Кирилл Набойщиков: За последний год Kaspersky фиксирует существенный рост интереса к решениям по защите объектов КИИ

Кирилл Набойщиков: За последний год Kaspersky фиксирует существенный рост интереса к решениям по защите объектов КИИ

Кирилл Набойщиков

Лидер направления защиты критической инфраструктуры в «Лаборатории Касперского»

Кирилл присоединился к команде «Лаборатории Касперского» (департамент развития бизнеса по защите критической инфраструктуры) в 2016 году. На позиции лидера направления он определяет стратегию развития Kaspersky Industrial CyberSecurity, участвует в проектах по внедрению продукта, отвечает за развитие региональных продаж и сотрудничества в области кибербезопасности с партнёрами, вендорами автоматизации и ведущими отраслевыми техническими вузами. В 2020 году Кирилл стал лауреатом корпоративной премии компании «Инновация года».

До прихода в «Лабораторию Касперского» работал в Areva T&D, Alstom Grid и General Electric. Там Кирилл более 10 лет вёл проекты по автоматизации подстанций на крупнейших ГЭС, АЭС и нефтеналивных терминалах, объектах магистральных электрических сетей высокого, сверхвысокого и ультравысокого класса напряжений, а также в промышленности на горно-металлургических комбинатах, судостроительных верфях и цементных заводах.

Кроме того, он участвовал в крупных международных проектах в Мексике, Саудовской Аравии, Франции, Таджикистане, Азербайджане и проводил обучение в техническом университете компании Alstom во Франции.

Кирилл окончил Национальный исследовательский университет «МЭИ» по специальности «Вычислительные машины, комплексы, системы и сети».

...

На полях Kaspersky Industrial Cybersecurity Conference 2021 Кирилл Набойщиков, лидер направления защиты КИИ в «Лаборатории Касперского», рассказал Anti-Malware.ru о том, какие отрасли российской и мировой промышленности особенно заинтересованы в обеспечении кибербезопасности своих инфраструктур и возможно ли создать «коробочные» продукты с базовой функциональностью для небольших предприятий. Также в беседе прозвучали темы развития линейки Kaspersky Industrial CyberSecurity (KICS) и сертификации этих продуктов производителями АСУ ТП.

Насколько востребованны сейчас продукты Kaspersky Industrial CyberSecurity и сервисы по обеспечению кибербезопасности для промышленных предприятий в России и мире? Какова динамика этого рынка?

К. Н.: Мы отмечаем существенный рост интереса к решениям по кибербезопасности объектов КИИ. За последний год мы получили и выполнили порядка 500 заказов, что в сумме даёт полторы тысячи заказов за всё время существования нашего решения. Соответственно, за этот год мы сделали половину от достигнутого за все предыдущие. Это, безусловно, хорошая динамика. Конечно, мы видим и существенный рост выручки.

Если говорить об отраслях, то мы наблюдаем рост (в том числе заинтересованности) в секторе электроэнергетики, причём такие компании предъявляют самые жёсткие требования к масштабируемости решения.

Это легко объяснимо: действует «эффект большой страны». Мы должны обеспечить безопасность множества похожих, однотипных объектов, таких как электрические подстанции разного класса напряжения. Высоки там и требования к централизованному управлению, реагированию из региональных центров мониторинга.

Также заметен интерес в секторе добычи и обработки металлов (metals & mining).

Должно быть, у этих отраслей высокие темпы цифровизации и поэтому они быстрее осознают риски?

К. Н.: Готов согласиться с таким определением. Действительно, именно в этих отраслях развиваются и внедряются разного рода инновации — цифровые подстанции, «интернет энергии», цифровое производство, внедрение технологий машинного зрения, цифровых двойников. Схожие тенденции, включая рост интереса, наблюдаются и в нефтегазовой отрасли, несмотря на присущий ей консерватизм.

А какие отрасли, на ваш взгляд, пока ещё не осознали необходимость установки дополнительных средств защиты, но должны в перспективе обратить внимание на кибербезопасность?

К. Н.: В этом смысле я ни одну отрасль не назвал бы отстающей. Каждая из них преследует те цели и решает те задачи, которые для неё наиболее актуальны. Давать кому-либо из них советы я не готов; с другой стороны, могу рассказать об интересных задачах, с которыми мы сталкивались.

Совсем недавно по инициативе одного из наших клиентов мы плотно изучали вопрос обеспечения кибербезопасности объектов розничной дистрибуции нефтепродуктов — автомобильных заправок, если быть точным. Мы провели анализ, составили модель угроз, обозначили потенциальные векторы атак и наметили систему безопасности, которая могла бы быть применима для такой очень распределённой сети коммерческих предприятий.

С одной стороны, мы видим десятки тысяч объектов защиты информации; с другой стороны, на этих объектах есть очень серьёзные требования по минимизации издержек. Всё-таки это — небольшие предприятия с компактной автоматизацией, где экономическая эффективность внедрений является важнейшим фактором. Соответственно, вызов для нас — сделать компактное решение для подобных особых задач. Мой доклад, в котором я рассказывал про различные портативные платформы, где мы можем развернуть наши решения с учётом эффективности по затратам, как раз являлся частью этой большой работы по «переупаковке» наших решений для тех задач, где мы видим потенциал.

На рынке сейчас бытует мнение, что кибербезопасность для промышленных предприятий всегда обходится в астрономические суммы и доступна только очень богатым компаниям. Так ли это на самом деле? Возможны ли некие облегчённые, может быть даже «коробочные», продукты с минимизацией хотя бы основных рисков для небольшого завода или той же сети заправок?

К. Н.: Здесь у нас два варианта: либо обеспечиваем безопасность абсолютно уникального производственного объекта, либо защищаем структуры с типовой автоматизацией. В первом случае цена отходит на второй план. Во втором же раскладе нам нужны как раз «коробочные» варианты — так что вы выбрали очень подходящее выражение, когда формулировали вопрос. Именно они сделают внедрение средств защиты информации эффективным в экономическом смысле.

Такой подход абсолютно точно возможен, хотя на первый взгляд может показаться, будто само понятие «коробочного» продукта — некоего базового набора из KICS for Nodes и KICS for Networks, например, — в промышленной среде неприменимо. Однако это становится возможным, когда мы чётко понимаем требования и ограничения той или иной индустрии. Если заказчик открыто рассказывает о своих ожиданиях и ограничениях, то мы готовы искать и предлагать решения, выводить на рынок новые продукты, которые будут востребованны в отрасли.

На мой взгляд, представление о том, как должна обеспечиваться кибербезопасность промышленных объектов, в последнее время перешло на иной уровень. Ещё несколько лет назад с осторожностью говорили, что, мол, неплохо было бы защищать операторские станции и анализировать трафик, а сейчас мы уже обсуждаем создание отдельного SOC в подобной инфраструктуре или даже перенос в неё модели XDR. Такая скорость, как мне кажется, вызывает в том числе и некоторое отторжение: дескать, это опасно, не надо нам всего этого. Будут ли вообще востребованными нововведения такого уровня?

К. Н.: В этом нет ничего страшного. Даже если одна отрасль консервативна, истории успеха в другой, смежной, постепенно снимают подобные опасения. Если говорить о том, насколько быстро появится востребованность, то можно сформулировать так: «Лаборатория Касперского», являясь мировым лидером в области кибербезопасности — в том числе защиты КИИ, — должна выступать с позиции ведущего, предсказывать развитие всего направления. Концепция XDR в промышленности — это на данный момент в большей степени визионерство, чем обозначение того, что можно увидеть прямо сейчас на большинстве производств.

Мы смотрим на тенденции рынка самой промышленной автоматизации и видим, что для него актуальны цифровизация, подключённые устройства, «умные» объекты. Если мы встраиваем и применяем классические информационные технологии в промышленности — или по крайней мере стремимся к этому, — то мы должны абсолютно аналогичным образом отвечать на риски и угрозы, которые возникают в связи с соответствующими процессами и изменениями.

Действительно, во многих отраслях это — не задача сегодняшнего дня. Но если вернуться к тому же примеру с автозаправками, то уже сейчас мы имеем много тысяч подключённых объектов автоматизации, где нежелательны какие бы то ни было нарушения технологического процесса в розничной дистрибуции нефтепродуктов: недавние кейсы хорошо показали, что они приводят к весьма неприятным последствиям.

Именно поэтому мы будем работать с теми отраслями, которые в наибольшей степени готовы ко внедрению таких технологий, и предлагать рыночные решения исходя из нашего визионерского подхода. В конце концов, кибербезопасность автоматизации — это надёжный фундамент для передовых технологических процессов, в которых применяются современные цифровые технологии.

Вы развиваете продукт в основном сами или заказчики приходят к вам с какими-либо пожеланиями?

К. Н.: Сегодня в своём докладе я говорил о четырёх экспертных командах, квалификация которых в итоге ложится на продукты и направления развития KICS. Примечательно, что у каждой из этих команд есть особая важная роль. У нас есть люди, которые сталкиваются с существующими кибератаками и обогащают продукт своим опытом. Есть и те, кто занимается аудитами безопасности; результатом их работы являются новые технические и бизнес-требования к продукту. У нас есть отдел, который занимается поддержкой продаж и тендеров; они анализируют текущие запросы рынка и возвращают их в виде требований обратно в продукт. И, конечно, ведущие эксперты по кибербезопасности, которые могут вносить замечания или предложения на базе своего многолетнего опыта.

Поэтому у нас есть как визионеры, так и люди возвращающие опыт с рынка, из внедрений после работы с конкретными заказчиками. Стараемся обогащать продукт со всех сторон.

В презентации прозвучало, что есть некие готовые пакеты экспертных знаний для KICS. Что это такое?

К. Н.: Это и наши экспертные сервисы, такие как аудит безопасности объектов КИИ или тестирование на проникновение, и наша Threat Intelligence, и обновления сигнатур обнаружения вторжений от отдела исследования передовых угроз. Это также база данных об уязвимостях — например, в контроллерах определённого производителя. В докладе я не стал разделять экспертизу гранулярно, но в целом этих пакетов множество — под каждый отдельный продукт и от каждой команды, которая занимается поддержкой внедрений и аудитами безопасности.

Мне представляется, что краеугольным камнем рынка промышленной кибербезопасности, определяющим успешность того или иного продукта, является поддержка со стороны вендоров АСУ ТП. В вашей презентации было сказано, что на данный момент имеется 15 сертификатов на 25 систем…

К. Н.: ...в этом году.

То есть фактически их ещё больше?

К. Н.: Да, совокупно их более ста и от более чем сорока вендоров, список есть на нашем сайте.

Тем более. Проделана огромная работа. Гарантирует ли это беспроблемность установки KICS в инфраструктуру для заказчика?

К. Н.: Сертификат гарантирует поддержку от самого вендора — производителя промышленной системы — в любой нештатной ситуации. Если таковая случится, то вендор выделит своего собственного инженера на восстановление. Многие заказчики опасаются, что внедрение сторонних продуктов лишит их гарантии от производителя, но здесь такие опасения беспочвенны. Этот сертификат также гарантирует, что успешно проведены и завершены испытания, что мы инвестируем силы и средства в надёжность и безопасность наших решений.

Большое спасибо за содержательную беседу!