CNews: Как влияет развитие обычного и промышленного интернета вещей на криптографию и информбезопасность в целом?

Андрей Чапчаев: Здесь правильнее было бы говорить не об их влиянии на криптографию в целом, а о влиянии интернета вещей и промышленного интернета вещей на отдельную область этой науки, связанную с созданием новых криптографических протоколов для данных направлений. Как известно, классические подходы, разработанные для корпоративных систем и интернета, защищающие данные при их передаче по сетям общего пользования, плохо применимы для IoT и IIoT в силу больших накладных расходов, которые они с собой несут. В связи с этим на рынке уже стали появляться первые специализированные криптопротоколы, эффективные для интернета вещей и промышленного интернета вещей. Кстати, компания «ИнфоТеКС» является одним из пионеров в этой области в России — нашими специалистами разработан криптографический протокол CRISP для использования в секторе IIoT и IoT. Сейчас он проведен через процедуру согласования в рамках Технического комитета по стандартизации «Криптографическая защита информации» (ТК 26), получена рекомендация данного комитета в соответствующей области знаний.

Что касается влияния IoT и IIoT на развитие отрасли ИБ в целом, то здесь пока много открытых вопросов, и всем нам есть, над чем поработать. Сегодня мы хорошо знаем, как защищать классическую корпоративную систему — этот подход давно известен и кардинально не меняется: разработка модели нарушителя и угроз, а также внедрение мер, минимизирующих поверхность атак.

Для облаков определить меры, сокращающие поверхность атак, уже сложнее, на практике все сводится к выстраиванию высокозащищенных ЦОДов и реализации удаленного защищенного доступа клиентов к ним.

Для обычного и промышленного IoT поверхность атак максимальна, так как это сети различных взаимодействующих и часто автономных устройств, для которых применение «в лоб» существующих ИБ-решений довольно затратно или неприемлемо.

Оптимально, если разработчики еще на этапе создания устройств будут закладывать в них соответствующие механизмы ИБ, а сами устройства и ПО, ими управляющее, разрабатывать в рамках концепции безопасной разработки. Как показывает практика, если устройство сделано без учета этих принципов, его невозможно эффективно защитить внешними наложенными решениями, либо такая защита оказывается дороже самой защищаемой системы. Но даже исходно спроектированное, защищенное и безопасно разработанное устройство может быть неверно настроено, что дезавуирует принятые меры. Важно отметить, что сети с IoT-устройствами могут рассматриваться злоумышленниками не с целью проникновения, а как инструменты проведения атак, как правило, DDoS на любые информационные системы, в том числе и корпоративные.

CNews: Какие вообще ИБ-тренды и тенденции сейчас существуют в области промышленности?

Андрей Чапчаев: Индустриальная тематика стала для отраслевого сообщества большим вызовом, требующим разработки новых подходов и продуктов. Только сейчас, к концу 2019 года, промышленники и специалисты по информационной безопасности наконец-то перешли от фазы противостояния к фазе диалога. Еще пару лет назад эти две стороны плохо понимали друг друга — было много споров на тему того, нужна ли информационная безопасность в промышленности и автоматизированным системам или достаточно дальнейшего, эволюционного развития классических для АСУ систем противоаварийной защиты. Однако все чаще происходящие инциденты с компьютерными атаками на объекты промышленности за рубежом и в России, а также публикуемая статистика о проведенных исследованиях индустриальных объектов в стране, показали, что лишь небольшое их количество имеет необходимый уровень информационной безопасности. К счастью, сейчас мы наблюдаем уже новый, позитивный тренд, когда на рынке появляются качественные специализированные решения в области ИБ именно для промышленности. Разумеется, в разработке таких продуктов есть свои сложности, связанные с изучением промышленных протоколов уже как объектов защиты, а не просто коммуникационных механизмов, и выявлением уязвимостей в промышленном оборудовании. Но главное, что начало положено.

CNews: Если раньше происходящее в области информбезопасности определялось (по большому счету) запросами заказчиков и предложениями вендоров, то теперь все большую роль в этом играют регуляторы, силовые структуры. Оценки этому разные. Как бы вы оценили влияние этих новых участников процесса?

Андрей Чапчаев: Сегодня в стране отрасль ИБ регулируют две структуры — это ФСТЭК и ФСБ России. Эти регуляторы по сути, а не по названию, были всегда и всегда имели свои требования к тем или иным информационным системам и заказчикам, влияющим на информационную безопасность страны. Поэтому едва ли их можно назвать новыми участниками процесса. Другое дело, что после введения санкций и выхода на первый план вопроса импортозамещения крупному российскому бизнесу, изначально ориентированному на импортные решения, пришлось повернуться лицом к отечественной ИБ-индустрии и погрузиться в те вопросы, в которые ранее он не погружался, а именно — в тему регулирования российского рынка и требований, которые отечественные регуляторы предъявляют. Предположу, что это и породило некий миф об увеличении роли регуляторов. Роли не поменялись, а вот аудитория расширилась. Но если говорить в целом об усилении роли государства в регулировании отрасли, то да — она стала заметно ощутимее и является прямым следствием государственной политики импортозамещения и цифровизации. Думаю, этот тренд сохранится и в ближайшие годы.

CNews: Как известно, человеческий фактор — один из определяющих и, вместе с тем, малопредсказуемых. Утечка персональных данных в банках — тому пример. При этом специалисты полагают, что ситуация улучшается — утечки происходят уже не так часто. Как именно удалось этого достичь?

Андрей Чапчаев: На мой взгляд, влияние человеческого фактора на утечку персональных данных пока не претерпело существенных изменений. Никакой заметной динамики со своей стороны мы не наблюдаем — ни в положительную, ни в отрицательную сторону. Для положительной динамики в этом процессе, в первую очередь, необходимо решить вопрос нехватки квалифицированных кадров. Сегодня в России даже крупные компании, обладающие солидными бюджетами, существуют в условиях нехватки качественного человеческого ресурса. Со временем ситуация только ухудшается, так как сложность систем сейчас растет быстрее, чем квалификация обслуживающего его персонала. И как показывает практика, количество персонала никогда не переходит в качество. Чтобы решить вопрос с выращиванием необходимой кадровой базы, компании создают свои корпоративные университеты, участвуют в различных программах с господдержкой — WorldSkills, ИТ-классах и так далее; расширяют свои контакты с вузами. И компания «ИнфоТеКС» здесь, конечно, не является исключением. Ну а пока утечки данных будут иметь место. И именно человеческий фактор будет тому первопричиной, а отнюдь не ошибки проектирования информационных систем или слабые методы защиты. Сегодня защита больших информационных систем является эшелонированной, пройти к ее ядру через все «заборы» нарушителю очень не просто. А если все-таки пройти удастся, то украсть большие объемы данных будет непросто — такие целенаправленные атаки требуют большого количества времени и трудозатрат. Гораздо проще, используя методы социальной инженерии, найти какое-то слабое человеческое звено, обслуживающее системы, и получить нужную информацию в обмен на небольшое по сравнению со стоимостью всех средств защиты вознаграждение. Таких инсайдеров все чаще стали ловить, но когда угроза наказания была гарантированной защитой от воров?

CNews: Есть ли все-таки варианты справится с подобными рисками уже сейчас?

Андрей Чапчаев: Уже сегодня с помощью специальных решений можно повышать качество подготовки персонала, отвечающего за эксплуатацию как информационных систем, так и подсистем информбезопасности, не отправляя этот персонал на длительные курсы переподготовки и повышения квалификации. И здесь я хотел бы отметить разработку нашей дочерней компании «Перспективный мониторинг» — киберполигон AMPIRE. Продукт зарегистрирован в Роспатенте и в реестре отечественного ПО и, что отрадно, уже имеет ряд внедрений.

AMPIRE — это даже не просто киберполигон, это уникальный киберсимулятор, единственным аналогом которого на сегодняшний день можно назвать, пожалуй, только израильский Cyberbit Range, о котором на страницах CNews не так давно писали. AMPIRE позволяет проводить киберучения для разного типа персонала, обслуживающего ИС. С ее помощью люди учатся выявлять компьютерные атаки и предпринимать конкретные действия по их разбору и предотвращению в будущем. В отличие от известного подхода с организацией деловых игр (киберучений) с карточками и ведущим, наш киберполигон представляет собой полностью готовую виртуальную среду для моделирования реального предприятия и автоматический атакующий модуль с возможностью гибкого масштабирования. То есть для учений можно симулировать предприятие с достаточно большой сетью с более чем сотней виртуальных машин, разбитых на логические сегменты по примеру реальных сетей: ядро сети с домен-контроллерами, базами данных и системами автоматизации бизнеса, группами пользователей и пр. Самое важное в AMPIRE — это автоматизация развертывания виртуальной среды со всем этим множеством узлов, а также наличие автоматического атакующего с разными профилями проведения атак.

На наш взгляд, именно регулярное проведение киберучений для профильного персонала организаций, параллельно с внедрением передовых систем информбезопасности с их регулярным последующим обновлением, и является ответом на вопрос, как уже сейчас можно безопасно эксплуатировать свои информационные системы без риска одномоментно их лишится из-за очередной компьютерной атаки.

CNews: Если говорить об области ИБ в целом, какие тренды вы отметили бы? Как изменилась сама парадигма информбезопасности?

Андрей Чапчаев: Если говорить о трендах, их несколько. Тренд №1: сегодня компании-вендоры СЗИ, апеллируя к какой-то конкретной проблеме, пытаются создавать под себя новые рынки. Так это было, например, с темой тотального контроля того, что происходит в информационных системах. Чтобы ввести такой контроль, создали отдельный класс систем — SIEM-системы, цель которых — собирать максимум возможной информации из ИС, анализировать ее и соотносить с заложенными шаблонами «правильного» поведения системы. Позже выяснили, что собирать и анализировать данные можно, но их крайне сложно применять на практике — системы выдают огромное количество информации, с которой впоследствии очень сложно разбираться. И тут же появился новый тренд — создание аналитических систем, которые могли бы сразу давать рекомендации относительно того, что делать с полученными большими данными. Пока универсальный механизм, который смог бы оперативно решить эту задачу, еще не придумали. Частично проблему больших данных решают системы, использующие технологии искусственного интеллекта. У нашей компании также есть такое решение в портфеле. Однако мы не считаем его «серебряной пулей», способной защитить от всего и вся.

Тренд № 2: активное обсуждение темы «ненужности» таких классических подходов как выстраивание периметра безопасности, применение систем обнаружения вторжений и замена их на системы класса UEBA, которые смогут совершать непрерывный анализ поведения сотрудников. Я бы назвал такие высказывание спекулятивными. Пока едва ли можно обойтись без классических СЗИ. В реальной конечной ИС должны применяться разные механизмы защиты: как классические, проверенные годами и практикой — как сетевые экраны или системы криптозащиты данных, так и системы, которые могут контролировать поведение пользователей. Одно без другого — это как телега без колеса.

Тренд № 3: это тренд на безопасную разработку, которая становится абсолютной базовой необходимостью для прикладных систем. Очевидно, что пока разработчики не научатся делать свои продукты изначально безопасными, сложно будет говорить о стопроцентной защищенности ИС.

CNews: Есть ли сегодня какая-то специфика в области ИБ в регионах?

Андрей Чапчаев: Главная специфика сегодня в том, что исторический баланс генерации идей смещается из федерального центра в сторону регионов. А ведь еще несколько лет они занимали довольно пассивную позицию, были во многом ведомыми федеральным центром, который обозначал всевозможные требования и спускал директивы. Сегодня же активность регионов заметно выросла: проводится много мероприятий на тему информационной безопасности, в том числе и конференции нашей компании — «Будни информационной безопасности», которые мы организуем с 2016 года. Но главное — создаются собственные системы и платформы информатизации, масса инновационных проектов, которые признаются на федеральном уровне. Сегодня c уверенностью можно сказать, что успешный опыт отдельно взятого региона может перенять вся страна.

CNews: В России вступил в силу закон о суверенном Рунете. Насколько такой Рунет необходим? С какими проблемами из сферы ИБ приходится сталкиваться тем, кто задействован в этом проекте и какие проблемы его ждут?

Андрей Чапчаев: Давайте сначала разберемся с термином «суверенный». Что это значит? Многие интерпретирует его исключительно с негативной точки зрения: «суверенный» — значит «автономный» и «полностью контролируемый», «отрезанный от всего цивилизованного мира». Но при этом почему-то забывается о другом смысле термина «суверенный», который означает «устойчивый к негативному потенциальному влиянию извне». Современный интернет, которым мы пользуемся каждый день, уже давно стал единым транспортом, унифицированной средой для передачи всевозможной информации между многочисленными информационными системами — как бизнеса, так и государства. В такой ситуации вопрос его устойчивости и функционирования становится неотъемлемой частью национальной безопасности любой страны. Да и на уровне отдельно взятого гражданина «суверенность» означает определенные гарантии защиты его личных интересов, его персональных данных от бесконтрольного гуляния по просторам интернета. С другой стороны, во всем нужна разумность, и реализация принципов «суверенности» не должна приводить к ограничению конституционных прав человека в нашей стране. Наша компания в целом поддерживает данное законодательное нововведение, но непосредственно в самом проекте по созданию суверенного Рунета мы не задействованы, поэтому что-либо комментировать детально не готовы.