Евгений Акимов
Признанный эксперт по кибербезопасности и опытный руководитель. Долгое время занимался развитием бизнеса информационной безопасности в ИТ-интеграторах и ИБ-вендорах, таких как "Инфосистемы Джет", "Софтлайн", "Открытые технологии" и "Инфотекс".
Руководил подразделением по информационной безопасности в компании R-Style. В настоящее время возглавляет Дирекцию кибербезопасности АО «Концерн «Калашников», которая обеспечивает защиту от киберугроз нескольких заводов оборонно-промышленного комплекса России.
Имеет профильное образование – в 1999 году с отличием закончил факультет Информационной безопасности Московского инженерно-физического института (МИФИ).
Евгений Акимов, директор по кибербезопасности Концерна «Калашников», поделился с Anti-Malware.ru своим видением проблем, стоящих перед производственными предприятиями, и перспектив их решения, а также поделился собственным опытом выбора продуктов для обеспечения информационной безопасности.
Расскажите, пожалуйста, о концерне и Вашем круге обязанностей. Название слышали все, но не каждый детально представляет, что вы выпускаете помимо автоматов.
Е. А.: Когда мы слышим «Концерн “Калашников”», то понятно, какой образец продукции всплывает в памяти у любого человека. И действительно, наше стрелковое направление является самым узнаваемым. Но кроме этого у нас есть другие производства — не только в Ижевске, и не только стрелкового оружия.
Практически каждое наше предприятие, кроме продукции военного назначения, производит и гражданскую продукцию. Общая численность персонала предприятия — десятки тысяч человек.
Мы занимаемся обеспечением кибербезопасности всего концерна. Естественно, плотнее всего мы работаем в том контуре, где есть сквозные процессы управления — не только в области кибербезопасности, но и по другим бизнес-направлениям.
В контексте доклада, сделанного Вами на ITSF-2019, интересно было бы поговорить о приоритетах в информационной безопасности для производственных компаний. Ориентируясь на Ваш опыт, с чего стоит начать?
Е. А.: В целом в промышленности, в том числе — оборонной, оснащенность средствами защиты значительно ниже, чем, например, в банках или телекоммуникационных компаниях. Нельзя сказать, что это было как-то необоснованно, поскольку уровень рисков кибербезопасности для промышленной отрасли раньше был существенно ниже.
Сейчас на предприятиях идет процесс автоматизации технологических процессов. Можно сказать, что рано или поздно практически все производственные предприятия перейдут в индустрию 4.0. И в рамках этого перехода резко возрастает уровень рисков кибербезопасности.
Конечно, уровень защиты на промышленных предприятиях — далеко не нулевой. Как правило, это — средства защиты конечных точек, прежде всего антивирусной (они присутствуют практически везде), файрволы, есть внутренние VLAN, где-то используют средства контентной фильтрации - DLP-системы. Часть предприятий пошла по пути внедрения систем автоматизированного управления правами доступа — IdM-систем.
Чтобы оттолкнуться от того, что существует, и сделать следующий шаг, я порекомендовал бы посмотреть на то, что мы хотим получить в итоге, т. е. начать с конца. Тут бы я предложил разделить угрозы на внешние и внутренние, потому что механизмы противодействия для них — разные, и это разделение нам дает неплохой эффект. И еще я бы рекомендовал при выборе механизмов защиты исходить из тех задач, которые стоят перед самим предприятием.
Необходимо начать с модели угроз?
Е. А.: Да, но, многие тратят слишком большое количество времени на аудит. Но на самом деле основные угрозы чуть ли не интуитивно понятны и актуальны практически для всех компаний. Надо смотреть на то, что мы можем сделать, чтобы у нас был минимум инцидентов, связанных с внешними проникновениями и вирусными эпидемиями. Соответственно, почему обычно эти инциденты происходят? Часто виновата непропатченность прикладного софта, средств защиты, инфраструктурных решений. Чтобы двигаться дальше, необходимо реализовать процесс управления уязвимостями, который складывается из регулярного их поиска, регулярного же пентеста и, конечно, взаимодействия с ИТ-подразделением и контроля над ним.
Есть рекомендации для банковской отрасли: проводить пентест ежеквартально. Для промышленности уже неплохо, если это будет выполняться хотя бы раз в год. Затем должен начаться действенный процесс проработки замечаний, чтобы обнаруженные уязвимости закрывались. Если мы реализуем этот процесс полноценно, то защищенность поднимется на качественно новый уровень.
А сейчас ситуация в отрасли такова, что даже если года два или три назад был закуплен сканер защищенности, то результаты его работы никак не используются: отчеты кладутся в стол, итоги забываются. При повторном тестировании через год выясняется, что остались те же уязвимости. И все повторяется по кругу.
По поводу защиты от внутренних угроз: прежде всего нужно заниматься правильной «нарезкой» прав доступа. Отчасти это — техническая задача, отчасти — организационная. Пункт номер 2 — контроль коммуникаций, чтобы сотрудники не пересылали между собой (и тем более за периметр) коммерческую тайну. Возможно, для высоко зрелых предприятий в плане кибербезопасности пригодятся и какие-то элементы UEBA. Упомянутые шаги являются своеобразным фундаментом и крышей для информационной безопасности, и уходить в сторону узкоспециализированных средств защиты (продолжая аналогию – клеить обои), когда нет базы и не закрыты основные риски, скорее всего, неэффективно.
Получается, что базовый набор методов и средств защиты неплохо коррелирует с требованиями регуляторов. А вообще, насколько позиция и требования наших регуляторов помогают в работе, например, для обоснования бюджетов?
Е. А.: Это — тема для отдельного интервью (смеется). Понятно, что на нашу работу сильно повлиял Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», 187-ФЗ. Он коснулся большого количества отраслей, в том числе и нас. Мы производим продукцию для обороны нашей страны, являемся предприятием ОПК и, следовательно, подпадаем под действие нормативных актов о КИИ.
Очень интересен подход, который описан и в самом законе, и в подзаконных актах. Если изобразить методологию крупными мазками, то вначале нужно выделить объекты критической информационной инфраструктуры, а потом категоризировать по их влиянию на экологию, на обороноспособность страны и так далее. Фактически это — оценка рисков по тем направлениям, для которых предприятие, скорее всего, не делало соответствующего анализа внутри себя, но они важны для государства и всего общества в целом. Государство говорит, что если ваши объекты информационной инфраструктуры влияют на жизнеобеспечение населения (отопление, электроснабжение, канализация…), то этим надо заниматься. Само предприятие, в своей оценке рисков, этому вряд ли бы уделило должное внимание.
На основе оценки делается следующий шаг: выбор механизмов защиты. Получается, что наша нормативная база по безопасности КИИ фактически повторяет идеи общепризнанного стандарта ISO 27001, который является лучшей мировой практикой в области управления кибербезопасностью. Требования к безопасности КИИ в целом довольно прогрессивны и позволяют применять механизмы защиты не слепо, а только там, где они действительно нужны.
Таким образом, методологическая помощь от регуляторов есть — это во-первых. Во-вторых, вводится ответственность за неисполнение этого закона, в том числе уголовная. Можно посмотреть для сравнения на защиту персональных данных, где используется иной подход: тебя могут наказать, если ты не соответствуешь нормативным требованиям (оштрафовать, причем штрафы еще и не очень большие). А за разглашение персональных данных отдельной ответственности как таковой нет. С новым законом «О КИИ…» ответственность намного серьезнее.
А кто в вашей организации является лицом, ответственным за исполнение требований ФЗ-187?
Е. А.: Все прописано в законе: это первое лицо компании, пока не издан соответствующий приказ по организации. Конечно, целесообразно эту ответственность переместить ниже, что и делает большинство субъектов КИИ, в том числе мы.
Насколько эта ответственность повышает вес и роль директора по информационной безопасности?
Е. А.: Еще рано давать полную оценку ситуации, т.к. правоприменительной практики по соответствующей статье УК 274.1 пока нет. Эффективно, если для позиции директора по кибербезопасности сразу определены широкие полномочия и есть возможность инициировать отмену любых инициатив, если они критически влияют на уровень киберзащиты. Но мы ни разу не пользовались такой схемой благодаря тому, что большинство руководителей относится с пониманием к соответствующим вопросам, и обычно нам удается найти компромиссное решение с точки зрения и безопасности, и бизнеса без подобной эскалации.
Сейчас госорганизации формально или неформально вынуждают переходить на российское программное обеспечение. В связи с этим появляется много молодых команд и стартапов, которые предлагают свои российские продукты. Понятно, что здесь возникают определенные риски. Как не потерять в качестве защиты?
Е. А.: Надо смотреть правде в глаза - не всё, что делается в России, имеет высокое качество.. У нас есть действительно очень мощные производители, которые традиционно и даже в досанкционную эпоху занимали хорошие сегменты рынка в России. Их немного, и сейчас их позиции на внутреннем рынке усилились. Если говорить о выборе, то мы находимся под санкциями, американские компании не могут нам продавать собственную продукцию, но есть большой пласт компаний, которые не присоединились к санкциям. Это — прежде всего израильские компании, и мы активно смотрим в эту сторону. Израиль традиционно силён в решениях для обеспечения кибербезопасности, и мы там для себя находим решения, которые отсутствуют или слабые у отечественного производителя. Но, к сожалению, остаются белые пятна, которые не закроешь ни российскими, ни израильскими продуктами.
Вариант с использование решений от отечественных стартапов достаточно сложный, потому что по статистике из десяти стартапов выживает меньше пяти. Если начать внедрять продукты, приобретя их у тех компаний, которые неожиданно прекратят свое существование, то просто потратишь свои силы впустую и вернешься в исходную точку. Вендоры, которые давно стоят на ногах и осваивают новые для себя продуктовые направления, в этом смысле намного надежнее.
На что стоит обращать внимание? Если нет доверия к компании в целом, то, наверное, нет смысла даже тестировать?
Е. А.: Элемент доверия должен присутствовать в бизнесе. Начинать надо не с пилота, а с общения с другими потребителями, потому что прогнать через себя десять пилотов по одному направлению — очень большая по ресурсам задача. Можно за два дня пообщаться с десятью пользователями рассматриваемых продуктов, которые успели хотя бы пропилотировать каждое из этих решений (а в идеале — внедрить и начать использование), и получить хороший фидбек. На его основании уже строится шорт-лист, с которым можно работать.
Внешние сравнения здесь могут как-то помочь?
Е. А.: Безусловно, и в своей работе мы сталкивались с тем, что когда приглашали компании рассказать о своих продуктах, то по итогам встречи понимали: увы, надо искать дальше. Если бы мы имели доверенный источник по функциональному сравнению продуктов заранее, это значительно бы упростило жизнь, и мы бы не делали холостых встреч, а сразу смотрели на те компании, которые располагают зрелыми функциональными решениями.
Если говорить об импортозамещении, то где всё хорошо с российскими компаниями, а где — не очень?
Е. А.: К сожалению, проще описать то, где дела обстоят хорошо: AV, DLP, сканеры защищенности. Подтягиваются IdM, WAF и SIEM. Остальное надо смотреть, ситуация меняется довольно быстро, и «антирекомендации» по слабым продуктам быстро устаревают. И это, конечно, радует.
Им не хватает зрелости?
Е. А.: Есть ряд российских продуктов, которые пока рано ставить в один ряд с мировыми аналогами. Очень многие из них выросли из решений, которые и раньше покупались «для галочки» из-за формального наличия сертификата. А ведь многие РД ФСТЭК, по которым до сих пор проводится сертификация, писались в 90-х годах, и даже более того — в их основу ложились более ранние западные наработки. Получается, что такой сертификат, выданный вчера, подтверждает, что этот продукт соответствует мировым практикам 20- и более летней давности! Естественно, мировые лидеры качественно ушли вперед.
Если говорить о перспективных и новых направлениях, тот же самый поведенческий анализ, UEBA, Threat Hunting и так далее — что можно отметить как наиболее интересное для тестирования, при условии, что базовый набор средств защиты уже реализован? Что может принести пользу?
Е. А.: Можно делать какие-то кабинетные исследования, а можно подключить практику и проводить пилоты. Скажем, недавно мы делали один пилот и не увидели пользы для нас. Все вроде работает, но ни одного инцидента в течение года не было обнаружено. Спрашивается: зачем такой продукт нужен?
Еще история, с другим продуктом. Я пообщался с банком, который уже купил его, на предмет опыта использования. Они долго отнекивались, а потом стало понятно, что они закупили систему, и она у них не работает. Эти деньги были выкинуты на ветер, и показать и даже рассказать им было нечего.
Поэтому при выборе нужно быть крайне осторожным, и референсы очень важны. Здесь я сильно не завидую стартаперам: у них получается замкнутый круг. Они делают какое-то решение, но прагматичные заказчики не станут его использовать, пока не будет референсов, а референсов не будет, пока кто-то не начнет использовать продукт.
Спасибо за интервью и желаем успехов!