К осознанию необходимости защиты критической информационной инфраструктуры (КИИ) на государственном уровне власти пришли к концу 2000-х. Именно тогда стали формироваться как национальные законодательства различных стран, так и рекомендации международных организаций, например МАГАТЭ или ОЭСР. В России аналогичный закон вступил в действие 1 января 2018 года, определив в первую очередь сферы действия субъектов КИИ и объекты защиты. Под объектами критической информационной инфраструктуры закон понимает информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления промышленных предприятий и прочих субъектов экономической деятельности. По данным Федеральной службы по техническому и экспортному контролю, количество объектов, подпадающих под действие законодательства о защите КИИ, на данный момент достигает нескольких десятков тысяч.
«Эксперт» обсудил проблему защиты критической информационной инфраструктуры с заместителем генерального директора ООО «Газинформсервис» Николаем Нашивочниковым.
— Реализация норм закона сформировала не только инфраструктуру защиты КИИ, но главное — сформировала в сознании руководителей предприятий адекватную оценку важности проблемы. Мы наблюдаем как атаки на объекты КИИ регулярно осуществляются и в России, и за рубежом. Это давно уже не бизнес хакеров-одиночек или групп вымогателей. Защита КИИ стала фактором внешней политики.
— Какие технологии вы считаете перспективными в организации защиты объектов КИИ?
— Традиционный перечень технологий — это защита периметров объектов КИИ, защита от вредоносного воздействия, управление событиями безопасности, контроль управления конфигурациями и уязвимостями, а также другие, ставшие уже классическими. В то же время защита объектов КИИ требует оперативной обработки больших объемов разнородных данных. Наш опыт взаимодействия с заказчиками показывает, что перспективным направлением является развитие технологий расширенной аналитики данных, в том числе выявления поведенческих аномалий, аномалий на хостах и в сетевом трафике, автоматизации процессов реагирования на инциденты ИБ, применение решений для противодействия сложным целевым атакам. Для организаций, являющихся объектами критической информационной инфраструктуры, крайне важно обеспечение безопасного и непрерывного функционирования. С этой целью на таких предприятиях разворачиваются центры операционного мониторинга и анализа, в задачу которых входит обработка потоков данных для выявления инцидентов безопасности или отклонений от штатного режима функционирования технологических систем, что относится к классу задач big data. Благодаря использованию инструментов расширенной аналитики, включая технологии машинного обучения, эффективность работы подобных центров существенно повышается.
— Какие основные проблемы в этой части вы видите, где те «дыры», через которые злоумышленники могут повлиять на производственный процесс, почему они появились и как их «залатать»? Как обеспечить защиту объектов КИИ?
— Первый и, пожалуй, главный шаг на пути к решению проблемы — это ее осознание. Поэтому сами организации должны быть инициаторами процессов эффективной защиты критической инфраструктуры от внешних угроз. В частности, необходимо регулярно проводить мониторинг сетевой активности и проверку надежности защиты от вторжений, так как злоумышленники постоянно ищут уязвимости и генерируют новые способы доступа к информационной инфраструктуре предприятий и зачастую находят новые возможности для атак. Поэтому процесс обеспечения безопасности должен быть непрерывным. Незащищенность КИИ может привести к серьезным последствиям, в том числе, например, к полной или частичной остановке производства. Поэтому, отвечая на ваш вопрос, «залатать дыры», безусловно, можно, но правильнее было бы перейти к системному подходу в обеспечении информационной безопасности, тогда не придется латать. Комплексная система защиты значимых объектов КИИ не только позволит минимизировать риски каких-либо сбоев или остановок производства из-за кибератак, но и поможет избежать возможных санкций со стороны надзорных органов.
— Какова роль российских продуктов, прежде всего ПО, в обеспечении безопасности критической инфраструктуры. Как меняется, если меняется, доля российского ПО и почему? Есть ли преимущества у российского ПО, в том числе стоимостные?
— Известно, что в Едином реестре российского программного обеспечения уже зафиксировано более 11 тысяч продуктов. Мы неизбежно двигаемся в сторону снижения доли импортного ПО на российском рынке. Во многом этому поспособствовали изменения в законодательстве РФ, которое регламентирует госзакупки. Например, госорганам фактически запрещено покупать новый импортный софт при наличии отечественного аналога. В Китае, например, госорганы давно перешли на китайский продукт WPS Office, созданный национальной компанией Kingsoft как альтернатива Microsoft Office. Что касается в целом качества отечественных разработок и уровня сервисной поддержки в сфере кибербезопасности, то уже сегодня отдельные решения сопоставимы с зарубежными аналогами.
