Информационная безопасность без иллюзий. Что охраняет ваша служба ИБ

Угрозы безопасности информации (УБИ) меняются быстрее, чем пишутся инструкции. Компании нанимают специалистов, покупают «железо», но через год снова уязвимы. Почему? Потому что информационная безопасность — это не проект с датой сдачи, а бесконечный процесс. И содержать его в «актуальной фазе» собственными силами — непозволительная роскошь для среднего бизнеса.

Сегодня мы говорим с Игорем Краевым, генеральным директором компании «Стратегия Ра», структурным аналитиком и архитектором сложных систем, о том, как превратить ИБ из статьи расходов в управляемый актив и почему аутсорсинг здесь — не слабость, а стратегия.

Угроза и архитектура информационной безопасности: что закладывать в фундамент

– Игорь, начнем с основ. Если компания только строит свою систему ИБ, что критически важно заложить в архитектуру с нуля?

– Часто слышу: «Купите нам firewall и антивирус, и будет счастье». Это ошибка. Архитектура ИБ должна строиться не от «железа», а от бизнес-процессов. Первое, что мы закладываем — это понимание контуров.

Представьте завод. Есть офисная сеть (бухгалтерия, кадры), есть АСУ ТП (управление станками), есть гостевая сеть для подрядчиков. Это абсолютно разные миры с разными угрозами. Архитектура должна их жестко сегментировать, чтобы вирус из бухгалтерии физически не мог попасть на контроллер станка. Это база, на которой потом крепятся все остальные технические средства.

– А если система уже работает? Как безболезненно вносить изменения в концепцию, не останавливая завод?

– Слово «безболезненно» в промышленности означает только одно: конвейер не должен останавливаться ни на секунду. Добиться этого, экспериментируя на живом производстве, — безумие. Поэтому нужно идти другим путем.

Шаг первый — создаем «цифрового двойника» компании. Это не просто тестовый стенд, а точная виртуальная копия всей информационной инфраструктуры и бизнес-процессов. В математическом и программном мире дублируется все: от логики работы АСУ ТП до прав доступа в бухгалтерии.

Шаг второй — моделируем апокалипсис. На этом цифровом двойнике мы «проигрываем» несколько вариантов угроз. Новые политики безопасности, настройки средств защиты, сценарии атак — все сначала проходит проверку в виртуальной среде. Мы видим последствия до того, как они коснутся реального цеха.

Шаг третий — анализ и тонкая настройка. Цифровой двойник позволяет не просто выявить ошибки, но и понять, как новое правило повлияет на скорость работы смежной системы. Это и есть безопасная обкатка: ломаем виртуальный завод, чтобы живой стоял вечно.

Шаг четвертый — бесшовное внедрение. Получив идеальное решение, нельзя выкатывать его одной «тяжелой плитой». Архитектура современных систем ИБ должна изначально проектироваться под поэтапное обновление. Это значит — зональное обновление, поддержка нескольких активных версий политик одновременно и, самое главное, возможность мгновенного отката.

Одна зона производства переходит на новые рельсы, в это же время соседняя зона работает по-старому, и процесс не рвется. Если что-то пошло не так в первой зоне — делаем откат, и это не причиняет вреда всему организму в целом. Это не хирургия, это — настройка сложного механизма на ходу.

– Игорь, давайте спустимся с небес на землю. Вы упомянули АСУ ТП и контуры. Какие конкретные угрозы для «железа» вы видите чаще всего и что с ними делать предметно?

– Давайте пройдемся по основным рискам, которые ФСТЭК требует закрывать в первую очередь. Это не теория, это — плоть и кровь производства.

1. Угрозы целостности ПО и прошивок ПЛК

Речь о том, что контроллер (мозг станка) начинает врать. Ему зашили не ту программу, или вирус переписал прошивку.

Практический совет: Внедрите «эталонные образы». Каждый ПЛК, каждое ПО должно иметь неизменяемый цифровой слепок — хеш-сумму (контрольную сумму). Раз в сутки система автоматически сличает работающую прошивку с эталоном. Отклонение — стоп-кран и сигнал мастеру. Хранить эталоны нужно в изолированном хранилище, куда нет доступа из операторского контура.

2. Угрозы доступности (остановка конвейера)

Это когда система просто «ложится». Не украли, не сломали — просто перестала отвечать.

Практический совет: Закладывайте архитектуру «отказоустойчивых колец». У вас не должно быть одной «золотой» шины, по которой ходят все данные. Если DDoS или сбой — должно срабатывать резервное кольцо управления. Но важно: резервный канал должен быть «горячим», то есть тестироваться ежеминутно. Раз в месяц устраивайте учения — принудительно переключайте завод на резервный контур и смотрите, не встали ли станки.

3. Угрозы нарушения штатного режима

Самый коварный сценарий: система работает, но работает неправильно. Вам кажется, что центрифуга крутится, а она крутится на запредельных оборотах и разрушает себя.

Практический совет: Внедряйте «поведенческий анализ». Это не просто сигнатура вируса, это — нормальное поведение механизма. Если станок всегда потреблял 100 кВт, а стал потреблять 150, хотя программа показывает «норма» — это триггер. Система должна знать техпроцесс на уровне математической модели и бить тревогу при любом отклонении от физического закона.

4. Угрозы модификации технологических параметров

Злоумышленник или вредитель меняет уставки: давление, температуру, дозировку реагентов. Последствия — от брака до взрыва.

Практический совет: Разделите права по «матрице технолога». Оператор видит температуру, но изменить ее может только после двухфакторного подтверждения и с записью в неизменяемый журнал. Критические параметры должны меняться только с ключа-токена главного инженера. И обязательно — таймаут на исполнение: если команда пришла, но через 10 секунд не подтвердилась датчиками, система автоматически возвращает «заводские настройки» безопасности.

Экономика безопасности и анализ рисков

– Главный вопрос собственника: как минимизировать расходы на ИБ?

– Перестать тратить деньги на то, что не нужно. Половина бюджетов сгорает на защите от угроз, которые компании не грозят. Нужно исходить из реальных рисков.

Если вы торгуете запчастями, вам не нужно защищать государственные тайны, но критически важна доступность сайта и касс. А если вы проектное бюро — вам важна конфиденциальность чертежей, а сайт может и полежать час. Минимизация расходов — это не покупка самого дешевого, а отказ от избыточного.

– Какие варианты анализа рисков вы советуете использовать?

– Работайте по методике, близкой к той, что рекомендует ФСТЭК, и адаптируйте ее под бизнес. Смотрите не только на технические уязвимости, но и на бизнес-последствия. Есть количественная оценка (сколько денег мы потеряем за час простоя) и качественная (репутация, утечка ноу-хау). Главное — не утонуть в бумагах. Риски нужно не просто описывать, а ранжировать и назначать ответственных за их снижение.

Избыточность и резерв: паранойя или необходимость

– В какой мере должна быть избыточность? Где грань между разумной защитой и паранойей?

– Критерий прост: избыточность должна быть там, где цена отказа максимальна. Для центрального сервера или контроллера доменной печи — да, дублирование каналов, питание, «горячая» замена. Для корпоративного портала с новогодними открытками — достаточно стандартных решений. Избыточность — это страховка для жизненно важных органов, а не бинты на каждый палец.

– Нужны ли сценарии при полном отсутствии автоматизации? Например, если все «упало».

– Обязательно! И это самый слабый момент у 90% компаний. Все пишут сценарии для техногенных атак, но забывают про «отключение электричества» или «ураган». У вас должны быть не только цифровые, но и «бумажные» или «человеческие» резервы.

Это и есть та самая избыточность, о которой мы говорим. Утвержденный порядок действий, если не работает 1С и нет интернета. Кто подписывает бумажные накладные? Где список контактов смежников на флешке и бумаге? Где утвержден ценник на этот случай? Это не каменный век, это — выживаемость.

Предиктивность и партнерство в информационной безопасности

– Какие метрики позволяют предиктивно вводить резервные режимы, не дожидаясь коллапса?

– Ключевая метрика — «время реакции» на инцидент. Если оно начинает расти, это первый звоночек. Второе — нагрузка на каналы связи и вычислительные мощности. Система должна сама сигналить: «Я устала, ресурсов мало, скоро я упаду». Внедряйте модели, которые прогнозируют эти состояния. Как прогноз погоды: мы знаем, что через три дня шторм, и готовимся к нему, а не героически боремся с волнами, когда они уже накрыли.

– И тут мы приходим к главному посылу. Почему содержать эту сложность внутри часто неэффективно и почему партнер на постоянной основе — не роскошь?

– Содержать штат специалистов, которые будут поддерживать все эти процессы в актуальном состоянии, — дорого и сложно. Им нужно платить зарплату, их нужно учить, им нужно покупать лицензии на софт для анализа, им нужен карьерный рост. А угрозы возникают неравномерно. Сегодня тихо, завтра — аврал. Большой штат простаивает, маленький — не справится с авралом.

Постоянный партнер решает эту проблему. Вы платите за компетенцию и доступ к ресурсу, а не за стул в офисе. 

Это позволяет держать информационную безопасность в «актуальной фазе». Партнер следит за ландшафтом угроз для всех клиентов сразу и подвозит готовое решение. А внутренний отдел (если он есть) выступает в роли «заказчика» и контролера, а не пытается объять необъятное.

– Почему для многих директоров такой подход до сих пор кажется роскошью?

– Потому что они считают: «Свой — значит подконтрольный, а чужой — непонятно что сделает». Но в информационной безопасности «свой» специалист быстро теряет квалификацию, сидя в одной корпоративной среде. А «чужой» партнер приносит опыт сотен проектов. 

Безопасность сегодня — это не про запреты и пароли. Это про архитектуру, прогноз и партнерство. Пытаться выстроить ее в одиночку, без внешней экспертизы — все равно что строить атомную станцию силами штатного электрика. Горький опыт показывает: попытки сэкономить на «лишнем» партнере оборачиваются колоссальными потерями, когда наступает реальная угроза. А она, поверьте моему опыту, наступит обязательно.