Александр Хачапуридзе, ГК «Аскона»: Считать, что «теперь мы защищены и можно расслабиться» — самая большая ошибка специалиста по ИБ

Производственная компания с собственным городом, школой, медицинским центром и ритейлом — вертикально-интегрированная компания требует нестандартного подхода к информационной безопасности. Александр Хачапуридзе, ведущий эксперт ИБ ГК «Аскона», в интервью для Cyber Media рассказал, как выстроить защиту в условиях стремительного развития IT, чем отличается ИБ на производстве от классического подхода, почему компания делает ставку на внутренний SOC и с какими угрозами уже столкнулась.

Cyber Media: Какова специфика обеспечения информационной безопасности в производственной компании вроде «Асконы»? Чем она отличается от ИБ в классических IT-компаниях или ритейле?

Александр Хачапуридзе: Компания «Аскона» — это не просто производитель товаров для сна, а часть крупного холдинга Askona Life Group, в который входят бизнес-юниты совершенно разного профиля. Помимо производства и ритейла в группу входят:

• Город Доброград во Владимирской области — первый частный город в России со статусом муниципального образования, со своей администрацией, школой и больницей.
• Медицинский центр ПКМЦ — одно из самых передовых частных медучреждений региона.
• Образовательные проекты, включая школу МИР с авторскими программами и федеральной аккредитацией.
• Гостиничный и ресторанный бизнес, спортивные объекты, собственный бизнес-аэропорт.

Из-за такого разнообразия направлений информационная безопасность в Askona Life Group охватывает не только производственные мощности и розницу, но и инфраструктуру городского уровня, медицину, образование и транспорт.

В отличие от классических IT-компаний или ритейла, здесь приходится работать с очень широким спектром задач: защищать информационные системы производства продукции, системы логистики и маркетинга, системы бэк-офиса, персональные данные сотрудников и клиентов, медицинские данные, образовательные платформы, гостиничный бизнес и даже объекты городской инфраструктуры. Темпы развития IT значительно опережают развитие ИБ, особенно в e-commerce и маркетинге, который является главным драйвером изменений. Службе ИБ приходится постоянно адаптироваться и «догонять» новые IT-интеграции, чтобы не отставать от бизнес-процессов. В свою очередь, сам бизнес все больше зависит от IT. То есть, защита информационных систем становится стратегической задачей для ИБ.

Наибольшее внимание уделяется защите производства — это ключевое направление, приносящее компании основную прибыль. Но при этом нельзя забывать о специфике медицины и образовательных проектов, где есть строгие требования к конфиденциальности данных. Служба ИБ должна быстро реагировать на бизнес-запросы и при этом обеспечивать непрерывность всех процессов — от производства и онлайн-торговли до работы медицинского центра и городских сервисов.

Cyber Media: Какие угрозы и уязвимости для производственных процессов вы считаете наиболее актуальными? С какими реальными инцидентами вам уже приходилось сталкиваться?

Александр Хачапуридзе: Мы в работе с угрозами и уязвимостями опираемся на методику «недопустимых событий». То есть, выделяем те инциденты, которые могут необратимо повлиять на бизнес-деятельность. Ключевая задача — обеспечивать непрерывность работы компании и ее бизнес-эффективность, поэтому приоритет защиты строится по критичности рисков.

Наиболее опасными для нас являются:

• Остановка производственного цикла. Любой сбой в условиях полного цикла производства может привести к серьезным потерям.
• Нарушение логистических цепочек. Если мы не сможем вовремя получать материалы или доставлять продукцию, это сразу отразится на бизнесе.
• Сбой внутренних процессов компании, обеспечивающих все этапы работы.
• Компрометация клиентских данных. У нас большая база постоянных клиентов и развитая система личных кабинетов. С учетом ужесточения контроля со стороны регуляторов и усиления атак на персональные данные этот вектор стал одним из ключевых.

Определение «недопустимых событий» — это совместная работа ИБ-службы и топ-менеджмента: мы регулярно обновляем карту рисков, адаптируем ее под новые угрозы и бизнес-задачи.

Что касается реальных инцидентов, один из наиболее заметных произошел в прошлом году и был связан с компрометацией цепочки поставок. Пострадала сторонняя компания — наш партнер, в рамках деловой этики не буду называть название компании, который предоставляет маркетинговые услуги. В результате взлома их систем были скомпрометированы персональные данные нескольких организации, в том числе наши. Это был публичный инцидент, о котором писали СМИ, и мы оказались в числе пострадавших наряду с другими крупными компаниями.

В целом, мы наблюдаем рост количества атак и их сложность. Уровень активности злоумышленников постоянно повышается, и нам приходится прикладывать все больше усилий, чтобы поддерживать необходимый уровень защиты.

Cyber Media: Используются ли на предприятии системы класса MES, SCADA, IoT, и как выстроена их защита? Удается ли эффективно сегментировать технологическую и корпоративную сети?

Александр Хачапуридзе: Мы используем системы класса MES, без них современное производство, особенно с полным циклом, как у «Аскона», невозможно. На наших площадках в Коврове и Владимирской области мы производим все — от кокосового наполнителя и тканей до пружинных блоков и готовых матрасов. MES позволяет управлять этим процессом и поддерживать его эффективность.

SCADA-системы у нас применяются в меньшей степени, так как мы все же не металлургический комбинат и не энергетическая компания, где требуется управление сложными инженерными объектами в реальном времени. Что касается IoT, мы сознательно сокращаем использование распределенных устройств, которые сложно контролировать, чтобы минимизировать связанные с ними риски.

Теперь о сегментировании. Завершить его невозможно — это как «вечный ремонт»: каждое внедрение новой системы или оборудования постоянно тестирует границы изоляции. Мы поддерживаем сегментацию между технологической и корпоративной сетями, у нас есть полностью изолированные контуры, но их уровень изоляции соответствует нашей сфере деятельности и предъявляемым требованиям — это не уровень атомной станции.

Наша ИБ-стратегия ориентирована на концепцию Zero Trust. Мы стараемся выстраивать защиту таким образом, чтобы даже при нарушении сегментирования ничего критически важного не произошло. Каждый объект информационной системы должен быть защищен индивидуально, а сама архитектура — оставаться отказоустойчивой даже при сбоях в периметре.

Cyber Media: Выстроен ли у вас внутренний SOC, или вы используете аутсорсинг? Почему выбрали именно такой подход, и какие преимущества/ограничения в нем видите?

Александр Хачапуридзе: Служба информационной безопасности в «Аскона» как отдельное подразделение появилась относительно недавно — в 2022 году. С самого начала было принято решение, что SOC будет внутренним, и это принципиальная позиция. Причин тому несколько.

Во-первых, мы считаем, что ключевые компетенции в такой чувствительной сфере, как информационная безопасность, должны быть внутри компании. При работе с коммерческим SOC неизбежно передаются знания и контроль третьей стороне, а нас это не устраивает. Мы хотим не только сохранить, но и развивать собственные компетенции.

Во-вторых, качество работы и уровень ответственности выше, когда специалисты защищают «свое». Мы ежедневно работаем с нашей почтой, доменом, CRM и другими системами и понимаем, что отвечаем за их безопасность. Внешние подрядчики, какими бы профессиональными они не были, все же защищают чужую инфраструктуру, а не свою.

В-третьих, эффективнее интегрировать SIEM, системы мониторинга трафика, управления уязвимостями и другие инструменты, когда они выстраиваются внутри компании. Внутренний SOC позволяет лучше настраивать их под наши процессы.

Мы понимаем и ограничения такого подхода. Главный минус — необходимость привлекать специалистов с высокой экспертизой, которых сейчас найти непросто. Мы развиваем собственный SOC: ядро уже сформировано, и мы считаем, что движемся в правильном направлении.

Cyber Media: С какими особенностями вам пришлось столкнуться при защите устаревших или непрерывно работающих систем? Какие решения оказались наиболее эффективными именно в этих условиях?

Александр Хачапуридзе: В любой организации, даже самой современной, есть так называемые legacy-системы — устаревшие решения, защита которых оставляет желать лучшего. Мы применяем два основных подхода.

Первый — оценка возможности замены. Мы анализируем, насколько система критична для бизнеса, насколько она интегрирована с общей инфраструктурой и реально ли ее заменить без катастрофических последствий. Если замена возможна, мы стараемся внедрить более современное решение с более высоким уровнем безопасности.

Однако в большинстве случаев это невозможно. У «Асконы» 35-летняя история, и есть системы, которые работают с первых дней и глубоко завязаны на ключевые бизнес-процессы. Их замена либо слишком рискованна, либо требует полного пересмотра производственного цикла.

В таких случаях мы используем компенсационные меры, и здесь ключевую роль играет концепция Zero Trust. Мы исходим из принципа минимально необходимых привилегий: у таких систем должны быть только строго необходимые доступы и функции. Мы обеспечиваем их максимальную изоляцию, строгий контроль взаимодействий, прозрачность всех процессов и минимизируем любые лишние связи между ними.

Это единственный способ обеспечить приемлемый уровень безопасности, особенно в условиях, когда системы устаревают не только из-за времени, но и из-за прекращения их поддержки, в том числе в связи с санкциями. Нам постоянно приходится придумывать новые способы защиты таких решений.

Cyber Media: Как выстраивается совместная работа ИБ и IT с учетом производственных рисков? Есть ли разница в подходах к цехам, складам и офисной части?

Александр Хачапуридзе: Мы классифицируем и защищаем объекты не по их функциональной принадлежности, а по степени их критичности для бизнеса. Если система или процесс критичен, мы сегментируем и защищаем его вне зависимости от того, идет ли речь о цехе, складе или точке продаж. Для нас важна совокупная критичность бизнес-процесса: в одном контуре могут быть и производственный участок, и склад, и розничная точка, если они обеспечивают одну цель.

Что касается взаимодействия ИБ и IT, здесь есть своя специфика. Отношения у нас дружеские и партнерские, но при этом разделенные — у нас разные целеполагания. ИБ в первую очередь ориентирована на максимальную безопасность, IT — на скорость, эффективность и удобство. Эти цели зачастую противоречат друг другу: чем быстрее и проще внедряются решения, тем выше риски для безопасности. Поэтому «горячие точки» и дискуссии по принципиальным вопросам неизбежны, и это нормально — значит, обе стороны работают правильно и выполняют свои задачи.

Важно понимать, что эффективная работа службы информационной безопасности невозможна без IT. ИБ — это «глаза и уши», а IT — «руки», которые реализуют все меры защиты. Без тесного взаимодействия между нашими подразделениями обеспечить должный уровень безопасности было бы невозможно.

Cyber Media: Вы упомянули «горячие точки». Какие конфликты чаще всего возникают между ИБ и IT? И как вы их решаете?

Александр Хачапуридзе: Я бы не называл эти «горячие точки» конфликтами. Конфликт — это когда изначально разные цели. А у нас цель общая — обеспечить эффективность, безопасность и непрерывность бизнеса. Споры возникают не из-за целей, а из-за подходов к их достижению.

ИБ мыслит критически, оценивая риски и последствия, а IT ориентируется на скорость и эффективность выполнения задачи. Отсюда и основные противоречия. Например, бизнес ставит задачу — в короткие сроки внедрить систему для повышения эффективности маркетинга, которая будет обрабатывать персональные данные клиентов. IT, естественно, стремится сделать это быстро, просто и с минимальными затратами: использовать облачные сервисы, готовые решения, в том числе и open-source, непроверенный код или библиотеки для приложений и т. д. ИБ же требует иного: хранить данные на внутренних серверах, выбирать коммерческие, проверенные решения вместо бесплатных, проверять и контролировать разработку, настаивать на дополнительных мерах защиты.

Такие споры случаются, но они решаемы. Наши IT-специалисты, как правило, идут навстречу после разъяснений и обоснований, почему данные меры необходимы. Принципиально неразрешимых вопросов у нас нет.

Важно понимать, что ответственность ИБ выше, чем у IT. В случае инцидента, утечки или компрометации спрашивают в первую очередь с нас, поэтому мы вынуждены требовать больше и быть жестче в вопросах безопасности. Справедливости ради нужно отметить, что специалисты IT в большинстве своем не против безопасности. Они периодически проявляют инициативу и приходят к нам с предложениями по повышению безопасности. Особенно наши специалисты инфраструктуры и сети. За что им отдельная благодарность.

Cyber Media: Удается ли вовлечь пользователей и персонал в процессы безопасного поведения — через обучение, геймификацию, симуляции фишинга? Как вы работаете с человеческим фактором? И был ли у вас случай, когда сотрудник предотвратил какой-то инцидент?

Александр Хачапуридзе: Не секрет, что самое слабое звено в любой системе — это человек. И самый эффективный метод защиты это не покупка дорогих ИБ-систем, а просвещение сотрудников. Мы это хорошо понимаем и стараемся повышать уровень киберосведомленности, кибергигиены и общей компьютерной грамотности персонала.

У нас внедрены автоматизированные обучающие программы российских разработчиков: сотрудники проходят обучение, тестирование и сдают экзамены. В первую очередь мы обучаем тех, кто находится в зоне наибольших рисков. Дополнительно регулярно рассылаем общую информацию о наиболее актуальных угрозах. И это дает результат: весной мы проводили очередное тестирование, и по сравнению с прошлым годом процент успешно сдавших экзамен вырос в разы.

Геймификация пока не внедрена — не хватает ресурсов, но это в планах. Мы планируем использовать квесты и игровые симуляции, чтобы повысить вовлеченность сотрудников.

Что касается человеческого фактора: мы считаем, что в команду ИБ входят не только штатные специалисты, но и все сотрудники, работающие за компьютером. У нас очень хорошая обратная связь. Например, недавно один из сотрудников самостоятельно определил подозрительную активность в почте и сообщил нам об этом. Это несмотря на то, что почтовое сообщение прошло автоматизированную проверку на угрозы и не выявило ее. А сотрудник выявил.

Фишинг и социальная инженерия присутствуют постоянно: мошенники регулярно рассылают сообщения якобы от имени руководства через мессенджеры вроде WhatsApp или Telegram. Но наши сотрудники часто распознают такие попытки, сообщают нам и не поддаются на уловки. Можно сказать, что они часто предотвращают инциденты еще на ранней стадии — и за это им действительно большое спасибо.

Cyber Media: Какие регуляторные требования или отраслевые стандарты наиболее критичны для «Асконы»? Как выстроен процесс соответствия? Был ли случай, когда регуляторные требования противоречили бизнес-требованиям?

Александр Хачапуридзе: Если говорить об «Асконе» как о бренде, производящем мебель, матрасы, подушки, то особых регуляторных требований здесь нет, за исключением 152-ФЗ о защите персональных данных. Мы являемся ритейлерами, храним и обрабатываем персональные данные клиентов, поэтому строго выполняем все требования закона. Особенно в свете последних изменений, усиливающих контроль и ужесточающих штрафы, этот аспект для нас наиболее актуален.

Если рассматривать Askona Life Group в целом, то здесь требования шире. Например, у нас есть медицинское учреждение — ПКМЦ в Коврове, которое подчиняется отраслевым стандартам для медорганизаций. Также есть небольшое химическое производство, отнесенное к объектам КИИ, для которого мы также выполняем все требования. Но основное внимание все равно сосредоточено на защите персональных данных — это один из ключевых пунктов нашей стратегии ИБ, поскольку активность злоумышленников в этой сфере растет, и утечки данных становятся все более серьезной проблемой.

Что касается возможных противоречий между регуляторными и бизнес-требованиями, фундаментальных конфликтов у нас нет. Бизнес сам понимает важность защиты данных клиентов и осознает, что это зона его ответственности. Однако есть вопросы к регуляторике в части штрафов: 3–5% от годового оборота или многомиллионные санкции за утечки — это серьезные убытки. Проблема в том, что не всегда инциденты происходят по вине самой компании. Например, случай с нашим ране упомянутым инцидентом: данные были переданы подрядчику в рамках официального оформленных отношений, то есть, легитимно, а именно на стороне подрядчика произошла компрометация. Формально ответственность несем мы, но фактически виноват подрядчик. А в итоге страдаем мы, как ответственные за данные. Этот вопрос до конца не урегулирован, и бизнес с этим, конечно, не всегда согласен.

Тем не менее в нашей сфере критических противоречий между регуляторикой и бизнес-требованиями нет, поскольку доля строго регулируемых направлений в Askona сравнительно невелика. Основной фокус — все та же защита персональных данных.

Cyber Media: Какие новые вызовы вы видите для ИБ в производственной среде на горизонте 3–5 лет? И как вы к ним готовитесь уже сейчас?

Александр Хачапуридзе: В ближайшие 3–5 лет я вижу три основных вызова для информационной безопасности в производственной среде.

Во-первых, это внедрение ИИ во всех его проявлениях и на всех этапах бизнес-деятельности. Сейчас его использование во многом продиктовано модой и маркетинговым давлением, а не реальной необходимостью, но для ИБ это серьезный вызов:

• для работы ИИ нужно передавать чувствительные данные — коммерческие, производственные, персональные;
• в большинстве случаев ИИ-системы находятся в облаке у поставщика, а построить собственный закрытый ИИ дорого и сложно;
• все, что передается в публичные ИИ, по сути, уже можно считать скомпрометированным;
• уровень безошибочности даже у самых совершенных систем далек от 100%, и ошибка в производственных расчетах может привести к серьезным последствиям. Требуется обязательная проверка результатов на валидность.

Тем не менее бизнес требует соответствовать трендам, поэтому мы вынуждены работать с ИИ, подходя к этому максимально осторожно.

Во-вторых, это широкое внедрение облачных технологий. Мы все чаще вынуждены использовать облачные сервисы, но это третья сторона и неконтролируемая зона. Даже если поставщик компенсирует ущерб в случае инцидента, утечку данных, например, репутационные риски и потерю коммерческой тайны это не отменяет.

В-третьих, это растущее количество бизнес-интеграций в информационной среде. Сегодня компании вынуждены строить информационные взаимоотношения с маркетплейсами, логистическими компаниями, банками, ритейлом, маркетинговыми системами. Каждая такая интеграция — это дополнительная «дверь», через которую может прийти угроза. Мы доверяем партнерам, но не можем их полностью контролировать. Если у них происходит инцидент, то через наши же официальные каналы эта угроза может попасть к нам.

Мы понимаем, что таких интеграций будет становиться все больше, поэтому уже сейчас ищем и разрабатываем новые подходы для их защиты. Полностью закрывающих данный вопрос решений пока нет ни у нас, ни на рынке. Во всяком случае отечественном.

Cyber Media: Что бы вы посоветовали ИБ-специалистам, которым только предстоит выстраивать защиту в промышленной или производственной компании? С чего лучше начинать?

Александр Хачапуридзе: Я бы посоветовал в первую очередь отказаться от шаблонного мышления и перейти к индивидуальному подходу, исходя из реальной ситуации в конкретной компании. Можно построить идеальную систему безопасности по учебникам, но она будет релевантна организации только на 10%, а остальные 90% останутся незащищенными. Поэтому начинать нужно с оценки того, что действительно важно защищать именно в этой компании. Как я говорил ранее, мы, например, используем концепцию недопустимых событий: определяем, какие инциденты являются для бизнеса критичными и недопустимыми, и уже исходя из этого строим защиту.

Очень важно помнить, что безопасность существует не ради самой безопасности, а ради эффективной и непрерывной работы бизнеса. Если сосредоточиться, например, только на защите от утечек данных, репутационных рисков и патч-менеджменте, но упустить защиту от шифровальщиков, то одна удачная атака может парализовать всю компанию и сделать бессмысленной всю предыдущую работу.

Также стоит сразу отказаться от иллюзии, что организацию можно защитить на 100%. Это опасное заблуждение. Считать, что «теперь мы защищены и можно расслабиться» — самая большая ошибка специалиста по ИБ. Нужно помнить, что противник всегда более мотивирован, свободен в своих действиях и использует все более совершенные инструменты. Безопасность — это бесконечный процесс, в котором нельзя останавливаться.

И последнее, но очень важное: нужно делать как можно больше резервных копий и предусматривать максимально быстрое восстановление IT после успешной атаки. В последнее время все актуальнее становится тезис «инциденты неизбежны, а последствия нет». То есть, от атаки не защищен никто, но последствия от нее должны быть не критичны.