Промышленные предприятия в ближайшее время будут уделять информационной безопасности все больше внимания. Причины кроются как в инициативах регулятора, так и в технологическом развитии. Для игроков рынка ИБ это означает появление новой бизнес-ниши, однако, как считает Андрей Голов, генеральный директор компании «Код безопасности», передела рынка ждать не стоит, как, впрочем, и глобального усиления конкуренции. Самим производственным предприятиям придется в связи с этим столкнуться с проблемами — это и кадровый голод, и увеличение объемов финансирования ИБ, и необходимость преодоления привычной инертности, и изменение бизнес-процессов. Но самое главное — потребуется переход к превентивной защите.
Безопасность с пафосом
— Появились ли за последнее время новые специфичные для производственных компаний риски, в том числе — связанные с цифровизацией и курсом на Индустрию 4.0?
— Риски остались такими же, какими были и несколько лет назад, но есть нюансы. Сейчас мы наблюдаем все более глубокую информатизацию предприятий. Однако, хоть мы и стали постоянно употреблять термин Индустрия 4.0, говорить о том, что коммуникации, обеспечиваемые цифровыми каналами связи и технологиями программного обеспечения, принципиально изменяют общество, выделять более 20 технологических изменений и строить прогнозы, раньше шел тот же процесс.
Интеграцией и разработкой я занимаюсь уже 20 лет и вижу, что автоматизация предприятий ведется уже пару десятилетий, только до недавнего времени она затрагивала лишь управленческие процессы — финансы, закупки, HR и т.д. Сегодня же этот процесс перешел на производственный цикл. Причина в том, что появились новые технологии и в первую очередь — интернет вещей и роботизация. Они позволяют оптимизировать процессы разработки и выпуска продукции, экономить ресурсы — это необходимо производственным компаниям в текущих рыночных условиях.
Кроме того, сегодня становится все больше источников информации для последующей обработки системами управления — низкоуровневых контроллеров. Однако и раньше информация собиралась из разных источников.
Также на положение вещей влияет геополитическая ситуация. Мы стали четко осознавать, что есть критическая инфраструктура, к которой относится энергетический и банковский сектора, ВПК — всего 12 отраслей. Эта инфраструктура оказывает серьезное влияние на процессы управления государством — звучит несколько пафосно, но это действительно так. Потенциально как иностранные государства, так и злоумышленники могут вмешиваться в эти процессы, поскольку зачастую внешние интерфейсы открыты, иногда даже во внешнюю сеть. Если раньше технологические сети были полностью изолированы от основных сетей общего пользования, то сейчас для интеграции в ERP-систему или для оперативности исправления продуктов производителям необходимо иметь доступ к этим технологическим системам — отсюда и открытость. Хакеры могут перехватывать вход в систему, внедрять зловредный код, атаковать системы — и потенциально нести вред людям.
Так что риски остались теми же, но вероятность их возникновения выросла в силу изменения самой инфраструктуры.
— Вероятно, последствия рисков тоже стали более существенными. Это так?
— Да. Поскольку масштабы информатизации растут, вмешательство в процессы может наносить серьезный ущерб. Все больше процессов автоматизируется, они затрагивают большее количество людей и ресурсов, поэтому естественно, что обеспечение информационной безопасности стало критичным вопросом — в том числе и для государства.
Безусловно, принятие закона о защите КИИ — это следующий важный шаг государства к обеспечению информационной безопасности стратегически значимых предприятий. Ранее ФСТЭК занималась ключевыми системами информационной инфраструктуры (КСИИ), формулировала требования по их защите. Сейчас всех руководителей таких предприятий обязали заниматься этим вопросом — тема в связи с участившимися кибератаками стала очень актуальной.
Ядовитые ягоды
— А что изменилось в связи с принятием закона о КИИ?
— Я как руководитель предприятия сразу скажу о самом главном: теперь могут посадить в тюрьму, причем надолго, не только за атаку на объект КИИ, но и за его ненадлежащую защиту. Это очень важное изменение. Раньше тема неисполнения требований по ИБ ограничивалась исключительно штрафами. А сейчас в уголовном кодексе появилась отдельная статья, предполагающая в качестве наказания реальный срок.
Разумеется, в такой ситуации руководителям предприятий пришлось задумываться о выполнении требований. Раньше, пока ты не проведешь аудит, не покажешь руководителю процесс проникновения и то, что может случиться непосредственно с его предприятием, никакие меры не принимались. Процесс обеспечения ИБ был реактивным: пришел, «поломал», показал проблемы — дали деньги — систему модифицировали.
Сейчас же все обязаны это делать в превентивном режиме. Необходимо классифицировать все ресурсы, построить модель угроз, посмотреть, какие компенсирующие меры возможны, внедрить систему защиты. То есть хорошо формализован весь процесс — и это большой плюс.
— Получается, что законопослушные предприятия из-за закона о КИИ получили сильную головную боль?
— Отношение государства к ИБ изменилось. Сейчас в повестке руководства страны вопрос информационной безопасности — это приоритет. Значимость кибербезопасности вышла на первое место, а значит люди во всем мире осознают потенциальные угрозы. Пришло понимание, что информация стоит денег, ею можно манипулировать, с ее помощью можно разрушить инфраструктуру управления и развалить или скомпрометировать целую страну — выборы не пройдут, платежи остановятся, люди не получат вовремя пенсию и так далее. И коснется это каждого из нас.
Мир меняется, и руководители предприятий не виноваты, что они не ко всему готовы. Промышленность — наиболее инертная индустрия. Работает доменная печь 40 лет, но вдруг пришли какие-то люди и говорят, что надо что-то менять. Промышленное производство — это не банки, не телеком, здесь все грустнее, перемены происходят не быстро, поэтому и приходится проводить разъяснительную работу. Хорошо, что ФСТЭК и ФСБ дают время подготовиться, в спокойном режиме провести инвентаризацию. Более того — руководителям дана возможность организовать этот процесс так, как они считают нужным. Так что нельзя сказать, что применяются драконовские меры.
— Но все же это дополнительные траты денег, времени, сил. Может, каким-то предприятиям можно исключить себя из списка критической инфраструктуры?
— Все прописано в законе. К примеру, ты должен поставить систему пожаротушения. А если ты ее не поставил, случился пожар, кто-то погиб, всех посадят. Стоят ли такие последствия экономии? Вспоминается советский фильм: «А эти ягоды можно есть? — Можно, только отравишься».
Понятно, что, хоть у нас инициативы и носят проактивный характер, кто-то в силу бюджетных ограничений не сумеет все это внедрить вовремя. Так что надо сбалансированно подходить к рискам, оценивать их. Провели категорирование — молодцы, но это не значит, что построить всю систему нужно прямо завтра. Вначале надо продемонстрировать осознание проблематики и программу развития систем ИБ, решить первоочередные задачи. Государство в первую очередь беспокоится о безопасности самого себя и граждан. Мало кого беспокоит безопасность отдельной продуктовой лавки, но если речь идет о кибератаке на федеральную продуктовую сеть, то последствием могут стать перебои в системном обеспечении граждан продуктами — а это уже вопрос безопасности государства. Оно пытается защитить себя и нас, потому что осознает повышение уровней рисков, связанных с появлением новых технологий. И это правильный подход.
Время цифрового суверенитета
— Индустрия 4.0 и новый закон приведут к тому, что рынок ИБ будет развиваться быстрыми темпами, появится много новых сильных игроков, высококвалифицированных специалистов?
— Я не думаю, что рынок сильно изменится. Это не первая инициатива регуляторов, связанная с ИБ. Были изменения, связанные с хранением персональных данных на территории РФ и импортозамещением. Я как представитель российского бизнеса могу сказать, что импортозамещение — это не реактивное топливо, которое унесло нас в небеса. Никто не отменяет требования к качеству продукции, к ее конкурентоспособности. Хотя импортозамещение может дать очень хороший толчок для развития продуктов, в том числе и на международном рынке.
Мы живем по бюджетным принципам, особенно если речь идет о государственных структурах. Все взаимосвязано: если деньги где-то появились, то где-то они убавились, а следовательно, огромного притока капитала не будет. Так что я не ожидаю бурного роста рынка ИБ.
— Не будет никаких изменений?
— Будут, конечно. Появятся новые решения, и в первую очередь они будут связаны с цифровым суверенитетом. Ведь получается как? Оборудование производят преимущественно за границей, а безопасность мы должны обеспечивать на нашей стороне. Отсюда появление решений, которые называются «наложенной безопасностью» и которыми занимаемся мы — они в состоянии противостоять атакам через уязвимое ИТ-оборудование иностранного производства. Так что в этом отношении действительно дан толчок для развития в России решений для защиты технологических сетей.
Также, на мой взгляд, будет заметный скачок развития технологий в связи с осознанием наступления эры интернета вещей. Представьте, что вы устанавливаете в квартиру дверь, которую можно открыть со смартфона или приложив палец. Если раньше безопасность таких систем напоминала «коня в вакууме», видение проблемы было исключительно теоретическим, то сейчас вы серьезно задумываетесь, кто может перехватить канал, кто может зайти в квартиру, отключив камеры и сигнализацию. Однако производители «умных» устройств в первую очередь заботятся о функционале, а вопросы безопасности у них стоят даже не на втором или третьем месте, а где-то в конце очереди. Чайник подключен к Wi-Fi, вы можете его удаленно включить, но никто не задумывается о том, что этот чайник можно использовать в DDoS-атаке и обрушить, к примеру, сайт вашей организации. По мере осознания подобных угроз появятся новые классы решений — мы в эту сторону уже смотрим.
Отдельный вопрос — автобезопасность. Машины уже сообщают своим владельцам, что им нужно что-то заменить, что надо ехать на техобслуживание, некоторые автомобили прямо онлайн меняют прошивки софта, а это уже дает доступ к управлению двигателем, тормозами и так далее. Близко то время, когда вы сядете в машину, а она вам заявит: переведите 20 долларов, иначе машина не заведется — так сейчас бывает с компьютерами. Это станет реальностью уже через год-два. Уровень всех атак опустится ниже, они подберутся ближе к людям. К этому надо быть готовыми. Именно поэтому мы пристально смотрим на интернет вещей — это будет хорошая ниша для развития.
— Вырастет ли конкуренция в связи с цифровизацией производств и законом о КИИ? Ведь принятие последнего означает, что очень много предприятий сейчас будут менять и совершенствовать системы безопасности. Эти деньги наверняка многие игроки сегмента ИБ хотят получить.
— Я вас расстрою. Наш рынок нельзя назвать суперконкурентным. Крупных отечественных компаний, которые способны на подобные подвиги, не больше десятка. Говорить о появлении новых игроков не приходится. Дело в том, что продукт станет успешным только после того, как ты в него вложишь большое количество человеко-часов и инвестиций, поставишь его как можно большему количеству пользователей, получишь от них обратную связь в виде инцидентов и жалоб, сделаешь новую версию, встроишь все это в жизненный цикл и запустишь конвейер. Так что стартапы даже с мегаденьгами не смогут составить конкуренцию компании, которая не один десяток лет работает на рынке и имеет серьезную клиентскую базу.
Простой пример. Мы выпустили новое решение и можем его сразу оттестировать в большинстве федеральных сетей — это сотни тысяч пользователей. Компаний, которые могут себе позволить подобный способ получения обратной связи, мало. Так что говорить о росте конкуренции не приходится.
Скорее всего будет наблюдаться другой процесс. Такие компании, как наша, будут смотреть на стартапы, искать новые перспективные технологии, изучать и интегрировать в свои решения. Для нас это будут дополнительные конкурентные преимущества, а для стартапа-партнера — возможность получить обратную связь от большого количества заказчиков и усовершенствовать свою разработку.
Денег с неба не будет
— Вы уже идете этим путем?
— Да. В линейке наших продуктов есть пример решения, которое разработано нашими партнерами — стартап-командой из МГУ. Они придумали движок, сделали прототип. Затем мы это решение привели в соответствие с нашими правилами разработки, поставили в наш бизнес-конвейер с точки зрения жизненного цикла продукта, поддержки, сертификации. И сегодня данный продукт продается как часть нашего решения, а его разработчики получают деньги. Есть примеры взаимодействия и с большими вендорами: мы берем движки, встраиваем в свою систему, обогащая таким образом наши решения. Так что сейчас время кооперации.
— Непосредственно на бизнес вашей компании нововведения в законодательстве (закон о КИИ) и развитие Индустрии 4.0 еще как-нибудь влияют?
— Это новая бизнес-ниша, и мы надеемся, что она принесет нам определенные деньги, получит определенное технологическое и продуктовое развитие. Но надо понимать, что речь все-таки идет примерно о той же традиционной ИТ-инфраструктуре, что и в других отраслях. Так что и механизмы обеспечения безопасности в производстве похожи на те, которые мы применяем в других сегментах. Конечно, есть нюансы по доступности и управляемости, но все же суть очень похожа. Механизмы безопасности (аутентификация, шифрование, управление доступом и т.п.) никто не отменял — они будут и здесь. Если технологии за 20 лет хорошо отработаны, то «перековать» их под нужды определенной отрасли не очень сложно. Небо не разверзнется и денежные знаки оттуда не начнут сыпаться прямо нам в руки — такого мы не видим. Пока идет первый этап — категорирование, аудит и т.д. Это работа наших партнеров-интеграторов. Потом они придут к нам с проблематикой, для которой мы будем искать общий знаменатель. Мы попытаемся унифицировать наши продукты, чтобы охватить определенный сегмент.
— Когда это произойдет?
— Не раньше, чем через год. Существующие продукты и так выполняют текущие задачи. Есть решения, которые закрывают сразу ряд требований регулятора. Они комплексно управляются, им нужен всего один администратор — это все доступно уже сейчас. Просто будет добавляться отраслевая специфика. У авиапромышленности свои требования, у нефтяников — свои и т.д. Это, скорее всего, породит определенные отраслевые требования и стандарты, которым мы будем стараться соответствовать. Но это будет не сегодня.
