Сегодня защита критической информационной инфраструктуры – тема номер один в информационной безопасности. Это связано с форсированием в Государственной Думе работы над законопроектом по КИИ. Безопасность инфраструктуры сильно зависит от тех, кто ею управляет, – администраторов и других привилегированных пользователей. Именно поэтому мы решили задать несколько вопросов по теме защиты информационной инфраструктуры Александру Новожилову, генеральному директору компании «АйТи Бастион», которая разрабатывает инструменты для контроля привилегированных пользователей.
– Какие задачи защиты критической инфраструктуры можно решить с помощью средств контроля привилегированных пользователей?
– Начнем с простых вещей. Ключевая инфраструктура в любом случае остается ИТ-инфраструктурой. И для нее применимы все базовые инструменты защиты и требования. Задача аутентификации пользователей и разграничения доступа была и остается одной из важнейших, особенно если дело касается привилегированных пользователей. С ней тесно связано выполнение требований соблюдения парольной политики. Эти требования проще и эффективнее выполнять с помощью автоматизированного инструмента.
Следующим важнейшим механизмом обеспечения ИБ является мониторинг событий и реагирование на них. Наше решение позволяет собирать уникальные данные о событиях, связанных с действиями привилегированных пользователей, и автоматически реагировать на них. Плюс с помощью накопленной нами информации можно проводить ретроспективный анализ действий, выполненных при эксплуатации КИИ. Здесь же возникает и вопрос квалификации персонала, обслуживающего критическую инфраструктуру. Если человек регулярно допускает ошибки, возможно, ему необходимо пройти дополнительное обучение либо нужно перевести его на менее критическую позицию или уволить.
Вот мы и определили задачи, которые можно решать с помощью нашего программного обеспечения на критической инфраструктуре: аутентификация, контроль и разграничение доступа, запись происходящих событий. А уже решение этих задач позволяет определять компетенции сотрудников, их лояльность и т. д.
Все большую актуальность, в том числе с развитием проектов СОПКА, приобретает централизация управления средствами защиты информации. Мы уловили этот тренд некоторое время назад и готовимся к выпуску нового модуля, который позволит централизованно управлять доступом администраторов из различных точек. Благодаря этому мы сможем разместить шлюзы доступа на удаленных площадках и создать централизованную систему, которая позволит контролировать доступ и действия привилегированных пользователей. При этом организовано централизованное управление правами администраторов, которые смогут управлять оборудованием из других регионов в рамках своих полномочий. Управлять такими сложными конфигурациями в рамках одной «коробки» сложно. При этом не возникает единой точки отказа, поскольку каждый шлюз может работать автономно. Следовательно, задача централизации контроля также может быть решена с помощью инструментов контроля привилегированных пользователей.
– А были ли у вас проекты по интеграции с ГосСОПКА?
– Мы принимаем участие в нескольких проектах по реализации системы СОПКА. Одними из самых потенциально разрушительных и трудно обнаружимых компьютерных атак являются те, которые выполняются пользователями с высокими привилегиями. Именно поэтому заказчики обращают пристальное внимание на подобные угрозы. Наш продукт занимает важное место в комплексных системах СОПКА. Информацию, получаемую с помощью нашей системы, попросту взять больше неоткуда.
В дальнейшем данные из нашей системы можно направлять в решения класса SIEM, например в региональных, ведомственных или отраслевых центрах реагирования.
– Можете ли вы привести примеры внедрения ваших решений в 2016 г.? В каких отраслях к ним проявляется наибольший интерес?
– Проще сказать, где у нас нет внедрений: пожалуй, только в ритейле. Мы продолжаем сотрудничество с нефтегазовым сектором, здесь было выполнено несколько проектов. Настоящим прорывом стали результаты взаимодействия с госкомпаниями и органами власти. Проделанная работа – хороший фундамент для дальнейшего развития. Ярким примером является проект в Объединенной судостроительной корпорации, высоко оцененный заказчиком.
Еще одним открытием стало участие в проекте реализации соответствия требованиям 135-го приказа Минкомсвязи одного из операторов связи. Минкомсвязи первым установило требования по фиксации всех действий, выполняемых на оборудовании оператора связи сотрудниками сторонних организаций. Я на 95% уверен, что рано или поздно это станет общей практикой для всех отраслей.
Если же говорить о распределении наших проектов по вертикальным рынкам, то на первом месте будут государственные компании, ведомства и региональные органы власти. На сегодня это самые продвинутые заказчики наших решений.
– Поменялась ли за прошедший год ситуация на российском ИБ-рынке?
– Не будем говорить про весь ИБ-рынок, но про область контроля за привилегированными пользователями можно сказать следующее: ситуация серьезно изменилась. Мы стали меньше заниматься ликбезом, больше стали говорить по делу. У большинства сформировалось понимание, что это важно и нужно. Хотя степень важности у всех разная. Многие компании уже закладывают в бюджет соответствующую «строчку». Одни, правда, на далекие 18–20-е годы, другие – поближе, в зависимости от приоритетов. Но подавляющее большинство уверено в том, что такие решения нужны. Дальше уже идет разговор о приоритетах, объемах и выборе решения. Если раньше мы говорили про задачу, то теперь – про технологии и подход.
– Какие основные драйверы этого рынка были в 2016 г.? Как на рынок повлияли законодательные инициативы?
– Традиционно большой интерес заказчики проявляют к нашему продукту как к инструменту ИБ для контроля действий аутсорсеров. В какой-то момент появился интерес со стороны служб ИТ и эксплуатации. Он объясняется желанием контролировать качество и объем выполненных подрядчиками работ.
С 2015 г. мы занимаемся тематикой обеспечения ИБ АСУ ТП, и в 2016 г. эти усилия начали приносить результаты. Был выполнен ряд пилотных проектов, мы приобрели значительный опыт и понимание специфики в этой области.
При этом сложно обнаружить прямую связь между законодательными инициативами и проектами, реализованными в минувшем году. Драйвером стало постепенное осознание заказчиками необходимости защищать свои информационные системы от угроз, связанных с действиями привилегированных пользователей. Мы стучались, стучались и достучались – все поняли, что это нужно. Пришло понимание, что задача есть и она решаема.
– Насколько успешным оказалось ваше сотрудничество с российским производителем «РусБИТех»? Сотрудничаете ли вы с другими российскими производителями?
– Мы продолжаем вместе работать и развивать наше сотрудничество. С «РусБИТех» у нас стратегическое и технологическое партнерство. Мы используем операционную систему Astra Linux Special Edition как технологическую основу в нашем продукте.
С другими производителями работы также ведутся в части расширения функционала и добавления модулей исключительно российского производства. Работа идет, но рассказывать об этом еще рано.
– Как, по вашему мнению, повлияла политика импортозамещения на рынок ИБ?
– С импортозамещением ситуация неоднозначная. Не так много решений попали в реестр. Даже если заказчики хотят использовать российские продукты, это не всегда возможно. Не существует систем российского производства по некоторым классам функциональных требований. Поэтому на часть рынка ИБ политика импортозамещения никак не повлияла. У нас постоянно спрашивают, в частности органы власти, о наличии наших продуктов в реестре. Сейчас мы в процессе включения нашего продукта в реестр. Поскольку продукт соответствует всем критериям, заказчики с нами работают, понимая, что этот вопрос будет решен.
– Какие инструменты защиты технологических сетей вам кажутся наиболее перспективными?
– На мой взгляд, сейчас ничего прорывного на рынке нет. Наметился ряд тенденций. Во-первых, это стремление к унификации автоматизированных систем управления. Во многих компаниях существует целый набор разнообразных АСУ ТП, так сложилось исторически. Задача заключается в том, чтобы максимально сократить количество типов систем и таким образом упростить их обслуживание. Также это делает возможным построение эффективных систем обеспечения безопасности. «Зоопарк» всегда сложно защищать даже в элементарных вещах, таких как антивирусная защита, – где-то она нормально работает, где-то плохо, а где-то ее использование вообще невозможно.
Также идет процесс централизации управления и обслуживания. Выгодно держать одну-две дежурные смены на всю компанию, а не отдельно на каждом объекте. Вряд ли в ближайшее время мы увидим, что всеми агрегатами станут управляют из единой точки, но обслуживать все будут несколько дежурных смен. Будет возрастать роль защищенного гарантированного доступа, который позволит квалифицированному персоналу удаленно выполнять необходимые работы. Остроты проблеме добавляет практика обслуживания импортных систем специалистами, находящимися за рубежом. Следовательно, будет возрастать роль технологий контроля удаленного доступа.
Безусловно, не нужно забывать о базовых сервисах информационной безопасности, таких как антивирусная защита и мониторинг, но, на наш взгляд, разумно организованная система защиты в своей основе выглядит так: периметр безопасности АСУ ТП, в который интегрированы однонаправленные шлюзы (диоды). Интеграция нашего решения в такую схему позволяет максимально безопасно предоставить удаленный доступ как собственным сотрудникам, так и специалистам подрядчиков. С одним из производителей таких шлюзов мы создали совместное решение и готовы предлагать его нашим заказчикам.
– Как планируете развиваться в 2017 г.?
– На наш взгляд, тема защиты АСУ ТП будет все более актуальной. Мы ведем немало переговоров и пилотов по этой тематике. Это одно из приоритетных направлений развития. Второе – работа с корпорациями и ведомствами по участию в проектах ГосСОПКА. Третья ключевая тема – работа с операторами связи в рамках реализации соответствия требованиям 135-го приказа Минкомсвязи. Ну и конечно, мы продолжаем расширять свое присутствие на рынке, а также развивать отношения с уже существующими заказчиками.