Помощь военным

Интервью с главой "Академии Информационных Систем": Инсайдером может быть топ-менеджер компании

Тема: ВПК, Говорят Первые Лица, Статьи

В современных российских реалиях, когда Объединенная судостроительная корпорация реализует программу цифровизации отрасли, а на форуме "Армия-2019" обсуждают "Индустрию 4.0" на службе оборонки, предприятиям стоит больше внимания уделять информационной безопасности. О надежности автоматизированных систем управления технологическими процессами, конкурентной разведке, утечках информации и проверке собственного персонала корреспонденту Mil.Press Военное рассказал директор "Академии Информационных Систем" ("АИС") Юрий Малинин.



Юрий Витальевич, наши собеседники, которые разрабатывают средства криптографической защиты информации, говорят, что бо́льшую опасность утечек представляют внутренние угрозы, а не внешние. Как вы относитесь к такому утверждению?

Юрий Малинин, директор "Академии Информационных Систем"

Думаю, это справедливо. Исторически отрасль информационной безопасности была нацелена на борьбу с внешними нарушителями. На борьбу с тем, что приходит из глобальных сетей: вирусы, "черви", целевые направленные атаки и другое. Инсайдерам уделяли меньше внимания, угрозу от них недооценивали.

Сейчас стало понятно, какой ущерб может нанести человек, который находится внутри системы, имеет доступ к какой-либо информации или полномочия на управление какими-либо процессами. Особенно, если он напрямую имеет доступ к конфиденциальным данным.

Более того, инсайдера всегда сложно вычислить. Не будем же мы по умолчанию подозревать всех. Если человек наносит ущерб компании по злому умыслу, он будет очень аккуратен и осторожен. Его не всегда можно отличить от добросовестного сотрудника.
Чем выше в служебной иерархии находится человек, тем больший ущерб он может нанести. Это прежде всего руководящий персонал, финансовая дирекция, руководители подразделений, занимающиеся проектированием и разработкой.
Я вам больше скажу, инсайдером может быть представитель топ-менеджмента компании. И как в такой ситуации служба безопасности или служба информационной безопасности должны контролировать своего директора или вышестоящего начальника?

А каким образом можно будет выявить утечки, происходящие на самом верху? В идеале должны быть одинаковые правила игры, возможности контролировать их действия, невзирая на их должностной статус. Это, как вы понимаете, в наших российских реалиях практически нереализуемо. Разве что в том случае, если инсайдер – директор компании, входящей в какую-либо корпорацию, и СБ корпорации выявит утечку.

Какие могут быть мотивы у директоров компаний становиться инсайдерами?

Как говорится, "дело всегда в деньгах", хотя бывают и другие причины, у кого-то могут быть личные мотивы. Не всегда даже речь идет о злом умысле.

Опишу типичную ситуацию. Служба безопасности пишет в регламенте выполнения требований информационной безопасности, что для решения рабочих вопросов запрещено использовать личный телефон. Нельзя обсуждать вопросы, связанные с заказами, нельзя скачивать в аппарат конфиденциальную информацию, например, чтобы ознакомиться с ней позже. Но руководитель топ-уровня может эти регламенты игнорировать. Ему просто неудобно им следовать. Поэтому использует личный телефон и становится источником утечки. И при этом топ-менеджмент часто утверждает, что "безопасники" мешают им работать.

Получается, что безопасность вступает в конфронтацию с удобством. И когда речь идет о том, что на одной чаше весов – какие-то риски информационной безопасности, а на другой стороне горит контракт в несколько сотен миллионов, руководитель предприятия может принять решение, что рисками стоит пренебречь.

Если инцидент все же происходит, становится ли руководитель более внимателен в будущем?

Зависит от ущерба. Информация о небольшом ущербе часто остается достоянием отделов IT и ИБ. Мало ли что бывает: Security Operations Center (SOC) сработал на появление в периметре сети какого-то вируса. Так вирусов сотни находят ежедневно. И пока утечка не приведет к существенному финансовому, репутационному ущербу компании, пока инцидент не привел к тому, что об этом узнали проверяющие органы, пока не прислали проверку из ФСБ или прокуратуры, это не становится серьезным стимулом, чтобы усилить защиту информации. К сожалению.

Вообще это большая проблема служб безопасности, – не только информационной, – как объяснить руководству свою работу, свою необходимость и значимость. Все руководители осознают, что безопасность нужна. Но не всегда вдаются в детали. Им не всегда очевидно, что в деятельность таких служб нужно инвестировать. Пока все идет в штатном режиме, атаки отражаются, уязвимые места выявляются, руководству не очень интересна деятельность службы безопасности. Зато в случае серьезной нештатной ситуации начинают искать виновных.

И это уже задача соответствующих сотрудников: обосновать свою значимость и доказать важность инвестиций в развитие систем безопасности. Они должны уметь говорить не на языке инцидентов, каких-то выловленных вирусов и специфических терминов, а на языке, понятном бизнес-руководству. Должны показывать им свою эффективность в финансовых терминах. У нас есть один курс, нацеленный то, чтобы донести до руководства служб безопасности необходимость методологически правильно общаться с высшим руководством компании, доносить задачи, которые они выполняют, в виде бизнес-функции и, соответственно, обосновывать расходы.

Инвестиции в безопасность тоже разные бывают: инвестировать в штат и нанять новых сотрудников; можно отправить кого-то на переподготовку; можно технически улучшить защиту периметра.

Стенд "АИС" на международном форуме "AntiFraud Russia – 2019"

Можете предположить, какие угрозы наиболее актуальны сегодня для предприятий военно-промышленного комплекса?

Здесь тоже нужно выделить внутренние угрозы утечки важной конфиденциальной информации. Предприятия ВПК – это носители секретов. Сотрудники таких предприятий могут работать с государственной тайной, с очень чувствительной конфиденциальной информацией более низкого уровня. Тут и промышленный шпионаж может быть, и конкурентная разведка, и деятельность зарубежных спецслужб.

Что касается внешних угроз, то здесь актуально все, что есть в арсенале злоумышленников. Те же самые пресловутые шифровальщики могут серьезно повредить информационной системе предприятия.
Очень серьезную угрозу представляют атаки на автоматизированные системы управления технологическими процессами (АСУ ТП). На производствах многое управляется IT-инструментами. Соответственно, если идет атака на эти системы, которые обеспечивают производственный цикл, то последствия могут быть чрезвычайно серьезные. От остановки производства и финансовых потерь до взрывов и человеческих жертв.
Пример у многих на слуху: иранская ядерная программа и атака вирусом Stuxnet. Он был очень, я бы сказал, деликатен – нарушил работу центрифуг и сорвал работу. А если такое произойдет на опасном химическом предприятии?

По моему мнению, нет наиболее и наименее актуальных угроз. Особенно для предприятий, которые работают в интересах обороны страны.

Кстати, насчет Stuxnet. Источником атаки стал инсайдер – инженер Siemens, который обновлял программное обеспечение. То есть объект был практически неуязвим снаружи.

Иранская АЭС "Бушер"

В случае с Ираном было иностранное оборудование, иностранное ПО, иностранный специалист. Значит ли это, что импортозамещение оборудования и ПО все же повышает безопасность?

Возможно, это так. Сейчас многие говорят про аппаратные и программные закладки. В принципе, любое оборудование, которое приходит из-за рубежа, чисто теоретически может содержать в себе такие закладки. И это тоже вопросы кибербезопасности. Если есть угроза, значит, нужно принимать компенсирующие меры.

За пять лет курса на импортозамещение мы не избавились от зависимости от иностранных поставщиков.

Вы можете оценить на данном этапе эффективность внедрения отечественных операционных систем, ПО, аппаратных средств? Помогает ли импортозамещение противодействовать иностранным техническим разведкам?

На уровне аппаратных и программных средств импортозамещение рассматривается как важная составляющая политики национальной кибербезопасности.

Если на наших оборонных предприятиях будет стоять отечественное оборудование, отечественные информационные системы, мы будем уверены, что от нас через аппаратные и программные закладки критичные данные не текут.

Но тут другая особенность: мы можем гарантировать полное отсутствие закладок только в том случае, если все решения, от микрочипов до программного обеспечения прикладного уровня, сделано нашими предприятиями.

Сегодня, к сожалению, даже микросхемы в большинстве случаев сделаны в Китае.

Программное обеспечение и операционные системы мы научились делать свои. В Вооруженных силах наши продукты применяются. Над аппаратной частью работают, пусть она и не очень впечатляет своими характеристиками на фоне новых форм микропроцессорной техники. Но работает.

Правда, боюсь, если начать разбирать технику по компонентам, может выясниться, что они производятся на тех же заводах, где производят технику, например, для Huawei. Возможно, это никак не навредит, но на атомных станциях, в системах управления стратегическим вооружением было бы надежнее использовать только нашу продукцию.

Если мы немного дистанцируемся от этих стратегических отраслей и объектов, то, наверное, можно допустить какой-то элемент импортного оборудования, но оно проходит определенные испытания на недекларированные возможности (НДВ). Собственно, компетентные службы этим занимаются.

Можете предположить, какие в будущем на первый план выйдут угрозы, которые на данный момент, возможно, не так актуальны?

С появлением новых технологий появляются и новые угрозы. Или хорошо известные угрозы, но с нового направления.

Сейчас происходит промышленная революция 4.0, полный переход к интеллектуальному производству, в котором требуется минимум человеческого участия, когда внутри цехов все построено на взаимодействующих друг с другом интернет-устройствах. Интернет вещей. Думаю, новые угрозы появятся с этого направления.

Развитие мировой промышленности в разрезе индустриальных революций

Мы должны понимать, что если появляется машинное обучение, которое можно использовать во благо, оно же будет использовано кем-то и с недобрыми намерениями.

Тем, кто обеспечивает информационную безопасность, что в связи с этим делать? На что обратить внимание?

Это решается не на уровне службы безопасности и не на уровне IT-отдела, а на уровне руководства. Опять же специалисты могут обратить внимание руководства на возможные угрозы.

Если руководство предприятия планирует повысить эффективность своего производства, оно будет внедрять технологии интернета вещей. Что в этом случае должна делать условная служба безопасности? Например, направить своих сотрудников на курсы, чтобы они получили знания в области защиты информации, связанные с АСУ ТП, с интернетом вещей.

Это новая тема. Даже исследователи, которые проводят глубокие тестирования, могут не знать всех уязвимостей, которые хранят в себе эти технологии. Тут большее значение имеют ситуационная осведомленность и скорость реакции. Наши преподаватели собирают самые последние сведения, чтобы предупреждать наших партнеров.

Исследовательские институты, особенно закрытые, военные – они, наверное, впереди. У них, я думаю, больше возможностей для исследования уязвимостей.

Как часто специалистам по информационной безопасности предприятий нужно обновлять свои знания?

В идеале – непрерывно. Службы информационной безопасности должны заниматься постоянным поиском новой информации об уязвимостях и новых угрозах.

В секторе ВПК с этим более понятно. Предприятия подключены к ГосСОПКА, а это своего рода хаб, который накапливает информацию обо всех возникающих угрозах нулевого дня и доводит до субъектов критической информационной инфраструктуры.

Области критической информационной инфраструктуры (КИИ)

Осведомленность в области угроз у нас даже законодательно регламентируется, что хорошо.

Другое дело – повышение осведомленности персонала в области информационной безопасности. Тут вопрос достаточно индивидуальный. Базовые знания должны быть у всех. При внедрении новых средств или технологий нужно персонал информировать в части, которая их касается. Вообще такие знания не бывают лишними.

Наши собеседники озвучивали мысль, что меняется парадигма безопасности. Упор смещается с конфиденциальности данных на целостность, стабильность процессов и защиту критической информационной инфраструктуры. Что об этом можете сказать?

Непрерывность производства обеспечивается снизу вверх: начиная от уровня цеха и производственного участка, заканчивая заводоуправлением. Защита АСУ ТП, автоматизированных систем управления технологическими процессами здесь очень важное звено. Если произойдет нарушение целостности системы, последствия могут быть очень серьезными.

Защита конфиденциальности информации своей актуальности не потеряла. Особенно в отношении оборонных предприятий, где есть особо ценная информация. Каждое направление по-своему важно.

Дело в новизне технологий и новизне проблем, которые они с собой несут. Защищать информацию уже научились. Теперь нужно совершенствоваться в сохранении стабильности работы процессов.

Грубо говоря, информация идет от одного датчика к другому, и наша задача, чтобы ее никто не исказил, не нарушил целостности, не прервал передачу. Сейчас, на мой взгляд, для предприятий это очень актуально.

Системы безопасности становятся многоуровневыми, технически более сложными. Такое усложнение систем безопасности идет на благо предприятия?

На мой взгляд, средства безопасности должны быть соразмерны угрозам. Усложнение ради усложнения неоправданно в первую очередь с экономической точки зрения. Любое предприятие – относится ли оно к ВПК, к ТЭК или к банковской сфере – существует, чтобы производить продукты и оказывать услуги. Если основной деятельностью производственного предприятия становится защита информации, то что-то явно не так.
Чем сложнее система, обеспечивающая защиту информации, тем больше надо тратить своих ресурсов на ее поддержку. Это будет сказываться на удорожании собственных продуктов, потому что как-то нужно эти затраты компенсировать. Либо соображения безопасности возьмут верх над здравым смыслом, и работать будет просто невозможно.
В связи с этим даже есть один принцип, который прописан в документах ФСТЭК России. Системы защиты АСУ ТП не должны влиять на нормальную работу автоматизированных систем управления производственными процессами. Не должны их тормозить, останавливать, искажать. Прежде всего – процесс. Потом защита.

1 / 2

Это как полнодисковое шифрование на компьютере. Повышенная безопасность за счет производительности?

Да. Все должно быть в балансе. О защите информации ни в коем случае нельзя забывать, но и в фанатичность ударяться не стоит.

Чтобы соблюсти баланс, нужно быть хорошо осведомленным об угрозах. Как вы считаете, нужны ли предприятиям центры мониторинга, ситуационные центры?

Если я скажу, да, всем предприятиям нужны, это будет не совсем правда. Нужно представлять со сколькими проблемами сталкивается та или иная организация. Не могу представить, зачем танковому заводу ситуационный центр.

Министерству обороны, он, конечно необходим. Для отслеживания оперативной обстановки, информационного пространства по всему миру. Другим ведомствам – Росгвардии, МЧС – тоже. Субъектам федерации они очень нужны. Объекты транспортной инфраструктуры тоже используют. Корпорации, концерны – да, для них ситуационные центры актуальны. Но для отдельных предприятий – вряд ли.

Ситуационный центр – это же инструмент. Он нужен для принятия верных управленческих решений в короткие сроки. Он дает массу информации в оперативном режиме. Не думаю, что условной верфи нужно принимать сиюминутные решения, основанные на большом количестве информации из разных источников. В кризисной ситуации? Конечно, бывают аварии, но они локализованы. На территории завода можно выехать на место инцидента и руководить с места событий.

Так что думаю, это не для всех. Для отслеживания угроз информационной безопасности есть ГосСОПКА, для мониторинга кризисных ситуаций есть более высокие структуры.

С рисками утечек информации и вторжений понятно. Хотелось бы спросить еще про репутационные риски. Те же самые утечки или даже открытые данные могут нанести ущерб репутации компании. На ваш взгляд предприятия ВПК уделяют этому достаточно внимания?

Сразу скажу, что недостаточно. Но, возможно, как и в ситуации с ситуационными центрами, это не для всех. Тем, кто поставляет исключительно военную продукцию по спецзаказу, возможно, не стоит слишком много внимания этому уделять.

Репутация важна для игроков на конкурентных рынках. Предприятия военно-промышленного комплекса – это все-таки нечто совсем другое. Репутационные вопросы в этой отрасли решаются на уровне профессионалов.
В сравнении это будет более понятно: у завода может быть государственный заказ на несколько миллионов снарядов. Даже если на него будет спланированная информационная атака, заказ вряд ли пострадает, завод за два дня вряд ли получится разорить. Если же будет удар по репутации банка и тысячи вкладчиков побегут забирать деньги, кризис может возникнуть очень быстро.
Это не относится к тем предприятиям, которые поставляют или планируют поставлять свою продукцию за границу. Вот им о своей репутации стоит заботиться очень тщательно. Иностранные специалисты, особенно на Западе, очень внимательно относятся к своим контрагентам.

Хотя в связи с курсом на диверсификацию, пожалуй, скоро всем предприятиям придется пересмотреть отношение к имиджу и бренду.

Вы обучаете специалистов конкурентной разведке. Чем она отличается от промышленного шпионажа?

Промышленный шпионаж – это преступление, а конкурентная разведка – это законный и этичный бизнес-инструмент.

Чем такой бизнес-инструмент может быть полезен для предприятия военно-промышленного комплекса?

Во-первых, для проверки новых контрагентов. Ненадежные поставщики запросто могут сорвать сроки гособоронзаказа, а это финансовые потери, потери в обороноспособности. Конечно, их проверяют, но судебные процессы говорят, что иногда случаются казусы. Поэтому служба безопасности предприятия может проделать работу, используя разведку по открытым источникам, составить для руководителя справки на компанию. И тот сможет принять верное управленческое решение.

Во-вторых, знать методы конкурентной разведки нужно, чтобы представлять, как будут собирать информацию про ваше предприятие. Чтобы знать, какие ресурсы используются. Проведите самопроверку и поймете, что именно можно извлечь такими методами. Многие очень удивляются, когда мы показываем, какая информация утекла и какие данные можно собрать о предприятии.

Служба безопасности должна знать, от чего защищаться.

Плюс эти методы полезны, чтобы эффективно искать релевантные патенты, научно-технические работы. Это может быть полезно не столько безопасникам, сколько, например, заместителям технических директоров, главных конструкторов, главных инженеров – на кого такую задачу возложат.
Возможно, сам термин вводит некоторых специалистов в заблуждение. "Конкурентная разведка" или Competitive intelligence. Кто-то может решить, что раз он не решает задачи, условно говоря, маркетолога, не имеет дела с конкурентами, то и такие навыки ему не нужны. На самом деле они нужны всем, кто работает с информацией.
Здесь еще вопрос во внутреннем взаимодействии на предприятии. Даже если в компании работает специалист, который обладает компетенциями в области конкурентной разведки, он может не знать, что у главного конструктора есть потребность в поиске какой-то информации. А главный конструктор не имеет понятия, что существует такой человек, который способен ему нужную информацию достать.

Подобная неосведомленность приводит к неэффективности расходования ресурсов. Мы эту проблему стараемся решить.

Как противостоять методам конкурентной разведки на предприятии?

В первую очередь нужно понять, что защищать. Методы потом определяются по ситуации.
Предприятие должно понимать, какая информация могла утечь, какими путями, насколько утечка критична, какую информацию она может дать конкуренту, как повлиять на репутацию.
Даже если руководство предприятия или службы безопасности решит, что информация не очень критичная, у него будет еще одно важное знание: источник утечки. Если в первый раз через источник прошло что-то малозначительное, то в будущем важность информации может возрасти.

Уже после понимания ситуации нужно приступать к обучению персонала. Противодействие конкурентной разведке входит в сферу обязанностей тех, кто обеспечивает информационную безопасность.

Есть универсальные методы противодействия или в каждом отдельном случае вырабатывается уникальная стратегия?

Основные позиции: выявление рисков и утечек; оценка и принятие решения, как с этим работать; реализация тактики в зависимости от принятого решения.

Тактика конкретного противодействия будет зависеть от многих нюансов, которые определяются по обстоятельствам.

Повторю, самое главное – понимать, что нужно защищать или что мы уже потеряли. И, разумеется, какие ресурсы мы готовы потратить, чтобы нивелировать возможный ущерб.

Авторский курс "АИС" по конкурентной разведке

Насколько эффективна самопроверка на утечку информации методами конкурентной разведки?

Зависит от компетенций тех, кто проводит проверку. Конечно, профессиональный аудит безопасности предпочтителен. Методы конкурентной разведки здесь присутствуют в качестве составной части комплекса мер.

Мне кажется, что более эффективный метод тестирования на проникновение наряду с техническими – это использование методов социальной инженерии. Потому что слабое звено – это всегда человек.

Служба безопасности договаривается с каким-то внешним аудитором, который, используя методы социальной инженерии, пытается выведать какую-то конфиденциальную информацию. Использует классические инструменты психологии, которые помогают использовать уже наши, человеческие уязвимости, слабости. Совершает телефонные звонки, подбрасывает флешки с вредоносным кодом. Это только малая часть из широкого спектра инструментов социальной инженерии. Поверьте, это куда более эффективно, чем тестирование с использованием только лишь программных средств.

То есть нужна проверка, как злоумышленники могут использовать человеческий фактор?

Да. Технически уже научились защищать информацию, внедрили дорогие системы. Но человек остается слабый звеном, из-за обычных людских слабостей и неосмотрительности совершаются крупные взломы, которые приводят к потерям на предприятии.

Это происходит следующим образом. Сотрудник на рабочем месте занимается делами. Ему звонят, представляются деловым партнером, человеком из госслужбы или надзорной организации. Этот злоумышленник использует дефицит времени сотрудника, его чувство ответственности, чувство страха перед руководителем, начинает давить, принуждать совершить какие-то действия, забалтывает, выведывает частицы информации.

Потом такой манипулятор звонит еще кому-то, выуживает новую часть данных. Потом ищет что-то в открытых данных и составляет картину. Мы можем провести такое тестирование. Люди очень удивляются, когда видят результат.
Поддавшийся человек, кстати, если его направить на переобучение, может быть более полезен, чем новый, у которого нет печального опыта и повышенной настороженности.
Проверка ведется в комплексе. Тестирование выявляет слабые места, а потом проводится обучение персонала. Это хорошо помогает понять, какие уязвимости могут эксплуатироваться и как этому противостоять.

Можете сделать краткий вывод для руководителей предприятий и их служб безопасности?

При обеспечении информационной безопасности важен комплексный подход. Нужно защищаться как от внешних угроз, так и от внутренних, изучать как уязвимости конкурентов, так и свои, готовить к противодействию атакам как информационные системы, так и сотрудников.

Беседовал Валерий Бутымов

Есть, чем дополнить? Свяжитесь с редакцией Mil.Press:

+7(812)309-8-505, доб. 102;