В беседе с Николаем Нашивочниковым, заместителем генерального директора — техническим директором компании «Газинформсервис», мы рассмотрим ключевые вызовы и перспективные решения в области кибербезопасности, включая создание собственных центров компетенций, а также обсудим опыт компании «Газинформсервис» в разработке и внедрении доверенных программно-аппаратных комплексов и решениях по обеспечению технологической независимости и безопасности критической информационной инфраструктуры.
Критическая информационная инфраструктура (КИИ) Российской Федерации сталкивается с серьезными вызовами в борьбе с современными угрозами. АРТ-группировки (прим. ред. — киберпреступные сообщества, в которых роли атакующих четко распределены) целенаправленно пытаются вывести из строя жизненно-важные производственные процессы объектов здравоохранения, транспорта, связи, энергетики, промышленности. Поэтому главной угрозой для КИИ становится нарушение устойчивости к кибератакам. Атаки могут привести к остановке критически важных процессов в том числе на особо опасных объектах, таких как нефтеперерабатывающие заводы, узлы связи, тепловые и даже атомные электростанции.
Для этого необходима комплексная стратегия и усиление отечественного производства. Нам нужны отечественные платформы для мониторинга информационной безопасности объектов критической инфраструктуры. Следует сделать акцент на усилении защиты промышленных контроллеров, которые отвечают за важные технологические процессы. Обеспечение киберустойчивости КИИ должно стать не просто задачей, а стратегическим ориентиром в разработке новых продуктов в области информационной безопасности.
Также контроль технологических параметров должен быть усилен предиктивной аналитикой, позволяющей предвидеть сбои, отклонения в технологическом процессе, предупреждая таким образом проблемы до их перехода на критическую стадию. Системы поведенческой аналитики пользователей и сущностей (UEBA), работающие в связке с системами мониторинга (SIEM), ускорят реагирование на инциденты.
Наконец, необходима защита от внутренних нарушителей — инсайдеров, чьи действия могут нанести серьезный урон изолированной системе.
В первую очередь требуется ограничить права пользователей по принципу минимальных привилегий, необходимых и достаточных для выполнения производственных задач. Для изолированных систем важно обеспечить строгий контроль точек входа, многофакторную аутентификацию и защиту удаленных подключений. Следование концепции «нулевого доверия» (Zero Trust) ограничит возможности неправомерных действий пользователей внутри КИИ.
Неотъемлемой частью стратегии является обучение и тренировка сотрудников, чтобы минимизировать риск ошибок и умышленных неправомерных действий. Также необходим план аварийного восстановления КИИ, учитывающий сценарии действий персонала: от сбоев до полной остановки процессов.
В 2024 году в англоязычном публичном пространстве опубликовали очень интересную работу: специалисты по кибербезопасности Джеймс Уэстон из Forscie и Джошуа Биман из Security Blue Team создали публичную матрицу инсайдерских угроз Insider Threat Matrix, в которой систематизировали и классифицировали действия внутренних нарушителей.
Мы в «Газинформсервисе» перевели эту матрицу и развили, дополнив актуальными для российских реалий угрозами. В скором времени мы выложим этот труд в публичный доступ. Размещая его, мы преследуем ту же цель, что и создатели основного проекта: мы стремимся не только обмениваться знаниями о тактиках инсайдеров и методах их предотвращения, но и унифицировать терминологию и подходы по выявлению инсайдеров и их деструктивных действий, чтобы сконцентрироваться на определении мер и создании инструментов по предотвращению этих деструктивных действий.
Матрица инсайдеров поможет организациям эффективно выявлять подозрительное поведение, прогнозировать потенциальные риски и проводить глубокий анализ инцидентов. Интеграция матрицы в системы поведенческой аналитики (UEBA) и мониторинга (SIEM) уточнит векторы атак и ускорит диагностику инцидентов.
В настоящее время положено хорошее начало.
Во исполнение Указа Президента Российской Федерации от 30 марта 2022 г. № 166 вышло Постановление Правительства PФ от 14 ноября 2023 г. № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации», и некоторые отечественные производители уже прошли путь разработки таких доверенных ПАК. «Газинформсервис», конечно, в их числе. Сейчас идет активная фаза экспертизы таких комплексов по требованиям регуляторов.
Опорные решения информационной безопасности в КИИ уже замещены зрелыми отечественными продуктами. Российские разработчики показали себя способными быстро адаптироваться к новым вызовам. Однако остаются пробелы в нишевых продуктах, таких как системы симуляции кибератак (Breach and Attack Simulation (BAS)), технологии изоляции браузера (Remote Browser Isolation (RBI)) и системы управления поверхностью атаки (Attack Surface Management (ASM)). Эти инструменты важны для обеспечения предиктивной защиты, минимизации рисков и обеспечения высокого уровня киберустойчивости. Мы в «Газинформсервисе» осознаем важность этих сегментов и работаем над созданием конкурентоспособных решений. Наш подход включает строгие сроки, глубокую проработку технологий и тесное взаимодействие с заказчиками. Уверен, что уже в ближайшие годы станет возможным полностью закрыть эти пробелы, обеспечив независимость и безопасность информационной инфраструктуры.
На мой взгляд, одним из самых перспективных направлений в информационной безопасности сегодня является detection engineering — автоматизация процесса разработки правил и моделей машинного обучения для обнаружения атак. В условиях постоянно эволюционирующих угроз и увеличения сложности атак защиты периметра больше не достаточно. Нужно быстро выявлять и анализировать инциденты внутри инфраструктуры, а она меняется, меняются и сами средства защиты информации, в которые встраиваются правила обнаружения и модели.
Detection engineering предполагает разработку, настройку и оптимизацию правил обнаружения киберинцидентов на основе поведенческого анализа, данных киберразведки и обратной связи после моделирования атак. Это включает использование систем мониторинга, управления инцидентами ИБ и реагирования на них (SIEM, SOAR, EDR/XDR) для создания высокоточных механизмов детектирования. Применение MITRE ATT&CK и других фреймворков позволяет системно анализировать методы злоумышленников и повышать эффективность защитных мер.
Этот тренд активно развивается. Так, в «Газинформсервисе» появляются центры компетенции и профессиональный сервис по расследованию киберинцидентов, аналитике угроз, киберразведке, защите технологий искусственного интеллекта, создаются база знаний по информационной безопасности, киберполигон.
Создание собственного центра мониторинга информационной безопасности (SOC, Security Operations Center) целесообразно для крупных компаний с обширной распределенной инфраструктурой.
Это также оправдано при высоких требованиях к оперативности, конфиденциальности и глубокому пониманию внутренних процессов. Что касается второй части вопроса, то для компаний, которые не могут создать подобный центр, оптимальным решением станет подключение внешнего центра. Это позволяет снизить затраты на инфраструктуру и экспертизу, при этом обеспечивая доступ к современным технологиям и квалифицированным специалистам. Главное — правильно выбрать провайдера и контролировать качество услуг. У нас в компании накоплен многолетний опыт в обеспечении комплексной защиты гетерогенной инфраструктуры, выявлению и предупреждению кибератак, поэтому в 2024 году мы открыли Центр мониторинга информационной безопасности, который предоставляет услуги по мониторингу и расследованию киберинцидентов.
Наши заказчики планируют стратегию безопасности своей инфраструктуры на горизонте 10 лет. Чтобы правильно спроектировать системы защиты, мы должны заглядывать в технологии будущего на несколько лет вперед. Сейчас в информационной безопасности активно применяются технологии машинного обучения (Machine Learning (ML)), и все чаще встает вопрос о безопасности как самих моделей, так и данных, на которых они обучаются.
Набор практик для защиты жизненного цикла ML (Machine Learning Security Operations (MLSecOps)) сочетает решение задач по обеспечению безопасности данных и моделей машинного обучения на этапах разработки, развертывания и эксплуатации. Это защита исходного кода, проверка устойчивости моделей, защита интерфейса взаимодействия (API) и мониторинг поведения системы. Такой подход обеспечивает доверие и устойчивость ML-систем в условиях растущих угроз.
Сейчас важно решать задачи защиты данных, используемых для обучения моделей машинного обучения, обеспечения их устойчивости к атакам (включая подмену данных или атаки на ML-алгоритмы (adversarial attacks)), предотвращения манипуляций и обеспечения этичного использования. Также важны прозрачность моделей и их интерпретируемость для применения в критических сферах.
Опыт компании «Газинформсервис» подтверждает, что отрасль успешно движется к выполнению требований Указа № 166, и 1 января 2025 года рассматривается как важная веха, к которой участники рынка готовились заблаговременно. Общие ожидания от достижения этой цели позитивные.
«ИБ-пророк». Когда сходятся звезды: прогнозы лидеров инфобеза.
