март 17, 2021
Специалисты компании “Ростелеком” совместно с Schneider Electric провели обучающий вебинар “Ликбез по кибербезу”, где ответили на наиболее важные вопросы о кибербезопасности. Разговор зашел о выделении бюджетов на средства киберзащиты, о переходе предприятий на отечественное ПО и, конечно же, о том, насколько опасна миграция кадров для информационной безопасности компании. О самом интересном и актуальном - в нашем материале.
Кибербезопасность.
СС0
На вопросы участников вебинара ответил Андрей Иванов, технический консультант по кибербезопасности Schneider Electric.
Напомним, что еще к 1 сентября 2020 года должно было закончится категорирование объектов критической информационной инфраструктуры (КИИ), результаты которого необходимо было предоставить во ФСТЭК. Если говорить проще, к этой дате нужно было провести оценку рисков безопасности для определенных объектов IT-инфраструктуры, которые используются в отраслях экономики и государственного управления, и предоставить отчет ФСТЭК. Увы, этого не случилось – по данным самого ведомства “работа” выполнена на 50-60%, а в некоторых отраслях всего на 1.5%. Разумеется, такое положение дел затрудняет внедрение систем защиты на предприятиях, работающих в стратегических важных для государства областях. Но почему это происходит?
– На самом деле, причин может быть много. Во-первых, главенствует принцип: «Не спеши выполнять приказ, а то вдруг отменят». Когда были введены вышеупомянутые требования, стало понятно, что внедрение всех мер и средств защиты требует серьезных дополнительных расходов. Но необходимо учитывть, что в крупных компаниях бюджет на следующий год, как правило, формируется осенью.
Во-вторых, следует учитывать финансовую составляющую. Зачастую крупные компании находится в ситуации, когда защита всех систем требует больших затрат, которые заложить в годовой бюджет невозможно. В связи с этим процесс идет медленно.
Следующие планы по объектам КИИ: к 2024 году должны перейти на использование отечественного ПО, а к 2025 – использовать преимущественно российское оборудование. Резонный вопрос – посильно ли российским компаниям достигнуть этих целей? Успеют ли отечественные разработчики обеспечить рынок качественными аналогами в срок?
– Можно сказать, что рынок уже обеспечен – с точки зрения наличия программных средств, антивирусов. Российские вендоры предоставляют услуги по защите, мониторингу, своевременному информированию и предотвращению атак и так далее.
С аппаратным обеспечением ситуация немного хуже. Те же российские межсетевые экраны существуют, но пока начального уровня. Если потребуется высокая производительность, высокая пропускная способность, то межсетевой экран должен размещаться на серьезном канале передачи данных, но таких пока немного.
Владельцы некоторых объектов энергетики еще не решаются пересесть на “новую лошадку” – то есть оцифроваться. Может быть, это к лучшему, ведь аналоговым системам кибербезопасность не нужна, но тогда как им “защищаться”?
– Существуют свои специфические меры защиты, и, естественно, на аналоговые системы управления установить антивирус невозможно. Однако это не отменяет защиту периметра, защиту на уровне физического доступа к этим системам управления и так далее.
Согласно 239-ому приказу ФСТЭКа, если та или иная мера защиты не может быть применена, то, во-первых, это должно быть обосновано («нет компьютера – нет антивируса»). Во-вторых, должны быть разработаны компенсирующие меры. В любом случае такие задачи решаются, разрабатываются определённые меры защиты. Дополнительно Минэнерго РФ выпускает дополнительные требования к защите системы энергетики.
Руководство не выделяет деньги на новые решения, связанные с информационной безопасностью, когда они особенно нужны. Кибератак, и, как следствие, взломов баз данных каждый день все больше. Можно ли убедить начальство выделить средства на эти цели, если его уже нечем пугать?
– Если руководитель компании считает это не важным и не нужным и не выделяет на это деньги, то вряд ли вы сможете что-то изменить. Как показывает практика, такой процесс длится до тех пор, пока не случается реальный инцидент. Тогда сразу находятся и деньги, и возможности, начинаются разговоры с теми же менеджерами по информационной безопасности в духе «а почему вы меня раньше в этом не убедили.
Тема “миграции кадров” всегда занимает особое место в обсуждении кибербезопасности. К примеру, ваш сотрудник всегда может уйти и передать информацию о системе безопасности в чужие, нехорошие руки. Возможно ли от этого защититься и стоит ли? Или может быть, всего-лишь у страха глаза велики?
– Вопрос к отделу кадров и к HR. О рисках буду говорить в отношении специалистов по информационной безопасности.
Когда уходит человек, который знает, как устроена информационная безопасность на конкретном предприятии, это влечет серьезные риски. Особенно если человек ушел чем-то недовольным. Как показывает практика, мир таких специалистов ввиду дефицита кадров достаточно тесный. И вряд ли человек, являясь серьезным специалистом, будет вредить себе, передавая эту информацию хакерским группировкам для произведения атаки.
Часто источник утечки подобной информации определяется быстро. После такого инцидента источник утечки про серьезную работу на рынке информационной безопасности в регионе может забыть.
Заключительный вопрос – как спикер оценивает правовое регулирование кибербезопасности в России? И существуют ли значительные пробелы?
– ФСТЭК – очень открытая организация, представители которой везде присутствуют и выступают на различных профильных конференциях, стараются на все вопросы отвечать. И те пробелы, которые были выявлены за три года действия закона, ФСТЭК достаточно оперативно устраняет. К тому же приказу № 239 было выпущено уже три обновления за последние три года.