«Создание системы безопасности — это процесс, его необходимо выстроить»
Руководитель отдела по развитию бизнеса InfoWatch ARMA Алексей Петухов — о том, как бизнесу выстроить эффективную киберзащиту
По последним данным экспертно-аналитического центра InfoWatch, вредоносное ПО, а именно трояны-вымогатели и трояны-шпионы, стало главным способом атак на промышленную инфраструктуру в России и мире. На них приходится 80% всех известных хакерских атак. Также в число наиболее часто встречающихся методов кибератаки вошли случаи использования изменения статусов устройств автоматизированной системы управления технологическим процессом (АСУ ТП), используемых на промышленных предприятиях. Наиболее часто подвергались атакам отрасль машиностроения, автопром, производство электроники и полупроводников, а также металлургия и энергетика. О том, как бизнесу выстроить защиту, “Ъ” рассказал руководитель отдела по развитию бизнеса InfoWatch ARMA Алексей Петухов.
— Какие решения в области безопасности используются для защиты промышленных предприятий?
— Для защиты АСУ ТП используется большое число организационных мер и весьма ограниченный набор технических средств: защита рабочих станций, межсетевой экран, антивирус, резервное копирование и система обнаружения вторжений с центром управления. Это базовый набор технических решений для защиты любого объекта критической информационной инфраструктуры (КИИ).
Мы придерживаемся комплексного подхода и решаем не только все вышеперечисленные технические задачи, но и минимизируем человеческие ресурсы для их выполнения, обеспечиваем автоматизированное управление безопасностью предприятия. Система обеспечения кибербезопасности АСУ ТП InfoWatch ARMA включает в себя единый центр управления системой защиты InfoWatch Arma Management Console, промышленный межсетевой экран нового поколения InfoWatch ARMA Industrial Firewall и InfoWatch ARMA Industrial EndPoint — ПО, которое защищает рабочие станции.
— Как российские ИБ-вендоры дорабатывают продукты для защиты АСУ ТП и повышенной нагрузки на их сети с учетом атак?
— Большинство атак на промышленные предприятия идет через промышленные протоколы, и в этом одна из особенностей обеспечения безопасности промышленного сегмента, в отличие от защиты корпоративной сети. Важно, чтобы программное решение не только качественно распознавало компьютерные атаки и разбирало наибольшее количество промышленных протоколов, но и умело блокировать вторжения. При этом технический функционал должен быть оптимальным, выверенным, так как лишние функции ведут к удорожанию продукта и усложняют его внедрение и эксплуатацию.
Если рассмотреть ситуацию с межсетевыми экранами, то мы уже хорошо защищаем промышленные предприятия разных отраслей и поэтому занялись разработкой многофункционального межсетевого экрана (NGFW, или ММЭ) для защиты корпоративных сетей промышленных предприятий.
При этом мы считаем, что для получения работающих отечественных ММЭ-решений необходимо предусматривать приоритетные сценарии их использования. Так, например, для банков нужен достаточно продвинутый и расширенный функционал по веб-фильтрации, а в промышленном секторе он не требуется.
Этого же принципа мы придерживаемся при разработке ПО для защиты рабочих станций (InfoWatch ARMA Industrial EndPoint). Стандартные решения достаточно ресурсоемкие и требуют большого объема жесткого диска, оперативной памяти, а промышленные компьютеры не всегда это позволяют. С учетом данной специфики мы разрабатываем средства защиты конечных устройств, которые имеют функционал, необходимый для АСУ ТП, и решают главную задачу: создают замкнутую среду, защищают программное приложение, которое управляет системой, и не дают установить сторонние программы.
Для заказчиков также важно, чтобы все компоненты управлялись централизованно, были простыми в эксплуатации и незатратными с точки зрения ресурсов. Мы учли это при разработке Центра управления системой защиты (InfoWatch Arma Management Console). Наше решение не только выполняет все ключевые функции защиты, но и позволяет управлять инцидентами и администрировать продукты в рамках единой экосистемы. Это значительно упрощает работу специалиста по ИБ, так как всю необходимую информацию он получает в режиме «одного окна».
— Как обеспечить безопасность ИТ-инфраструктуры промышленного предприятия?
— Информационную безопасность на производственных предприятиях необходимо налаживать системно и комплексно. Ее требования нужно учитывать на всех этапах производственного цикла предприятия: от постановки бизнес-целей и планирования закупок до отгрузки готовой продукции. Мы рекомендуем компаниям, которые защищают свои объекты КИИ, смотреть на затраты на систему безопасности в разрезе трех-пяти лет и оценивать, какие ресурсы — человеческие, технические, вычислительные — нужны для того, чтобы не только создать, но и эксплуатировать систему. Развитие системы информационной безопасности на каждом этапе внедрения имеет свой уровень зрелости, поэтому важно ее внедрять «от простого к сложному», постепенно настраивая все процессы. Настройка, которая позволит средствам ИБ взаимодействовать между собой, у большинства компаний занимает один-два года. Поэтому мы призываем смотреть на процесс построения системы безопасности сквозь призму «люди-технологии-процессы». И, безусловно, важно, чтобы первые лица компаний вовлекались в эту работу. Для этого мы разрабатываем тренинги для топ-менеджеров компаний и руководителей ИБ, которые помогают эффективно управлять функцией и процессами ИБ на предприятии.