Интервью с экспертом: «Как устроена информационная защита в отрасли водоснабжения»
Вступил ли «Росводоканал» на путь цифровой трансформации? Как широко цифровые технологии охватывают деловые и производственные процессы предприятий группы? Расскажите об этом вкратце.
Группа компаний «Росводоканал» находится сегодня на этапе больших изменений. Используя мировую практику, мы выделяем для себя четыре бизнес-модели предприятия коммунальной инфраструктуры. Первая модель – базовая, с которой начинали все мировые лидеры данной отрасли, в том числе и мы, – это «гарантированный поставщик», оказывающий базовые услуги, в основном сохраняя текущие географические границы своей деятельности. При этом в информационных технологиях (ИТ) фокус делается на технологиях автоматизации деловых и производственных процессов для повышения их эффективности. Базовая модель предусматривает ориентацию на клиента минимально, технологии автоматизации тоже развиты незначительно, а объем дополнительных услуг и процесс расширения бизнеса, по сути, также минимальны. Следующий уровень – это «коммунальный эксперт». В рамках данной бизнес-модели компания начинает оказывать смежные коммунальные услуги, происходит органический рост бизнеса. При этом технологии автоматизации выходят на новый уровень, клиент-ориентированность основного бизнеса существенно растет, дополнительные услуги и географическая экспансия становятся важными драйверами бизнеса. Третья стадия развития бизнес-модели – это «национальный чемпион», когда активно расширяется география присутствия в домашнем регионе, оказывается широкий спектр коммунальных услуг, а дополнительные услуги для абонентов дают существенную долю выручки, происходит переход к клиентоцентричности. На этой ступени развития процессы автоматизации совершенствуются на основе современных цифровых решений. И следующей моделью, финальной на сегодняшний день, считается «мировой лидер отрасли». В рамках данной модели компания переходит к транснациональному развитию, а цифровая трансформация достигает своего пика.
Сейчас группа компаний «Росводоканал» находится на водоразделе, на очень значимом для нее водоразделе – мы переходим из модели «коммунального эксперта» в модель «национального чемпиона». В некоторой степени этот переход сравним для предприятий ЖКХ России с переходом к сверхзвуку в авиации. Здесь, кроме сугубо технологических вызовов, вопросов быстрых и масштабных изменений бизнес-процессов, огромную роль играет культурная трансформация, ментальная трансформация. Это значит, что мы должны во все наши процессы и решения встроить парадигму клиентоцентричности, когда наши процессы выстраиваются не от «абонента» и монополии, а начинают заботиться о клиенте и потребностях рынка. Этим кардинально различаются бизнес-модели «коммунального эксперта» и «национального чемпиона».
Мы достаточно давно уделяем внимание форсированной автоматизации, но, наверное, как и у многих компаний мира, новое развитие эта тема получила у нас в связи с пандемией коронавируса. Несмотря на то, что мы достаточно комфортно перешли в онлайн-режим в целом по бизнесу, мы ясно увидели, что наши усилия в области автоматизации, цифровизации, были недостаточными. Пандемия и новый формат работы усилили некоторые ограничения в этом плане. Мы знали о них. Но, как всегда бывает в сложные времена, слабые звенья в этот момент становятся критичными. Поэтому мы с марта 2019 года запустили в группе компаний программу цифровой трансформации. Отдельным приказом был создан офис цифровой трансформации, в задачи которого включены задачи ускорения цифровизации, повышения результативности этого процесса. Ключевая цель цифровизации для нас – это увеличение прибыли как в тарифном, так и в нетарифном сегментах. Не менее важно при этом добиться резкого сокращения затрат, но без негативного влияния на конечный результат. Мы достигаем этих двух ключевых целей путем сокращения времени принятия решений, ускорения их исполнения и создания новых продуктов. Работа по цифровой трансформации ведется у нас в нескольких ключевых направлениях – это клиентские сервисы, внутренняя эффективность, автоматизация производственных процессов; отдельные блоки – это цифровой продукт, дистанционная работа и работа с данными. Работа ведется успешно.
Чем выше уровень цифровизации, тем больше рисков информационной безопасности. А «Росводоканал» обеспечивает водой миллионы пользователей. Это довольно чувствительная сфера с точки зрения безопасности людей. Как в группе компаний организовано обеспечение информационной безопасности? Есть ли для этого отдельная служба? Какова ее организационная структура?
Действительно, чем выше уровень цифровизации, чем выше уровень автоматизации и сильнее влияние технологий на производственную и управленческую деятельность, тем выше риски информационной безопасности. В нашем случае эти риски безусловно растут еще и вследствие трансформации бизнес-модели. Мы активно идем к формированию модели внутригрупповых бизнес-сервисов для использования дополнительных эффектов централизации компетенций и экспертизы. Понимая это, компания серьезное внимание уделяет вопросам рисков и управлению ими. На текущем этапе развития группы управление информационной безопасности построено по риск-ориентированной модели.
О структуре управления. У нас приняты соответствующие документы в области информационной безопасности – стратегия, политика, регламенты бизнес процессов. Организационная структура информационной безопасности распределена между дирекцией по безопасности и блоком ИТ. Это управленческая договоренность на период становления модели цифрового предприятия и становления области информационной безопасности. При этом мы понимаем, что через достаточно короткий промежуток времени информационная безопасность в силу своей значимости должна быть выделена в отдельное направление, с подчинением непосредственно генеральному директору. Для меня формирование такой модели управления является одной из целей на среднесрочную перспективу.
Для каких информационных ресурсов и систем «Росводоканала» сформулированы базовые модели угроз? Расскажите об основных угрозах информационной безопасности и векторах атак, которые учитываются в этих моделях.
Наша дорожная карта развития системы информационной безопасности подразумевает выбор и осуществление приоритетных мероприятий по поддержке непрерывности бизнеса. При этом, как я уже говорил, мы отталкиваемся от риск-ориентированной модели. Это классический подход на сегодняшний день – мы проанализировали и классифицировали риски, и они включены в систему управления. Это классические риски для области ИТ: риск потери и недоступности важных данных; риск использования неполной или искаженной информации; риски утечки и несанкционированного доступа. По каждому риску есть своя программа, своя область наблюдения. Риски оценены в деньгах. Соответственно, в зависимости от показателя приемлемого риска (риск-аппетита) мы выстраиваем приоритеты и определяем финансирование мероприятий по митигации (смягчению) рисков. Мы понимаем, что информационная безопасность безусловно шире, чем «ИТ». Это и юридические основы, и организационные моменты, и кадровые решения – достаточно широкий контекст. Однако для текущего уровня зрелости системы управления, в процессе формулировки рисков целесообразно ограничить контекст информационной безопасности техническими средствами и процессами противодействия рискам и угрозам.
Есть ли специфика в стратегических подходах к защите от киберугроз в вашей индустрии? В чем она заключается?
Специфика, конечно, есть. В частности, наша стратегия информационной безопасности учитывает как действующее законодательство, например, требования 152-ФЗ «О персональных данных», так и требования законов, которые вероятно вскоре будут применены к отрасли, например, закона 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Здесь мы идем от состояния систем безопасности, чтобы добиться реального уровня защищенности с одновременным соблюдением требований законодательства. Специфика же стратегического подхода к обеспечению информационной безопасности заключается для нас в создании краткосрочных стратегий, направленных на поэтапное повышение реального уровня защищенности с учетом видимых прогнозов регуляторной динамики. Такой подход поддерживает стратегию развития бизнеса «Росводоканала».
В регионах присутствия вы оказываете услуги различным организациям. Некоторые из них наверняка попадают под действие 187-ФЗ о безопасности критической информационной инфраструктуры (КИИ). Учитывает ли это каким-то образом служба информационной безопасности «Росводоканала» в своей работе?
Если мы говорим о наших клиентах, подпадающих под действие закона о защите КИИ, то для нас, как поставщика, тут отдельных требований, пожалуй, нет. Мы просто включаемся в работу по выполнению таких требований, если они есть у наших клиентов. И если у нас есть партнеры, которые требуют от нас соблюдения важных для них норм, правил, политик или требований закона, мы поддерживаем их в этом направлении.
Однако сам «Росводоканал» и все другие российские компании водоснабжения пока не подпадают под действие 187-ФЗ в полном объеме, хотя соответствующие поправки в закон готовятся. Нужны ли такие поправки, на ваш взгляд?
Действительно, «Росводоканал» и в целом отрасль водоснабжения и водоотведения России пока по формальным признакам не подпадают под действие 187-ФЗ. И мне пока неизвестно о поправках, которые готовятся в этот закон. С точки зрения обычной логики и понимания влияния предприятий водоснабжения и водоотведения на жизнеобеспечение в городах, безусловно, такие поправки были бы обоснованы. Ведь вода и водоотведение – стратегический ресурс города. Это с точки зрения логики. Но есть, как и в любом вопросе, другая сторона медали. В целом отрасль ЖКХ и наша индустрия водоснабжения и водоотведения являются не самыми развитыми, к сожалению. Это во многом связано с длительным недофинансированием отрасли и с ограничением текущей тарифной емкости. Если мы говорим о необходимости распространить требования 187-ФЗ на нашу отрасль, то это повлечет за собой существенные дополнительные затраты. Готовы ли мы эти затраты включать в тариф на водоснабжение-водоотведение? Это большой вопрос. Существующих возможностей тарифа для реализации новых требований в подавляющем количестве случаев не хватит. Как выбрать между модернизацией, например, очистных сооружений для улучшения экологии и вложениями в реализацию требований 187-ФЗ для обеспечения безопасности?
Тут скорее потребуется подход, который будет предусматривать отдельное субсидирование программы развития информационной безопасности в ЖКХ. Либо должны быть предусмотрены изменения в тарифной политике, возможно применение субсидированных тарифов. Сейчас много говорят о цифровой экономике. А когда приходим к практике, зачастую расходы на информационную безопасность в тариф не принимаются или как экономически необоснованные, или вследствие невозможности роста тарифа. Пока на уровне регулирования и на уровне бизнес-правил отрасли этот парадокс не будет разрешен, включение отрасли в сферу действия 187-ФЗ выглядит проблематично.
Если такие поправки все-таки будут приняты и вам придется решать задачи, связанные с реализацией законодательства о Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) и защите объектов КИИ, изменятся ли ваши подходы к обеспечению информационной безопасности? Каким образом?
Если мы говорим о возможном будущем, о расширении действия 187-ФЗ на отрасль водоснабжения и водоотведения, то в целом наши подходы не поменяются, как и система принятия решений. Сейчас, когда мы разрабатываем те или иные мероприятия либо программу информационной безопасности в целом, мы в том числе оцениваем требования 187-ФЗ. И мы проектируем нашу инфраструктуру и системы информационной безопасности в уважении к требованиям этого закона. Понятно, что сейчас мы не закладываем в свою программу и не планируем использовать некоторые профильные системы, такие как ГосСОПКА. Но в целом логика закона о защите КИИ, направления и цели, которые предписываются этим законом, рациональны и укладываются в классическую модель построения системы защиты предприятия. Безусловно, если поправки примут, встанет вопрос внедрения и/или замены каких-то конкретных решений на отечественные. Но тут мы отчасти готовы – когда мы выбираем те или иные продукты для реализации наших программ и мероприятий по информационной безопасности, то стараемся отдавать предпочтение российским компаниям, российским продуктам. Во-первых, с точки зрения поддержки отечественного производителя, а во-вторых, с учетом возможного будущего включения в сферу действия 187-ФЗ.
Сейчас многие крупные российские компании уже имеют или готовятся к созданию собственных центров мониторинга информационной безопасности (Security Operations Center, SOC). Будет ли свой SOC у «Росводоканала»? Нужен ли он группе компаний? Какую роль в процессах обеспечения безопасности он смог бы сыграть?
Одна из особенностей отрасли ЖКХ на сегодняшний день – это крайне ограниченная возможность финансирования новых проектов и развития системы управления. Когда мы разрабатывали нашу дорожную карту развития ИБ, у нас был выбор между созданием классической системы «все внутри», в которой компетенции и средства защиты находятся внутри предприятия, и гибридной моделью, основанной во многом на аутсорсинге, на внешней экспертизе. У каждой модели есть своя стоимость, свои акценты на инвестиционное и операционное финансирование. Учитывая текущие возможности и особенности отрасли, мы выбрали гибридный режим, который предусматривает ограниченное развитие внутри корневых продуктов и экспертизы, с передачей специализированному провайдеру достаточно большого количества систем, сервисов – как технических, так и бизнес-сервисов. В этой связи мы не предполагаем создание собственного SOC. На текущий момент на рынке присутствует достаточно компаний, предлагающих услуги SOC, имеющих соответствующие компетенции и зрелые спецификации услуг. SOC «Росводоканалу» безусловно нужен, и он будет использоваться у нас по аутсорсинговой модели. Думаю, мы задействуем услуги стороннего SOC через один или два года, когда выведем развитие собственных процессов и инфраструктуры информационной безопасности на соответствующий уровень. Роль SOC понятна нам в сегодняшних реалиях – это комплексный инструмент выявления и предупреждения компьютерных инцидентов, это оркестратор, объединяющий в себе по сути все инструменты обеспечения информационной безопасности.
Проводится ли в «Росводоканале» импортозамещение действующих ИТ-систем, средств автоматизированной системы управления технологическими процессами (АСУ ТП), а также средств информационной безопасности? Насколько успешно проводится эта работа?
Импортозамещение – важная тема. Я бы сказал, что отрасли ЖКХ «на роду написано» идти по пути импортозамещения. Во всяком случае, в рамках текущей бизнес-модели. Мы очень похожи на нефтяников по циклу производства, мы точно так же добываем свой ресурс, транспортируем его, готовим для потребителя, только у нас куб воды стоит всего «двадцать рублей», и тарифная емкость сильно ограничена. Поэтому подавляющее число зарубежных систем ИТ и информационной безопасности нам просто недоступны. Их стоимость для нас является стоп-фактором для внедрения. Это касается и систем, обеспечивающих управление компанией, и систем АСУ ТП, и систем информационной безопасности. Понятно, что у нас еще остается некоторое количество унаследованных зарубежных систем, которые ранее внедрялись в группе компаний лоскутно. Постепенно мы выводим их из эксплуатации. Там, где мы выходим на новые корпоративные проекты, где проводим модернизацию, у нас в подавляющем большинстве применяются российские продукты и технологии. При этом мы осознаем полезность мировой экспертизы, глобальной практики, и выбираем российские решения, ориентируясь на глобальный опыт, анализируя технические решения и бизнес-процессы похожих компаний. Если же говорить именно об информационной безопасности, то здесь мы полностью ориентируемся на российского производителя, как в продуктах, так и в сервисах. Здесь отечественные компании вполне обеспечивают функционал и качество на уровне глобальных игроков. Поэтому, как ни странно, информационная безопасность, пожалуй, это одна из наиболее успешных наших областей с точки зрения импортозамещения.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
