Артём Сычёв, Positive Technologies: Безопасность должна быть неотделимым свойством сервиса, особенно, когда мы говорим о государственном секторе

Артем Сычев, советник генерального директора, Positive Technologies, во время форума «Цифровая устойчивость и информационная безопасность в России», рассказал порталу Cyber Media об особенностях цифровизации в государственном секторе, основных рисках и практиках, которые могут помочь компании избежать недопустимых событий в ходе интеграции новых продуктов.

Cyber Media: На Ваш взгляд, в чем заключается специфика цифровизации в госсекторе, по сравнению с коммерческим?

Артем Сычев: Глобально, цифровизация в государственном секторе отличается от коммерческого одной, но существенной, деталью – ее правила определяет Министерство цифрового развития, тогда как коммерческие компании в большинстве случаев решают этот вопрос самостоятельно.

На мой взгляд, регулятор реализует очень правильный курс на централизацию государственных систем, что, по итогу, позволяет:

• сократить издержки на информатизацию для государства;
• унифицировать форматы обмена информацией;
• упростить доступ к информации для разных  государственных учреждений.

В совокупности, это облегчает и ускоряет  взаимодействие различных государственных информационных систем между собой. Однако, с точки зрения кибербезопасности это влечет за собой определенные сложности. Главная из них – это появление двух контуров обеспечения информационной безопасности.

Первый – централизованный. Второй – инфраструктура доступа к этой централизованной системе. В этом плане, цифровизация государственного сектора во многом схожа с процессами цифровизации крупных корпораций.

Если посмотреть на коммерческий сектор, то там, с одной стороны, все гораздо проще, с другой –  сложнее. Сегодня компании столкнулись с необходимостью отказа от иностранных решений и поиска отечественных альтернатив. Это большой вызов, даже если на рынке уже есть готовое отечественное решение. Иногда же для решения  задачи в обеспечении защиты требуется целый комплекс инструментов, либо написание софта с нуля.

Cyber Media: В контексте обсуждения импортозамещения, некоторые эксперты говорят о целесообразности «децифровизации» с целью повышения информационной безопасности конкретного предприятия или отрасли. Насколько Вы согласны с этим утверждением?

Артем Сычев: На сегодняшний день, вероятно, ни у кого не осталось технологий, которые были бы полностью аналоговыми. 

Мы живем в совершенно другом мире, где найти аналоговые решения сложнее, чем цифровые. Даже на потребительском уровне, доступ в сеть имеет практически все – от дверного звонка, до пылесоса. Но даже если в вашем доме все устройства аналоговые – это не отменяет риски, поскольку  в каждой квартире стоит электрический счетчик, который уже давно подключен к сети, системе сбора информации об энергопотреблении.

Поэтому, деградация инфраструктуры – это не решение задач информационной безопасности. Правильный путь заключается во внедрении практик обеспечения кибербезопасности.

При этом надо понимать, что инфраструктура доступа, передачи данных или их хранения – это все может быть целью кибератаки, а значит – требует определенных мер защиты.

Cyber Media: На Ваш взгляд, какие проблемы кибербезопасности в госсекторе стоят наиболее остро?

Артем Сычев: Кибербезопасность в госсекторе, как и в любой другой индустрии, полностью зависит от человеческого фактора. Поэтому и проблемы те же, что и во всех отраслях.

В Средневековье огромное количество людей гибло от банального отсутствия базовой гигиены, такой как привычка мыть руки. Применительно к кибербезопасности ситуация схожа – большое количество инцидентов происходит просто потому, что не соблюдаются базовые стандарты безопасности. Например, всем известно, что нужно проводить сегментацию сетей, чтобы вредонос не «накрыл» всю инфраструктуру разом. Но все ли это делают? Наш опыт исследования инфраструктур компаний показывает, что делают это далеко не все: несмотря на то, что базовым принципом безопасности технологических сетей промышленных компаний всегда считалась их физическая “отделимость” от корпоративных сетей, почти в каждом пятом случае оказывалось, что это правило нарушено.

Другой яркий пример – это vulnerability management («патчменеджмент»). Все производители выпускают патчи безопасности, «закрывающие» выявленные уязвимости ПО, но далеко не все их активно ставят. В конце прошлого года мы исследовали особенности работы с уязвимостями и то, как этот процесс поменялся.  Всего 27% специалистов ответили, что выстроили проактивный подход в устранении уязвимостей: в компании введен общий регламент, по которому IT-специалисты обновляют ПО, не дожидаясь запроса от специалистов по ИБ.  А еще ак-то раз на лекции, я задал студентам вопрос: «Кто из вас ставит обновления на домашний роутер?». На профильной кафедре, где ребята учатся на специалистов по ИБ, руки подняли четыре человека из шестидесяти.

Когда компания усвоила и интегрировала основные правила кибергигиены – ее жизнь становится нормальной. Чтобы она стала не просто нормальной, а спокойной – нужны продвинутые практики, особенно если мы говорим о средних и крупных организациях. К ним можно отнести:

• организацию защиты конечных точек (Endpoint);
• мониторинг событий в сети с помощью продуктов класса SIEM;
• защиту трафика (например, с помощью Sandbox);
• и множество других решений.

А если мы говорим о «взрослой», зрелой,  кибербезопасности – то это, безусловно, еще и внедрение цикла безопасной разработки. Без него в вопросе  цифровизации уже никуда. При этом, не важно, о госсекторе речь или нет.

Cyber Media: На Ваш взгляд, какие инструменты и практики ИБ могут помочь компаниям обезопасить себя в процессе интеграции новых цифровых инструментов?

Артем Сычев: Глобально, безопасность компании на стадии интеграции зависит от двух факторов: уровень цифровой зрелости и уровень квалификации людей, которые проводят интеграцию. Я дам достаточно тривиальную рекомендацию, которую, несмотря на ее очевидность, принимают во внимание далеко не все.

Когда в компании идут интеграционные процессы, ранее работавшее решение следует отключать в последнюю очередь. И переходить на новое только тогда, когда проведены все тесты и доработки.

Cyber Media: В актуальных условиях геополитического кризиса, какие риски информационной безопасности наиболее актуальны для государственного сектора?

Артем Сычев: Весь прошлый год российскую инфраструктуру активно изучали злоумышленники, и иногда прямо в ходе атак. Это можно сравнить с разведкой боем. По итогам, они получили определенный набор знаний. В таких условиях общей задачей ИБ становится понимание, что это за знания и каким образом они могут быть использованы в деструктивных целях в дальнейшем. Поскольку наиболее вероятная цель – это создание неразберихи и паники, я бы выделил два наиболее чувствительных сектора:

• энергетика;
• средства массовой информации.

Конкретные инструменты реализации могут быть любые: от фишинга и DDoS, до чего угодно.

Но если все же говорить об инструментах, то я бы выделил вирусы-шифровальщики. Они, безусловно, скорее про коммерческую составляющую, но вполне могут быть адаптированы и для чисто деструктивных целей, как те же вайперы.

Cyber Media: Каким, на Ваш взгляд, должен быть баланс между цифровизацией и безопасностью, учитывая специфику и «чувствительность» государственного сектора?

Артем Сычев: Весь опыт, связанный с большими государственными сервисами, который есть в отрасли н, говорит, что баланса быть не должно: безопасность и цифровизация должны идти вместе и никак по другому.

Безопасность должна быть неотделимым свойством сервиса, особенно, когда мы говорим о государственном секторе, в первый день его запуска. При этом, важно чтобы были заделы как для технологического развития, так и для развития функционала безопасности.