Сергей Черкасов, Апатит: Необходима интеграция всех решений в единую консоль управления

Редакция провела интервью с Сергеем Черкасовым, заместителем директора по экономической безопасности АО «Апатит». Обсудили актуальные угрозы для промышленных предприятий, переход на отечественное программное обеспечение, обучение персонала и кибертренировки, а также применение искусственного интеллекта для автоматизации процессов и повышения эффективности работы специалистов по кибербезопасности.

Сегодня мы работаем на конференции KICS Conf 2025 в Сочи. Наш гость — Сергей Черкасов, заместитель директора по экономической безопасности АО «Апатит». Сергей, добрый день.

С.Ч.: Добрый день.

Хотел бы обсудить промышленную кибербезопасность, и мой первый вопрос как раз связан с этим. Какие вызовы вы видите перед всей отраслью? Что сейчас наиболее остро стоит на повестке дня?

С.Ч.: Основной вызов заключается в том, что количество атак на промышленные предприятия растёт, и это подтверждают все аналитические агентства. На конференции этот вопрос также поднимался на пленарной сессии и был озвучен в нескольких докладах. Мы видим повышенный интерес со стороны профессиональных хакерских группировок и теневого сообщества, если можно так назвать, к возможным деструктивным действиям на производственные компании и промышленность в целом.

На данный момент угрозы приобретают комплексный характер. Если ранее мы сталкивались с отдельными случаями воздействия, то сегодня используется весь арсенал средств: это социальная инженерия, технические средства воздействия на сетевую безопасность, попытки внедрения вредоносных программ через различные каналы. Основной вызов — это именно комплексность и системность атак. Безусловно, уже применяется искусственный интеллект для того, чтобы такие атаки были более таргетированными и осмысленными.

Получается, что сейчас основной акцент атакующих не на методах, а на конечной цели — вывод инфраструктуры из строя, верно? Ранее это был шпионаж или кража данных, сейчас речь идёт о классическом вредительстве, чтобы предприятие просто перестало работать.

С.Ч.: Да, совершенно верно. Речь идёт о воздействии на киберфизические системы, то есть на инфраструктуру, управляемую информационными и операционными технологиями. Это не просто информационная инфраструктура, а система управления технологическими процессами, включая технологические участки и цеха.

Ранее был миф, что если мы отделим промышленный сегмент с воздушным зазором, то всё будет безопасно. Сейчас это работает или всё-таки этот миф стоит забыть?

С.Ч.: Воздушный зазор работает, безусловно, но мы понимаем, что он, так или иначе, нарушается. Существуют технологические окна, в рамках которых проводится обслуживание, обновление программного обеспечения и различные регламентные работы. Именно в эти окна могут реализовываться негативные сценарии атак. С учётом того, что западные вендоры ушли с рынка, и их программное обеспечение не обновляется, а отечественное ПО ещё не достигло уровня зрелости западных решений, сценарий атаки типа Zero Day (уязвимость нулевого дня — прим. ред.) является достаточно вероятным.

Кибербезопасность обычно рассматривается через 3 составляющие: люди, процессы и технологии. С вашей точки зрения, где отрасль наиболее уязвима?

С.Ч.: Давайте начнём с лёгкого. Процессы, на мой взгляд, наименее уязвимы. Хотя, конечно, они зависят и от людей, и от технологий, отделить их можно достаточно условно. В текущих реалиях мы фактически воспроизводим в отечественном ПО те процессы, которые ранее были реализованы с использованием импортного ПО. Эти процессы статичны и менее подвержены уязвимостям.

А вот технологии и люди представляют равнозначную степень риска. Новые технологии необходимо тестировать и проверять, и зачастую функциональность этих технологий ставится выше вопросов безопасного использования, что логично с точки зрения разработчика.

Люди должны обучаться работе с новыми технологиями. С учётом сокращённых сроков внедрения отечественных решений и перехода критической информационной инфраструктуры на них, это становится достаточно сложной задачей. Она требует повышенного внимания, серьёзного подхода и организации.

Используете ли вы в своей практике какие-то подходы или специальные программы по обучению сотрудников, в том числе по кибербезопасности?

С.Ч.: Да, наряду со стандартным обучением, мы рассматриваем вопрос в практической плоскости. Поэтому мы проводим регулярные кибертренировки, в которые вовлекается не только персонал СУТП, ответственные за эксплуатацию и сопровождение систем, но и технологический персонал: технологи, операторы, люди, непосредственно ведущие химические процессы и обеспечивающие выпуск готовой продукции.

Критически важно обучить именно этих людей. Это достаточно сложная организационная задача, поскольку они работают по сменам. Приходится подстраиваться под графики или организовывать сценарии внезапного обучения — внеплановые проверки, в том числе за пределами обычного рабочего дня, фактически в круглосуточном режиме. Такой подход даёт результаты: сотрудники становятся внимательнее и осознаннее реагируют на события, которые видят на своих мониторах, и мы считаем это достаточно эффективным.

Сейчас со стороны государства предпринимаются большие усилия по переводу критической информационной инфраструктуры и промышленных объектов на отечественное программное обеспечение. Нет ли здесь подводных камней, потому что не совсем проверенное ПО может приводить к негативным последствиям?

С.Ч.: Ухудшения ситуации не будет, потому что существуют накладные средства защиты, которыми активно пользуются зрелые производственные компании. Если говорить про промышленность, это, например, линейка продуктов «Лаборатории Касперского» KICS (Kaspersky Industrial Cybersecurity), которая помогает решать задачи защиты любых систем управления технологическими процессами и обеспечивает безопасность как импортного, так и отечественного ПО.

Данный продукт развивается, мы постоянно получаем обратную связь о появлении новых функций. Он не изолирован, а интегрирован в платформу управления защищённостью, охватывающую и производственный, и корпоративный сегменты. Это важный момент: если производственный сегмент работает, а корпоративный скомпрометирован, то легче-то никому не будет.

Насколько на практике реализуем подход к превентивной кибербезопасности в промышленном сегменте, когда действия направлены на предотвращение нежелательных событий, а не только на мониторинг?

С.Ч.: С корпоративным сегментом ситуация более понятна, с производственным сложнее. Превентивные меры могут включать отключение процессов, приостановку некоторых действий, изоляцию заражённого сегмента, чтобы обеспечить работоспособность оставшейся части.

С производственными процессами это не работает, особенно на предприятиях непрерывного цикла. Нельзя оставить технологический агрегат без управления. Остановить даже на минуту АСУ ТП на особо опасных промышленных объектах нельзя по требованиям промышленной безопасности и технологическим нормам.

Следовательно, превентивные меры можно реализовать только частично, без остановки процессов, без блокировки рабочих мест операторов или деградации функциональности системы.

В принципе, это применимо в каких-то ограниченных сценариях?

С.Ч.: Это во многом зависит от типа используемой АСУ ТП. В случае клиент-серверной архитектуры отключение сервера приведёт к остановке всей системы. В системах распределённого управления реализовано дублирование рабочих мест. Поэтому заражение одного места не влияет на общую работоспособность системы. Оператор сохраняет возможность управлять установкой с дублирующего места.

Есть ли у вас какие-то практические потребности, которые на данный момент не закрываются отечественными средствами защиты информации?

С.Ч.: Если говорить о корпоративных системах, то нам не хватает средств для защищённой мобильности. В производственных компаниях используется удалённый доступ, сотрудники ездят в командировки, руководство ставит задачи по обеспечению информирования в режиме 24/7.

На текущий момент зрелых отечественных решений класса Mobile Device Management (MDM), которые бы полностью удовлетворяли нас как заказчика, нет. Мы ожидаем развития этих продуктов на рынке, но пока не можем использовать их в промышленной эксплуатации.

Второй аспект — комплексная безопасность. Необходима интеграция всех решений в единую консоль управления. Иначе при стратегии покупки лучших средств защиты в своём классе возникает «зоопарк» разрозненных систем, которыми крайне сложно управлять. Здесь хотелось бы видеть появление общих протоколов или инструментов, позволяющих координировать работу разрозненных средств защиты. Альтернативным подходом может быть использование решений одного вендора, что также имеет свои преимущества.

Третий аспект — обязательное использование технологий искусственного интеллекта. Мы ожидаем появления решений, способных сократить рутинные операции. Учитывая рост числа атак и развитие средств защиты, информационной безопасности приходится работать с огромными объёмами данных. 

В крупных промышленных компаниях ежегодно генерируется миллионы, десятки миллионов, а у некоторых — сотни миллионов событий в год. Обработать их вручную невозможно, поэтому необходимы современные средства автоматизации, основанные на новых подходах. Эра искусственного интеллекта уже наступила, и ИИ способен существенно помочь в этих задачах.

Уверен, что искусственный интеллект действительно способен помочь, и важно, что вы уже рассматриваете его применение для своих задач. Недавние исследования подтверждают, что в целом общество пока медленно внедряет эти технологии. Отчасти это связано с отторжением или ограничениями по квалификации. Не всегда понятно, где и как их использовать. Тем не менее будущее, безусловно, за этими решениями.

С.Ч.: Да, безусловно. Помимо высокой трудоёмкости обработки, важно учитывать режим работы на первых этапах внедрения копилота или советчика. Искусственный интеллект в данном случае не заменяет человека в принятии решений, а лишь выполняет задачи по исключению рутинных операций. Решения в области информационной безопасности должны приниматься исключительно людьми.

Поможет ли искусственный интеллект повысить эффективность труда сотрудников в кибербезопасности и хотя бы частично снизить кадровый голод?

С.Ч.: Поможет. Например, в SOC (Security Operations Center) первая линия получает поток информации из множества источников, включая интернет-разведку и OSINT. Искусственный интеллект помогает автоматизировать обработку этих данных, исключить рутинные операции и позволяет специалистам сосредоточиться на принятии решений. Это одно из наиболее перспективных направлений его применения.

Хорошо. Большое спасибо, Сергей, за содержательное интервью. Всего вам самого безопасного!