Роман Шапиро
Руководитель дирекции информационной безопасности «Почта России»
В 2002 году с отличием окончил Академию Федерального агентства правительственной связи и информации. В 2014 получил степень магистра наук в управлении ИТ-проектами в Ливерпульском университете (Великобритания). Роман имеет более 20 лет опыта работы в известных ИТ-компаниях на высших руководящих позициях, таких как директор по информационной безопасности, директор по продажам, руководитель обособленного подразделения.
В 2020 году покинул компанию ОАО «ИнфоТеКС» и перешёл в компанию «Ростелеком-Солар» на позицию директора по региональным продажам. В настоящее время — руководитель дирекции информационной безопасности «Почта России».
Специализируется на реализации крупнейших проектов по построению систем информационной безопасности, в том числе на геораспределённых объектах инфраструктуры в масштабе всей страны, а также на создании новых подходов к обеспечению информационной безопасности в условиях ограниченных кадровых ресурсов и финансирования.
Редакция Anti-Malware.ru провела интервью с Романом Шапиро, руководителем дирекции информационной безопасности «Почты России», и Мариной Усовой, директором управления корпоративных продаж «Лаборатории Касперского». В разговоре поднимались вопросы защиты цепочек поставок, актуальные угрозы для промышленных предприятий и подходы к управлению безопасностью инфраструктуры. Участники обсудили практические аспекты взаимодействия крупных организаций с поставщиками, методы снижения рисков при работе с контрагентами и роль ИБ в обеспечении устойчивости бизнес-процессов.
Мы работаем здесь, на конференции KICS Conf 2025 в Сочи. Поговорим о промышленной кибербезопасности и не только. В частности, хотел бы обсудить цепочки поставок и защиту от атак на них. Это кажется особенно важным для промышленных компаний. Роман, насколько сегодня актуальна защита от таких угроз? Можно ли сказать, что этот риск выходит на первый план?
Р.Ш.: Действительно, если взглянуть на статистику, которую в том числе приводили коллеги из «Лаборатории Касперского» сегодня на конференции, атаки через цепочку поставщиков занимают примерно 3-е место по частоте. Это значит, что практически любая компания, не только технологическая, не может игнорировать риски, связанные с атаками на своих контрагентов. Считать такие угрозы невозможными уже нельзя. Более того, это один из самых труднодетектируемых способов проникновения, когда проблемы возникают через доверенные стороны.
С точки зрения ИБ управление безопасностью всей цепочки поставок становится приоритетом. Для меня, как руководителя дирекции, отвечающего за защиту информационной инфраструктуры компании, этот вопрос стоит на первом месте.
Есть ощущение, что для промышленности эта проблема может быть менее острой, чем для классических ИТ-компаний. Конфигурация там стабильнее, можно сделать физическую изоляцию (air-gap) и фактически изолироваться от внешних поставщиков. Это действительно работает?
Р.Ш.: Давайте уточним, что такое технологическая компания. Это обычное юридическое лицо, у которого помимо производственного сегмента есть бухгалтерия, кадры, множество бэк-офисных служб, где также присутствуют подрядчики. Доступ к инфраструктуре через такого подрядчика ничем не отличается от доступа, полученного через компанию, работающую с технологическим сегментом.
Сегодня, например, появилась занятная новость от коллег из-за океана: компания Microsoft, как выяснилось, довольно изобретательно обходила требования, касающиеся доступа к оборудованию, обслуживаемому сторонними подрядчиками. По условиям контракта такие подрядчики должны были быть исключительно резидентами США.
На практике использовалась схема с участием посредника: во время видеоконференции этот человек по указанию удалённого инженера выполнял на серверах все необходимые действия. Эти серверы были связаны с военными структурами США. Таким образом, даже доверенный поставщик способен «оптимизировать» затраты весьма нетривиальными способами.
Марина, со своей стороны ты видишь повышенный интерес заказчиков к защите от атак на цепочку поставок, к проверке поставщиков, к анализу их защищённости?
М.У.: Сейчас службы ИБ прекрасно понимают, что это огромная точка роста. Но хочу дополнить по предыдущему вопросу. Промышленный сектор, на мой взгляд, наоборот, расширяет возможности для атак через цепочку поставок. На каждом участке есть подрядчики, отвечающие за оборудование. После ухода иностранных поставщиков и потери доступа к технической поддержке вендоров появились локальные компании, которые обеспечивают работоспособность оборудования. Это увеличивает риск, так как таких подрядчиков стало больше.
Что касается спроса на контроль поставщиков — он растёт, но компании оказались в сложной ситуации. Процесс проверки и аттестации поставщиков не регламентирован на государственном уровне, поэтому каждый выстраивает собственный подход. Нет единых требований, и в итоге каждый действует по-своему. Государство также не предъявляет обязательных требований к защите. Например, «Почта России» может требовать одно, а финансовые организации — совершенно другое.
Мы делали отдельный эфир на эту тему. Тогда стало понятно, что в отрасли нет единого подхода к проверке и отбору поставщиков.
Роман, можешь привести базовые вещи, которые действительно стоит проверять? На пленарной сессии ты упоминал кейс о необходимости хотя бы анализировать наличие офисов в недружественных странах.
Р.Ш.: Мы, как субъект, который осуществляет закупки по 223-ФЗ, можем выставлять требования к поставщикам только в рамках этого закона. Он не позволяет предъявлять обязательные требования к безопасности инфраструктуры подрядчика. Управлять безопасностью можно только через договор — например, зафиксировав гарантии и штрафные санкции. Но это работает уже постфактум.
Выбор более защищённых подрядчиков автоматически повышает стоимость их услуг. Для такой крупной организации, как «Почта России», где количество подрядчиков исчисляется тысячами, это может привести к значительным затратам. А ограничивая круг поставщиков, мы рискуем получить ситуацию, когда на рынке останется всего несколько крупных игроков, а малые компании не смогут развиваться и обеспечивать рабочие места. Поэтому даже при желании повысить уровень безопасности мы сталкиваемся с системными ограничениями, влияющими на экономику и развитие отрасли в целом.
Получается, что выхода из этого замкнутого круга нет: закон ограничивает требования, а риски остаются. Можно только усиливать защиту внутри своей инфраструктуры, минимизируя последствия. Я правильно понимаю?
Р.Ш.: Да. Это прежде всего работа с техническими мерами защиты. Мы, например, с «Лабораторией Касперского» тоже взаимодействуем в электронной форме. Кто в данной ситуации может выступать недоверенной стороной, через которую возможна атака на цепочку поставок? Это важный и актуальный вопрос. Поэтому главные меры — технические. Как говорил сегодня Евгений Валентинович, важно раннее предупреждение и выявление атак на начальной стадии.
М.У.: Если говорить проще, подрядчик — это тот, кому мы доверяем доступ внутрь. Можно представить сейф с прочной дверью и надёжными замками, но ключи от него мы всё равно передаём подрядчику. И даже если внутри мы чувствуем себя защищёнными, риск всё равно остаётся.
Есть вещи, которые невозможно контролировать. Например, в рамках 223-ФЗ нельзя прописать требование об обязательной передаче информации о сотрудниках, которые уволились. А ведь эти люди могут уйти, имея доступы и ключи.
Давайте посмотрим другой кейс — закупку программного обеспечения (ПО). В крупной организации вроде «Почты России» таких вендоров может быть очень много. Хочется быть уверенным, что продукты разрабатываются с учётом принципов безопасной разработки (DevSecOps) и проходят хотя бы базовую проверку на использование сторонних компонентов. Эту ответственность нужно брать на себя или требовать от поставщика?
Р.Ш.: Я не помню ни одного производителя лицензионного ПО, который бы в лицензионном соглашении брал на себя ответственность за инциденты, вызванные ошибками исходного кода.
М.У.: Да, такого нет. Можно купить даже самый безопасный автомобиль, но авария всё равно возможна: всё зависит от условий эксплуатации.
Р.Ш.: Именно. Поэтому полагаться на то, что производитель софта априори несёт ответственность за ошибки кода, было бы самоуверенно. Здесь помогают регуляторные механизмы — обязательная сертификация ПО. Мы надеемся, что испытательные лаборатории, проводящие анализ кода, делают это качественно, и это создаёт минимальный уровень уверенности.
То есть минимальный гигиенический уровень — это наличие сертификации, а максимум — сертификация самого процесса безопасной разработки. У «Лаборатории Касперского» она есть, верно?
М.У.: Да, и, насколько мне известно, мы были первыми, кто получил сертификат на безопасную разработку. Сегодня вся разработка ведётся в контейнерной среде, и у нас есть собственные решения по защите контейнеров. Мы тщательно следим за этим направлением, хотя далеко не все компании делают то же самое.
Марина Усова
Директор управления корпоративных продаж «Лаборатории Касперского»
Марина Усова работает в «Лаборатории Касперского» более 12 лет. Свой карьерный путь в компании она начала в качестве регионального представителя в Уральском федеральном округе и Пермском крае, где успешно выстроила взаимоотношения с крупными предприятиями Урала.
В 2013 году заняла должность руководителя управления региональных продаж в России. С 2020 года возглавляет департамент по управлению корпоративными продажами в России. Его основные цели — продвижение линейки корпоративных решений компании, курирование региональных проектов на территории всей страны и взаимодействие с ключевыми заказчиками.
Марина имеет большой опыт в управлении и продажах, что позволяет ей постоянно находить новые точки роста бизнеса «Лаборатории Касперского» и помогать крупным компаниям, в том числе федерального уровня, создавать безопасную инфраструктуру.
С точки зрения минимизации рисков, какие практики рекомендуется применять при анализе приобретаемого ПО? Например, стоит ли хотя бы провести композиционный анализ? Вероятно, это не требует значительных затрат?
Р.Ш.: Если у нас есть доступ к исходному коду приобретаемого продукта, скорее всего, его разработка ведётся на наших собственных мощностях и соответствует нашим стандартам. В случае заказной разработки на наших ресурсах весь процесс разработки интегрирован с инструментами контроля и анализа кода, что обеспечивает определённый уровень уверенности.
Если же речь идёт о проприетарном ПО, приобретаемом в рамках 223-ФЗ, мы исходим из того, что поставщик, предоставляющий характеристики программного обеспечения, даёт достоверную информацию, поскольку альтернативы у нас нет.
А если потребовать у поставщика состав программных компонентов — Software Bill of Materials (SBOM)? Ведь крупная организация вроде вашей могла бы сказать: без этого документа мы ничего не покупаем. Это возможно?
М.У.: 223-ФЗ.
Р.Ш.: Да, именно. Мы можем запросить у 1С или «Лаборатории Касперского» предоставление SBOM, но если они откажут, альтернатив просто не будет. На рынке нет большого выбора.
Тогда перейдём к компенсирующим мерам. Какие технологии и инструменты помогают снизить риски атак через поставщиков программного обеспечения или услуг?
Р.Ш.: Всё зависит от уровня доверия и степени доступа. Можно использовать недоверенное ПО на изолированном компьютере без подключения к сетям — это тоже мера. Это своего рода микросегментация. Но если внедрять ПО в ядро инфраструктуры или допускать подрядчиков в критические системы, тогда работает принцип минимизации полномочий. Чем меньше у пользователя возможностей, тем ниже риск ошибок или злоупотреблений.
М.У.: Согласна. Необходимо предоставлять только ту информацию и те доступы, которые действительно нужны для выполнения задач. Некоторые компании, которые могут себе это позволить, выдают подрядчику собственный ноутбук с корпоративными настройками, логином и ограниченным набором прав.
Звучит просто, но, как всегда, сложность в деталях.
М.У.: Рассмотрим ситуацию со стороны поставщика. Допустим, мы обнаружили уязвимость или зафиксировали инцидент в компании, обратившейся к нам. В ходе расследования выясняется, что проникновение произошло через подрядчика.
Мы идентифицируем этого подрядчика и пытаемся с ним связаться. Однако он может отреагировать следующим образом: не признать инцидент, заявить, что не знаком с нашим сотрудником, и отказать в коммуникации. В такой ситуации мы не можем напрямую повлиять на подрядчика. При этом высока вероятность того, что другие его клиенты также подвержены аналогичному риску.
Можно ли уведомить этих клиентов о потенциальной угрозе? Теоретически возможно, если у нас есть знакомство и доверительные отношения, но без этого прямой контакт затруднён.
Национальный координационный центр по компьютерным инцидентам ещё год назад обещал создать чёрный список поставщиков, но, похоже, этого не произошло. Такой механизм мог бы помочь, ведь именно регулятор должен собирать и распространять подобную информацию.
М.У.: Но тут возникает другая проблема. Если информация о найденной уязвимости становится известна широкому кругу лиц, то об этом узнают и злоумышленники. Пока дыра не закрыта, рассказывать о ней нельзя. Это палка о двух концах.
На этой не самой оптимистичной ноте давайте закончим. Кажется, что проблема атак через цепочку поставок остаётся нерешённой, но мы хотя бы обозначили направления, где можно действовать. Важно делать всё возможное на своей стороне, не полагаясь полностью на поставщиков, у которых с кибербезопасностью может быть по-разному.
Спасибо большое, Роман и Марина. Всего вам самого безопасного.
