Цифровое ядро современного производства – это сплав АСУ ТП, корпоративных информационных систем и данных. Его защищенность напрямую определяет бесперебойность и устойчивость бизнеса, попутно обеспечивая соответствие растущим регуляторным требованиям. Как перевести эту системную работу по обеспечению требуемого уровня защищенности из сферы ручного контроля в плоскость управляемых и измеримых процедур? В интервью изданию Connect директор департамента технической поддержки продаж УЦСБ Алексей Шанин рассказал, как промышленным предприятиям перейти от реактивной защиты к проактивному управлению рисками информационной безопасности, встроив контроль в производственные процессы.
Как службе ИБ промышленного предприятия перестать быть «пожарной командой» и начать предвидеть факт реализации угрозы для АСУ ТП, перейдя к управлению ИБ?
Алексей Шанин: Чтобы высокозатратное и малоэффективное в стратегической перспективе «тушение пожаров» осталось в прошлом, надо переходить от точечных, реактивных мер к построению непрерывного процесса управления безопасностью. Сегодня недостаточно раз в год провести аудит и составить толстый отчет. Угрозы и сама технологическая среда – АСУ ТП, сети, ПО – меняются постоянно. Но дело не только в динамике изменений. Главная системная проблема заключается в том, что мероприятия по информационной безопасности значимых объектов КИИ часто изначально не встроены в производственный процесс. На многих предприятиях организационно-распорядительные документы по безопасности объектов КИИ существуют сами по себе и не соответствуют условиям эксплуатации и реальной архитектуре защищаемых систем. Контракты с подрядчиками, которые проектируют или модернизируют промышленные объекты, заключаются без учета требований законодательства в области ИБ. Как следствие, создаваемые системы не защищаются ни внутри, ни снаружи. Пока безопасность не станет присутствовать на всех этапах жизненного цикла, служба ИБ так и останется «пожарной командой», фиксирующей последствия.
Получается, требования есть, но в реальной производственной среде они не всегда работают. Как же встроить безопасность в процессы?
Алексей Шанин: Тут важно настроить автоматизацию процесса оценки и мониторинга защищенности, но так, чтобы этот процесс действительно работал на безопасность, а не просто штамповал отчеты.
Именно поэтому мы в УЦСБ создали CheckU – автоматизированную платформу для аудита ИБ и оценки состояния защищенности информационных систем. Платформа базируется на поддерживаемой в актуальном состоянии модели требований (КИИ, ПДн, отраслевые стандарты) и глубокой адаптации к применению в промышленных системах автоматизации. CheckU – это отчетность в динамике, позволяющая службе ИБ видеть, как изменился уровень рисков после обновления, ввода нового участка, изменения конфигурации защищаемой системы и ее компонентов. Платформа автоматически выявляет отклонение настроек от безопасных, несанкционированные изменения, несоответствия требованиям, таким образом, дает команде ИБ инструмент для проактивного управления защищенностью: вы видите потенциальную уязвимость до ее эксплуатации, потому что отклонение контролируемых параметров можно отследить в панели мониторинга комплекса. Так обеспечивается основа для принятия управленческих решений.
Почему автоматизация аудита ИБ становится вопросом операционной эффективности не только для крупных, но и средних производств? Какие бизнес-риски она помогает предотвратить?
Алексей Шанин: Автоматизация аудита ИБ действительно перестала быть прерогативой крупных корпораций и стала насущной необходимостью для средних компаний. И основная причина в фундаментальном изменении экономики безопасности. Классический ручной аудит, дорогостоящий и ресурсоемкий, вынуждал средний бизнес прибегать к формальному решению вопроса и создавал скрытые, но критичные риски. Именно поэтому внедрение таких решений, как платформа CheckU от УЦСБ, перестраивает логику обеспечения безопасности: вместо разовой затратной процедуры компания получает постоянно действующий инструмент для непрерывного контроля, что позволяет напрямую предотвращать ключевые бизнес-угрозы, такие как дорогостоящий простой производства из-за кибератаки, многомиллионные регуляторные санкции за несоответствие требованиям по защите КИИ и ПДн, а также утечки критичных данных.
Как на практике меняется запрос Заказчиков из промышленности? Вы видите спрос на отдельные услуги, например, разовый аудит, или же на комплексные решения?
Алексей Шанин: Промышленные компании все реже приходят за разовой «справкой» — им уже недостаточно однократного пентеста или аудита для галочки. Ключевым трендом становится запрос на киберустойчивость как сервис – измеримый и оперативный в получении результата. В сервис-ориентированной модели Заказчик может гибко формировать пакет необходимых ему услуг, начиная с самой критичной ИБ-потребности. Например, для быстрого старта и оценки текущего состояния защищенности мы предлагаем экспресс-аудит, который за две недели дает четкую картину ситуации с точки зрения ИБ, и дорожную карту для ее корректировки и устранения уязвимостей. Следующим логичным шагом становится подключение непрерывного мониторинга через наш УЦСБ SOC, который предоставляется по подписке и разворачивается за считанные дни, обеспечивая круглосуточную защиту без необходимости создавать собственную 24/7 команду. Именно этот сервис сегодня является ядром комплексного запроса, так как закрывает критическую потребность в оперативном обнаружении инцидентов ИБ и реагировании на них. При необходимости к УЦСБ SOC легко подключаются и другие услуги – будь то безопасная разработка, классический аудит АСУ ТП или сопровождение средств защиты информации. Такой подход, как в нашем недавнем проекте с химическим предприятием, где мы начали с экспресс-оценки защищенности, оперативно подключили SOC, а затем перешли к плановому сопровождению систем, позволяет Заказчику наращивать защиту поэтапно, без крупных первоначальных затрат и с немедленным практическим результатом.
Обеспечение киберустойчивости часто означает смену самой парадигмы – от защиты периметра к управлению рисками для бизнеса. Какие шаги и процессы сопровождают такой переход?
Алексей Шанин: Эта смена парадигмы реализуется через последовательную перестройку процессов. Первый шаг — оценка активов через призму их влияния на ключевые производственные процессы, такие как бесперебойность технологического процесса. Следом необходим переход к непрерывному мониторингу безопасности, который отражает динамику угроз в реальном времени. Ключевым становится умение транслировать технические уязвимости в понятные бизнесу последствия, такие как риск простоя и его финансовую оценку. Это формирует основу для аргументированного диалога с руководством. Финальный этап — интеграция выводов в операционную деятельность: фокус для SOC, план работ для служб эксплуатации и требования для подрядчиков и разработчиков. Таким образом, безопасность становится неотъемлемой частью производственного контура, а не отдельной его функцией.