Тема импортозамещения прозвучала сразу в нескольких докладах конференции JETREGITS. О том, что «российским» сегодня считается оборудование, хотя бы на четверть состоящее из отечественных комплектующих, участникам конференции напомнил Андрей Малов, руководитель направления по импортозамещению «Инфосистемы Джет». Он добавил, что при этом пайка, сборка и сервисный центр должны находиться в России, а производитель — иметь права собственности на модификацию оборудования и исходного кода, располагать конструкторской и программной документацией. Также эксперт озвучил риски импортозамещения и рассказал, что делает интегратор, чтобы свести их к минимуму. Среди них он назвал непроверенность решений, отсутствие специалистов, проблемы совместимости, неготовность пользователей, недостаточный функционал и снижение производительности труда.
«Понимая все плюсы и минусы российских решений, мы ставим во главу угла стратегии комфортного импортозамещения следующие элементы: аудит ИТ-инфраструктуры на предмет интеграционной совместимости с российскими продуктами, разработку корпоративной стратегии импортозамещения, использование проверенных интегратором отечественных решений и поддержку этих продуктов Cервисным центром “Инфосистемы Джет”. Все выше перечисленное обеспечивает плавный переход к российским решениям и нивелирует риски снижения уровня предоставляемых ИТ-сервисов», — отметил Андрей Малов. Опытом импортозамещения поделились и российские производители, представив на конференции свои разработки. Участников познакомили с защищенной виртуализацией zVirt, продуктами ГК «ЦИФРА» и IVA Technologies для нефтегазовой отрасли, решением InfoWatch для комплексной защиты АСУ ТП и другими.
Также на конференции горячо обсуждалась тема защиты КИИ. Всеслав Соленик, заместитель директора Центра экспертизы R-Vision, рассказал, как можно автоматизировать процессы категорирования и реагирования на инциденты КИИ. Виталий Сиянов, руководитель направления ИБ АСУ ТП Центра информационной безопасности «Инфосистемы Джет», ответил на волнующие предприятия вопросы: что делать после категорирования объектов КИИ и кто в организации по закону отвечает за создание системы безопасности. «Руководитель обязан создать систему безопасности объекта КИИ. Далее он определяет, кто войдет в силы обеспечения безопасности критических систем. Это как минимум руководитель организации, служба безопасности, эксплуатирующие и поддерживающие функциональность объектов КИИ подразделения. Следующий шаг — аудит документации и установленных средств защиты на соответствие требованиям регулятора. После этого нужно спроектировать и построить систему защиты объекта КИИ, подключиться к ГосСОПКА и ждать проверки ФСТЭК через 3 года после категорирования, реализуя ежегодные мероприятия по улучшению системы безопасности», — объяснил Виталий Сиянов.
Еще один яркий доклад затронул тему практической безопасности. Георгий Старостин, эксперт Лаборатории практического анализа защищенности компании «Инфосистемы Джет», рассказал, в чем особенности современных атак, в каких случаях для оценки защищенности необходимо классическое тестирование на проникновение, а когда стоит провести пентест в формате red team, и что представляет собой подход security by design. По словам эксперта, сегодня в атаках активно используется социальная инженерия, злоумышленникам удается надолго закрепиться в инфраструктуре и оставаться незамеченными. Атакующие в целом показывают высокий технический уровень, при взломе могут использовать легитимные технологии, а в качестве точки входа в корпоративную сеть не всегда выбирают эксплуатацию уязвимостей на периметре.
Как отметил Георгий Старостин, классический пентест позволяет досконально проверить защищенность отдельных сервисов и технологий, а тестирование в формате red team дает возможность выявлять уязвимости и недостатки инфраструктуры по всем направлениям и оценивать уровень зрелости процессов расследования и реагирования на инциденты ИБ. Результатом становится реализация подхода security by design, который строится на принципах максимальной автоматизации, повышении вовлеченности ИТ-специалистов в процессы безопасности, привлечении ИБ на ранних этапах создания инфраструктуры и приложений и введении контрольных точек безопасности на различных этапах жизненного цикла. «Преимущества подхода Security by design заключаются в том, что это позволяет добиться сближения ИТ- и ИБ-команд, сделать процесс повышения уровня защищенности непрерывным, повысить прозрачность требований безопасности для ИТ-специалистов, обеспечить защиту инфраструктуры с момента ее создания и сделать безопасность проактивной», — прокомментировал Георгий Старостин.