Сегодня защита критической информационной инфраструктуры – тема номер один в ИБ. Это связано с форсированием работы над законопроектом по КИИ. Безопасность инфраструктуры сильно зависит от тех, кто ею управляет, – администраторов и других привилегированных пользователей, именно поэтому мы решили задать несколько вопросов по теме защиты информационной инфраструктуры Александру Новожилову, генеральному директору компании «АйТи Бастион», которая разрабатывает инструменты для контроля привилегированных пользователей.
– Какие задачи защиты критической инфраструктуры можно решить с помощью средств контроля привилегированных пользователей?
– Начнем с простых вещей. Ключевая инфраструктура в любом случае остается ИТ-инфраструктурой. И для нее применимы все базовые инструменты защиты и требования. Задача аутентификации пользователей и разграничения доступа была и остается одной из важнейших, особенно если дело касается привилегированных пользователей. С ней тесно связано выполнение требований соблюдения парольной политики. Эти требования проще и эффективнее выполнять с помощью автоматизированного инструмента.
Следующим важнейшим механизмом обеспечения ИБ является мониторинг событий и реагирование на них. Наше решение позволяет собирать уникальные данные о событиях, связанных с действиями привилегированных пользователей, и автоматически реагировать на них. С помощью накопленной нами информации можно проводить ретроспективный анализ действий, выполненных при эксплуатации КИИ.
Вот мы и определили задачи, которые можно решать с помощью нашего программного обеспечения на критической инфраструктуре: аутентификация, контроль и разграничение доступа, запись происходящих событий. А уже решение этих задач позволяет определять компетенции сотрудников, их лояльность и т. д.
Все большую актуальность, в том числе с развитием проектов СОПКА, приобретает централизация управления средствами защиты информации. Мы уловили этот тренд некоторое время назад и готовимся к выпуску нового модуля, который позволит централизованно управлять доступом администраторов из различных точек. Благодаря этому мы сможем разместить шлюзы доступа на удаленных площадках и создать централизованную систему, которая позволит контролировать доступ и действия привилегированных пользователей. При этом организовано централизованное управление правами администраторов, которые смогут управлять оборудованием из других регионов в рамках своих полномочий.
– А были ли у вас проекты по интеграции с ГосСОПКА?
– Мы принимаем участие в нескольких проектах по реализации системы СОПКА. Одними из самых потенциально разрушительных и трудно обнаружимых компьютерных атак являются те, которые выполняются пользователями с высокими привилегиями. Именно поэтому заказчики обращают пристальное внимание на подобные угрозы. Наш продукт занимает важное место в комплексных системах СОПКА. Информацию, получаемую с помощью нашей системы, попросту взять больше неоткуда.
В дальнейшем данные из нашей системы можно направлять в решения класса SIEM, например, в региональных, ведомственных или отраслевых центрах реагирования.
– Можете ли вы привести примеры внедрения ваших решений в 2016 г.? В каких отраслях к ним проявляется наибольший интерес?
– Проще сказать, где у нас нет внедрений: пожалуй, только в ритейле. Мы продолжаем сотрудничество с нефтегазовым сектором, здесь было выполнено несколько проектов. Настоящим прорывом стали результаты взаимодействия с госкомпаниями и органами власти. Проделанная работа – хороший фундамент для дальнейшего развития. Ярким примером является проект в Объединенной судостроительной корпорации, высоко оцененный заказчиком.
Еще одним открытием стало участие в проекте реализации соответствия требованиям 135-го приказа Минкомсвязи одного из операторов связи. Минкомсвязи первым установило требования по фиксации всех действий, выполняемых на оборудовании оператора связи сотрудниками сторонних организаций.
Если же говорить о распределении наших проектов по вертикальным рынкам, то на первом месте будут государственные компании, ведомства и региональные органы власти. На сегодня это самые продвинутые заказчики наших решений.
– Поменялась ли за прошедший год ситуация на российском ИБ-рынке?
– Не будем говорить про весь ИБ-рынок, но про область контроля за привилегированными пользователями можно сказать следующее: ситуация серьезно изменилась. Мы стали меньше заниматься ликбезом, больше стали говорить по делу. У большинства сформировалось понимание, что это важно и нужно. Хотя степень важности у всех разная. Многие компании уже закладывают в бюджет соответствующую «строчку». Одни, правда, на далекие 18–20-е годы, другие – поближе, в зависимости от приоритетов. Но подавляющее большинство уверено в том, что такие решения нужны.
– Какие основные драйверы этого рынка были в 2016 г.? Как на рынок повлияли законодательные инициативы?
– Традиционно большой интерес заказчики проявляют к нашему продукту как к инструменту ИБ для контроля действий аутсорсеров. В какой-то момент появился интерес со стороны служб ИТ и эксплуатации. Он объясняется желанием контролировать качество и объем выполненных подрядчиками работ.
С 2015 г. мы занимаемся тематикой обеспечения ИБ АСУ ТП, и в 2016 г. эти усилия начали приносить результаты. Был выполнен ряд пилотных проектов, мы приобрели значительный опыт и понимание специфики в этой области.
При этом сложно обнаружить прямую связь между законодательными инициативами и проектами, реализованными в минувшем году. Драйвером стало постепенное осознание заказчиками необходимости защищать свои информационные системы от угроз, связанных с действиями привилегированных пользователей.
– Насколько успешным оказалось ваше сотрудничество с российским производителем «РусБИТех»?
– Мы продолжаем вместе работать и развивать наше сотрудничество. С «РусБИТех» у нас стратегическое и технологическое партнерство. Мы используем операционную систему Astra Linux Special Edition как технологическую основу в нашем продукте.
– Как, по вашему мнению, повлияла политика импортозамещения на рынок ИБ?
– С импортозамещением ситуация неоднозначная. Не так много решений попали в реестр. Даже если заказчики хотят использовать российские продукты, это не всегда возможно. Не существует систем российского производства по некоторым классам функциональных требований. Поэтому на часть рынка ИБ политика импортозамещения никак не повлияла. У нас постоянно спрашивают, в частности органы власти, о наличии наших продуктов в реестре. Сейчас мы в процессе включения нашего продукта в реестр.
– Какие инструменты защиты технологических сетей вам кажутся наиболее перспективными?
– На мой взгляд, сейчас ничего прорывного на рынке нет. Наметился ряд тенденций. Во-первых, это стремление к унификации автоматизированных систем управления. Во многих компаниях существует целый набор разнообразных АСУ ТП, так сложилось исторически. Задача заключается в том, чтобы максимально сократить количество типов систем и таким образом упростить их обслуживание.
Также идет процесс централизации управления и обслуживания. Выгодно держать одну-две дежурные смены на всю компанию, а не отдельно на каждом объекте. Вряд ли в ближайшее время мы увидим, что всеми агрегатами станут управляют из единой точки, но обслуживать все будут несколько дежурных смен. Остроты этой проблеме добавляет практика обслуживания импортных систем специалистами, находящимися за рубежом, поэтому будет возрастать роль технологий контроля удаленного доступа.
Безусловно, не нужно забывать о базовых сервисах информационной безопасности, таких как антивирусная защита и мониторинг, но, на наш взгляд, разумно организованная система защиты в своей основе выглядит так: периметр безопасности АСУ ТП, в который интегрированы однонаправленные шлюзы (диоды).
– Как планируете развиваться в 2017?
– На наш взгляд, тема защиты АСУ ТП будет все более актуальной. Мы ведем немало переговоров и пилотов по этой тематике. Это одно из приоритетных направлений развития. Второе – работа с корпорациями и ведомствами по участию в проектах ГосСОПКА. Третья ключевая тема – работа с операторами связи в рамках реализации соответствия требованиям 135-го приказа Минкомсвязи.