Алексей Петухов (InfoWatch): «Тренд на импортозамещение в области защитного софта должен перерасти в глобальное перевооружение российских компаний»

– Алексей, какие новые инциденты появились в части КИИ, с чем они связаны?

– Исторически сведения об инцидентах ИБ в России сложно найти, а если они касаются объектов КИИ – еще сложнее, так как распространение информации о них регулируется законодательством. Однако экспертно-аналитическим центром ГК InfoWatch была проведена аналитическая работа и опубликованы два публичных документа по данной теме: «Инциденты ИБ за 2022 год» и «Международная статистика влияния инцидентов на деятельность предприятий».

Руководитель отдела по развитию продуктов InfoWatch ARMA Алексей Петухов

На основании этих материалов можно сделать вывод, что принципиально новых угроз не наблюдается, но атаки становятся более тяжелыми, и в среднем каждая компания суммарно в течение года более суток испытывает вынужденный простой по причине кибератак.

– Какие категории объектов КИИ наиболее уязвимы, и почему?

– Согласно нашей статистике по миру (диаграмма приведена выше – прим. ред.), наибольший ущерб от действий злоумышленников испытывают предприятия ТЭК и государственного сектора. Скорее всего, данные отрасли можно выделить и в Российской Федерации, так как в обоих случаях мы имеем дело с достаточно большой, распределенной инфраструктурой, требующей значительных финансовых, человеческих и временных ресурсов для создания и эксплуатации современных систем защиты.

Стоит отметить, что кадровый вопрос, а также неготовность высшего менеджмента осознать важность задач по обеспечению ИБ – наиболее острые в России. Согласно аналитическому отчету по осведомленности центра компетенций «Кибербезопасность» НТИ «Энерджинет», лишь 30% первых лиц компаний уделяют внимание ИБ в постоянной работе.

Наличие уязвимостей в ИT-системах характерно для абсолютного большинства крупных отечественных компаний. Так, согласно результатам недавнего исследования Positive Technologies, злоумышленники способны преодолеть сетевой периметр безопасности в 96% случаев. Это недопустимо высокий показатель, а сама ситуация вызвана масштабной и во многих случаях нерациональной цифровизацией бизнес-процессов, польза от которой несопоставима с имеющимися рисками.

Сейчас от нас требуются незамедлительные действия. Среди доступных мер, в том числе, называется и децифровизация – частичное отключение от Интернета ключевых объектов критической инфраструктуры, воздействие на которых может вызвать значительный ущерб для предприятий и российской экономики в целом.

– Какие традиционные и новые инструменты, технологии, продукты наиболее эффективно защищают КИИ? Какие из них продвигает ваша компания?

– Обеспечение информационной безопасности – это, в первую очередь, процесс, который должен быть обеспечен на всех стадиях жизненного цикла объекта КИИ: от планирования работ до вывода объекта из эксплуатации.

Создание системы защиты и процесса обеспечения информационной безопасности описаны, соответственно, в ГОСТ Р ИСО/МЭК 21827:2008 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем защиты. Модель зрелости возможностей» и ГОСТ Р №57193-2016 «Системная и программная инженерия. Процессы жизненного цикла систем».

Здесь же стоит учитывать, что для КИИ обязательно выполнять требования 235 и 239 приказов ФСТЭК, которые содержат как методические рекомендации, так и перечисления конкретных мер.

Специалистами InfoWatch ARMA была проведена оценка минимального набора технических мер в рамках данных документов для промышленных предприятий, по результатам которой базовой группой мер, начиная с 3-й категории значимости, стали средство защиты рабочих станций и серверов, межсетевое экранирование, система обнаружения вторжений и система резервного копирования.

Наличие в нашем портфеле всех вышеуказанных решений, кроме резервного копирования, позволило дать следующую оценку: с учетом оргмер и процессов, а также при использовании наших продуктов, включая InfoWatch ARMA Management Console, предприятие может закрыть 90% требований ФСТЭК.

При этом мы активно развиваем функции каждого из перечисленных продуктов и возможности их интеграции. Например, с учетом ограниченности кадровых ресурсов у значительного числа предприятий, требуется автоматизировать простые сценарии для безопасности промышленных систем: сегментация сети, включая промышленный контур, и анализ, блокирование новых подключений; ограничение действий на рабочих станциях и серверах и анализ, блокирование нерегламентированных действий; выявление новых устройств и вредоносного ПО в рамках сегмента сети, анализ их поведения и блокирование их воздействия на другие устройства в данном сегменте.

– Каков Ваш прогноз динамики угроз КИИ и развития противодействующих им решений?

– В условиях повышенных угроз кибербезопасности существующий тренд на импортозамещение в области защитного софта должен усилиться и перерасти в глобальное перевооружение российских компаний, в их переход на новые отечественные продукты и технологии. При этом должен измениться и сам подход к использованию различных ИT-решений. Учитывая имеющиеся сложности, требуется делать упор на реализацию и автоматизацию обеспечения безопасности по ключевым сценариям атак. Западный набор решений требует внушительных ресурсов на их внедрение и эксплуатацию.

Для того, чтобы изменить ситуацию, бизнесу нужно принять современный мир с его сложностями и особенностями, приложить усилия во встраивание процессов ИБ в жизнедеятельность компании и системно повышать уровень зрелости системы ИБ. На мой взгляд, такой подход более чем оправдан, поскольку сейчас российские разработчики могут предложить рынку достойные аналоги западных систем, многие из которых даже превосходят их по своим возможностям.

– Большое спасибо за беседу!