Интервью с Алексеем Москалевым, руководителем Центра компетенций системы информационной безопасности ООО «РусГидро ИТ сервис»

Алексей Москалев: Рынку нужно комплексное отечественное решение для защиты АСУ ТП

Алексей Москалев: Рынку нужно комплексное отечественное решение для защиты АСУ ТП

Алексей Москалев

Окончил Чувашский государственный университет им. И.Н. Ульянова по специальности «Вычислительные машины, комплексы, системы и сети». 

В период с 2004 по 2009 год прошел путь от электромеханика по ремонту счетно-вычислительных машин до ведущего инженера службы Автоматизированных систем диспетчерско-технологического управления Чебоксарской ГЭС.

В 2009 году возглавил отдел Комплексных информационных систем Чебоксарской ГЭС и Центр компетенции «Сетевого и системного администрирования» РусГидро.

В 2011 году был приглашен в Департамент информационных технологий РусГидро на должность Главного эксперта.

С 2018 года возглавляет Центр компетенций «Системы информационной безопасности» ООО «РусГидро ИТ сервис».

...

Алексей Москалев, руководитель Центра компетенций системы информационной безопасности ООО «РусГидро ИТ сервис», рассказал, почему должна быть решена задача по импортозамещению средств защиты АСУ ТП.

Вы являетесь внутренним системным интегратором РусГидро и должны хорошо видеть изменения ландшафта угроз и задач ИБ. Каковы тенденции и динамика? Какие риски и угрозы информационной безопасности выходят на первый план, и какие задачи с точки зрения ИБ наиболее приоритетны?

А. М.: Поскольку мы — компания с государственным участием, то для нас выполнение требований законодательства является одной из обязательных и важнейших составляющих деятельности наших подразделений ИБ. Если ранее основным драйвером в информационной безопасности было соответствие ФЗ-152 («О персональных данных»), то с выходом ФЗ-187 («О безопасности критической информационной инфраструктуры Российской Федерации») приоритетными для нас стали уже его задачи. В то время как ФЗ-152 и защита коммерческой тайны касаются корпоративных информационных систем, ФЗ-187 говорит о том, что нужно защищать и технологический сегмент. Одним из условий устойчивого роста экономики являются стабильность и высокая эффективность производств, которые, в свою очередь, обеспечиваются высокой степенью автоматизации, поэтому государство считает, что следует уделить больше внимания технологическим процессам и их безопасности.

То есть на данный момент основным драйвером является ФЗ-187?

А. М.: Да, верно.

Его влияние можно охарактеризовать как положительное, или есть свои отрицательные стороны?

А. М.: Здесь есть две пересекающиеся тенденции. Появление ФЗ-187 — однозначно положительное явление. Но параллельно с его выходом у нас движется задача по импортозамещению, и мы тоже обязаны её решать, поскольку это касается компаний с государственным участием. Тут мы сталкиваемся с тем, что для выполнения положений ФЗ-187 мы должны использовать отечественные продукты, которые, к сожалению, не всегда являются полнофункциональными аналогами лучших зарубежных разработок. Поэтому — да, ФЗ-187 полезен, но вопросы, которые мы решаем по импортозамещению, отчасти корректируют тот положительный эффект, которого можно было бы достичь (и достичь быстрее) с использованием международных аналогов. С другой стороны, объективно, процесс импортозамещения тоже необходим, и, возможно, со временем наши продукты догонят иностранцев.

Я правильно понимаю, что импортозамещение обязательно с точки зрения этого закона?

А. М.: Оно обязательно, но не с точки зрения ФЗ-187. Есть соответствующий регламентирующий документ Министерства цифрового развития, связи и массовых коммуникаций, который обязывает компании с государственным участием в течение трех лет, начиная с 2019 года, соблюдать четкое процентное соотношение по каждому типу систем: сколько должно быть отечественного и сколько импортного, в том числе — среди вновь закупаемого оборудования и программного обеспечения.

С какими сегментами средств защиты возникают наибольшие проблемы с точки зрения импортозамещения, чего сейчас на рынке не хватает из отечественного?

А. М.: Учитывая относительно молодую историю отечественного рынка комплексных решений ИБ, пространство для роста есть везде.

Хотя бы с антивирусами нет проблем?

А. М.: Антивирусы в АСУ ТП — отдельная тема, если вообще не ключевая система. Основная проблема в использовании отечественных систем и средств защиты информации заключается в том, что есть отдельные хорошие продукты, но поскольку мы защищаем АСУ ТП комплексно, нам нужно комплексное решение. И, к сожалению, на текущий момент полноценно зрелых отечественных разработок, которые могли бы предоставить достаточно полный комплекс покрытия ландшафта угроз, нет. Есть некоторое множество решений, каждое из которых закрывает определенное направление; как это всё вместе сконструировать и «сдружить» — отдельный вопрос. При этом стоит отметить, что и на саму инфраструктуру решений АСУ ТП импортозамещение тоже оказывает влияние, т.е. сами системы АСУ ТП находятся в переходном состоянии, а в таких условиях достаточно трудно прогнозировать и разрабатывать решения ИБ с высокой степенью комплексности и интеграции. У импортных продуктов развита более полноценная среда в рамках одного вендора или их группы.

Сами производители технологического оборудования активно делают сейчас что-то для обеспечения безопасности?

А. М.: Делать пытаются, по-моему, все или многие. Количество решений на рынке возрастает. Но тут мы сталкиваемся с обратной стороной данного процесса. Поскольку процесс регулируется и зарегламентирован государством, и оно в обязательном порядке говорит о том, что нужно делать, некоторые компании, являющиеся в какой-то степени уникальными или оставшиеся без конкурентов в отсутствие иностранных разработок, ведут себя не очень клиентоориентированно — это, кстати, справедливо не только для рынка ИБ, но и для решений АСУ ТП. Они знают, что мы в любом случае будем обязаны купить их продукт. Это, соответственно, отражается на дальнейшей технической поддержке и оказывает стагнирующее воздействие.

Если мы перешли к защите технологических сетей, то меня всегда интересовал следующий момент. Если у нас, допустим, есть оборудование какой-нибудь известной компании, например, Siemens или Schneider Electric, и мы со своей стороны отдельно пытаемся его защищать, устанавливая и внедряя сторонние средства защиты, то нет ли здесь серьезных осложнений с точки зрения потери гарантии со стороны вендора этого оборудования, а также обеспечения совместимости?

А. М.: Есть, это — большая проблема. Если мы говорим о том, что уже внедрено и работает, то при организации безопасности этих решений мы ставим средства защиты где-то рядом, вокруг, около. И да, в случае неправильной инсталляции или какой-то более глубокой интеграции со средствами АСУ ТП гарантия может пропасть. Поэтому делать так не всегда целесообразно и безопасно с точки зрения соблюдения дальнейшего технологического процесса. С другой стороны, рынок движется к тому, что всё больше производителей систем АСУ ТП смотрят в сторону безопасных разработок — Secure by Design. Такие продукты уже обладают встроенными средствами защиты, но тут мы сталкиваемся с тем, что некоторые вендоры используют Secure by Design как маркетинговый ход. Когда начинаешь брать их оборудование или софт, выясняется, что там мало что есть для создания реального контура защиты. Впрочем, как я уже говорил, изменения происходят и на отечественном рынке АСУ ТП-решений, и я знаю много отечественных производителей оборудования АСУ ТП, которые озадачены вопросом о том, чтобы сделать средства защиты информации уже встроенными в свои системы, дабы не навешивать потом что-то еще рядом.

В отношении встроенной защиты настанет ли в ближайшее время какое-то светлое будущее? Мне кажется, что все уже лет пять об этом говорят, но пока ничего особо не встраивается.

А. М.: На самом деле, на мой взгляд, проблема заключается в том, что производители АСУ ТП и разработчики электротехнического оборудования не обратили внимания на появление ФЗ-187, или, вернее, государство в недостаточной степени привлекло их внимание к нему. Сейчас, когда заказчики говорят, что нужно защищать АСУ ТП, производители только проникаются этой идеей. К ним также приходит поставщик средств защиты информации (которые должны, условно говоря, получить шильдик «совместимо») и спрашивает: «Если мы тут поставим свою “железку”, ваши продукты будут работать?». Полагаю, производители уже задумались: «а может, нам сразу это сделать?». Я думаю, через 3-5 лет их будет вполне много. Возможно, всем участникам этого процесса стоило бы начать не со встраивания подсистем безопасности в решения АСУ ТП (это весьма долго и дорого), а совместно наладить параллельную либо согласованную разработку решений АСУ ТП и адаптированных к ним систем защиты, изначально учитывающих и требования законодательства, и реальные угрозы.

Насколько требования закона помогают защититься от реальных угроз?

А. М.: Требования помогают обосновать выделение бюджетов на средства обеспечения безопасности, а это в наших реалиях — уже половина дела. Прежде процесс обоснования и защиты проектов по информационной безопасности был сложным и не совсем понятным, в том числе потому, что собственники производств не совсем четко представляют, зачем им нужны эти лишние траты (за исключением тех, кто уже обжегся). Сейчас всё гораздо проще: есть закон, его нужно выполнить. А дальше уже появляется вопрос о том, что ты будешь делать в рамках выделенного бюджета: только бумажки писать или строить реальную систему защиты информации. Тут уже, как говорится, кто во что горазд, кто что умеет.

То есть это всё зависит от конкретных людей? От их энтузиазма, от разумного подхода к делу?

А. М.: В большей степени, наверное, да. В конечном итоге пока всё-таки люди делают машины, а не наоборот. Как и везде, кстати.

В группе компаний «РусГидро» уже происходит категорирование объектов?

А. М.: Да, в соответствии с законом, всё выполняется в сроки.

А как идет подключение к ГосСОПКА?

А. М.: Так же, планируется согласно ФЗ-187, но не столько подключение, сколько передача информации об инцидентах ИБ, которые есть на предприятии. Мы работаем над этим, у нас есть соответствующие проекты в данном направлении. Точно могу сказать, что в обозначенные законом сроки мы уложимся.

ФЗ-187 вводит очень серьезные санкции по отношению к должностным лицам. Этот вопрос не всем понятен, и я очень много раз встречался с такими суждениями: если мы, допустим, отдаём какие-нибудь функции ИБ на аутсорсинг, то кто в конечном итоге несет ответственность? Какова мера ответственности вашей компании как внутреннего аутсорсера?

А. М.: Для полностью точного ответа понадобится консультация юриста, но, как я понимаю, суть ответственности по ФЗ-187 (включая подзаконные акты) — удержать внимание владельца КИИ на задачах обеспечения безопасности и не дать ему уйти от их решения, просто передав на аутсорсинг или обслуживание. Таким образом, в первую очередь ответственность несёт собственник объекта КИИ. В случае с «РусГидро» собственником является «РусГидро», то есть ответственность будет возлагаться на него, а не на интегратора или подрядчика; если же собственник докажет, что негативные последствия от нарушения работы КИИ стали причиной некачественной работы интегратора, то тут уже отвечать будет и интегратор. Конечно, в договоре, согласно которому внутренний интегратор / не внутренний интегратор / какая-то компания оказывает объекту КИИ те или иные услуги, необходимо указывать штрафные санкции; но могут «посадить» и владельца КИИ тоже. Поэтому владелец КИИ должен грамотно выбирать, кому он поручит ту или иную задачу, и контролировать сам процесс на всех этапах.

Не сильно ли это ограничивает применение аутсорсинга для компаний-субъектов КИИ? Ведь тогда возникает вопрос: «как я буду аутсорсить функции, если “посадят” и меня?»

А. М.: Не думаю. Просто будут более строгие требования к аутсорсерам со стороны собственников КИИ. Как я уже говорил, суть ответственности по ФЗ-187 — стимулировать владельца КИИ, чтобы он уделял внимание задачам обеспечения безопасности и не уходил от их решения за счет аутсорсинга или обслуживания.

Есть ли какие-то категории средств защиты, в которых чего-либо на данный момент остро не хватает?

А. М.: Чего-то определенного — вряд ли. Рынок насыщен узкими решениями, но беден комплексными. Более того, программа по импортозамещению позволяет приобретать иностранный продукт, если отсутствует отечественный аналог. Поэтому, наверное, было бы неправильно говорить о том, что чего-то не хватает, тут необходимо говорить о качестве представленных решений с точки зрения охвата задач ИБ.

Не было ли такого, что кто-то из западных вендоров отказывал в поставке продуктов?

А. М.: Я с таким не сталкивался.

Я ещё хотел бы спросить о SOC. У вас же внутренний SOC построен?

А. М.: Он сейчас строится. Да, недавно начал работать, но он находится в процессе настройки, отладки работы.

Насколько интересным было бы внедрение системы СУИБ? Есть ли такие планы?

А. М.: Она у нас внедрена.

То есть это не связано с SOC?

А. М.: Да, не связано. Процессы построения систем защиты информации в нашей компании идут очень давно. Я в ней работаю 15 лет, и, наверное, лет 12 из них с вопросами безопасности я точно сталкиваюсь, комплексные работы по построению СУИБ инициированы в конце 2006 г., и всё это время происходит поэтапное внедрение либо модернизация подсистем СУИБ. То есть защита непрерывно движется и строится, к этому вопросу в своё время подходили вполне продуманно, и при обеспечении выполнения требований ФЗ-152 сформировалась типовая и полноценная архитектура решений, которая и называется комплексной системой управления информационной безопасностью.

Реагирование подразумевает автоматизацию этого процесса?

А. М.: Мы как внутренняя аутсорсинговая компания не всегда занимались этим вопросом. Непосредственно информационной безопасностью мы занимаемся с 2017 года. Нашей ключевой задачей в настоящий момент стало проектирование, интегрирование и поддержание в работоспособном состоянии средств защиты информации, которые мы внедрили — как сами, так и с помощью других, внешних компаний. Управление и контроль в данных системах осуществляют офицеры безопасности, которые не всегда являются сотрудниками «РусГидро ИТ Сервис». Эти офицеры безопасности — самостоятельная единица, они есть внутри холдинга, а в SOC первая линия — за нами. Но автоматизация в реагировании крайне необходима, т.к. человек оперативно не способен воспринять сотни-тысячи серий событий безопасности длительностью в доли секунды, выявить угрозу, классифицировать инцидент, спрогнозировать последствия и принять адекватные меры. Роль человека состоит в том, чтобы научить систему ИБ идентифицировать инциденты и адекватно реагировать на них; в этом направлении мы и стараемся двигаться.

Есть ли на данный момент система аналитики сбора больших данных?

А. М.: Сейчас — нет, но, думаю, будет. Насколько я знаю, существуют западные аналоги, разработчики уже несколько лет занимаются этим вопросом.

Я видел отечественные разработки, которые позволяют обнаружить аномалии в поведении технологического оборудования, например, по тем или иным метрикам, получаемым от сенсоров и датчиков.

А. М.: Это все-таки не предиктивная аналитика. Это — то, что происходит в режиме реального времени. На конференциях демонстрируются решения для работы с данными SIEM, которые собираются, складируются, хранятся несколько лет. Системы предиктивной аналитики посредством алгоритмов выводят некоторые последовательности событий и могут прогнозировать или указывать на проблемы. Такие решения, полагаю, интересны. На данный момент, как я понимаю, ими интересуются в основном банки.

Если говорить о патч-менеджменте: в технологическом оборудовании очень часто находят уязвимости, но, в отличие от какого-нибудь персонального компьютера или сервера, мягко говоря, проблематично остановить, например, турбину для внесения изменений. Какова здесь золотая середина? Может быть, на практике действуют какие-то подходы?

А. М.: Это верно в первом приближении, т.к. тут важно понимать, что обновления требуется вносить не в «турбину», а в систему, автоматизирующую функции управления ей. На самом деле АСУ, сбой в работе которых влечет полное прерывание производства, не так уж и много (и их такими стараются не делать), в большинстве случаев есть плановые графики остановки агрегатов (для обслуживания/ремонтов) и ресурсы резервирования, с использованием этого и осуществляются необходимые изменения. Не онлайн-обновление, конечно, но тем не менее. Оперативность внесения зависит не столько от необходимости останавливать АСУ, сколько от долгих процессов согласования изменений либо обновлений разработчиками АСУ, и вот тут уже есть некая проблема. Однако на рынке существует определенный класс продуктов для решения таких задач, и они довольно распространены. Имеются в том числе отечественные разработки, позволяющие закрывать обнаруженные уязвимости в системном ПО, на котором уже работает АСУ ТП, не внося в него изменений.

Виртуальный патчинг, грубо говоря?

А. М.: Не совсем, наверное, виртуальный патчинг, здесь могут быть терминологические нюансы, но есть наглядный пример: решения класса Web Applications Firewall. Они в основном применяются в корпоративном сегменте, и принцип там следующий: обнаруживается какая-то брешь, и поскольку Web Applications Firewall стоит «до» уязвимой программы или системы, изъян закрывается именно с его помощью, а «снизу» ничего не трогают, потому что ещё не протестирована совместимость этого патча с тем, что там работает. Это позволяет закрыть имеющуюся уязвимость в тот момент, когда про неё узнали.

Но патчить потом все равно нужно? Или нет?

А. М.: На мой взгляд, лучше патчить, но с умом. Нужно сначала протестировать, будет ли всё работать после патчинга. Соответственно, в части АСУ ТП это — проблема: может пропасть гарантия, потому что там очень жесткие требования, есть проектная документация и границы отклонения от проекта, а установка патча — это уже другая версия программного обеспечения. Даже если гарантия сохранится, есть вероятность, что техническая поддержка не станет помогать. На ситуацию влияет много разных факторов.

Интересно узнать Ваше мнение о защищённых операционных системах. Например, «Лаборатория Касперского» разрабатывает Kaspersky OS для применения в технологическом оборудовании. Каковы перспективы решений такого рода?

А. М.: Это — вопрос скорее к производителям систем АСУ ТП. На мой взгляд, вполне похоже на Secure by Design. Я вижу, как и куда развивается «Лаборатория Касперского» — они пытаются «взбодрить» этот рынок, что в конечном счете должно всем пойти на пользу.

Большое спасибо!