В ноябре на конференции «Цифровая индустрия – 2023» в Южно-Уральском государственном университете выступила президент группы компаний InfoWatch, эксперт по информационной безопасности Наталья Касперская. Мы попросили её об интервью для сайта университета.
– Наталья Ивановна, расскажите, пожалуйста, о своем выступлении на конференции.
– Доклад состоял из двух частей, я привела примеры инцидентов, касающихся информационной безопасности промышленных предприятий, статистику, преимущественно мировую. По России статистики очень мало, и трудно собирать, ведь предприятия не всегда готовы говорить о своих неудачах. Затем мой коллега, руководитель отдела по развитию продуктов InfoWatch ARMA в ГК InfoWatch Алексей Петухов обозначил принципы подхода к созданию эшелонированной безопасности АСУ ТП и как это направление необходимо развивать.
– Ваши впечатления от Челябинска и конференции?
– В Челябинске я впервые, но наша группа компаний работает на Урале давно. Нам интересен ваш регион: там, где динамично развивается промышленность, найдётся поле деятельности и для нас. Выступление на конференции вызвало интерес аудитории, вопросы задавались глубокие, значит, люди в теме – это приятно.
– В чём особенность подхода к безопасности АСУ ТП и какие комплексные решения для защиты промышленных предприятий предлагает группа компаний InfoWatch?
– Решения разные, но наша парадигма – начинать именно с файервола. Отличие промышленного файервола от обычного сетевого экрана в том, что у него может быть ниже пропускная способность, но зато он должен уметь анализировать большое количество промышленных протоколов. Такой унификации в АСУ ТП, какова она в корпоративном сегменте, не наблюдается, поэтому и приходится учитывать широкий спектр протоколов. Есть еще целый ряд особенностей.
Первая, как уже было сказано, межсетевой экран. Мы ставим его в центр концепции безопасности. Экраны могут использоваться в разных сегментах сети. Или бывают архитектуры, в которых вместе или вместо центрального маршрутизатора ставятся файерволы, которые «оркестрируют» всю сеть.
Вторая – система анализа инцидентов информационной безопасности, её ещё называют системой обнаружения вторжений.
Третьим элементом является защита конечных устройств SCADA, у нас она содержит только базовые элементы. Если правильно организовать меры защиты и использовать наш Endpoint, то вероятность компрометации SCADA достаточно низка.
Четвертый – это элемент управления, менеджмент-консоль. Система, которая позволяет собирать со всех наших узлов и межсетевых экранов информацию и выводить ее на монитор. Дальше уже администратор смотрит на неё и принимает решения. При этом мы можем управлять не только собственными компонентами, изготовленными в компании, но и вообще теми элементами безопасности, которые есть в сети.
Мне кажется это весьма важным, потому что сейчас у нас в России каждый производитель использует свой подход к информационной безопасности, нет единства.
Например, «Лаборатория Касперского» идёт со стороны конечных устройств, они считают это самым важным. И делает упор на комплексность. Другие участники рынка делают упор на систему обнаружения вторжений. Мы делаем центральным элементом файервол. В идеале все вместе могли бы действовать как вендоры, собирая некую законченную систему, где каждый делает свою часть – это было бы хорошим прорывом.
– Унификация интернета вещей – в этом больше пользы или угрозы? Как сделать Интернет и промышленный интернет вещей безопасным?
– Я, конечно, скептик и не верю, что его можно сделать стопроцентно безопасным. Большое количество данных, большое количество систем, каждая система данные собирает и выпускает, и в принципе каждую систему можно взломать.
Но чем более распределена система, тем она сложнее и тем сложнее нанести масштабный ущерб. В этом смысле я не сторонник унификации и единого центра управления данными, как, наверное, и все «безопасники», не люблю единые центры. Единый центр – единая точка атаки и, соответственно, облегчение задачи злоумышленника. Распределённой системой сложнее управлять, но и вывести её из строя сложнее. Не забудем и о ловушках, создающих ложные цели, заставляющие злоумышленника атаковать не там, где нужно.
В целом, мое мнение таково, что с ростом цифровизации промышленности уровень её безопасности снижается, причем достаточно резко.
– Может ли государство принять какие-то эффективные меры, ГОСТы, законы, чтобы сделать безопасным и интернет вещей и обеспечить промышленную безопасность в целом?
– Государство активно работает в этом направлении. Существуют регламенты ФСТЭК, достаточно продуманные. Если предприятие просто будет следовать указаниям ФСТЭК, оно уже серьёзно повысит свою безопасность. Вопрос в том, что соблюдать их достаточно сложно и дорого. Поэтому так поступают не все. Но с выходом 187-го федерального закона о безопасности критической информационной структуры (КИИ) РФ, тема обретает особую важность.
Собственно, количество атак в прошлом году, резко выросшее с началом специальной военной операции, сильно отрезвило бизнес. До этого существовала иллюзия, что сейчас мы займёмся цифровизацией, а о безопасности позаботимся потом.
Большинство «безопасников» согласятся с утверждением о том, что строить систему безопасности нужно одновременно с цифровизацией, а не позже. Потом некоторые вещи будет просто невозможно исправить.
Лет восемь назад был такой вирус Mirai – один из первых, атаковавших объекты интернета вещей, прежде всего видеокамеры. Потребители вдруг обнаружили, что камеры не имеют шифрованных протоколов, что в любой момент злоумышленник способен внедриться, подменить изображение или просто отправлять одновременно множество сигналов, пока камеры не зависнут.
Решение у такой проблемы одно: выкрутить и выбросить такие камеры, заменяя их на те, где информация шифруется. Так откладывание вопросов безопасности на потом оборачивается переделкой всей системы. И это только один пример.
– Какие вопросы вы обсуждали с губернатором Челябинской области Алексеем Текслером?
– Ваш губернатор – очень продвинутый человек. Мы обсудили именно безопасность АСУ ТП. При этом мы говорили с Алексеем Леонидовичем месяц назад, и он сказал, что его очень волнует эта тематика. Южный Урал – динамично развивающийся регион, где много промышленных предприятий, и защита их информационной безопасности – то, что области нужно. Я вижу, здесь у нас есть точки соприкосновения и их немало.