Интервью с экспертом: «Концерн "Калашников" реагирует на угрозы кибербезопасности»
Есть ли у Концерна актуальная стратегия кибербезопасности? Каковы ее основные цели и положения?
У нас есть дорожная карта по кибербезопасности, рассчитанная на три года, которая по сути является стратегией Концерна в этом направлении. Прежде всего запланированный в ней комплекс мер по кибербезопасности увязан с продолжающейся цифровизацией Концерна. Сейчас наши производственные площадки находятся на разном уровне внедрения цифровых технологий – запускаются новые и модернизируются действующие ИТ-системы, предназначенные для управления ресурсами предприятия (ERP), диспетчеризации и сбора данных (SCADA) и др. Наша дорожная карта отражает появление всех критичных ИТ-систем, и в ней предусмотрено появление соответствующих механизмов их защиты.
Второй вектор нашего развития по кибербезопасности нацелен на решение задач, обусловленных процессами консолидации, происходящими в Концерне. Производственные площадки Концерна интегрируются в общее информационное пространство, и службе кибербезопасности приходится учитывать новые вероятные угрозы. В частности, такие угрозы могут быть связаны с попытками реализации атак на менее критичные и, соответственно, менее защищенные площадки – с целью проникнуть в инфраструктуру более защищенных. Подразделение кибербезопасности предпринимает ряд мер, чтобы исключить возможность такого неблагоприятного развития событий.
Расскажите подробнее о первом векторе. Как именно увязана дорожная карта кибербезопасности с общей стратегией развития Концерна и, в частности, с реализуемой программой развития производственной системы Концерна «Калашников» (ПСКК)? Какие новые риски приходится учитывать?
В рамках программы развития производственные мощности Концерна интенсивно модернизируются с применением цифровых технологий – от традиционных станков мы переходим к станкам с ЧПУ, парк которых быстро расширяется. Возникающие при этом риски достаточно понятны – чем выше уровень цифровизации, тем больше потенциальных угроз и векторов для реализации атак. Однако мы еще не достигли того уровня цифровой трансформации производственной системы, к которому планируем прийти в перспективе. У нас есть производственный участок, где технологии, к которым должен подойти Концерн через два года, уже реализованы. Для этого участка становятся актуальными механизмы защиты, которые мы не использовали еще пару лет назад, ведь у злоумышленников не было возможности вмешаться в технологические процессы. Наша стратегия (дорожная карта) кибербезопасности направлена именно в эту область. Как только появляются новые риски мы сразу применяем компенсирующие меры и защитные механизмы.
В какой степени вы, как директор по кибербезопасности, вовлечены процесс принятия бизнес-решений, связанных с цифровизацией Концерна?
Все решения, если они касаются информационных технологий, в обязательном порядке проходят через департамент кибербезопасности. Уже при появлении идеи мы с коллегами обсуждаем возможные сопутствующие угрозы. Когда идея формализуется на уровне технического задания, мы участвуем и в его разработке – оцениваем риски, связанные с внедрением новой системы, смотрим какие появляются уязвимые места. Затем дорабатываем и дополняем соответствующий раздел технического задания по кибербезопасности. Теоретически мы можем даже блокировать какие-то решения, если, по нашему мнению, их реализация сопряжена с рисками, которые невозможно или очень затруднительно купировать. Правда, такой возможностью блокировки мы пока ни разу не пользовались. Всегда удавалось договориться и найти компромисс – коллеги прекрасно осознают важность вопросов информационной безопасности, и этого достаточно для принятия общего решения, учитывающего все нюансы. Так у нас формируются сбалансированные решения – слишком смелые идеи по цифровизации становятся менее рискованными, но наша служба старается, чтобы рациональное зерно и польза для бизнеса, которые заложены в новых идеях, обязательно оставались.
Режим повышенной секретности, обусловленный спецификой продукции Концерна (речь о продукции оборонного назначения), накладывает особые требования к службе кибербезопасности? Какие это требования? Как они удовлетворяются?
У нас в действительности не так много информации, относящейся к этой категории. Основной объем критичной информации, информации ограниченного доступа - это конфиденциальные сведения, в том числе коммерческая тайна. Мы тщательно отслеживаем риски, которые могут привести к компрометации чувствительных данных, касающихся производства нашей продукции. В большей степени интерес к этим данным проявляют зарубежные производители – наши конкуренты. Исходя из этих угроз и рисков служба кибербезопасности выстраивает свои требования по защите.
Деятельность по защите государственной тайны не публична. Могу только сказать, что в нашей модели угроз присутствуют иностранная техническая разведка конкурентов, а также зарубежные спецслужбы. Поэтому мы, в отличие от многих других предприятий, обязаны предусмотреть механизмы защиты, которые будут эффективны и в отношении такого вида угроз. Попытки атак на информационные системы Концерна, к слову, уже предпринимались с территории Северной Кореи и США, а также одного из государств ближнего зарубежья. Хотя эти страны могли быть лишь промежуточным звеном в атаке – Интернет ведь позволяет злоумышленникам скрыть истинный источник атаки, замаскировав его тем или иным образом. В целом уровень компетентности киберпреступников и, соответственно, их опасности для компании оборонного профиля гораздо выше, чем для большинства компаний гражданской сферы. И наша система безопасности строится исходя из этого обстоятельства.
А как учитываются внутренние угрозы?
С одной стороны, в Концерне культивируется свободный обмен производственным опытом, знаниями и информацией на всех уровнях – горизонтальном, вертикальном, между производственными площадками, подразделениями. Это позволяет Концерну эффективно развиваться. Вместе с тем такая внутренняя открытость не должна становится источником угроз кибербезопасности. Информация в процессе обмена не должна пересекать внешний периметр, чтобы наши наработки не утекли из Концерна и не применялись на стороне, и тем более против нас нашими конкурентами. Упомянутая внутренняя открытость, конечно, добавляет подразделению кибербезопасности работы.
Одним из актуальных рисков кибербезопасности промышленных предприятий эксперты называют атаки, направленные на АСУ ТП. Какие киберугрозы для АСУ ТП несут в себе наибольшую опасность (если не для Концерна, то для большинства промышленных предприятий)?
Наибольшая угроза – это недооценка рисков, связанных с атаками на АСУ ТП, как часть критической информационной инфраструктуры. К сожалению, сейчас недопустимо много времени проходит от момента осознания проблемы кибербезопасности до ее закрытия. Более года назад был принят Федеральный закон «О безопасности критической информационной инфраструктуры» (N 187-ФЗ), основные его положения несколько лет до этого активно обсуждались экспертами. То есть проблема была осознана на государственном уровне уже довольно давно.
Но реальная безопасность объектов КИИ за этот год не сильно поменялась в лучшую сторону. Какие-то точечные внедрения не самых эффективных механизмов защиты в нашей стране действительно происходят. Но, к сожалению, об этом больше говорят, чем делают. Поэтому ситуация с защитой объектов КИИ скорее стала только хуже (и в мире ситуация похожая), хотя бы потому, что уровень цифровизации за это время вырос довольно значительно, а механизмы защиты остались примерно на том же уровне.
С момента принятия закона «О безопасности КИИ» в основном началось категорирование объектов КИИ, но сам по себе этот процесс не добавляет защищенности. Категорирование позволяет пристально взглянуть на проблему и запланировать соответствующие мероприятия, которые только еще нужно реализовать.
Сейчас в области кибербезопасности, и особенно применительно к АСУ ТП, этот разрыв между идентификацией проблемы и ее закрытием недопустимо долгий. Если ранее, многие годы назад, можно было сравнительно не спеша провести аудит уязвимых мест, оценить риски, связанные с их наличием, а затем, разработав план реагирования, методично выполнять его. Работать над каждой запланированной мерой, исходя из критичности проблемы, наличия финансов и других факторов. Такое было допустимо, потому что за это время злоумышленники не успевали бы нанести предприятию критический ущерб. Сейчас такого запаса времени для реагирования нет. Через месяц-два после выявления проблемы уже следует атака, которая в иных случаях накрывает полмира. Характерный пример – это история с WannaCry. С момента опубликования сведений о наличии соответствующей уязвимости до собственно масштабной вирусной атаки прошло примерно два месяца. В ИТ-системах можно было достаточно быстро купировать эту угрозу, установив уже появившееся обновление безопасности. И если бы это было сделано в полном объеме, то последующая эпидемия Х.Petya, случившаяся через полтора месяца после инцидента с WannaCry, не произошла бы.
Пройдет еще немного времени и этот срок адекватного реагирования сократится до пары недель. А потом он сократится еще больше, и реагировать на новые типы атак придется в течение нескольких дней. А мы еще не научились так быстро отвечать на подобного рода вызовы, и это прежде всего актуально для АСУ ТП. По отношению к системам, построенным на несколько иных архитектурных принципах, например, к ERP или CRM, можно довольно быстро предпринять защитные меры, а к АСУ ТП – нет.
В случае если бы атака, подобная WannaCry и X.Petya, пришлась на технологический сегмент сети, решить проблему за имеющиеся два месяца было бы практически невозможно. У многих предприятий АСУ ТП работает под управлением снятых с поддержки ОС, например, Windows XP, и для них нет обновлений безопасности. По этой причине эффективно отреагировать на появление эксплоита путем установки патча не получится. Можно запланировать переход на другую версию SCADA, работающую на более современной версии ОС – с действующей технической поддержкой. Такой переход на другую SCADA займет два года, а не месяца.
Представители ФСТЭК России в своих неформальных комментариях оценивали сроки реализации полного комплекса мер по защите объектов КИИ в три года. И этот срок взят не с потолка: быстрее просто не сделать - даже при большом желании и наличии ресурсов, все равно раньше не уложиться. Это общая проблема, и она актуальна абсолютно для всех предприятий: так эффективно работать с защитой АСУ ТП как с другими корпоративными системами не получится. Но само по себе осознание проблемы – это уже хорошо.
Как вы оцениваете действующие нормативные требования по информационной безопасности АСУ ТП? Можно ли их считать достаточными для эффективного реагирования на современные вызовы и угрозы? Что бы вы предложили изменить в нормативном регулировании этой сферы?
Требования, прописанные в нормативных актах по КИИ, не содержат исчерпывающего списка мер, которые нужно предпринять для обеспечения полной гарантированной безопасности объектов. Там применяется несколько иная методология, внушающая оптимизм. Ведь, что есть категорирование объектов КИИ? По сути это оценка рисков, только специфическая – прежде всего оцениваются риски не для самого предприятия (субъекта КИИ), а для всего общества, населения, государства. Например, чтобы город не накрыло облако ядовитого газа, или чтобы люди не остались без теплоснабжения зимой. Обычно при стандартной оценке риска, которую предприятие производит для себя, эти риски не учитывались или фигурировали на втором плане. Теперь, по новому закону, их необходимо обязательно принимать во внимание.
Если от киберинцидента такие глобальные риски невелики (нет значимых объектов КИИ), то безопасность обеспечивается на усмотрение самого предприятия. А если эти риски высокие (есть значимые объекты КИИ) – требуется выполнить определенный перечень особых требований, предусмотренных нормативными документами. Важно, что перечень этих требований с одной стороны не претендует на полноту и может быть дополнен, а с другой, если какое-то требование не применимо, от него можно отказаться. Например, если объект КИИ не имеет выхода в Интернет, то ряд защитных мер, ориентированных на соответствующие угрозы, не нужен. Но бывает наоборот, когда существующий перечень требований необходимо дополнить – в результате проведенной оценки можно прийти к выводу, что нужны какие-то дополнительные механизмы защиты. В нормативных документах учитывается и то, что жизнь не стоит на месте, и перечень требований (и соответствующих им мер) нужно своевременно обновлять. Например, появляются новые механизмы защиты, которых не существовало в тот момент, когда были выпущены документы.
Интересно, что лучшие мировые практики (в частности, Международный стандарт по информационной безопасности ISO/IEC 27001) устроен аналогично: вначале оцениваются риски, потом подбираются и реализуются механизмы контроля. В этом смысле нормативные требования, появившиеся в России вокруг КИИ очень прогрессивны.
Наверняка они не идеальны, но детально понять в чем именно и как их улучшить, можно будет по мере накопления практики их применения. Поскольку большинство предприятий в России только занимаются категоризацией объектов КИИ, то и обсуждаемые изменения в основном касаются пока этого начального этапа. Прежде всего речь идет о фиксации срока процедуры категорирования (до конца 2019 года). От того, что это не было сделано сразу, возник некий правовой вакуум – срока нет, а категорировать надо. Были письма от регуляторов с напоминанием скорее начать эту работу. Сейчас это подкорректируют, и время от возникновения проблемы до ее закрытия таким образом уменьшится.
В каком объеме сейчас в Концерне используются зарубежные системы ИТ и насколько это осложняет задачу обеспечения защищенности всего комплекса информационных систем от киберугроз?
Риски, касающиеся использования зарубежного программного обеспечения, связаны с тем, что в какой-то момент предприятия, находящиеся под санкциями, могут лишиться возможности обновления ПО, а значит появятся уязвимости, которые крайне сложно закрывать (останется труднореализуемый вариант виртуального патчинга). Есть и другой риск, его тоже нельзя сбрасывать со счетов – недокументированные возможности ПО. Возможно, в зарубежном ПО есть закладки, и наше базовое инфраструктурное или прикладное ПО само будет сливать информацию зарубежным спецслужбам или конкурентам. Службой кибербезопасности Концерна этот риск учитывается – там, где спецслужбы стран производителей ПО фигурируют в модели угроз, зарубежные ИТ-системы мы используем крайне ограничено. Что касается систем, непосредственно связанных с решением задач обеспечения кибербезопасности, то мы стараемся использовать ПО производства стран, не присоединившихся к санкциям, – непосредственно отечественное или, например, израильское.
Какие задачи, непосредственно связанные с обеспечением кибербезопасности, решаются в Концерне с применением систем и технологий российского производства? Может ли Концерн сегодня (или в перспективе) полностью отказаться от зарубежных систем кибербезопасности?
Есть несколько брендов в сфере ИБ, которые бесспорно занимают лидирующие позиции и на мировом рынке, и в России. В плане защиты от вредоносного кода — это «Лаборатория Касперского». Концерн успешно сотрудничает с этой компанией: мы получили очень качественный продукт, который выбрали бы даже при отсутствии санкций. Есть в России и другие разработчики ПО, которые в своих сегментах рынка работают очень эффективно и успешно противостоят западным конкурентам. Их пока не так много, но их становится все больше. Возможен ли полный отказ в перспективе от зарубежных продуктов кибербезопасности и переходе на отечественные аналоги? Возможен. Но такое решение должно быть обосновано с позиций функциональности продуктов, а также экономически.
Как Концерн решает задачи, связанные с реализацией законодательства о ГосСОПКА и защите КИИ?
Категорирование объектов КИИ у нас идет очень активно, и мы будем в числе первых российских компаний, которые завершат этот процесс и подадут документы регулятору. Одновременно ведем подключение к ГосСОПКА – в этом отношении все складывается довольно успешно. Причем, подключимся мы к этой системе независимо от того, будут у нас выявлены значимые объекты КИИ или нет. Считаю, что позиция ФСБ России в этом отношении очень правильная: подключение к НКЦКИ нужно рассматривать не только как требование, но и как возможность (прежде всего оперативного обмена информацией об угрозах). Целенаправленные атаки часто совершаются на отдельные отрасли. Во всяком случае поначалу они довольно узконаправлены. А эффективнее всего реагировать на такие атаки в самом начале, когда есть возможность в течение нескольких первых часов предпринять защитные меры.
Мы в Концерне регулярно получаем по разным каналам индикаторы компрометации. Обладая этой информацией, можно быстро предотвратить проникновение атаки в корпоративную сеть. Сейчас мы такие индикаторы собираем из разных источников, а с подключением к ГосСОПКА станем получать и от них. Когда к этой системе подключится достаточно много компаний и организаций (и по требованиям регулятора, и без требований), этот ручеек полезной информации превратится в полноводный поток данных, характерных именно для нашей страны и даже отрасли, а также проверенных рекомендаций по защите. Ожидаем, что со временем этот канал станет настолько мощным, что от других можно будет и отказаться, если информация в нем будет полезнее и качественнее, чем даже та, которую можно получить в коммерческих центрах мониторинга.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru