Николай Нашивочников
Заместитель генерального директора — технический директор компании «Газинформсервис».
В 2001 году покинул стены ставшего родным Краснодарского высшего военного училища (военного института) имени генерала армии С. М. Штеменко и проходил службу в рядах Вооруженных Сил Российской Федерации в подразделениях по защите государственной тайны.
До прихода на работу в ООО «Газинформсервис» занимался вопросами организации и обеспечения режима секретности в Северо-Западном объединении ВВС и ПВО, глубоко погружался в вопросы обеспечения безопасности информации на объектах вычислительной техники объединения.
В ООО «Газинформсервис» прошел путь от ведущего инженера по защите информации до заместителя генерального директора — технического директора. Стаж работы в сфере информационной безопасности 17 лет, из них почти 12 лет в ООО «Газинформсервис».
Николай Нашивочников, заместитель генерального директора, технический директор ООО «Газинформсервис», поделился с читателями Anti-Malware.ru своим мнением о перспективах импортозамещения, рассказал об отличиях европейского GDPR от нашего ФЗ-152, о распространении искусственного интеллекта и о векторах дальнейшего развития компании.
Одной из наиболее значимых тенденций для рынка ИБ и ИТ за последние несколько лет является объявленная государством программа импортозамещения. К каким изменениям на рынке это привело?
Н. Н.: Компании, для которых сегмент государственных структур и корпораций является целевым, воспользовались «окном» возможностей. Они активизировали разработку и поставку продуктов-аналогов. Объемы их продаж выросли. Некоторые зарубежные вендоры, чтобы остаться на российском рынке, приняли решение по локализации разработки своих продуктов (трансфер технологий). На создание продуктов, не уступающих по качеству и функциональным возможностям аналогичным решениям мирового уровня, требуется время, ресурсы и серьезные инвестиции.
При этом мы наблюдаем, что рынок средств защиты информации оказался более подготовлен к санкционной политике по сравнению с ИТ. На рынке средств защиты информации представлено большое количество конкурентоспособных решений отечественного производства. Наиболее широкий выбор наблюдается по направлению систем защиты от утечек информации, защиты от вредоносного воздействия, анализа защищенности и др. Что касается рынка ИТ, отечественные производители ведут активную работу в этом направлении, но на данный момент мы сталкиваемся с отсутствием полноценных российских аналогов по ряду технологических направлений.
Сейчас не все зарубежные решения можно заменить отечественными, но есть такие, в которых прослеживается отечественная уникальность, или, скажем, они разработаны с учетом российской специфики и требований сертификации.
Какое отношение у самих заказчиков к импортозамещению? Есть ли в этом помимо политики какой-то экономический смысл или повышение эффективности ИБ?
Н. Н.: Ощущается как негативное отношение ввиду незрелости отдельных классов продуктов и замещения средств с ограниченной функциональностью, так и положительное — помимо очевидно политической составляющей, налицо экономические выгоды. Капитал остается внутри страны. Большой спрос на отечественные решения позволяет производителям получать дополнительную прибыль, которая инвестируется в R&D.
Всё большее число наших заказчиков начинают понимать, что высокотехнологичная безопасность не может стоить дешево. Экономические выгоды от приобретения незрелых продуктов-аналогов в действительности могут быть полностью нивелированы сложностями дальнейшей эксплуатации, повышенными рисками информационной безопасности из-за низкой надежности и эффективности подобных средств.
Что будет происходить далее в свете санкций со стороны Запада в отношении ряда крупных российских коммерческих компаний? Предполагается, что они сами будут импортозамещаться фактически добровольно.
Н. Н.: У коммерческих компаний в целом сохраняется выбор между импортными и отечественными решениями. При этом стоит понимать, что со стороны государства прослеживаются действия, направленные на постепенную реализацию цифрового суверенитета. Ужесточается контроль за интернетом («пакет Яровой»), меняется законодательная база (№ 187 — ФЗ о безопасности КИИ РФ), в рамках которой создается государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, и т. д.
Крупным коммерческим компаниям нужно быть готовым к требованиям завтрашнего дня. Санкционной политике уже несколько лет, и нет предпосылок для изменения ситуации. В этой связи оправданны меры, предпринимаемые крупными компаниями по снижению рисков в долгосрочной перспективе (3-5 лет). Этого снижения возможно достичь путем максимального замещения высокотехнологичных продуктов зарубежных вендоров на российские даже путем увеличения текущих операционных затрат, снижения качества.
В каких сегментах рынка нам в ближайшее время удастся создать конкурентные решения по ИБ, а в каких это невозможно сделать в принципе?
Н. Н.: Наиболее широкий выбор отечественных продуктов характерен для тех средств, которые до введения санкций отмечены регуляторами в качестве обязательных и рекомендуемых. Выбор российских продуктов также обширен в области антивирусной защиты, межсетевого экранирования, VPN-решений, DLP-систем, средств защиты от несанкционированного доступа, анализа защищенности, средств криптографической защиты информации. Активно совершенствуются продукты обнаружения и управления инцидентами ИБ, управления идентификационными данными и доступом, решения по защите систем технологического управления.
В настоящее время уже начинают появляться качественные решения класса поведенческого анализа (UEBA) с использованием современных технологий машинного обучения и искусственного интеллекта. В нашей стране традиционно сохранилась хорошая математическая школа, и интерес к программированию, разработке растет с каждым годом.
Что касается второй части вопроса, скажу так — нет ничего невозможного. Необходимо только оценить целесообразность разработки, затраченных ресурсов и времени.
Насколько вступление в силу европейского GDPR (General Data Protection Regulation) повлияло на российский рынок?
Н. Н.: Принципы экстерриториальности и наднациональности, заложенные в основу нового европейского Регламента, распространяют действие документа на множество российских компаний, чья деятельность связана с ЕС. Реакция на GDPR со стороны российских компаний была весьма оперативной. Например, многие авиаперевозчики в первый же день действия Регламента опубликовали на своих сайтах новые формы согласий на обработку ПДн. Заинтересованность в приведении организаций в соответствие GDPR на данный момент очень высока. Разумеется, прежде всего всех интересует минимально необходимый состав работ, чтобы быть уже сейчас готовыми к обращениям со стороны регуляторов и контрагентов из ЕС, а также тех граждан, чьи права и свободы призван защищать новый Регламент.
В чем ключевые отличия европейского GDPR от нашего ФЗ-152?
Н. Н.: Во-первых, это уже упомянутые выше принципы экстерриториальности и наднациональности, определяющие границу действия Регламента, выходящую далеко за пределы ЕС. Во-вторых, существенно более высокие штрафы за нарушения требований Регламента. Назначаемые судами штрафы должны быть вразумляющими, и заданные в GDPR диапазоны штрафов позволяют применять их к компаниям самых различных масштабов. В-третьих, Регламентом предусмотрена расширенная ответственность операторов перед регуляторами и субъектами ПДн с одной стороны, и полномочия регуляторов и права субъектов ПДн с другой. Наконец, в-четвертых, можно выделить ряд процессов и процедур, подлежащих реализации в компаниях в соответствии с GDPR, которые в свою очередь отсутствуют в нашем законодательстве.
В то же время и в GDPR, и в нашем законе «О персональных данных» существует много общего. Можно утверждать, что после проведения всех необходимых мероприятий для исполнения требований российского законодательства ваша компания будет в значительной степени соответствовать и требованиям GDPR.
Что нужно делать российским компаниям, подпадающим под действие GDPR?
Н. Н.: Как я уже говорил, существует множество пересечений в части требований между российским законодательством и GDPR, поэтому, вне зависимости от того, подпадает ли ваша компания под действие GDPR или нет, в первую очередь я рекомендую выполнить все требования ФЗ-152 «О персональных данных» и подзаконных нормативных актов.
После этого следует провести адаптацию разработанных документов (в том числе их перевод на английский язык) под требования GDPR, а также реализовать недостающие процессы, предусмотренные GDPR и отсутствующие в нашем законодательстве.
Через форму на сайте «Газинформсервис» можно получить бесплатную консультацию по этому и другим вопросам исполнения требований GDPR.
Ключевая тема этого года — 187-ФЗ, ГосСОПКА и безопасность КИИ. Участвует ли ваша компания в проектах по ГосСОПКА и какие ваши продукты и услуги могут быть для этого использованы?
Н. Н.: Богатый опыт и знания специалистов нашей компании позволяют предлагать решения по созданию сегмента ГосСОПКА с учетом особенностей бизнес-процессов конкретного заказчика даже в условиях недостаточной степени готовности нормативно-правовой базы. Практически все используемые нами продукты и решения при правильном применении и достаточной зрелости процессов управления ИБ у заказчика могут стать ценными источниками информации о признаках компьютерных инцидентов, возникающих в том числе в результате проведения компьютерных атак в отношении объектов КИИ. У нас есть опыт интеграции систем обеспечения информационной безопасности ведущих мировых производителей, а также налажен процесс развития собственных решений класса SIEM, UEBA, GRC, Vulnerability Management и Asset Management, являющихся, согласно имеющимся требованиям федерального законодательства, основой сегмента ГосСОПКА.
Как правильно подходить к проблеме категорирования объектов КИИ на предприятии? Какие информационные системы можно здесь использовать?
Н. Н.: При категорировании объектов КИИ в первую очередь необходимо оттолкнуться от сферы деятельности самого предприятия и определить, в рамках каких федеральных норм на текущий момент обеспечивается безопасность этого предприятия. Предлагается в качестве основы использовать весь имеющийся в организации опыт, включая, например, реализуемые требования промышленной безопасности, требования к объектам топливно-энергетического комплекса или соответствующие требования к государственным информационным системам. В процесс категорирования необходимо вовлечение должностных лиц как можно большего числа подразделений предприятия, чей опыт позволит правильно оценить последствия возможных компьютерных инцидентов.
Помимо формальных действий по выполнению требований 187-ФЗ и подзаконных актов, что вы рекомендуете сделать для повышения реального уровня безопасности объектов КИИ и АСУ ТП в целом?
Н. Н.: Всем известно, что, несмотря на постоянно растущую эффективность средств защиты информации и систем автоматизированного обеспечения безопасности предприятий, наиболее уязвимым местом в безопасности предприятия/системы является человек. Именно культуре информационной безопасности персонала, уровню осведомленности, степени оснащенности и уровню подготовки необходимо, на мой взгляд, уделить первоочередное внимание. Вместе с этим, для устойчивого функционирования и поддержания достаточного уровня защищенности предприятий с высокой степенью автоматизации бизнес-процессов в условиях современных вызовов необходимо постоянное взаимодействие должностных лиц, ответственных за информационную безопасность в рамках организаций, с центрами экспертизы и поддержки принятия решений на базе Security Operation Center.
Какова, по вашей оценке, перспектива применения технологий машинного обучения и искусственного интеллекта в ИБ?
Н. Н.: По-моему, применение в ИБ этих технологий весьма перспективно. Постоянный рост объемов защищаемой информации и растущая изощренность атак требуют обработки и анализа большого количества данных из разнородных источников. Справиться с этим традиционными средствами, особенно в тех областях ИБ, где точность и время реагирования являются определяющими для качества защиты, становится затруднительно. Кроме этого, классический подход на основе задания правил может работать недостаточно эффективно в таких областях как анализ поведения пользователей и сущностей (UEBA), анализ сетевого трафика, выявление аномалий на основе корреляции событий в информационных системах и ИТ-окружении.
Ну и, наконец, просто возникают новые классы задач ИБ, в первую очередь связанные с развитием ИТ, где традиционные методы и программные продукты недостаточно эффективны. Например, обеспечение безопасности в среде интернета вещей (IoT).
В таких условиях определяющим фактором успеха является возможность по распознаванию и предсказыванию пока неизвестных атак. Я считаю, что алгоритмы искусственного интеллекта вообще и машинного обучения в частности в наиболее полной мере предоставляют такие возможности.
На текущий момент я считаю особенно перспективным использование алгоритмов машинного обучения при уходе от выявления «атомарных» (или «элементарных») инцидентов ИБ в сторону комплексного анализа и выявления угроз ИБ. Например, определение стадий и этапов, на которых находится атака в соответствии с той или иной моделью Kill Chain, прогнозирование развития этой атаки. Представляется, что такие возможности могут быть востребованы при реализации Security Operation Center и оценивания эффективности его функционирования.
Какие наработки в области ИИ есть в вашей компании?
Н. Н.: Алгоритмы машинного обучения и распознавания паттернов применяются в прикладных модулях поведенческой аналитики пользователей, анализа операций с объектами файловой системы, анализа сетевого трафика разрабатываемой платформы расширенной аналитики Ankey ASAP (Advanced Security Analytics Platform).
Кроме этого, прошли практическую апробацию в пилотных проектах алгоритмы распознавания и прогнозирования состояний объектов в задачах оперативного мониторинга сложных технологических систем.
Если говорить про перспективу, то на текущий момент мы активно осваиваем технологии и методы машинного обучения для расширения возможностей традиционных систем ИБ: SIEM, IDS/IPS, DLP и др.
В контексте многочисленных скандалов с прослушкой разговоров и перехватом трафика в сетях связи — какие средства защиты могут стать наиболее востребованными?
Н. Н.: Если говорить о технических средствах, то защиту от подобных атак условно можно разделить на несколько классов.
Первый — использование специальных средств связи, где применяется шифрование на аппаратном уровне. Характерное использование такой защиты — спецслужбы, государственные служащие и т. д.
Второй — защита на уровне оператора связи, где должны использоваться специальные системы обнаружения атак, позволяющие выполнять анализ сигнального трафика (SS7, он же ОКС№7) в режиме реального времени и проводить блокировку нежелательных служебных сообщений.
Третий — использование наложенных средств защиты данных и голоса. Примером может служить использование VPN-клиента совместно с VoIP-клиентом.
«Газинформсервис» помимо основной деятельности в качестве системного интегратора является довольно крупным производителем средств защиты информации. Что побудило вас к активному развитию этого направления бизнеса?
Н. Н.: В ходе своей деятельности нам приходилось часто взаимодействовать с вендорами по вопросам доработки продуктов в интересах заказчиков. Имея большой опыт интеграции сторонних решений, понимая их сильные и слабые стороны, сознавая потребности в необходимых функциях, создание собственных продуктов казалось весьма перспективным и закономерным развитием.
Кроме того, занимаясь разработкой средств защиты информации и осуществляя их поддержку, можно значительно быстрее реагировать на изменяющиеся условия в области ИБ, тем самым обеспечивая высокий уровень сервиса.
И, безусловно, задачи по производству собственных средств — это задачи по исследованию новых технологий и новых предметных областей, позволяющие приобретать необходимый опыт и знания, а значит, двигаться вперед.
Спасибо за интервью. Успехов!