Демид Балашов: думать об ИБ надо на этапе проектирования ИТ-систем

Каков основной запрос заказчиков продуктов InfoWatch?

Заказчики приходят к нам с запросом на защиту от угроз — внутренних, внешних и гибридных. Традиционное направление нашей компании — это защита от утечек информации, однако в последнее время развивается направление защиты сети.

Какие задачи решает ПО в линейке InfoWatch ARMA?

Основная задача этого направления — защита сети. Контроль трафика и приложений, обнаружение угроз и предотвращение вторжений, контроль приложений, контроль трафика. Также обеспечивается безопасный удаленный доступ сотрудников заказчика, подрядчиков и партнеров. И, соответственно, централизованный контроль этих ИБ-инструментов.

Как растут запросы заказчиков в контексте постоянно эволюционирующих киберугроз?

Как это часто бывает, аппетит приходит во время еды. В нашем случае — во время реализации проекта.

Заказчик изначально ставит задачу защитить периметр сети, установить один межсетевой экран и на этом закончить проект. В процессе к заказчику приходит понимание, что для снижения рисков также хорошо будет контролировать действия сотрудников — что они делают на рабочих местах, какой информацией обмениваются. Полезно бывает ограничить их активность исключительно рабочими процессами.

Есть удаленные филиалы — их необходимо безопасно подключить к той же самой корпоративной сети. Еще удобно управлять всеми процессами из централизованной панели, причем где-то в центральном офисе.

Получается, что проект расширяется естественным образом — не столько по нашей инициативе, сколько из-за запроса заказчика комплексно защитить свою ИТ-инфраструктуру.

Может ли одно универсальное решение быть ответом на запрос заказчиков из разных отраслей?

Мы, безусловно, стремимся к балансу. Отраслевые регуляторы диктуют рынку необходимые параметры систем. Это где-то может быть минус, а где-то — плюс. Базовая функциональность межсетевого экрана обеспечит разграничение сегментов сети, контроль трафика, позволит выполнить требования к безопасности решения, ролевым моделям и так далее.

Функционал определяется регулятором и является базой для всех решений — в этом смысле разработки InfoWatch ARMA остаются универсальными.

Способно ли подобное универсальное решение покрыть потребности отраслей, ИТ-решения которых включают узкоспециализированные и нишевые продукты?

Решение универсальное, но специфика реализуется на этапе внедрения проекта в зависимости от отрасли или от заказчика. Например, на уровне поддержки фильтрации промышленных протоколов или применение отечественных алгоритмов шифрования. У разных заказчиков используются разные протоколы и требуется разная глубина их анализа — здесь начинается тонкая подстройка системы.

Таким образом, в нашем продукте появляются новые протоколы, дополнительная функциональность, специфичная для конкретной отрасли. Это может увести продукт от универсального решения, однако он будет общим для отрасли в целом, а не для конкретного заказчика.

Выходит, что у InfoWatch ARMA есть готовые решения, адаптированные для конкретных отраслей?

Мы работаем с промышленным сегментом и защитой промышленной сети с 2018 года. У нас есть глубокое понимание как специфики отраслей, так и того, что отраслевая специфика зачастую определяется регламентами. Поэтому набор требований для конкретной отрасли достаточно жестко фиксирован.

Например, крупные предприятия энергетического комплекса базируются на SCADA-системе СК-11, что определяет использование соответствующих протоколов — MMS, GOOSE и других.

Если разбирать эти протоколы до уровня команд, то этого достаточно для отрасли. Аналогичная ситуация в нефтегазовой сфере.

Мы реализуем поддержку наиболее востребованных промышленных протоколов, что позволяет удовлетворять требованиям отраслевых стандартов и обеспечивать их глубокую инспекцию на уровне безопасности.

Кроме того, базовый функционал, такой как межсетевое экранирование, обнаружение вторжений и другие элементы защиты — применим ко всем отраслям, поэтому его настройка практически универсальна.

Помимо защиты сети, мы обеспечиваем защиту конечных устройств — рабочих станций и серверов. Это важно, поскольку человеческий фактор или несанкционированное подключение внешних устройств могут стать источником внутренних угроз.

Внедрение ИБ-системы — это своеобразный стресс для заказчика, тем более если речь идет о производстве, промышленности. Какие возникают сложности при реализации проектов?

На стороне промышленного предприятия мы, как правило, контактируем с двумя ролями. С одной стороны — специалист по информационной безопасности, который отвечает за защиту данных, соответствие регламентам и требованиям законодательства. С другой — главный инженер. Его задача — бесперебойность технологического процесса.

Наша задача — не стать причиной конфликта, а найти компромисс и обеспечить баланс между этими двумя функциями, чтобы обе стороны достигли своих целей. При этом должны быть обеспечены требования по безопасности, а их внедрение не должно негативно повлиять на стабильность и надежность работы всей системы.

Как повлияли новые требования к информационной безопасности и импортозамещение в ИТ на работу АСУ ТП в целом?

Импортозамещение стало ключевым фактором не только в сфере ИБ, но и в промышленности. Например, при переходе с зарубежных решений на отечественные важно учитывать специфику всех систем: от SCADA до ОС и контроллеров. 

Одна из главных идей InfoWatch — объединить усилия ИБ-специалистов и производственников в направлении проектирования новых систем с применением современных подходов к промышленной автоматизации и безопасности.

Думать о безопасности стоит не тогда, когда что-то произошло и возникла проблема, а на берегу — на этапе проектирования системы. Это эффективнее с точки зрения ИБ, это снижает стоимость разработки и трудоемкость внедрения системы безопасности.