Андрей Заикин: Появились российские АСУ ТП, способные конкурировать с зарубежными

Количество кибератак на российские предприятия в последние два года постоянно растёт. Непрерывным атакам подвергаются объекты промышленности, КИИ, АСУ ТП. Насколько отечественная ИБ-отрасль оказалась готова к такому вызову? Какие сложности в защите объектов КИИ возникают? Эти темы мы обсудили с директором по развитию бизнеса «К2 Кибербезопасность» Андреем Заикиным.

«К2 Кибербезопасность» является самостоятельным подразделением компании «K2Tex». Чем оно занимается?

А. З.: Мы занимаемся решением вопроса информационной безопасности для наших заказчиков, оказываем услуги по двум моделям: классические проекты по внедрению средств защиты и услуги ИБ по сервисной модели.

«К2Тех» занимается системной интеграцией. Помимо нашего подразделения есть экспертиза по телекому и по информационным инфраструктурам. Мы выступаем на рынке как комплексный системный интегратор.

Как изменилось восприятие угроз и насколько правильна оценка рисков для КИИ и промышленности?

А. З.: Восприятие изменилось, и это хорошо. Несколько лет назад, когда мы приходили к заказчикам и обсуждали вопросы кибербезопасности, видели большое сопротивление со стороны людей занимающихся эксплуатацией промышленных инфраструктур. Сейчас компании начали намного серьёзнее подходить к вопросу ИБ. Это связано с несколькими причинами.

Во-первых, из года в год мы наблюдаем серьёзный рост количества атак и инцидентов во всех российских компаниях. Промышленность входит в тройку наиболее атакуемых отраслей наряду с госсектором и финансами. Во-вторых, в прошлом году вышли соответствующие указы Президента (№ 166 и № 250. — Прим. ред.). Они являются ответом на те угрозы, которые мы начали наблюдать с февраля прошлого года. Эти указы заставили задуматься о том, что защищённость многих предприятий на текущий момент недостаточна.

Сейчас, с одной стороны, мы видим, что инциденты в промышленности встречаются. С другой стороны, пока ничего серьёзного не произошло, и это хорошо. Радует, что компании начали задумываться об ИБ и сейчас гораздо проще общаться с промышленными предприятиями на темы защиты.

Вы сказали, что промышленность находится в тройке самых атакуемых отраслей. Но складывается впечатление, что значимых инцидентов не происходило, всё спокойно и активно заниматься вопросами безопасности не нужно.

А. З.: Не соглашусь. Не все предприятия и компании раскрывают инциденты, которые у них происходят. Ещё один фактор состоит в том, что российская индустрия кибербезопасности оказалась готовой к тем вызовам, с которыми столкнулась в прошлом году. Если сравнивать с ИТ в целом, то практически во всех областях ИБ есть и были российские аналоги продуктов и решений, во многих случаях они могут конкурировать и на мировом рынке. Благодаря этому, а также тому, что вся индустрия слаженно отработала прошлогодние угрозы, мы не увидели серьёзных инцидентов. Но это совершенно не означает, что угроз не существует.

Более того, если в прошлом году мы видели большое количество простых атак, то сейчас мы видим, что атаки усложняются.

Насколько весомым вкладом в развитие кибербезопасности оказались меры со стороны регулятора и были ли они своевременными?

А. З.: Я считаю, что меры оказались действенными. Указ Президента № 250 узаконил то, что предприятия и так должны были делать. Основной пункт — на предприятии должно быть подразделение, которое отвечает за вопросы ИБ. Важным моментом является то, что отвечающий за ИБ человек должен подчиняться первому лицу компании: это значит, что у него появляются высокие полномочия и ответственность. Возникает и ответственность первого лица предприятия. Также необходимо учитывать то, что всех обязали проводить регулярный контроль защищённости. Это уже точно не про «бумажную» безопасность. И ещё важный момент заключается в запрете использования иностранного ПО в части средств защиты на предприятиях КИИ.

Я хотел бы поговорить о результатах нашего недавно опубликованного исследования. Мы изучали то, насколько российские предприятия и субъекты КИИ оказались готовыми к защите, а также насколько хорошо они выполняют требования законодательства — в частности, федерального закона № 187-ФЗ. В итоге всего 7 % опрошенных заявили, что выполнили все требования по защите КИИ. Почему эта цифра так мала, несмотря на то что закону уже более пяти лет?

А. З.: Здесь нужно учесть несколько факторов. Первый фактор — это то, что компаниям и предприятиям трудно, не имея своих специалистов, корректно трактовать все требования закона. Закон имеет подзаконные акты, нормативные документы, в которых непросто разбираться. Второе — это масса организационных сложностей, возникающих в ходе реализации проектов. Это сложности при внедрении средств защиты, проблемы совместимости средств защиты со средствами автоматизации, устаревшее оборудование и неготовность инфраструктуры.

Также сюда относятся те вопросы, которые предприятиям необходимо решать внутри для выстраивания корректной системы защиты. Большая часть респондентов заявили, что основные трудности связаны с выбором программных и аппаратных средств для обеспечения безопасности. Имеются в виду те решения, которые раньше поступали с Запада и теперь недоступны.

Интересный момент: 13 % участников нашего исследования заявили, что не понимают требований закона. В сумме около 30 % опрошенных находятся на самой ранней стадии осознания и в начале выполнения всех требований. Почему так происходит и что с этим делать?

А. З.: На мой взгляд, основная причина — нехватка кадров. Этот вопрос с каждым годом становится всё острее. К сожалению, вузы, которые в нашей стране обучают специалистов по ИБ, неспособны на текущий момент выдавать такое количество квалифицированных кадров, которое нужно рынку. Более того, в вузе зачастую дают более теоретические знания, и когда к нам приходят молодые ребята, мы их вынуждены доучивать, давая им практические знания и навыки. Вопрос точно не получится решить быстро. Мы берём молодых ребят и их учим, либо ищем работников из смежных областей.

Оказалось, что главная проблема выполнения требований законодательства — это подбор средств защиты отечественного производства. Так ответили 27 % респондентов. Почему такая проблема существует?

А. З.: Действительно, цифра большая. Одной из причин является то, что сложно переходить с привычного решения на другое. Мы столкнулись с этим в прошлом году, когда заказчики подбирали альтернативы западным решениям, глядя на аналоги сквозь призму привычного для них продукта. К тому же, ещё не во всех областях у нас есть аналоги, которые способны полностью заменить западные решения.

Если мы говорим, например, про сетевое экранирование, то решений, которые способны по производительности конкурировать с ведущими западными аналогами, на текущий момент нет. Но я точно знаю, что вендоры активно работают в этом направлении.

В этом году появилось много новых вендоров и новых решений. Я думаю, что в ближайшее время мы увидим интересные события на рынке. Рынок будет перестраиваться, у нас тоже будет много работы по его развитию.

Насколько я понимаю, в этом и кроется основная проблема. Как в случае с межсетевыми экранами нового поколения: на текущий момент в реестре российского ПО их двадцать шесть, заказчикам требуется приложить много усилий при выборе продукта, несмотря даже на отсев по индивидуальным требованиям.

А. З.: Я рассматриваю это как позитивный момент. Это говорит о том, что у нас в этой части — естественный рынок. Понятно, что западные вендоры проходили этот путь в течение многих лет. Мы же оказались в такой ситуации, когда нам этот путь необходимо пройти быстро. На текущий момент мы находимся в фазе, когда у нас много вендоров. Но через какое-то время их станет меньше, потому что мы увидим слияния и поглощения. Рынок придёт к фазе консолидации и мы увидим двух-трёх игроков, которые будут лидировать и аккумулировать в себе технологии.

Какие технические сложности чаще всего возникают при внедрении российских средств защиты?

А. З.: Я бы говорил не только про внедрение российских средств защиты, а посмотрел бы немного шире. Все сложности можно разделить на несколько пунктов.

Первым я обозначу неготовность инфраструктуры предприятий ко внедрению средств защиты и необходимость её модернизации. Модернизация инфраструктуры за неделю не делается. Требуются проектирование, закупка необходимых средств, внедрения. Обычно это занимает несколько месяцев.

Вторым пунктом выделю неготовность сетевой инфраструктуры. Часто на предприятиях используют сети, которые создавались давно и требуют модернизации.

Следующий пункт — это устаревшее оборудование. Оно встречается практически повсеместно. Это и рабочие станции, и серверы. В таких случаях приходится придумывать обходные пути, пока предприятие не проведёт модернизацию.

И четвёртая сложность — это проблема совместимости средств защиты с системами АСУ ТП.

По нашей статистике, менее 30 % систем АСУ ТП имеют сертификат совместимости со средствами защиты.

Здесь нам остаётся только проводить самостоятельное тестирование по методикам, которые используют вендоры, а также использовать средства защиты сначала в режиме мониторинга и только потом, при необходимости, переходить в блокирующий режим.

Ещё несколько лет назад не было принято говорить об инвазивности в вопросах ИБ. Сегодня мы наблюдаем, как отношение к этому явлению меняется. Всё больше обсуждаются активное реагирование и возможность предпринимать оперативные действия с точки зрения средств защиты, но в ограниченном формате. Есть ли здесь какие-то положительные тенденции?

А. З.: Да, есть. Но неинвазивную систему защиты использовать невозможно. То же межсетевое экранирование оказывает влияние, когда происходит взаимодействие какой-то системы, которая находится в контуре, со внешним миром. Рекомендую тут сначала использовать средства защиты в тестовом контуре, затем ставить их в промышленный контур, но в режиме мониторинга, после чего дать им поработать пару месяцев, чтобы собрать весь трафик для настройки соответствующих правил.

Вы говорили о том, что процесс часто тормозится устаревшим оборудованием у заказчиков и вы защищаете его обходными путями. Что это за меры?

А. З.: Да, есть обходные пути, которые мы используем помимо установки средств защиты. Это укрепление (харденинг) самого оборудования и операционных систем. Можно отключить все ненужные сервисы, сделать более строгие настройки безопасности, в том числе в реестре. Это тоже вариант, который может рассматриваться как временный, пока заказчик не обновит свой парк оборудования.

Из описанного понятно, что сложностей очень много и проекты по защите промышленных сетей длительны. Как можно ускорить этот процесс?

А. З.: Основная сложность здесь — в том, что в проектах по обеспечению информационной безопасности и защиты АСУ ТП участвуют три группы лиц, которые разговаривают на разных языках. Это ИТ, ИБ и эксплуатация АСУ ТП. Но сейчас люди научились слышать друг друга.

До людей, которые занимаются АСУ ТП, удалось донести, что информационная безопасность — это важно.

Приходя с проектами сейчас, мы видим заинтересованность со стороны лиц отвечающих за эксплуатацию АСУ ТП. Ещё одна важная рекомендация — создавать рабочую группу, в которую обязательно включать экспертов от тех блоков, которые занимаются эксплуатацией. Также должен быть ответственный за проект. Человек, которому это будет нужно.

Как здесь лучше распределить роли?

А. З.: Чаще всего этим процессом рулят люди из ИБ. Я это объясняю тем, что применяемые требования относятся к функции ИБ. Дальше в рабочую группу обязательно нужно включать сотрудников от эксплуатации АСУ ТП и от службы ИТ — потому что потребуется модернизировать инфраструктуру, согласовывать время работы.

Переходя к следующей рекомендации, скажу о технологических окнах. Это интервалы времени, в течение которых мы можем вносить изменения в инфраструктуру АСУ ТП. Зачастую оказывается так, что технологических окон не хватает. Рекомендую заранее обсуждать и показывать риски, согласовывать дополнительные технологические окна, выходить на менеджмент компании. Практика показывает, что без этого не получается. Также рекомендую в части техники использовать и обкатывать работу средств защиты сначала в режиме мониторинга и только потом переходить в инвазивный режим.

Обязательно необходимо делать резервные копии и тестировать совместимость средств защиты, чтобы избежать неприятных сюрпризов — ситуаций, когда система, например, тормозит работу. Это может сильно отбросить назад. Такие негативные инциденты не добавляют очков тому, кто внедряет систему защиты.

Вы обратили внимание на важность опыта реализации подобных проектов. Как компания «К2 Кибербезопасность» может помочь предприятиям выполнить требования, внедрить и подобрать необходимые средства защиты?

А. З.: На первом этапе мы можем оказывать услуги по консультированию в части сбора информации. Очень часто в проектах по безопасности КИИ встречаются ситуации, когда информация не собрана и собирать её трудно. Нередко бывает, что и актуального проекта уже нет. Мы можем помочь с категорированием, с разработкой модели угроз и требований к системе защиты, а также с проектированием и внедрением.

Преимущество опытного интегратора — в насмотренности. Насмотренность позволяет сократить цикл внедрения.

В рамках гарантийных обязательств мы исправляем нерабочие процессы и реагируем на инциденты.

Интересно, что 31 % респондентов, опрошенных в ходе нашего исследования, считает, будто отечественные СЗИ неспособны справиться с предъявляемыми законодательством требованиями и реальными рисками в кибербезопасности. Так ли это и в чём заключается проблема отторжения отечественных СЗИ?

А. З.: Мы поговорили уже про межсетевое экранирование. Хочу добавить важный факт из нашего исследования. В ответах на вопросы о средствах защиты большинство респондентов отметили проблемы с сетевым оборудованием. Опрошенные сообщали о сложностях поиска на нашем рынке аналогов ушедших западных решений. Для меня это — показатель остроты проблемы.

То есть проблема не только в ИБ, но и в ИТ-оборудовании?

А. З.: Да. Хотел рассказать пример из нашей практики. Если мы говорим про средства защиты или про сетевое оборудование, понятно, что эти классы решений нужны всем. Наши разработчики в стране сейчас активно занимаются тем, что создают свои аналоги. На предприятиях же часто используется специализированный софт, и его рынок невелик, поэтому быстро разработать аналог для одного конкретного предприятия не получится. Я уверен, что опрошенные респонденты этот факт тоже держали в уме.

Хотел бы вернуться к проблеме устаревшего оборудования. Предположим, что предприятия работают на системах АСУ ТП, которые проектировались ещё в Советском Союзе, и цифровизация добралась до них не полностью. Действительно ли им становится практически невозможно выполнить требования законодательства? И что с этим делать?

А. З.: Я точно знаю, что есть случаи, когда без модернизации не обойтись. Это вызов, перед которым мы сейчас все вместе стоим. С другой стороны, у нас появляются отечественные системы АСУ ТП, способные конкурировать и выполнять функции зарубежных решений. Картина меняется не только в нашей отрасли. Уже сейчас появляются разработки, которые позволяют выполнять функции бурения и автоматизации процессов в нефтяной отрасли. В других отраслях тоже процесс сдвинулся с мёртвой точки. Я оптимистично смотрю на ситуацию и думаю, что вместе мы справимся.

В ряде случаев модернизация может означать полную пересборку всех систем. Зачастую у предприятия нет на это средств. Как быть в подобных ситуациях? Принимать риски и работать дальше?

А. З.: Здесь нужно разделять значимые и незначимые объекты критической инфраструктуры. Если мы говорим про значимые объекты, то от выполнения требований законодательства нам никуда не уйти. Тут мы абсолютно точно будем видеть проект модернизации текущих инфраструктур. С незначимыми, конечно, проще. Какое-то время они могут функционировать ещё на том, что есть.

Я хотел бы продолжить тему майских указов. В частности, 166-й указ Президента устанавливает жёсткие требования по импортозамещению в КИИ до 1 января 2025 года. Очевидно, что основные проблемы у предприятий возникнут не с замещением СЗИ, а с самими системами АСУ ТП российского производства. Уже есть первые исследования, которые говорят о том, что с безопасностью там всё не очень хорошо. Мы не знаем об уровне их реальной защищённости, история их использования непродолжительна. Не приведёт ли это к тому, что на практике реальная защищённость КИИ только снизится?

А. З.: На мой взгляд, тут «палка о двух концах». Не секрет, что наши разработчики часто берут уже имеющееся на рынке. Часто это открытый код, на базе которого делают свою разработку. Возможны ситуации, когда используются устаревшие версии исходников с уязвимостями. Это повышает риски. С другой стороны, средства защиты, которые сейчас разработаны или разрабатываются у нас, также используют ведущие наработки, которые есть на рынке. Архитектуры, по которым делают свои СЗИ наши ведущие производители, достаточно современны.

То, что зарубежные вендоры делали в течение многих лет, наши могут делать гораздо быстрее.

Мы уже видим на рынке примеры качественных конкурентоспособных продуктов, и я верю, что они способны обеспечить достаточно высокий уровень защиты.

С другой стороны, мы абсолютно точно можем использовать такие функции средств защиты, как, например, виртуальный патчинг в брандмауэрах веб-приложений. Они позволяют без модернизации используемого софта защищать от уязвимостей в нём. Плюс накладные средства защиты, которые часто дают возможность обнаруживать атаки и реагировать на них. Ничего критического здесь точно нет и построить хорошую, эффективную систему защиты можно.

Почему, на ваш взгляд, выполнение требований законодательства кратно увеличивает бюджеты на безопасность КИИ? С чем это связано?

А. З.: Во-первых, это связано с тем, что инфраструктуры часто приходится перестраивать под то, чтобы создать систему защиты. Во-вторых, часто видно, что компании на старте не понимают масштабов тех затрат, которые придётся понести.

Хотелось бы услышать несколько практических советов для реальной кибербезопасности. Как КИИ и промышленным предприятиям наиболее эффективно противостоять актуальным угрозам?

А. З.: Безопасность нужно строить на нескольких уровнях. Одних лишь средств защиты недостаточно. Система защиты — это база, на которой необходимо строить фундамент для функционирования всей ИБ. Обязательно следует реализовывать мониторинг ИБ и событий и выявление инцидентов, правильно выстраивать процессы реагирования на них. Самым слабым звеном всегда были и остаются люди. Профильный персонал необходимо тренировать используя киберучения, а для всего остального персонала — реализовывать программы повышения осведомлённости.

Большое спасибо за содержательное интервью. Уверен, оно поможет найти ответы на многие актуальные для отрасли вопросы. Всего вам самого безопасного!