Броня крепка!

Броня крепка!

О секретах сплава из технологий, менеджмента и профессионализма рассказывает руководитель ИБ «Северстали» Сергей Гусев.

— Сегодня очень важно погрузиться в проблематику ИБ промышленных отраслей, поэтому главная тема этого номера BIS Journal формулируется как «Цифровая устойчивость промышленных систем». Расскажите, пожалуйста, что такое информационная безопасность на металлургических предприятиях? В чём её специфика? Как она устроена, организована?

— Специфика информационной безопасности на промышленных предприятиях ярко проявляется в сложных ИТ-решениях ERP-класса, MES-системах, системах реального времени слежения за производственными процессами и управления технологическими агрегатами. К тому же металлургическое предприятие — ​потоковое производство, и сбой в любой из цепочек влияет на качество и срок производимых заказов. В настоящее время глубина автоматизации промышленного предприятия достигла таких величин, которые кардинально меняют представление о современном металлургическом заводе или горнодобывающем карьере. Взятый курс на цифровизацию и применение систем на базе искусственного интеллекта вкупе с импортозамещением дополнительно подливают масла в огонь. 

Всё это многообразие накладывает отпечаток на процессы обеспечения информационной безопасности. Несмотря на наличие в какой-то части схожих с финтехом киберугроз корпоративного уровня, в производственных компаниях есть и свои отличия, связанные с большим жизненным циклом производственных систем и возможными технологическими окнами для актуализации технических систем защиты. Методы и технологии, которые применяются для этого, разнообразны, и в этом заключается основное различие: нам требуется не только защищать традиционные бизнес-процессы корпоративного уровня, но и фокусироваться на специфичных технологиях АСУП и ТП. 

ПРО УГРОЗЫ

— От чего защищают в «Северстали»? Для чего там нужна ИБ? Какой основной набор угроз? Как на него повлияло изменение геополитической обстановки?

— В нашей компании присутствует весь спектр типовых задач по защите от внешних и внутренних угроз для достижения триады верхнеуровневых целей ИБ. А если посмотреть на ценность ИБ со стороны бизнес-ориентированного подхода, то цель простая — ​создать возможность бизнесу безопасно работать по всем ключевым функциям. В нашей компании мы все угрозы для удобства разделили на типовые, массовые и целевые. Изменения в геополитической обстановке добавили в наш ландшафт угроз очень много новых векторов, которые ранее были присущи другим отраслям. 2024 год для нас прошёл под эгидой обеспечения безопасной собственной разработки и борьбы с мошенничеством и взломами сервис-провайдеров. 

ПРО БИЗНЕС И РУКОВОДСТВО

— Кто и как оценивает в «Северстали» системы защиты информации? Эффективность подразделений ИБ? Специалистов ИБ?

— В «Северстали» принят многоуровневый подход к оценке эффективности системы защиты, которые мы разделили с топ-менеджментом компании. Во-первых, мы живём в рамках сервисной модели и с установленными SLA.

Во-вторых, согласно принятой стратегической программе развития, актуальной модели угроз и лучшим практикам принята система метрик защищённости, которая покрывает уровень киберзащиты корпоративных и производственных сегментов, процессы мониторинга и реагирования на киберугрозы, обеспечения уровня комплаенса и защиты данных. Отдельным блоком идут цели по культуре кибербезопасности персонала и подрядчиков.

В-третьих, в компании принята культура ежегодных командных и индивидуальных целей, позволяющая оценить вклад каждого. Несколько лет назад мы успешно внедрили практику по сквозному целеполаганию показателей ИБ с подразделениями, поддерживающими автоматизацию основных производственных и бизнес-процессов, которая доказала свою эффективность. 

— Как ИБ связана с бизнесом? Существует ли утверждённая на уровне руководства концепция обеспечения ИБ?

— Напрямую. В «Северстали» существует утверждённая политика ИБ и стратегический план развития. В нашем случае нет никаких отличий в реализации классических принципов СУИБ, один из которых заключается в демонстрации топ-менеджментом «Северстали» своего лидерства и приверженности политикам и стандартам в области информационной безопасности, разделению ответственности и прочее. К тому же сама функция ИБ встроена практически во все ключевые бизнес-процессы, а в рамках сервисной модели наши процессы поддерживаются SLA, согласованным бизнесом. 

— Как формируется бюджет на информационную безопасность? По какому критерию вы оцениваете, что выделили достаточно?

— Мы придерживаемся общих корпоративных правил и практик, принятых в финансовой и инвестиционной областях. У нас есть стратегический инвестиционный план развития и так называемый годовой инвестиционный план. Оба плана входят в общий ИТ-бюджет компании в виде отдельного портфеля или программы проектов.

Работа над стратегическим и годовыми бюджетными параметрами начинается с анализа текущих угроз, прогнозируемых в краткосрочной перспективе и на горизонте 3–5 лет. После проведения такого анализа мы проводим оценку доступных методов противодействия этим угрозам, изучаем рынок технологий и оборудования, потенциальных исполнителей. Затем с помощью собственной методики оценки вклада в уровень защищённости проводим моделирование эффекта от реализации мероприятий противодействия угрозам и расстановку приоритетов мероприятий. В зависимости от параметров бюджетного послания определяются финансовые параметры бюджета, отбор проектов и их защита у топ-менеджмента. 

В качестве индикатива используется отраслевой бенчмаркинг на соответствие текущим лучшим практикам. В целом мерой достаточности финансового обеспечения функции защиты является оценка способности компании противостоять актуальным угрозам. Главное — ​делать это разумно и эффективно.

— Легко ли найти взаимопонимание службы ИБ и руководства организации, обосновать расходы на ИБ?

— Нам очень повезло, что топ--руководство компании понимает и разделяет необходимость обеспечения информационной безопасности. Отрадно, что это отношение распространяется и на нижних управленческих уровнях. Расходы, их эффективность и достаточность для коммерческих компаний всегда будут краеугольным камнем. Все необходимые инструменты для обоснования расходов в компании имеются, и как с ними работать, вполне понятно. 

— В чём, на ваш взгляд, должен проявляться интерес бизнеса на уровне топ-менеджмента к решениям кибербезопасности и почему он не проявляется?

— Если под интересом к решениям кибербезопасности подразумевать применение этих решений для обеспечения защиты активов компании, то этот интерес проявляется на все 100 %. Например, в «Северстали» уже несколько лет развивается культура кибербезопасности. Путём применения различных организационных и технических мероприятий, с привлечением консалтинга и самостоятельно, реализуется масштабный проект, который активно поддерживается топ-менеджментом. 

РЕГУЛЯТОРЫ

— Банковским безопасникам по-своему повезло: у них есть прямой регулятор Банк России. На кого ориентируетесь вы? Есть ли у вас свой отраслевой регулятор? Или кто-то ещё выполняет такую функцию?

— Таким отраслевым регулятором выступает Министерство промышленности и торговли Российской Федерации (Минпромторг России), поскольку выполняет функции по выработке государственной политики и нормативно-правовому регулированию в сфере промышленного и оборонно-промышленного комплексов, промышленности строительных материалов (изделий) и строительных конструкций и т. д. В связи с последними изменениями в законодательстве государства в вопросах обеспечения безопасности критической информационной инфраструктуры, взаимодействие с Минпромторгом по вопросам ИБ стало более плотным. 

— Проходят ли у вас проверки? Кто проверяет? Какая система наказаний, штрафов или поощрений? Насколько это для вас хлопотно и затратно?

— Как и любое юридическое лицо, находящееся на территории РФ и выполняющее требования федерального законодательства по вопросам информационной безопасности и защите данных, предприятия «Северстали» взаимодействуют с такими регуляторами, как ФСБ, ФСТЭК, РКН, Минпромторг. Опыт полученных результатов проверок считаем положительным. 

— Можно ли сказать, что построение системы защиты информации в «Северстали» зарегулировано? Если да, то что это — ​требования регуляторов или естественные потребности бизнеса?

— Как и любая система управления, СУИБ требует фиксации правил в виде корпоративных и регуляторных нормативных актов. Когда в правилах находят своё отражение сбалансированные требования регуляторов, потребности бизнеса, лучшие практики и собственный опыт — ​это окно возможностей, которое приносит ещё большую пользу и гарантирует лучший результат в целом для системы менеджмента ИБ. 

— Из каких документов берёте требования по безопасности? Насколько это удовлетворительно? Какие плюсы и минусы? Ключевые проблемы?

— Ранее нас полностью удовлетворяла серия международных стандартов ISO 27ххх и других известных фреймворков. Что касается отечественных требований, это, безусловно, требования основных регуляторов (ФСБ, ФСТЭК, РКН, Минпромторг), ГОСТы. Из плюсов хочется отметить, что с каждым годом материалы от регуляторов становятся более ориентированными на текущую ситуацию и помогают бороться с актуальными вызовами на практике. 

Из минусов: за последний год принято так много изменений, что без специальной системы для большой компании с ними очень сложно справляться.

НЕПОСРЕДСТВЕННАЯ ПРАКТИКА

— Какие трудности вы испытываете в ходе практической работы?

— Трудности, порождаемые дефицитом: кадровым и технологическим в условиях геополитических ограничений. Реализация регуляторных требований, которые зачастую требуют значительных ресурсов. Но все эти трудности преодолимы. Отдельная трудность — ​объективное измерение уровня культуры кибербезопасности персонала.

— На кого из коллег вы ориентируетесь в своей работе? Кто или что для вас является Best Practice?

— Это отраслевые лидеры, компании — ​законодатели мод и с хорошим ресурсом на RND.

— Этот вопрос мы сначала сформулировали так: «Есть ли заметные отличия моделей нарушителя ИБ в современной металлургии от моделей нарушителя в ИБ банков?» Но если у вас нет опыта работы в банковской сфере, вопрос сформулирован некорректно. Давайте проще: какие особенности обеспечения ИБ характерны для предприятий металлургии?

— Основной особенностью ИБ для металлургического предприятия является защита производственных процессов и используемых для этого специализированных технологий, приложений и протоколов обмена информацией. Успешная реализация кибератаки может привести не только к простоям основного технологического оборудования (например, остановка домны является недопустимым событием: её нельзя запустить заново), но и к более значимым последствиям в целом. 

— Имеется ли по данной теме специфическая учебно-методическая литература?

— В целом скорее нет, чем да. Основными источниками такой информации для нас являются различные информационные материалы от отраслевых и федеральных конференций, отраслевых сообществ (например, БИП-клуб) и иных организаций. Хотя в последнее время отраслевые журналы тоже становятся значимым источником.

— Кто проводит вам консалтинг в ИБ? Практикуете ли аутсорс?

— Лидирующие компании-интеграторы или производители. Аутсорс мы практикуем, но в меру. Объявления о проведении конкурсных процедур по определению исполнителя в той или иной области ИБ размещаются на наших закупочных онлайн-платформах.

— На некоторых конференциях, например, от «Позитив», проводятся игры, в которых нарушаются/защищаются режимы работы крупных предприятий, в том числе в вашей отрасли. Насколько полезны такие игры?

— Безусловно, полезны. Мы сами практикуем проведение так называемого формата независимого теста на проникновения Red teaming, в рамках которого «красная» команда, состоящая из внутренних/внешних пентестеров, пытается выполнить задание и проникнуть внутрь нашей инфраструктуры, а «синяя» команда противостоит таким попыткам.

ТЕХНОЛОГИИ…

— Какие риски вы видите в использовании в вашей организации продуктов Microsoft и других зарубежных вендоров?

— Первый и самый актуальный для нас — ​отсутствие возможности получать гарантированные обновления используемых программных продуктов после окончания действий лицензионных соглашений. Второй, в противоположность первому, — ​потенциальное наличие недекларированных возможностей в пакетах обновлений без каких-либо гарантий доверия со стороны вендора.

— Как используется ИИ в ваших решениях? В частности, используются ли большие языковые модели типа ChatGPT и, возможно, близкие отечественные модели?

— В компании активно развивается данное направление. Традиционные ML-модели применяются в качестве цифровых помощников производственному персоналу и автоматизации рутинных операций. Для промышленных процессов используются технологии ИИ, такие как машинное обучение, компьютерное зрение. Уже несколько лет применяются технологии работы с большими данными для предиктивного анализа. Генеративные модели используются пока больше в качестве цифровых помощников для удобства работы с базами знаний, как чат-боты.

В ИБ, помимо инструментов, встраиваемых вендорами в свои решения, мы находимся на стадии апробации таких решений для проведения киберучений, маркировки внесистемно обрабатываемых документов, профилирования и выявления аномалий.

…И ИМПОРТОЗАМЕЩЕНИЕ

— Как идёт процесс импортозамещения? Есть ли проблемы?

— Есть области, где идёт на «ура», в некоторых областях фиксируем неготовность российских решений или потребность в использовании большого количества продуктов для получения требуемого функционала. Проблема в том, что на рынке всё ещё недостаточно конкурентоспособного оборудования для реализации функций защиты, требующих «тяжёлых» вычислений на различных уровнях. 

Ещё одна проблема — ​отказ иностранных производителей от поддержки программного обеспечения и переход на внутреннюю разработку. Это кратно увеличило объём использования свободно распространяемого ПО и программных продуктов собственной разработки. Как следствие, за последний год мы фиксируем десятикратный рост числа уязвимостей в таких продуктах — ​как случайных, так и умышленно предустановленных. Откликом на эти угрозы стал фокус на выстраивание процессов безопасной разработки. Упор сделан на процессы безопасной разработки новых проектов — ​порядка 90 % всех новых продуктов не имеют критичных уязвимостей, а средний скоринг по их безопасности удалось поднять с трёх до четырёх баллов (пять — ​максимальный). 

КАДРЫ

— Что с кадрами?

— Как и все отрасли, мы ощущаем кадровый голод и недостаток опытных специалистов. Приходится вкладывать значительные усилия в развитие приходящих молодых сотрудников, которые в силу поколенческой специфики своеобразно смотрят на профессиональный и карьерный рост. Кадровый голод и уход квалифицированного персонала приводят к более активному привлечению подрядчиков и внешних сервис-провайдеров.

— Как вы определяете потребность в кадрах ИБ? Как определяете портрет специалиста? Где берёте специалистов и как адаптируете?

— В «Северстали» практикуется применение драйверной модели численности, которая позволяет проводить оценку достаточности персонала для обеспечения бизнес-процессов. Привлечение персонала на вакантные должности в ИБ реализуется сначала из внутренних резервов (работники, желающие поменять область работы), затем идёт поиск готовых специалистов на рынке, и в последнюю очередь мы прибегаем к переквалификации профессионалов из смежных областей. Очень много молодежи из вузов мы привлекаем в качестве стажёров или практикантов. Адаптация проходит по методам, принятым в «Северстали»: кураторство, наставничество, обучение с помощью корпоративных программ и внешних провайдеров. 

— Если посмотреть на карту деятельности «Северстали», в неё попадает ряд региональных вузов. Ведётся ли в них подготовка специалистов, в частности, по ИБ по прямым договорам, программам, соглашениям?

— Да, ведётся. Основной фокус работы по подготовке молодых специалистов сосредоточен на Череповецком государственном университете. По нескольким причинам: нахождение в одном городе с основной производственной площадкой — ​металлургическим комбинатом; наличие кафедры информационной безопасности, отдельные дисциплины студентам которой преподают сотрудники наших подразделений. В настоящее время мы рассматриваем возможности расширения работы с вузами в других регионах присутствия.

Также мы активно приглашаем студентов пройти практику в наших подразделениях, а выпускников — ​принять участие в программе стажировки. При таком подходе мы присматриваемся к потенциальным сотрудникам, а они оценивают свои возможности и преимущества работодателя. Кроме того, мы заключили соглашение с нашим опорным вузом, в рамках которого на коммерческой основе привлекаем студентов кафедры для выполнения различных задач.

Вопросы задавал Игорь Некрасов