинного обучения для обнаружения атак (например, MLAD от «Лаборатории Касперского»): насколько реализуем этот подход на практике?
А.М.: Данная технология как раз и предоставляет возможность применить на практике современные способы выявления аномалий в работе промышленных систем. В предыдущем вопросе мы уже затронули использование машинного обучения для построения систем защиты. Учитывая особенности промышленных систем, при поэтапном подходе на первом шаге, думаю, как раз и может использоваться система, обнаруживающая признаки атак. В настоящее время данная возможность набирает актуальность. Мировая практика в области защиты АСУ ТП располагает достаточным количеством примеров несанкционированного влияния на работу промышленных систем, чтобы с ясностью сказать, что в этой сфере просто необходимо развивать технологии обнаружения аномалий. В дальнейшем, полагаю, функционал таких систем может расшириться до автоматического отражения выявленных атак.
Какие продукты и услуги ИБ наиболее востребованны в защите промышленных сетей?
А.М.: Как показывает современная практика, возрастает риск атак на системы промышленных предприятий, которые, в свою очередь, неуклонно движутся в сторону цифровизации. Атака типа Stuxnet наглядно демонстрирует необходимость защиты от несанкционированного изменения программного кода управляющих систем. Таким образом, если существующие технологии защиты сетей от атак извне весьма развиты и функциональны, то работа по анализу происходящего внутри сети требует значительных усилий по совершенствованию имеющихся решений. В этом немаловажную роль могут сыграть те самые технологии на основе нейронных сетей и машинного обучения, о которых мы говорили ранее.
Чего не хватает на рынке ИБ?
А.М.: Профессиональных специалистов и прогнозистов — необходимо постоянно быть начеку и быстро реагировать на тенденции в области угроз ИБ, потому что реагировать на уже возникшие угрозы — значит отставать как минимум на шаг.
Насколько ощущается «кадровый голод» на рынке ИБ?
А.М.: Рынок труда, мягко говоря, не изобилует специалистами в области ИБ — это чувствует любая компания, занимающаяся поиском таких сотрудников. В настоящее время мы имеем сильный дисбаланс между потребностью рынка и наличием необходимых кадров. Логично предположить, что в ближайшей перспективе ситуация кардинально не изменится, поэтому мы сами занимаемся подготовкой специалистов, в том числе и в области ИБ. Двигаясь в этом направлении, Норникель совместно с МГИМО МИД РФ в 2017 г. создали Базовую кафедру корпоративной безопасности, которая готовит специалистов в области экономической, корпоративной, объектовой и, соответственно, информационной безопасности, способных адекватно действовать в условиях новых вызовов информационной эпохи.
Насколько оправданы требования регуляторов по защите КИИ?
А.М.: Эти требования возникают не на пустом месте. Например, требования охраны труда преследуют своей целью защиту человеческой жизни и здоровья, и с этим сложно поспорить. Так же и в сфере защиты информации, информационных технологий и промышленных систем (которые, к слову, тоже могут оказать негативное влияние на человека, а не только на бизнес) следует внимательно относиться ко всем применимым нормам и правилам в этой области деятельности. Это — не только обязанность, но и разумная необходимость.
Спасибо за интервью!
