Интервью с Алексеем Петуховым про возможности MLAD и KICS, безопасность АСУ ТП и КИИ

Дата: 21.05.2020. Автор: РАССЭ. Категории: Интервью с экспертами по информационной безопасности.

Компания РАССЭ (ГК «АйТеко») продолжает серию эксклюзивных интервью с лидерами рынка информационной безопасности, с решениями которых она работает. Очередная беседа состоялась с Алексеем Петуховым, руководителем направления Kaspersky Industrial CyberSecurity.

1) Уже больше месяца вы работаете в удаленном режиме. Как перестроился формат работы? Как вы мотивируете сотрудников? Снизилась ли производительность труда или, наоборот, повысилась?  

Мою работу нельзя назвать офисной. Всегда  много времени провожу «в полях», до самоизоляции проводил… Сейчас встречи проходят  в формате аудио- и видеоконференций. С одной стороны, это удобнее, так как освобождается  время, которое раньше тратилось на командировки. С другой стороны, встреч стало больше. На общение с коллегами также требуется выделять специальное время.  Словом, свободнее я не стал. Если оценивать общую производительность труда, то она остаётся на прежнем высоком уровне.

2) С увеличением периода самоизоляции повышается безопасность компаний, можно ли сказать, что уже сейчас все «дыры залатали»?  Какие основные угрозы сейчас?

Обеспечение информационной безопасности — это процесс, включающий организационные моменты, кадровую подготовку и технические решения. Латать дыры удалённо достаточно сложно. Даже если базовый набор мер защиты у предприятия есть, этого недостаточно — нужно ещё обеспечить корректное управление ими. Как солдату, пришедшему на службу, требуется несколько месяцев, чтобы научиться обращаться с оружием, так же и предприятиям требуется время, чтобы, нарастив средства безопасности, стать более защищёнными.

По нашим данным за 2019 год, примерно на 40%  компьютеров АСУ ТП наблюдалась активность вредоносного ПО, проникшего через веб-ресурсы, флешку или электронную почту.

Среди основных угроз для промышленных предприятий можно выделить риски остановки производства, связанные с:

  • возросшей активностью кибермошенников;
  • недостаточной степенью защиты удалённого доступа;
  • низким уровнем защищённости и наблюдаемости промышленной инфраструктуры с точки зрения информационной безопасности.

3) Как обеспечить безопасность промышленных систем во время пандемии? Может ли в этом помочь KICS и MLAD?

Если посмотреть на требования регуляторов, международные практики защиты промышленных систем и существующий рынок средств защиты информации, то можно увидеть, что их перечень достаточно ограничен и сводится к следующим техническим мерам: резервирование, антивирусная защита, межсетевое экранирование и организационные моменты, включая мониторинг и управление происходящим. Соответственно, как минимум перечисленные решения должны быть.

Kaspersky Industrial CyberSecurity (далее KICS) решает все задачи, связанные с контролем подключаемых устройств к рабочим станциям и серверам, запускаемых приложений, антивирусной защитой и защитой от шифрования (в части KICS for Nodes), а также с наблюдением за командами, контролем коммуникаций между устройствами и обнаружением вторжений в промышленную систему (в части KICS for Networks). Продукт позволяет обеспечить большую часть мер защиты вдобавок к имеющимся межсетевым экранам, резервированию и организационным мерам. 

Machine Learning for Anomaly Detection (далее MLAD) — это решение другого уровня, требующее как минимум перечисленных выше мер. MLAD позволяет отслеживать безопасность всего производственного процесса и снижать риски его остановки, связанные не только с вредоносным ПО или целенаправленной атакой, но и со сбоем оборудования, а также человеческим фактором. Решение предназначено как для зрелых, так и развивающихся в части ИБ предприятий.

5) Переход на новый режим работы может быть детектирован как аномалия в MLAD?

MLAD выявит и отобразит изменения режима работы производства. Далее нужно будет подтвердить, является ли это новой нормой, и создать новый профиль работы производства либо устранить выявленные изменения.

6) Облачные технологии в АСУ ТП — это реальность или будущее? Как ваши клиенты из России относятся к облачным решениям? Что вы можете им предложить?

Это объективная реальность. Почти всё, что можно, переносится в «облако». Но на данном этапе облачные технологии используются для внутренней оптимизации инфраструктуры предприятия.

Думаю, для АСУ ТП доступ за пределами предприятия будет открыт достаточно нескоро, хотя ряд систем мониторинга уже находится в облаке и их будут продолжать переносить туда.

На сегодняшний день «Лаборатория Касперского» производит широкий спектр продуктов. У нас есть как решения для защиты облачных сред, так и продукты и сервисы по мониторингу и управлению ИБ: песочница, промышленный шлюз для передачи данных в «облако», аналитика угроз, анализ событий нашими экспертами, тренинги и многое другое.

7) В ближайшем будущем мы увидим миграцию инфраструктуры АСУТП и КИИ в облако?

На мой взгляд, нет.

8) Как вы относитесь к OpenSource в КИИ?

На мой взгляд, всё определяется конкретными условиями. В целом место Open Source-решениям есть. Но надо понимать, что КИИ — это системы, сбои в работе которых могут нанести социальный, экономический, экологический ущерб предприятию и окружающей среде/инфраструктуре, а значит, лучше использовать проприетарные решения, которые настроены самим разработчиком либо партнёрами с подтверждённой экспертизой.

9) Возможно ли построить комплексную систему безопасности АСУТП и КИИ единым центром мониторинга событий ИБ с помощью решений Kaspersky? У вас есть примеры подобных реализованных проектов, можете рассказать?

Как производитель решений мы только начинаем работу в направление единого центра мониторинга и управления всего ИБ предприятия. 22 мая на Kaspersky On AIR будут анонсированы наши планы и возможности в этом направлении.

Вместе с тем, все наши продукты мониторятся и управляются через единое бесплатное ПО — Kaspersky Security Center (далее KSC). А так как, в частности, KICS закрывает широкий перечень мер в рамках требований ФСТЭК России и не все компании используют SIEM для защиты промышленного сегмента, то мы можем говорить о том, что уже сейчас на базе наших решений созданы единые системы информационной безопасности АСУ ТП (КИИ). Оставшиеся меры — резервирование и сегментирование (чаще АСУ ТП от корпоративной сети) — выполняются и администрируются чаще службами АСУ ТП и ИТ соответственно.

10) Вы предоставляете бесплатные версии программного обеспечения на время пандемии? Как их получить?

Да, сейчас мы предоставляем бесплатные лицензии на свои продукты предприятиям медицинской сферы и малого бизнеса. Узнать подробнее об акциях Kaspersky для заказчиков клиенты могут у нашего партнера – компании РАССЭ. Что касается KICS, мы уже много лет бесплатно предоставляем лицензии для апробирования решений в инфраструктуре заказчика. Мы это делаем по двум основным причинам. Во-первых, мало компаний используют средства защиты рабочих станций и серверов в АСУ ТП, поэтому когда узнают про наше специализированное решение KICS for Nodes, эксплуатируют его пару месяцев в тестовом режиме.

Во-вторых, ещё меньше компаний занимаются мониторингом и анализом событий в АСУ ТП в части возможностей KICS for Network. А следовательно, перед принятием решений предприятия хотят увидеть в действии все возможные преимущества: контроль новых подключений, анализ коммуникаций, обнаружение вторжений и инструментарий для разбора инцидентов.

11) Можно ли обучиться и сдать экзамены по продуктам Kaspersky, пока мы все на самоизоляции? Какой курс вы порекомендуете в первую очередь?

Да, все наши авторизованные партнёры и заказчики сейчас имеют возможность удалённого обучения и дистанционной сдачи экзаменов.

Кроме того, мы много и подробно рассказываем о наших решениях в разных форматах. Существуют вебинары, видео на YouTube, сайт компании и продуктовые сайты наших решений. Мы всегда открыты.

Я как руководитель направления защиты промышленного сегмента, конечно, порекомендую обучиться KICS, но стоит помнить, что, если вы ранее никогда не работали с нашими продуктами, первый курс всё же должен быть по Kaspersky Endpoint Security.

12) Анонс ближайших мероприятий.

Спасибо за эту возможность:

26 мая состоится вебинар «Digital-коммуникации и информационная безопасность в эпоху перемен: новые возможности и сопутствующие угрозы» для предприятий ТЭК.

4 июня пройдёт онлайн-встреча для предприятий металлургической сферы: «Подход к обеспечению безопасности АСУ ТП: обмен опытом».

А на 2 – 4 сентября мы запланировали нашу ежегодную офлайн-конференцию Kaspersky Industrial CyberSecurity Conference. Будем надеяться, ничто не помешает её провести.

13) Ваши рекомендации бизнесу.

В современном мире возрастает значимость информационных технологий. Они дают новые возможности для роста бизнеса. Но вместе с тем, они вызывают новые угрозы. Всем привычный риск-ориентированный подход строится на статистике, которая сейчас не релевантна для уровня цифровизации современных строящихся / модернизирующихся предприятий. Поэтому его применение может серьёзно повлиять на деятельность компании в будущем.

Сейчас стоимость ИБ-решений может занимать даже 20 – 30% стоимости проекта по интеграции, автоматизации систем или цифровизации бизнеса, но эти затраты необходимы. В будущем защита будет стоить дороже, а ожидаемые эффекты оцениваются значительно большими показателями, легко перекрывающими данные затраты.

Развивайте свой иммунитет во всех сферах жизни!

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

РАССЭ

Об авторе РАССЭ

РАССЭ — молодой бренд на российском рынке в составе ГК «АйТеко». Компания специализируется на оказании профессиональных услуг и создании эффективных решений для клиентов малого, среднего и крупного бизнеса, холдинговых структур и госсектора.
Читать все записи автора РАССЭ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

5 × 1 =