BIS Journal №2(49)2023

22 мая, 2023

«Магнитка» — 2023

В этом году форум «Цифровая устойчивость и информационная безопасность России» — «Магнитка» — был посвящён технологической независимости и ИБ промышленных предприятий.

 

«Мы сейчас находимся в стадии стабилизации, т. е. нам нужно обеспечить стабильную работу нашей ERP-системы на протяжении нескольких лет. Мы выстроили дорожную карту по всем ключевым бизнес-системам, в соответствии с которой будем осуществлять плавный переход через стабилизацию к внедрению новых решений».

Вадим Феоктистов, директор «ММК-Информсервис»

 

 

АНТИПЛЕНАРКА

«Почему мы до сих пор смотрим в рот регулятору, пытаясь понять, что же он имел ввиду в очередном приказе, положении, указании или стандарте? Почему мы, занимающиеся ИБ на практике, ждём, что регулятор лучше нас знает, как нам защищать наши активы?» — так анонсировали «Антипленарку» организаторы и автор её концепции Алексей Лукацкий.

Предполагалось, что участники дискуссии покажут регуляторам кузькину мать, но эксперты не стали рвать на себе рубахи и разговор о регуляторной политике в области ИБ прошёл достаточно конструктивно. В ходе дискуссии участники вспомнили, что существуют 180 требований ФСТЭК России и 400 — Банка России, часть из них избыточна и дублирует друг друга. И вопрос стоит не в количестве требований, а в их толковании и здравом смысле. Нужны отраслевые нормативы и простая форма подачи материала, исключающая двойную трактовку документа. К завершению «Антипленарки» спор всё же вспыхнул. Зажжённой спичкой стала тема «Регуляторика или самоответственность?», которая так и не была погашена и периодически вспыхивала на других сессиях «Магнитки».

Подводя итоги, Алексей Лукацкий отметил единогласие экспертов в вопросах выполнения требований базовой ИБ, прописанной регуляторами, а также в политике нулевой толерантности, необходимости пентестов и программ BugBounty.

 

НЕ ПРО ПОЛИМЕРЫ

«Технологическая независимость лучше отражает суть явления импортозамещения», — заметил Рустэм Марданов, начальник Уральского главного управления Банка России, модератор панельной дискуссии «Технологическая независимость как основа информационной безопасности, или "Не про полимеры"». Он заявил о важности рассматриваемых вопросов: проблем, связанных с обеспечением технологической независимости в отношении средств и инструментов, позволяющих обеспечивать ИБ на предприятиях разного профиля; качества ПО, которое приходит на смену иностранному; сложностей, с которыми сталкиваются разработчики, вендоры и потребители. Отметил модератор и значительную роль вопросов государственного регулирования и поддержки.

«Процесс перехода на отечественные решения идёт полным ходом, внедряются решения, которые были разработаны до всех событий, и функционально многие из них даже совершеннее инструментов, предлагаемых на западном рынке», — считает начальник Уральского главного управления Банка России.

Однако, по мнению представителей промышленности, ситуация с технологической независимостью не столь радужная. Михаил Ермолаев, генеральный директор АО «Гринатом», и Виталий Александров, директор по цифровой трансформации АО «НПП «Исток» им. Шокина», отметили, что начали переход на отечественные решения задолго до 2022 г. И в большинстве случаев не нашли равноценной замены западному ПО. В результате чего специалисты «Гринатома» занимаются собственными разработками с учётом принципа Secure by design, «Росатом» создал полигоны и ведёт тестирование ПО и оборудования, чтобы понять, как интегрировать программные и аппаратные решения.

Будет сложно в срок — к 2025 году — перевести все объекты на отечественные системы, и предстоящие два года придётся жить в режиме постоянного тестирования и разработки, считает и Виталий Александров. Выпускающее электронику предприятие НПП «Исток» тестирует отечественные решения и не всегда может найти аналоги западным продуктам.

«Если какие-то решения и представлены, то некоторых функций у них нет или они находятся в процессе разработки, — отметил он. — Даже вендоры не могут дать дорожную карту, что эти функции появятся, например, в 2024 году».

Виталий Александров положительно оценил инициативу правительства по созданию индустриальных центров компетенции, где предполагается систематизация российского софта под разные отрасли и направления.

В индустриальных центрах компетенции с лета 2022 года идут активные дискуссии по импортозамещению ERP-систем, отметил Вадим Феоктистов, директор «ММК-Информсервис». Крупные металлургические предприятия пока не видят возможности полноценного перехода на отечественные ERP-решения. По словам эксперта, такое готовое решение либо будет «длинным и дорогим», либо «оно будет содержать в себе одни кастомизации».

«Мы сейчас находимся в стадии стабилизации, т. е. нам нужно обеспечить ровную работу нашей ERP-системы на протяжении нескольких лет. При этом мы выстроили для себя дорожную карту по всем ключевым бизнес-системам, в соответствии с которой будет осуществлён плавный переход через стабилизацию к внедрению новых решений», — рассказал В. Феоктистов. В западные решения были вложены большие средства, и они отлично показали себя с точки зрения отказоустойчивости и продолжают работу.

Отказоустойчивость — это важный параметр для предприятий металлургии, поскольку все системы предприятия работают в режиме 24/7 без возможности остановки производства. Поэтому столь пристальное внимание уделяется архитектуре решений.

С мнением металлургов по поводу отсутствия готовых отечественных решений для замены ERP-систем тяжёлого класса согласился и представитель «Гринатома». Он отметил, что «Росатом», РЖД и другие крупные корпорации не нашли пока выхода из ситуации. Представленные на рынке системы не ориентированы на промышленные предприятия непрерывного цикла и требуют долгого процесса доработки и затрат. Многие компании занимаются собственными разработками, чтобы перейти на отечественные решения к 2025 г.

По мнению Эльмана Бейбутова (Positive Technologies), отрасль ИБ оказалась лучше других готова к процессам импортозамещения. Это стало возможным по ряду причин, в том числе связано с требованиями регуляторов и наличием нормативных документов, в которых ставится вопрос сертификации и оценки соответствия. Компании-разработчики уже несколько лет используют решения из реестра российского ПО. В других отраслях запросы к российским разработчикам появились недавно, задачи обеспечения ИБ на крупных промышленных предприятиях ранее не ставились. «Незакрытые ниши и области — это сегменты, где исторически сильны западные вендоры», — отметил эксперт.

«Мы не можем остановиться вообще, у нас очень короткие технологические окна, а поменять СУБД — это означает десятки тысяч часов и разработки, и эксплуатации», — сказал Алексей Юдин, директор по ИБ компании QIWI. Он также отметил сложности с переносом данных и до настройки решений. Ещё одна проблема — параллельное функционирование двух систем в момент перехода, их нужно одновременно обслуживать, обучать людей, всё это требует дополнительных финансовых вложений. Юдин отметил, что на отечественном рынке СЗИ не всегда есть нужные решения, что-то приходится писать самостоятельно. По его словам, существует и проблема с программно-аппаратными комплексами: «Российских решений нет. Мы обошли всех по три раза — никто ничего не обещает. Поэтому пока не очень понятно, на какие решения мы можем перейти».

«Существуют контрольные сроки, есть несколько указов Президента РФ, есть одна единая дата — 1 января 2025 года, и в целом мы положительно на всё это смотрим. Но при этом мы понимаем, что это очень сложный процесс, есть огромное количество проблем», — сказал Владимир Бенгин, подводя итоги сессии. Представитель Минцифры рассказал о проектах по стимулированию процессов импортонезависимости (льготы, субсидии, гранты и т. д.), куда входят и проекты по ИБ. И в целом, по словам Владимира Бенгина, в отрасли дела обстоят неплохо, но есть и проблемы. Сложные направления — файрволы, межсетевые экраны следующего поколения... Ещё одна проблема, которую можно решить только через открытый диалог сообщества, — качество отечественных разработок, их надёжность и технологические возможности. Минцифры призывает производителей прислушаться к мнению заказчиков, которые, в свою очередь, должны понимать, что в любом случае придётся существенно менять внутренние процессы.

 

БЕЗОПАСНАЯ ЦИФРОВИЗАЦИЯ

Открывший ключевую дискуссию «Безопасная цифровизация» заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов подвёл итоги 2022 г. По его словам, сейчас уже надо от первоочередных шагов переходить к системным и перспективным мерам. Он отметил, что руководители компаний переходят к практическим вопросам — как и что надо делать.

Хорошая регуляторика позволила прожить прошлый год без катастроф, считает Владимир Бенгин. Минцифры видит новые типы угроз, предстоит много работы. Важно, что после выхода Указа Президента России от 1 мая 2022 г. № 250 проблема кибербезопасности из глубин отделов ИБ поднята на уровень персональной ответственности руководителей компаний. Для организаций, которые профессионально занимаются кибербезопасностью и у которых уровень ИБ высок, вообще нет никаких проблем, но для всех остальных, для десятков тысяч организаций, это будет непросто, подчеркнул Владимир Бенгин.

Представитель Национального координационного центра по компьютерным инцидентам (НКЦКИ) Сергей Корелов также отметил, что до выхода нормативно-правовых актов в области ИБ, в частности Указов президента России № 166 и 250, Приказа ФСБ России №77, многие организации не задумывались о кибербезопасности. Кто-то занимался «бумажной» ИБ, кто-то считал, что их организация неинтересна хакерам, кто-то не подпадал под действия требований регуляторов. Однако практика показала, что любая организация может оказаться интересной для взлома. 

Отвечая на вопрос модератора дискуссии Алексея Бобровского о влиянии процессов цифровизации на уровень защищённости КИИ, представитель регулятора отметил, что «цифровизация нужна конкретной отрасли. ИБ нужна при цифровизации». 

«Внедряя цифровые процессы в бизнес, надо задумываться, к чему они могут привести с точки зрения безопасности данных. Надо в обязательном порядке рассматривать угрозы и то, как их нивелировать, — отметил представитель НКЦКИ. — Техническая плоскость проблем компьютерных инцидентов — это отражение более глубинных причин». 

«Не всякая цифровизация несёт угрозы, — считает и Владимир Бенгин. — Но если вдруг вы занялись цифровизацией, то обязаны заниматься ИБ», — подчеркнул он, сосредоточив внимание собравшихся на принципе Secure by design.

«Любая цифровизация порождает иные виды угроз, которых не было раньше. Задача и вопрос к безопаснику — готов ли он перейти к тому, чего не было раньше, — поделился практическим опытом цифровизации финансовой сферы Артём Сычёв (Positive Technologies). — Любая цифровизация даёт новый вид угроз и требует перестройки мозгов — как парировать риски на уровне процессов и технологий… Абсолютной безопасности нет и не будет. Важно видеть, как тебя атакуют, нейтрализовать это и устранить последствия».

Как компании понимают текущие вывозы, рассказал на примере ОАО «РЖД» Юрий Ногинов, начальник департамента управления ИБ. Он отметил, что РЖД — крупная компания с огромной структурой, информационные системы которой должны функционировать в режиме онлайн с учётом территориально-распределённой схемы.

ОАО «РЖД» — это много компаний со своей сложной инфраструктурой и зависимостями бизнес-процессов. Цифровизация несёт новые вызовы и угрозы такой корпорации, отметил докладчик. И хотя документы и требования регуляторов значительно облегчают работу, многие задачи в классическом понимании нереализуемы, учитывая непрерывность бизнес-процессов. В РЖД понимают всю ответственность за безопасность и ведут работу по категорированию объектов КИИ, планируют создание киберлаборатории для прогнозирования угроз с учётом развития технологий.

В рамках 250-го Указа предстоит ещё многое сделать для повышения ИБ, отметил представитель НКЦКИ Сергей Корелов. В частности, вопросы аккредитации центров ГосСОПКА находятся в стадии проработки. Приказом ФСБ России от 1 ноября 2022 г. № 543 установлен трёхлетний переходный период. Заинтересованные в получении аккредитации компании должны набраться терпения и ждать проектов «Положения об аккредитации центров ГосСОПКА» и «Требования к центрам ГосСОПКА». Работа над этими документами ведётся, о чём подробно рассказывалось на «Регуляторном треке» Форума.

250-й Указ не обошёлся без принуждения исполнения мероприятий по ИБ, отметили все эксперты. Однако практика показывает, что организации приходится принуждать к исполнению требований по кибербезопасности, поскольку не все захотели реализовывать их в добровольном порядке. 

«Вопрос самомотивации в виде штрафов и мониторинга гораздо сложнее», — считает Артём Сычёв. Ситуация начнёт меняться при появлении экономических механизмов, отраслевых регламентов, лицензий и требования по ИБ. В качестве примера эксперт привёл Банк России и финансовую отрасль, где экономические рычаги оказались надёжнее требований регулятора устранить недостатки. 

 

КИБЕРБЕЗОПАСНОСТЬ АСУ ТП, ОБЛАЧНЫХ СЕРВИСОВ. SOC

Практическая часть Форума была посвящена вопросам Центров по обеспечению безопасности (SOC), практике построения корпоративных облачных сервисов с учётом их операционной надёжности и отказоустойчивости. Большой блок мероприятий был посвящён вопросам защищённости автоматизированных систем управления технологическими процессами (АСУ ТП), которые ранее выпадали из поля зрения инфобеза, однако оказались в числе критической информационной инфраструктуры (КИИ), которая требует защиты. 

«Если есть силы, время и возможность, стройте SOC самостоятельно. Если нет — приглашайте MSSP-провайдера, у него есть опыт, средства и специалисты по всем направлениям, от программистов до узких специалистов в области ИБ», — говорили эксперты отрасли на сессии, посвящённой построению SOC. 

Опытом построения SOC на крупном промышленном предприятии, в работе которого сложно разобраться любому MSSP-провайдеру, поделился Алексей Мартынцев, генеральный директор компании «Норникель Сфера». Для промышленного предприятия типа «Норникеля» услуги внешнего SOC не подошли по ряду причин, среди которых недостаточный уровень компетенций сторонних специалистов, необходимость частого изменения бизнес-процессов, которые сказываются на работе SOC, недостаточный контроль за действиями подрядчика и доступ его к КИИ предприятия. Поэтому в «Норникеле» SOC является частью организационной структуры, подчиняется всем правилам внутреннего распорядка и его руководители несут полную ответственность. 

«Процесс управления инцидентами ИБ в технологической сети не может быть реализован без комплексного проекта», — отметил Алексей Мартынцев. Для обеспечения принципа Security by design необходимо вовлечение архитекторов безопасности АСУП на этапах построения и модернизации производственных процессов и систем управления, которые станут связующим звеном между командами автоматизации и ИБ. 

При этом для управления инцидентами ИБ необходимо наличие зрелого ландшафта СЗИ для сбора данных о событиях безопасности. Все процессы кибербезопасности в технологической сети передачи данных взаимоувязаны с существующими бизнес-процессами, включая АСУП и АСУ ТП. Так, критичное повышение температуры, которое относится к процессам АСУ ТП, контролируется системами SOC в числе недопустимых ИБ-событий. 

Согласился с подходом коллеги к построению внутреннего SOC и управляющий директор Центра информационной безопасности дочерних и зависимых обществ Газпромбанка Артём Калашников. Он отметил, что в презентации коллеги термин АСУ ТП можно легко заменить банковскими процессами и применить решения к финансовой сфере. Схожесть процессов финансовой ИБ и ИБ АСУ ТП подчеркнул и Алексей Мартынцев, который ранее не был знаком с банковской безопасностью. Он отметил полезность межотраслевых встреч и мероприятий. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных