Игорь Душа
Директор портфеля решений НОТА КУПОЛ.
Окончил НИЯУ МИФИ по направлению защиты информации.
Имеет опыт работы в области информационной безопасности более 12 лет, в основном руководил созданием средств защиты информации. Соавтор 8 патентов по ИБ, контрибьютор уязвимостей в БДУ ФСТЭК России, в прошлом — участник CTF команды.
Спикер российских и международных конференций, автор ряда технических публикаций. Руководит рабочей группой по ИБ в Общественном Совете Минтранса. Один из основоположников ИБ АСУ ТП в России, обладатель номерного знака сообщества RuScadaSec Coin #31.
Согласно указу Президента № 166, до 1 января 2025 года нужно закончить импортозамещение ПО для значимых объектов критической информационной инфраструктуры. Реально ли в короткие сроки создать и внедрить отечественное программное обеспечение? С какими сложностями сталкиваются разработчики? О том, как ведётся работа по импортозамещению в сфере ИТ и ИБ, нам рассказал Игорь Душа, директор портфеля решений «НОТА КУПОЛ».
Насколько реально в условиях санкций до конца года выполнить замещение всех ИТ-систем на действующем производстве?
И. Д.: ИТ-ландшафт очень неоднороден. Есть направления, например информационная безопасность, в которых присутствует выбор зрелых отечественных решений и миграция не представляет особого труда. Есть, наоборот, те, где разработка находится в активной фазе. Это касается в первую очередь сложного промышленного ПО. Здесь явно ощущается дефицит времени, потому что мало создать функциональные аналоги, надо масштабировать эти решения на десятки тысяч пользователей. Иными словами, всё зависит от классов решений и конкретной отрасли. На скорость влияют также уровень господдержки и создание отраслевых консорциумов.
При этом необходимо учитывать, что при замене узлов критической информационной инфраструктуры медлить нельзя: от технологической готовности зависят работоспособность, эффективность и безопасность бизнеса.
Как вы думаете, может ли экстренная миграция привести к тому, что реальный уровень защищённости критически значимых объектов снизится?
И. Д.: Существуют разные мнения по этому вопросу. Конечно, российские вендоры значительно моложе иностранных, но это не значит, что они недостаточно развиты. Команды используют современный технологический стек, активно имплементируют инновационные инструменты, элементы нейросетевых технологий.
Присутствуют опасения по поводу скорости: разработчикам, несмотря на крайне сжатые сроки, важно уделить должное внимание безопасности создаваемого ПО, чтобы впоследствии не возникало рисков обнаружения серьёзных уязвимостей в софте.
Однако экспертные группы, которые занимаются безопасностью выделенных государственных решений и программного обеспечения, показали достойные результаты в ходе проверок. Стандарты безопасной разработки всё активнее входят в практику российского бизнеса.
Даже 2–3 года назад без тщательных проверок пройти сертификацию нового ПО было невозможно. Сегодня уровень контроля только повышается.
На каких принципах должна строиться система кибербезопасности?
И. Д.: Идеальная система должна основываться на принципах комплексности и результативной кибербезопасности. Если посмотреть на то, как проводятся атаки на типовых объектах со сложной инфраструктурой, становится ясно, насколько важна защита внешних периметров. Это требует использования решений обеспечивающих сетевую безопасность, в том числе инструментов для выявления и анализа инцидентов в автоматическом режиме.
Одни специалисты занимаются только «бумажной» безопасностью, другие — отражают реальные атаки. Эти области как-то пересекаются?
И. Д.: Зачастую те, кто занимается написанием необходимых бумаг, и те, кто обеспечивает реальную безопасность, — разные люди. Так быть не должно: «бумага» призвана демонстрировать реальное состояние дел с информационной защищённостью. Регуляторные требования, как правило, отражают общие риски, которые могут возникать при эксплуатации, именно поэтому правила меняются весьма часто.
Кроме того, сами категорируемые системы претерпевают изменения: в них могут появляться новое ПО и активы, которые должны сразу же документироваться. Так что бизнес обязан выделять на этот процесс отдельных специалистов, но даже в этом случае справиться без средств автоматизации невозможно.
Без них не обойтись и в решении ежедневных задач в области информационной безопасности. Например, если выявленную в серверном ПО уязвимость по каким-то причинам нельзя устранить, нужна компенсирующая мера, которая обеспечит защиту. Это можно реализовать в виде установки определённых правил на межсетевом экране.
Подход, при котором специалисты по ИБ пользуются автоматическими средствами защиты, объединяет два направления — то, что связано с комплаенсом, и то, что занято реальной защитой. В экосистеме «НОТА КУПОЛ» для этого реализованы два модуля. Первый помогает закрыть вопрос с бумажной безопасностью, второй предоставляет рекомендации по защите конкретной инфраструктуры.
Насколько важно учитывать такой технический момент, как инвентаризация?
И. Д.: Многие забывают, что безопасность начинается с определения того, что мы защищаем и от чего. Иными словами, харденинг — превращение цифровой инфраструктуры в «крепость» — невозможен без инвентаризации. В теории всё звучит максимально просто, на практике же подготовить описание систем и моделей угроз — труд тяжёлый и, к сожалению, потенциально бесполезный из-за того, что в любой момент модель может утратить актуальность.
В отсутствие инструмента, который автоматизирует многие процессы, обеспечить безопасность просто невозможно. Команда вендора НОТА («Холдинг Т1») разработала инструмент автоматизации, который инвентаризирует активы и позволяет оценить угрозы, при этом генерирует необходимые документы. Кроме того, он связан со сканером, который анализирует уязвимости реальной системы. Он может быть запущен в любой момент или по расписанию, как удобно заказчику, обновляя эту информацию и, соответственно, модель угроз.
Если говорить о применении автоматизации для других областей информационной безопасности, то где вы видите большие перспективы?
И. Д.: Одно из наиболее интересных направлений — это блок NSPM, систем для анализа и контроля сетевых устройств, в частности экранов. Уже первые кейсы внедрений показали, насколько эта ниша богата с точки зрения функциональных доработок. О каких-то сценариях мы даже не догадывались до того, как начали говорить с заказчиками.
Сама система позволяет управлять большой структурой устройств. Это существенно облегчает контроль за соблюдением прав доступа, правил межсетевого экрана. Даже если в компании есть пять таких экранов, на каждом из них может быть установлена тысяча правил. Найти дублирующиеся или затенённые правила, которые неоптимально работают, довольно сложно. В ежедневном режиме — тем более.
Также важны вопросы связанные с контролем инфраструктуры, в частности конвейера разработки программного обеспечения. С точки зрения автоматизации здесь действительно есть над чем работать.
Сейчас очень много говорят о результативной информационной безопасности. Что такое ИБ с точки зрения результата?
И. Д.: Строительство цифровой крепости нужно начинать с инвентаризации активов — с оценки того, что важно для бизнеса. Это должно быть заложено в процесс категорирования. Тогда компания будет рассматривать ИБ в первую очередь как реального партнёра, который помогает добиваться результата, минимизирует риски, сохраняет деньги или помогает больше заработать за счёт генерации добавленной стоимости.
Игорь, спасибо большое за интервью! Желаем удачи в такой важной и, учитывая современные условия, непростой работе!