Дырку в безопасности "не заклеишь" пачкой денег

– Евгений, вы долгое время работали в компаниях, занимающихся разработкой и интеграцией систем безопасности. Каково быть с другой стороны?
– Общего больше, чем можно было ожидать. Это и большой объем внутренних коммуникаций, и все, что относится к People Management, и, конечно, постоянное использование и актуализация экспертизы в кибербезопасности. Самое существенное отличие – один, пусть и внутренний, заказчик, а значит и существенно больше ответственность. Еще один нюанс – результаты воспринимаются намного менее формально.

– Расскажите о ваших обязанностях в "Концерне "Калашников". Что сейчас в вашем ведении?
– Дирекция кибербезопасности обеспечивает защиту нескольких площадок концерна, расположенных в Ижевске, Москве и других городах. Распределение функционала и ролей у сотрудников не одинаковое на всех площадках. Мы концентрируем компетенции и экспертизу по архитектурным вопросам в Ижевске, по реагированию на инциденты, осведомленности и управлению проектами – в Москве, а на остальных площадках у нас своеобразные "универсальные солдаты", приземляющие соответствующие активности и процессы в зоне своей ответственности. Современные средства коммуникаций позволяют создать единое информационное поле, обеспечить командность и оперативно перекидывать ресурсы для решения приоритетных задач и интересов каждой площадки.

– В какой степени вы как директор по кибербезопасности вовлечены в процесс принятия бизнес-решений, связанных с цифровизацией концерна?
– Наша дирекция отслеживает проекты по цифровизации еще на уровне идеи: на максимально начальных этапах мы идентифицируем новые риски и предлагаем решения по их обработке. В большинстве случаев это снижение за счет внедрения соответствующих механизмов защиты. Но иногда мы и принимаем риски, хотя бы на первых этапах, чтобы не задерживать развитие бизнеса, откладывая внедрение решений по безопасности. Случаев, когда мы не договаривались и инициировали блокировку каких-то идей, пока не было (полномочия на это есть).

– В чем заключается стратегия кибербезопасности "Концерна "Калашников"?
– У нас есть дорожная карта-по внедрению защитных механизмов, синхронизированная по срокам с планами цифровизации площадок. Она "не отлита в бетоне", в нее вносятся изменения, связанные как с детализацией внедряемых ИТ-архитектур, так и с реинжинирингом бизнес-процессов, ну и, конечно, с изменениями в ландшафте угроз.

– "Калашников" прежде всего занимается выпуском продукции оборонного назначения. Сказалось ли это на требованиях к службе безопасности и как?
– Информация, относящаяся к гостайне, убрана из корпоративного сегмента сети, за безопасность которого отвечает наша дирекция. Об особенностях ее защиты мы предпочитаем не распространяться.

С выходом закона 187-ФЗ, который актуален для нас как для предприятия ОПК, мы обязаны при оценке рисков учитывать и показатели значимости объектов критической информационной инфраструктуры (КИИ), определенные в соответствующем постановлении правительства. Интересно, что зрелые механизмы безопасности, учтенные в дорожной карте по кибербезопасности концерна, в результате этого не претерпели значимых изменений. Уверен, что для многих других предприятий это может быть совсем не так и им необходимо будет реализовывать для обеспечения безопасности своих объектов КИИ дополнительные решения.

– У "Концерна "Калашников" сейчас много проектов по цифровизации, об этом говорило руководство концерна на рабочей сессии "Разработка робототехнических и беспилотных технологий для Арктики" в 2018 году. В чем, на ваш взгляд, особенность цифровой трансформации у предприятий ОПК?
– Приведу слова Евгения Касперского: "Те компании, которые не цифровизируются, – разорятся, так как они проиграют рынок. Те компании, которые цифровизируются… получат "цифровую торпеду"… и тоже разорятся". Мы не можем допустить ни одного из подобных сценариев. Для этого мы очень тщательно, но максимально оперативно прорабатываем решения по цифровизации с точки зрения кибербезопасности.

– Как вы видите свою роль в процессе цифровой трансформации?
– Кроме уже упомянутого управления рисками, есть и другое – часть реализуемых нами решений, таких как IdM или EMM. Они лишь до известной степени решают задачи кибербезопасности. Второй, иногда больший эффект от них – оптимизация бизнес-процессов, их ускорение, повышение эффективности в целом. Получается, что даже при выборе и пилотировании решений по цифровой трансформации бывают ситуации, когда инициатива оказывается на нашей стороне. Обычно это происходит, когда механизмы безопасности уже встроены в решения и такое смещение акцентов более оправданно.

– Несмотря на то что курс на импортозамещение взят уже давно, очень маленький процент компаний может похвастаться хоть какими-то успехами в данном направлении. Много ли зарубежного оборудования и решений используется сейчас в вашей компании? Насколько это осложняет задачу обеспечения информационной безопасности концерна?
– Не мы отказываемся от продуктов зарубежных производителей, это они отказываются от поставок нам, следуя политике Госдепа США. Во-первых, не все зарубежные производители этому следуют. Есть страны, которые не поддержали санкции, например очень сильный в технологиях кибербезопасности Израиль.

Во-вторых, наша страна и ранее обладала очень сильными производителями средств информационной безопасности. Например, рынок DLP-систем давно делят отечественные производители, а зарубежным из квадранта Гартнера достается в совокупности доля меньше, чем у каждого из тройки лидеров. Есть сильные антивирусные решения, которые уверенно себя чувствуют на зарубежных рынках, и лишь включение административного ресурса слегка пошатнуло их позиции за рубежом, да и то не повсеместно. Очень мощные и отечественные сканеры защищенности.

Мы и ранее использовали решения и одних, и других, а сейчас при выборе часто сознательно устанавливаем именно наши. Однако есть сегменты рынка, в которых зарубежные решения выглядят предпочтительнее с точки зрения функционала. Отрадно, что ситуация меняется и российские решения класса SIEM, IdM и другие начинают теснить импортные.

Если быть откровенным, то это, конечно, "добавляет перца" в нашу работу. Снег холодный, вода мокрая, а мы под санкциями – стоит ли расстраиваться по такому поводу? Мы воспринимаем это как некий нюанс.

– Как вы считаете, сможет ли концерн в ближайшее время совсем отказаться от зарубежных продуктов в сфере ИБ?
– Если это сегодня произойдет, то мы будем вынуждены повысить уровень приемлемости рисков. Тут два фактора. Во-первых, отечественные продукты с максимально близким функционалом будут дороже (иначе мы бы сразу их выбрали). Во-вторых, из-за замены на более слабые решения пришлось бы потратиться на компенсирующие это меры.

Поскольку нет смысла тратить значительно больше денег для достижения прежнего уровня безопасности, то, скорее всего, будет некий компромисс и мы потеряем и там, и там (и денег больше потратим, и уровень безопасности снизим). Причем иногда достичь прежнего уровня безопасности невозможно: сколько денег ни трать, все равно того же функционала не получишь. Дырку в безопасности "не заклеишь" пачкой денег.

Перераспределение бюджетов отечественных компаний в пользу российского производителя позволяет выйти на рынок амбициозным стартапам, а уже состоявшимся производителям – открыть новые продуктовые линейки. Причем есть яркие примеры, когда такие, казалось, малочисленные команды создавали очень конкурентоспособные решения.

Это происходит и на мировом рынке. Большие компании крайне редко путем собственного R&D делают прорывные продукты. Чаще это скупка перспективных стартапов, часто и с предварительным OEM их продуктов. Поэтому даже если какой-то западный забюрократизированный гигант имеет тысячи соответствующих специалистов и тратит на разработку многие миллиарды, то это вовсе не означает, что результат будет лучше, чем у сплоченной команды энтузиастов в несколько десятков человек и с весьма скромным финансированием. Скорее даже наоборот.

Российских производителей можно условно поделить на три группы. Первые – лидеры в своих сегментах, которые не потеряли боевой бизнес- и технологический задор и активно инвестируют (речь идет не только и не столько о деньгах) в новые направления. И именно они, как правило, добиваются самого значимого результата. Вторые – стартапы, готовые бросить вызов лидерам или, наоборот, стремящиеся обойти их в каком-то новом сегменте. Результат тоже может впечатлить, но, к сожалению, даже не в 50% случаев. Есть и третьи – осторожные, очень часто имеющие надежную клиентскую базу и консервативное руководство, если и пробующие новые для себя темы, то очень сдержанно. Результата я что-то не припомню.

В целом же можно ждать положительного изменения ситуации в течение двух-трех лет.

– Как в концерне происходит отбор средств для обеспечения ИБ? Какие основные критерии вы предъявляете к поставщикам, продуктам и решениям?
– Рынок технологий очень зрелый. Два-три сильных конкурента в одном сегменте скорее исключение, чем правило. Обычно их пять-десять. Конечно, мы даже и не стремимся перепробовать столько продуктов. Это было бы неэффективно, хотя, наверное, и познавательно.

Наши шаги просты: кабинетные исследования, общение с другими компаниями, уже испробовавшими (в идеале использующими) рассматриваемые продукты, затем пилотирование у нас. Пилот очень полезен, особенно когда речь идет о решении, работа которого сильно зависит от особенностей конкретной ИТ-инфраструктуры, или же о бурно развивающемся продукте, в презентациях которого может быть заявлено как уже имеющийся функционал то, что реально пока находится в разработке. Мы иногда пропускали этот шаг, но это скорее исключение.

На каждом этапе сокращается число рассматриваемых продуктов, и мы можем анализировать все глубже. В процессе анализа наши представления о том, что мы ждем от решения, чаще всего модифицируются. В результате мы получаем техническое задание, которое ложится в основу конкурса. Туда могут прийти изначальные 10 участников и даже не рассмотренный нами вариант (такое гипотетически возможно, но ни разу не случилось), но реальный шанс будет у двух-трех. На окончательной выбор большое влияние оказывает стоимость.

– Можете ли вы отметить, в каких сегментах ИБ можно довериться российским разработчикам?
– Ситуация меняется, число таких сегментов растет. Очень легко кого-то упустить и тем самым исказить картину, тем более что и сама картина быстро устаревает.

По названным выше сегментам – DLP, антивирусы, сканеры – сомнений не было и раньше, нет их и сейчас. Хорошо себя проявляют IdM- и SIEM-решения, которые до импортозамещения были явно слабее. Другие сегменты подтягиваются, наблюдать за этим весьма интересно.

– На производстве могут стоять какие угодно современные системы и оборудование, но есть так называемое слабое звено в любой компании – человек. Как вы повышаете осведомленность сотрудников в части ИБ?
– В этом плане мы похожи на многие ритейл-компании – придерживаемся идеологии omni-channel. Только наш товар – информация, которую мы доставляем до сотрудников концерна по множеству каналов: очные семинары, новости на портале, е-mail-рассылка, статьи в корпоративной газете, wiki... Форматы разные, каждый имеет свои особенности, мы меняем подачу материала, глубину, подробность изложения. Неизменно мы следим за тем, чтобы контент по кибербезопасности было интересно воспринимать. Конечно, определенная романтичность темы очень помогает.

В планах – создание обучающих материалов с контролем их усвоения и применения на практике с использованием концепции геймификации.

– Еще одними актуальными рисками остаются атаки на АСУ ТП. Какие угрозы несут в себе наибольшую опасность?
– Спектр угроз для технологического сегмента в целом аналогичен тому, что актуально для корпоративных сетей. Например, канатная дорога на Воробьевых горах в Москве остановилась из-за вируса-шифровальщика, с чем сталкивались два года назад МВД, "Роснефть" и другие организации в корпоративном сегменте. Одним из немногих нюансов является то, что в технологическом сегменте чаще всего нет конфиденциальной информации. В практическом плане это означает, что средства класса DLP в АСУ ТП, скорее всего, не актуальны.

Есть вещи, связанные не с ландшафтом угроз, а с особенностями самого защищаемого объекта. Так, при выборе средств для реализации механизмов защиты надо учитывать их минимальное влияние на технологические процессы. Если средства защиты их прервут, то, в отличие от бизнес-процессов, это может привести не только к простою, но и к порче оборудования, и даже техногенной катастрофе.

– Как 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" повлиял на работу "Концерна "Калашников"?
– Как и многие компании из списка отраслей, отнесенных к субъектам КИИ, мы проводим категорирование своих объектов критической информационной инфраструктуры. Промежуточные результаты показали, что в целом уже используемых и внедряемых механизмов защиты достаточно. Поэтому мы не ждем значимых изменений. Сам процесс категорирования позволяет формализовать многие важные моменты, такие как ответственность за безопасность ОКИИ, вовлечь многие подразделения, повысить значимость той работы, которую мы ведем. Уже это большой плюс.

– На ваш взгляд, нормативные акты по КИИ содержат исчерпывающий список мер для полной гарантии безопасности объектов?
– Любая нормативная база нуждается в апробировании. Сейчас и мы, и другие субъекты КИИ в основном занимаемся категорированием. Мало кто продвинулся дальше. Поэтому точки для улучшения, по крайней мере, этого этапа стали понятны, и кое-что даже уже успели внести в новые версии документов. Это касается сроков категорирования и т.п.

Для того чтобы понять, что улучшить в списке мер, недостаточно его просто прочесть, его надо попробовать применить. Причем многими организациями, обменяться мнениями и только потом браться за улучшения. Документы разрабатывались профессионалами, их качество очень хорошее, и только практика использования даст адекватную картину.

– Что вы предложили бы доработать в нормативном регулировании?
– На мой взгляд, не хватает оценки репутационных рисков, сейчас их просто не рассматривают. При том, что потеря репутации вполне может стать причиной, например, срыва подписания международных договоров (показатель значимости 7) или падения прибыльности компаний как с государственным участием (показатель значимости 8), так и коммерческих, что может привести к сокращению отчислений в бюджет (показатель значимости 9).

– С какими основными проблемами вы столкнулись в процессе категорирования?
– Долго обсуждали, делать самостоятельно или привлечь консультанта. На мой взгляд, помощь компаний, уже несколько раз отработавших в других субъектах, оказалась для нас очень полезной для прохождения категорирования сравнительно гладко и быстро.

– Какой подход вы использовали при составлении перечня объектов КИИ, подлежащих категорированию?
– Мы шли от процессов, это помогло сразу откинуть те ИТ-системы, которые не являются ОКИИ, а их у нас довольно много. Такой подход сократил и затраченные ресурсы, в том числе временные.

– Каким образом вы планируете обеспечивать непрерывное взаимодействие с ГосСОПКА?
– Мы напрямую взаимодействуем с ГосСОПКА, недавно подписав с ними соответствующий регламент.

Сама идея национального центра, консолидирующего данные по компьютерным инцидентам и информирующего о них все присоединившееся кибер-комьюнити, очень хороша.

Только начав информационный обмен, мы уже получили важные сведения о существовавших у нас проблемах (сейчас они уже решены). Причем чем больше будет участников, тем более качественную информацию мы сможем получать. В течение пары лет следует ждать эффекта снежного кома за счет массового присоединения к ГосСОПКА других организаций.

– Многие компании жалуются на нехватку квалифицированных кадров в области ИБ. Столкнулись ли вы с этой проблемой? Как вы ее решаете?
– У концерна сравнительно небольшой штат дирекции кибербезопасности. Работа строится командная, задачи интересные – это очень важно для молодых ребят. Многое зависит и от HR-функции, у нас это очень мощное и профессиональное подразделение.

С учетом того, что практически во всех городах нашего присутствия концерн – один из самых желаемых работодателей, мы не столь остро ощущаем эту проблему, характерную для рынка труда в области кибербезопасности.

Спасибо за беседу!