Работа приносит успех
Несмотря на рост активности злоумышленников и всякого рода шероховатости и проблемы, законодательство по защите критической информационной инфраструктуры работает. Лишним доказательством этого, по мнению заместителя начальника Центра защиты информации и специальной связи ФСБ России Игоря Качалина, стало то, что за время действия закона в России не произошло ни одного по-настоящему серьезного инцидента из разряда «черный лебедь». Об этом он заявил на конференции SOC Forum 2019.
Вице-президент ПАО «Ростелеком», генеральный директор ООО «Солар Секьюрити» Игорь Ляпунов видит главную роль законодательства о защите КИИ в том, что закон стимулирует компании к построению работающей системы защиты: «187‑ФЗ предусматривает реальную ответственность, вплоть до уголовной, именно за инциденты, а не за несоответствие требованиям, и это дает хороший стимул компаниям защищаться».
При этом регулирование построено так, что, по оценке менеджера по развитию решений Уральского центра систем безопасности Алексея Комарова, у компаний, учреждений и организаций, которые попадают под действие законодательства о защите КИИ, «отсидеться не получится». В то время как уровень затрат на реализацию ИБ-мер, при разумном подходе, не является неподъемным. Такое мнение эксперт высказал на конференции «Код ИБ. Итоги».
По оценке заместителя директора Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Виталия Лютикова, которую он озвучил на конференции SOC Forum 2019, скептицизм в отношении того, как будут реализовываться меры по защите КИИ, не оправдался. Эксперт отметил, что работа идет, и довольно высокими темпами: в 2019 году количество объектов, которые отнесены к КИИ, превысило 45 тыс., что почти вдвое больше, чем годом раннее.
По независимым оценкам, количество объектов КИИ, представленных во ФСТЭК на ноябрь 2019 года, составляло около трети от их общего числа. По прогнозам Алексея Комарова, которые он дал на конференции «Код ИБ. Итоги», уже к концу 2019 года количество объектов КИИ, представленных во ФСТЭК, должно было достигнуть половины от их общего числа.
С категорированием объектов КИИ дело обстоит хуже. Пока эту процедуру прошли лишь 12 % от общего числа объектов. По мнению Алексея Комарова, это вызвано тем, что методические материалы от регуляторов появились лишь в сентябре 2019 года, с большим отставанием от первоначально намеченных сроков. Как следствие, пика в категорировании объектов стоит ожидать в III квартале 2020 года.
Рассказывая о реализации предусмотренных 187‑ФЗ мер, заместитель начальника управления ФСТЭК России Елена Торбенко в своем выступлении на SOC Forum 2019 обратила внимание на то, что компании и учреждения часто скрывают или занижают уровень значимости объектов КИИ, а также привлекают к процедуре категорирования сторонние организации. В результате этих и других действий ФСТЭК отклоняет 20 % поступающих сведений.
Заместитель генерального директора АО «Позитив Текнолоджиз» (Positive Technologies) Борис Симис в ходе пресс-конференции «Кибербезопасность 2019‑2020: тенденции и прогнозы» высоко оценил роль регуляторов в выстраивании системы безопасности на промышленных объектах. Прежде всего он связывает ее с разработкой методических рекомендаций – в частности, для организации взаимодействия с системой ГосСОПКА.
Как отметил в выступлении на конференции «Код ИБ. Итоги» начальник отдела ИТ-обеспечения защиты информации АО «СО ЕЭС» Лев Палей, документы регуляторов помогают говорить на одном языке с коллегами. Кроме того, они оказывают большую методическую помощь по описанию многих процессов, прежде всего производственных.
От кадров зависит все
Обычно при реализации практически любых мероприятий по информатизации и цифровизации в качестве основных препятствий называются три проблемы: недостаток финансирования, устаревшее регулирование и нехватка квалифицированных кадров. Когда речь идет о кросс-функциональных проектах, то могут иметь место и организационные трения между разными службами и подразделениями, отношения между которыми и так не безоблачны.
В случае реализации мер по защите КИИ вопрос о нехватке средств встает крайне редко. Как правило, необходимость защиты производственной инфраструктуры находит понимание у руководства компаний и владельцев бизнеса. Такое понимание снимает организационные противоречия между ИТ-, ИБ- и производственными подразделениями. Как отметил Борис Симис на пресс-конференции «Кибербезопасность 2019‑2020: тенденции и прогнозы», это прямое следствие того, что среди топ-менеджмента отечественных компаний уже сформировался запрос на практическую информационную безопасность.
Что касается регулирования, то оно создавалось в течение нескольких лет практически с нуля, и о его устаревании говорить преждевременно. А отраслевое регулирование и вовсе находится на стадии формирования. Таким образом, остается одна сложность – кадры.
Виталий Лютиков охарактеризовал нерешенную кадровую проблему как крайне острую. Причем, по его мнению, недостаток квалификации является не менее значимой сложностью, чем нехватка людей.
Надо отметить, что нехватка кадров не является чисто российской спецификой и актуальна практически для всех стран. Согласно исследованию Fortinet, проблема дефицита кадров, занимающихся защитой промышленных сетей, актуальна для 45 % опрошенных и является, наряду с выстраиванием отношений с профсоюзами, второй по значимости из тех сложностей, которые приходится решать руководству компаний.
Особенно остро проблема дефицита кадров стоит в регионах. В своем выступлении на конференции SOC Forum 2019 начальник управления информационной безопасности Регионального центра управления государственными и муниципальными информационными системами и ресурсами Самарской области Максим Акимов посетовал на то, что за мониторинг инцидентов в центре, которым он руководит, отвечает всего семь человек, хотя при такой нагрузке оптимально иметь 27 сотрудников. Сотрудников службы технической поддержки должно быть 34, а фактически их всего 13. Многие компании и учреждения просто не могут собрать дееспособную команду, а те специалисты, кого удалось найти, уходят на другое место работы. Положение, по оценке Льва Палея, осложняет то, что некоторые игроки активно «пылесосят» рынок, прежде всего региональный, переманивая специалистов в свои структуры.
Недостаток кадров, как отметил Денис Бережной, мешает своевременно проводить обучение обычных пользователей. В условиях, когда значительная часть атак так или иначе связана с фишингом и использованием социальной инженерии, это усиливает риски возникновения критичных инцидентов. Кроме того, на такие программы региональные власти не всегда выделяют финансирование.
Прямым следствием недостатка кадров является, с одной стороны, неэффективное вложение средств в ИБ, а с другой – появление всякого рода прорех в защите. Так, на пресс-конференции «Ростелеком-Solar» в рамках SOC Forum 2019 Игорь Ляпунов обратил внимание на то, что компании часто забывают о базовых задачах защиты, но при этом внедряют дорогие инструменты. Также большинство компаний, как показывает практика «Ростелеком-Solar», не контролируют свою сеть и весь ее периметр. В 80 % случаев изолированные сегменты все равно имеют доступ к публичному Интернету. В каждой шестой компании имеется доступное извне сетевое оборудование, в котором не заменили заводской пароль. Более 90 % компаний не защищали свои тестовые среды от доступа извне. Как результат, неудивительно, что 75 % атакованных компаний не подозревали об атаке.
Елена Торбенко обратила внимание на то, что часто операторы КИИ применяют несертифицированные средства защиты, игнорируют угрозы, связанные с деятельностью внешних нарушителей, а также разного рода компьютерные инциденты. Остро стоит проблема взаимодействия с внешними сетями, а также возможных рисков, связанных с эксплуатацией зарубежного оборудования и ПО, которое может выдаваться за российское.
По оценке Бориса Симиса, бизнес видит выход из кадровой проблемы в расширении практики аутсорсинга и аутстаффинга. Часто компании приходят к тому, что сами начинают обучать кадры. А Виталий Лютиков призвал всех участников SOC Forum 2019 помогать вузам актуализировать учебные программы, предоставляя учебным заведениям программные и аппаратные комплексы, чтобы студенты учились с ними работать. Заместитель директора ФСТЭК отметил, что только системная работа с вузами может решить проблему нехватки кадров, способных работать в рамках риск-ориентированной модели, которая заложена в законе 187‑ФЗ.
По оценке вице-президента АО «Лаборатория Касперского» Вениамина Левцова, только с помощью сервисной модели для большинства компаний будут доступны такие насущные сервисы как исследование подозрительных активностей в инфраструктуре и использование продвинутых технологий выявления атак.
Однако Лев Палей считает, что вовне компании можно передавать не все функции. Также он обратил внимание на то, что роль ИБ-службы и ее руководителя при передаче даже части сервисов сторонней компании будет трансформироваться, к чему тоже надо быть готовыми.
Важность строительства собственных SOC или подключения к внешним отметил вице-президент – директор департамента кибербезопасности ПАО «Сбербанк» Сергей Лебедь в своем выступлении на SOC Forum 2019. Однако Игорь Качалин возразил ему, что внешние центры мониторинга инцидентов, в том числе ГосСОПКА, многие восприняли как своего рода «волшебную таблетку», но подключение к ним не отменяет серьезной работы по внедрению разного рода мер и средств защиты, как организационных, так и технических. Оба спикера сошлись на том, что работу по мониторингу инцидентов, многие из которых незаметны для атакуемых, нужно начинать как можно раньше.