Игорь Рыжов: Система защиты не должна искажать характеристик работы АСУ ТП

Игорь Рыжов: Система защиты не должна искажать характеристик работы АСУ ТП

Игорь Рыжов

Инженер-математик по образованию. Имеет дипломы MBA и CIO. Возглавлял коллективы информационных технологий и информационной безопасности в силовых ведомствах. Работал на металлургических предприятиях, в "Газпроме", в компаниях системной интеграции.

...

Одной из важнейших тем, затронутых в последнее время в изменениях российского законодательства в сфере информационных технологий, является безопасность работы автоматизированных систем управления технологическими процессами критически важных объектов (АСУ ТП КВО). О безопасности промышленности информационно-аналитический центр Anti-Malware.ru поговорил с Игорем Рыжовым, руководителем направления защиты АСУ ТП компании «Информзащита».

По вашим оценкам, каково положение отрасли информационной безопасности в российской и мировой экономике? Какие новые тенденции вы видите на этом высококонкурентном рынке?

И. Р.: Отрасль информационной безопасности за последние пять лет получила достаточно серьёзное развитие как в мире, так и в Российской Федерации. В первую очередь необходимо отметить, что существенно повысилась интеллектуальная составляющая всех систем автоматизации. Автоматизация бизнес-процессов, роботизация, применение искусственного интеллекта, внедрение интернета вещей — все эти новые технологии требуют параллельного развития средств информационной безопасности.

Сегодня возрастает понимание руководителями компаний необходимости внедрять решения по информационной безопасности как инструменты, которые защищают сам бизнес, а не только информационные системы. Кроме того, сейчас идёт активное развитие нормативной базы, причём можно наблюдать параллельное развитие как международных норм по информационной безопасности, так и национальных законов и подзаконных актов, которые регламентируют все аспекты информационной безопасности в России.

Следование всем этим тенденциям определяет ближайшие перспективы развития для «Информзащиты», поскольку наша компания — достаточно специализированное предприятие. Мы работаем на рынке уже 25 лет и занимаемся исключительно вопросами информационной безопасности. «Информзащита» не стремится охватить необъятное: для нас информационная безопасность является основной задачей. Именно в этой сфере компания располагает всеми необходимыми компетенциями.

По мнению многих экспертов, главным драйвером развития рынка ИБ сейчас является закон № 187-ФЗ о безопасности КИИ. Вы согласны с этим утверждением? Какие услуги «Информзащита» предлагает клиентам в помощь по реализации требований данного закона?

И. Р.: Закон № 187-ФЗ о безопасности КИИ, безусловно, драйвер развития рынка информационной безопасности, но я бы не сказал, что главный, поскольку он охватывает лишь критическую информационную инфраструктуру, не покрывая остальных аспектов информационной безопасности.

Разве программа цифровой трансформации экономики России не является мощнейшим драйвером ИБ? Этот национальный проект охватывает все сферы экономики страны. Забыть об информационной безопасности при переходе на цифровые технологии означает забыть об эффективности трансформации. Рынок намного сложнее, и мы видим гораздо больше потребностей в области информационной безопасности, чем в сфере критической инфраструктуры.

Если просмотреть все подзаконные акты, которые изданы регуляторами для реализации закона № 187-ФЗ, то мы увидим, что всё начинается с аудита ИТ-инфраструктуры и ресурсов, с категоризации, с выявления критически важных ресурсов по защите информации, затем уже дело доходит до создания систем защиты, их внедрения и обслуживания. «Информзащита» предоставляет заказчикам полный спектр услуг — от тестов на проникновение и выявления возможных каналов утечки, создания моделей угроз до проектирования и внедрения систем защиты, а также их обслуживания.

На каком этапе сейчас находится реализация требований закона № 187-ФЗ в российской промышленности? Как вы оцениваете уровень защищённости российских промышленных предприятий по результатам проделанной работы?

И. Р.: Работа по реализации требований находится на начальном этапе. Закон № 187-ФЗ принят два года назад, но на сегодняшний день в основном выполнены работы по категорированию объектов критической инфраструктуры. Дальнейшая работа, как правило, упирается в сложно решаемую проблему: предприятию необходим бюджет, причём достаточно большой, для того, чтобы система защиты соответствовала той категории, которую определили на начальном этапе работ.

На мой взгляд, настал момент перейти от желания выполнить все требования закона с минимальными затратами к обеспечению реальной безопасности критической инфраструктуры предприятия.

Просто отчитаться перед ФСТЭК в том, что категорирование завершено и что-то сделано в области разработки моделей угроз, — это лишь самое начало процесса. Главная задача — создать систему защиты, которая будет соответствовать современным технологиям. Зачастую компании, которые работают на этом рынке, указывают в своих материалах следующее: «Мы обеспечим выполнение текущих требований регулятора». Это неправильно! Наша компания стоит на других позициях: «Мы обеспечиваем безопасность критической инфраструктуры, а не только оформляем необходимые документы и формуляры для регулятора».

До выхода закона № 187-ФЗ уровень информационной безопасности предприятий был гораздо ниже сегодняшнего. Однако требуемый уровень безопасности объектов критической инфраструктуры ещё не достигнут — мы только на пути к этому.

Какие отрасли промышленности для вашей компании наиболее интересны? Какого типа проекты в этих отраслях популярны?

И. Р.: Если говорить о тех отраслях промышленности, которые на сегодняшний день в большей степени заинтересованы в наших услугах, то речь пойдёт о предприятиях с непрерывным циклом производства. Это, прежде всего, металлургия, энергетика, нефтегазовый комплекс и транспорт, ОПК.

Что же касается востребованных проектов, то наиболее популярны тесты на проникновение, анализ уязвимостей информационных систем, внедрение средств защиты информации в различных компонентах информационных систем. Но начинают все с очевидной задачи: заказчик хочет знать, насколько уязвима его система и в каком месте с наибольшей вероятностью эта уязвимость будет проявляться.

Переходя к более узкой тематике АСУ ТП — насколько проекты в области информационной защиты промышленных сетей востребованны сейчас на российском рынке? Для каких АСУ ТП особенно сложно организовать полноценную защиту?

И. Р.: Безопасность АСУ ТП обсуждается с момента появления таких систем. Особенность всех проектов, связанных с безопасностью АСУ ТП, заключается в том, что для построения их защиты необходимо привлекать специалистов именно по АСУ ТП, поскольку в этих системах применяются внутренние технологические протоколы.

Ключевая особенность этих проектов заключается в следующем требовании: необходимо сохранить все характеристики работы АСУ ТП при внедрении средств защиты. Поясню на простом примере: в информационных системах, если мы поставим межсетевой экран, который будет генерировать задержку доставки пакета до рабочего места клиента длительностью 2–3 секунды, никто этого просто не заметит. А теперь представьте себе систему управления ядерного реактора: задержка в долю секунды при поднимании и опускании стержней может привести к катастрофе планетарного масштаба.

Поэтому система защиты не должна искажать характеристик работы АСУ ТП как объекта защиты. Мы должны обеспечить минимальное вмешательство в работу оборудования при сохранении максимального контроля над безопасностью объекта.

Не все способны выполнить такую ювелирную работу: специалист по информационной безопасности не всегда в деталях и тонкостях понимает функциональность той или иной системы управления. Поэтому мы создали в своей компании центр промышленной безопасности, в который набрали специалистов по АСУ ТП — уникальных экспертов, в том числе из наших «воспитанников». Это — результат нашего сотрудничества с российскими вузами, с производителями АСУ ТП и со многими вендорами на российском рынке.

Мы имеем большое наследие ещё со времен СССР, когда АСУ ТП создавались на заводах местными специалистами. Эти люди ушли, документации на предприятиях нет, и никто сегодня не знает, на каких принципах работают их системы автоматизации. Прежде чем заниматься защитой информации в такой среде, приходится изучать оборудование предприятия.

Какие решения предлагает «Информзащита» для промышленного сектора? В чём их отличия от обычных пользовательских антивирусов?

И. Р.: В промышленной инфраструктуре, как и в других сферах, основными каналами распространения вредоносных программ являются интернет, съёмные носители и электронная почта. В то же время использование традиционного антивируса в производственной среде может вызвать ряд проблем, например отсутствие поддержки старых операционных систем, необходимость выполнения перезагрузки операционной системы после установки и обновления антивируса, несовместимость с промышленными протоколами и т. д. Все эти недостатки явились толчком для создания специализированного продукта, который был бы адаптирован к работе в подобной среде и обеспечивал высокое качество защиты промышленных сетей от вредоносного воздействия, не допустив при этом ложных срабатываний.

Наша компания предлагает как собственные, так и вендорские продукты. «Лаборатория Касперского» — наш крупный вендор. Главное преимущество для нас состоит в том, что это международная компания со штаб-квартирой в Москве, поэтому она находится «под рукой» и всегда участвует во всех наших проектах как один из основных партнёров. Инженеры, которые там работают, всегда внимательно относятся ко всем проблемам, возникающим при реализации того или иного нашего проекта, особенно в области промышленной безопасности.

Мы используем два продукта: Kaspersky Industrial CyberSecurity (KICS) for Nodes (защита промышленных конечных узлов) и KICS for Networks (обнаружение аномалий и атак в промышленной сети).

KICS for Nodes — это специальное индустриальное защитное решение с широкими возможностями по отслеживанию и предотвращению несанкционированного доступа к сети. Оно понимает особенности работы промышленных протоколов. Следует отметить, что работа KICS for Nodes принципиально построена так, чтобы исключить влияние на технологические процессы предприятия.

Если говорить о продукте KICS for Networks, то тут речь идёт о защите не только рабочих мест и серверов, но и среды передачи информации. Продукты серии KICS мы рассматриваем как одно из универсальных решений, полностью соответствующих 31-му приказу ФСТЭК, который определил требования к безопасности АСУ ТП.

KICS for Networks является специализированным программно-аппаратным средством мониторинга сетевого обмена между узлами в промышленной сети систем защиты и управления, которое позволяет определять и регистрировать аномальные информационные события. Об обнаруженных отклонениях KICS for Networks оповещает как обслуживающий персонал, так и специалистов по ИБ.

Таким образом обнаруживаются кибератаки или некорректное обслуживание промышленных систем. С одной стороны, полностью контролируются антивирус и некорректные подключения (в том числе по Wi-Fi); с другой стороны, отслеживаются возможные кибератаки.

Насколько полно российские продукты, такие как KICS for Nodes «Лаборатории Касперского», позволяют клиентам реализовать требования российских регуляторов? В чём преимущества и уникальность этого продукта?

И. Р.: Чем больше сложного оборудования включается в индустриальные сети, тем большим рискам оно подвержено и тем эффективнее его следует защищать. Здесь важна и скорость реакции российского вендора при возникновении тех или иных ситуаций, и надёжность решения.

KICS for Nodes, как я уже сказал, — не единственный продукт «Лаборатории Касперского» для защиты промышленных предприятий. И здесь стоит указать на связь KICS for Nodes со всеми другими продуктами не только «Лаборатории Касперского», но и вендоров являющихся её партнёрами.

В каких ситуациях и для решения каких задач рекомендуете использовать KICS for Nodes? Поясните на примерах.

И. Р.: KICS for Nodes «Лаборатории Касперского» применим там, где необходимо дальнейшее развитие информационной системы, требуется внедрение новых производственных линеек и активно развивается само производство. Во всех этих случаях данный продукт, безусловно, будет востребован.

Опять же, это напрямую связано с тем обстоятельством, что в этом сегменте развитие систем информационной безопасности должно идти параллельно развитию производства. Когда появляются новые системы автоматизации, в них встраиваются и новые технологии защиты.

В этом отношении продукция «Лаборатории Касперского» наиболее приемлема, поскольку, во-первых, она построена по модульному принципу и мы можем при необходимости добавлять либо исключать те или иные компоненты, а во-вторых, внедрять систему вместе с разработчиком намного комфортнее, чем заниматься этим самостоятельно.

Каково отношение производителей АСУ ТП к вашей работе по защите их компонентов? Насколько они готовы сотрудничать и совершенствовать безопасность своих продуктов?

И. Р.: Когда мы приходим к заказчику, мы анализируем инфраструктуру, которая у него уже реализована, поэтому сотрудничаем со всеми основными производителями АСУ ТП: как с зарубежными, так и с отечественными компаниями.

Каждый из вендоров, разрабатывающих АСУ ТП и программное обеспечение к ним, закладывает внутрь необходимые средства защиты информации, соответствующие той модели угроз, которая была разработана исключительно для этих решений. Знать, какие возможности по информационной безопасности есть у этих вендоров, и уметь их правильно настроить — наша прямая обязанность.

Кроме того, промышленные предприятия часто сталкиваются с дефицитом кадров в области информационной безопасности. С нашей помощью и с использованием таких решений, как упомянутый KICS for Networks, становится возможным оперативно реагировать на обнаруженные угрозы даже в условиях недостаточного количества специалистов по информационной безопасности.

Какие рекомендации можно дать компаниям, которые в процессе категорирования обнаружили у себя значимые объекты КИИ? Какие механизмы защиты им стоит внедрить в первую очередь?

И. Р.: Исходя из опыта реализации таких проектов, хотелось бы особо выделить один из механизмов — сегментацию объектов информационной инфраструктуры по уровню защищённости. Речь идёт об изоляции объектов с необходимостью наиболее высокой степени защиты и о выделении «демилитаризованных зон».

Второй важный аспект — мониторинг работоспособности ИТ-инфраструктуры, той инфраструктуры, которая обеспечивает работоспособность и реализацию всех бизнес-процессов, а также мониторинг событий по информационной безопасности, включая реагирование на инциденты и оперативное расследование инцидентов. Всё это требует создания SOC (Security Operations Center).

Далее — обязательно создание службы информационной безопасности либо, если оно невозможно по ряду причин (отсутствие бюджета, невозможность расширения штатной структуры), заключение сервисного договора на обслуживание, аутсорсинг со специализированными организациями.

Какие проекты по внедрению российских продуктов были для вашей компании наиболее поучительными? Как вы оцениваете уровень зрелости российских промышленных предприятий по реализации проектов в области информационной безопасности?

И. Р.: Нам, разумеется, больше всего интересны комплексные проекты. Мы должны учитывать существующий ландшафт информационной безопасности. Когда мы приходим в какую-то компанию или крупную структуру, обычно там присутствуют средства защиты как от российских, так и от зарубежных вендоров. Нам доставляет особое удовольствие показать по завершении проекта заказчику, что мы сохранили его инвестиции в имеющиеся средства защиты, добавив к ним лишь те функции, которые были ему максимально необходимы для обеспечения безопасности. Понятно, что каждого заказчика волнует эффективность потраченных денег, и в этом отношении мы придерживаемся строгих принципов. Первое — заказчик не должен слышать от нас, что всё, что у него было раньше, нужно «снести» и построить новую систему с нуля. Второе — мы стараемся по максимуму сохранить всё, что было, и добавить наши новые знания и возможности. Именно в этом мы видим свое конкурентное преимущество.

Что же касается уровня зрелости российских промышленных предприятий, то его нужно оценивать в сравнении. Сейчас информационная безопасность на предприятиях гораздо выше, чем несколько лет назад.

За последние годы, что отрадно отметить, заметно выросла компетенция заказчиков: если раньше мы приходили на предприятие и объясняли им, буквально показывая на пальцах, каким угрозам подвержены информационные ресурсы и что будет с ними, если их не защитить, то сегодня разговариваем с большинством заказчиков на одном языке.

Насколько в целом успешной, на ваш взгляд, оказалась стратегия импортозамещения в области информационной безопасности? Остались ли области, где российских продуктов по-прежнему не хватает?

И. Р.: Традиционно наши отечественные разработчики были сильны в средствах криптозащиты, поскольку российская школа криптографии базируется на мощной математической школе. Если вы сегодня посмотрите публикации форумов по криптографии, то найдёте множество российских трудов, которые легли в основу тех или иных решений. Это — и криптографические протоколы, и квантовая криптография, и многое другое.

Однако что касается решений связанных с интеллектуальным насыщением систем защиты (не просто зашифровать данные, а сделать систему управляемой, адаптивной, провести интеграцию средств выявления инцидентов со средствами решения инцидентов), то наши зарубежные коллеги стали заниматься этими вопросами раньше. Мы на сегодняшний день ещё не достигли такого состояния, когда можно было бы говорить о стопроцентном замещении всех средств защиты.

Конечно, в этом направлении есть большие подвижки: создаётся реестр российских радиотехнических систем и средств, работает реестр российского программного обеспечения — это огромный шаг в сторону импортозамещения.

Спасибо большое за интервью! Желаю успехов!