29 мая 2023 г.
Эксперты рынка отмечают рост интереса со стороны представителей промышленных предприятий к вопросам ИБ. О том, почему эта тема стала так актуальна именно этим клиентам сейчас нужно обратить особое внимание на вопросы ИБ, рассказал нашим читателям Лев Фисенко, исполнительный директор компании «Кросс технолоджис».
Лев Фисенко: Уровень автоматизации отдельных предприятий стал очень высоким. Вместе с ним выросли и риски возникновения ИБ-инцидентов. Мы видели их и год, и два года назад, но 2022 г. побил все рекорды как по их количеству, так и по разнообразию.
Промышленность семимильными шагами идет к высокому уровню обеспечения ИБ. И 2023 г. будет целевым для нашего промышленного сектора с точки зрения выстраивания систем защиты информации.
Базис начали закладывать несколько лет назад, когда появилось законодательство в части КИИ, и сейчас большая часть собственников и менеджмента предприятий оценивают риски ИБ, вероятность их возникновения и возможный ущерб.
Мы видим большой пласт работы для себя в промышленной сфере, высока востребованность нас как интегратора и потребность клиентов в технологиях защиты информации.
Более того, практически во всех наших ИТ-проектах, в том числе и для производственных компаний, обязательно есть раздел по информационной безопасности — клиенты сразу закладывают реализацию требований по защите информации.
До недавнего времени в большей части компаний нашей страны вообще не задумывались над вопросами обеспечения ИБ. Но к началу 2023 г. на множестве отечественных производственных предприятий повсеместно активно используются ИТ-сервисы, выстроена сложная инфраструктура. Соответственно, риски ИБ, в том числе нарушения производственных циклов злоумышленниками, резко возросли. Поэтому построение и использование систем ИБ теперь является важным и обязательным процессом для промышленной сферы.
IT Channel News: Вы сказали, что практически в каждом ИТ-проекте вашей компании есть блок ИБ. А давно ли произошло такое изменение в позиционировании ИБ? Я часто слышу от ИБ-шников, что они не ИТ, что работают на совсем другом рынке.
Лев Фисенко: Это было потому, что до недавнего времени ИБ для клиентов была «чем-то непонятным». Мало кому хотелось разбираться с тем, чем занимается ИБ-подразделение. Главное, что оно «вроде бы» обеспечивает какую-то безопасность. Но в последние годы отношение изменилось, о безопасности стали задумываться на всех уровнях в компаниях и организациях. Даже на обывательском уровне люди понимают, что современные технологии уже настолько развиты, что могут самостоятельно управлять твоими устройствами и совершать действия от твоего имени. Поэтому вопросы ИБ стали очень актуальными и животрепещущими.
Решать их вне общих ИТ-задач предприятия, на мой взгляд, неправильно. Все свои активности мы рассматриваем как ИТ-интеграцию: все, что имеет отношение к ИБ, неразрывно связано с ИТ-инфраструктурой, ИТ-окружением, ИТ-процессами и все чаще — с бизнес-процессами.
Клиентам абсолютно не интересны коробочные решения. Более того, нашей самой важной компетенцией мы считаем умение комбинировать то, что уже есть на рынке, собирать новые идеи, «дружить» их между собой и предлагать готовое решение под потребность клиента с учетом используемой инфраструктуры и функционирующих бизнес-процессов.
Для нас обеспечение ИБ — это гораздо шире, чем просто внедрение какого-то решения. Как правило, в любой компании за проблемами информационной безопасности стоит что-то еще. И при решении этого «что-то» клиенту, конечно, удобнее работать не с несколькими компаниями, закрывающими отдельные части, которые потом надо свести и синхронизировать, а с одним исполнителем, способным выполнить проект «под ключ» в соответствии с пожеланиями клиента и лучшими на сегодняшний день технологическими рекомендациями и практиками.
IT Channel News: А что предприятие должно сделать, чтобы выстроить проактивную защиту? Можете дать какие-то рекомендации? Или участь ИБ — работать с уже произошедшими инцидентами?
Лев Фисенко: В каждом случае рекомендации будут свои, в зависимости от технологических и бизнес-процессов компании. Все эти процессы и системы их автоматизирующие необходимо очень тщательно отсмотреть, найти уязвимые места и, встав на сторону злоумышленников, найти, что можно сделать деструктивного, зная или не зная о чем-то из найденного. Подход к проблеме обнаружения слабых мест в защите, когда моделируются действия злоумышленника, используется специализированными компаниями уже давно. И, наверное, это один из действенных алгоритмов — предполагать, как и о чем думает злоумышленник или предугадывать его возможные действия.
При этом надо учитывать, что угрозы чаще всего исходят не извне, а изнутри. До сих пор сами сотрудники компаний остаются самым слабым звеном в обеспечении защиты информации ввиду низкой осведомленности в вопросах ИБ. Неосведомленность сотрудников об угрозах ИБ, отсутствие или неадекватное понимание ценности информации в информационных системах компании также надо учитывать как риски ИБ.
IT Channel News: В этой ситуации радует, что наконец-то промышленность стала серьезно относиться к ИБ...
Лев Фисенко: Рост потребности промышленных предприятий в обеспечении ИБ — это действительно одна из тенденций последних лет. И здесь сыграли активную роль два фактора.
Во-первых, регуляторный. Промышленные предприятия стали активно предпринимать целевые действия по построению ИБ после появления законодательства об обеспечении безопасности КИИ.
Вторым мотивирующим фактором стало увеличение (в разы), в том числе и в связи с изменениями международной обстановки, количества атак на промышленные предприятия. В последние 4 года промышленность входит в топ-3 отраслей по этому показателю. Злоумышленники пытаются не просто взломать и украсть данные, но и нарушить деятельность предприятий.
В 2022 г. даже появился новый термин: помимо хакеров, теперь есть и хактивисты. Они действуют грубо, жестко, и не с целью обогащения, а в соответствии со своими идейными представлениями. Для них главное — дестроить: сломать, стереть, разрушить. Опасные люди, не думающие о последствиях своих действий. Их активность, например, на опасном химическом производстве или на предприятии энергетической сферы может привести к жутким последствиям, к техногенным катастрофам. Конечно же, на опасных производствах максимально полно реализуются все необходимые меры по обеспечению ИБ, они же, пожалуй, лидируют в этом в промышленном секторе экономики.
Среди промышленников многое зависит от руководителя компании — есть те, кто погружены в технологии и способствуют активному внедрению их у себя, выстраивают политику ИТ и ИБ, в которой понимают и ценность информации, и то, что ее нужно «оберегать». При этом есть руководители, которые «далеки от этих всех ИБ-систем», но пользуются смартфонами (не телефонами с дисковым номеронабирателем), планшетами, являются активными пользователями всевозможных современных ИТ-сервисов.
Информационная безопасность напрямую связана с использованием информационных технологий и их автоматизацией. Если производство не цифровизировано и не автоматизировано, в нем нет ИТ-составляющей, если у тебя, условно, «дисковый телефон», то, по большому счету, рисков ИБ достаточно ограниченное количество.
И это хоть и крайний, но тоже вариант ИБ. Отгородиться от современных технологий, чтобы нечего было взламывать. Но готовы ли компании реально перейти на «кнопочные телефоны», когда все уже привыкли к удобству и сервисам? Готовы ли добровольно понижать уровень жизни и скорость производства, отказавшись от новых технологий? Думаю, нет.
Более того, даже если это произойдет не по нашей воле, очень многие будут к этому не готовы.
IT Channel News: Вы думаете, уровень качества жизни в России заметно снизится?
Лев Фисенко: Очень надеюсь, что нет, но, возможно, в ближайшие 2 года уровень удобства использования ИТ немного снизится, в случае если часть технологических сервисов, к которым мы привыкли, перестанут работать. И к этому надо быть готовыми: увы, большая часть отечественных ИТ-продуктов пока еще не дотягивают до мировых аналогов особенно в энтерпрайз сегменте, где требуются высокие показатели производительности. Если в области ПО мы достаточно быстро отыгрываем это отставание, а в некоторых случаях уже и опережаем, то с «железом» все гораздо сложнее. Для прорыва — а чтобы догнать технологических лидеров, нам нужен именно прорыв — надо срочно и быстро привлечь и инвестировать очень большие финансовые ресурсы.
IT Channel News: И что же делать в такой ситуации?
Лев Фисенко: Думаю, что пока в стране выстраиваются новые высокотехнологичные ИТ-производства, компаниям надо стараться искать компромисс между максимально эффективным использованием текущего оборудования и закупками новых его единиц. Мы как интегратор считаем, что нельзя все текущие проблемы решать лишь приобретением нового ПО и «железа». К решению каждой задачи надо подходить разумно: выбирать не самое дорогое, а рациональное решение, провести ревизию имеющегося и максимально и по назначению использовать средства ИТ и ИБ.
Иногда проекты формируются по принципу «из пушки по воробьям». Думаю, это было связано и с психологией нас, ИТ-шников, которые не любят вносить кардинальные изменения в стабильно функционирующие решения. Мы же привыкли, что мышь находится тут, чашка стоит здесь, а клавиатура — там. И если поменять местами, то будет настоящая катастрофа.
Поэтому, когда до недавнего времени возникали проблемы с производительностью ИТ-инфраструктуры, мало кто разбирался в их причинах и думал об оптимизации. Чаще всего говорили: «Надо нарастить мощности».
Это последствия начала
IT Channel News: Но для этого нужны высококвалифицированные кадры...
Лев Фисенко: Однозначно! Но увы, на рынке сейчас не хватает таких людей, компетентности и компетенций. И это проблема не только ИБ-рынка, но и всех секторов экономики, которые бурно развиваются. Аналитики считают, что кадровый дефицит ИТ-кадров в России достигает 1 млн человек. Возможно, это завышенная оценка. Но дефицит действительно существует, поэтому задача не только найти, но и сохранить квалифицированные кадры. А это целая эпопея.
Что уж греха таить, нас, ИТ-специалистов, нельзя назвать неприхотливыми, мы достаточно капризные сотрудники. Иногда думаешь: а не пригласить ли в компанию штатного психолога или психоаналитика?
Не хватает людей, которые не только обладают базовыми знаниями, но у которых есть опыт и квалификация. Поэтому весь рынок ИТ и ИБ с интересом рассматривает кандидатов, учащихся или заканчивающих специализированные вузы. При этом количество троечников, к сожалению, преобладает над числом отличников и хорошистов. Хорошо, если троечник замотивирован, полон энтузиазма и жаждет познавать новое. Мы его обучим и поднимем на новый профессиональный уровень. А если нет, то знания и опыт, так необходимые большинству работодателей, не получится вложить в светлые головы подрастающего поколения.
Дефицит квалифицированных кадров был, есть и будет всегда для развивающихся отраслей. В части ИТ и ИБ это также не в новинку. Но более ярко эту проблему подсветила пандемия, когда многие компании резко задумались о развитии своих подразделений ИТ и ИБ ввиду активного использования удаленного формата работы. Как мы все понимаем, удаленная работа — это существенно более активное использование новейших ИТ-технологий, что, в свою очередь, влечет за собой появление новых существенных рисков ИБ. Как следствие, также резко выросла потребность в ИТ- и ИБ-сотрудниках, а вместе с ней — амбиции специалистов и ценник на их услуги.
При этом даже то количество специалистов, которые вышли на рынок труда в 2022 г. после закрытия офисов западных компаний, не смогли «закрыть» кадровые дыры.
Поэтому сейчас во многих компаниях, здраво оценивая ситуацию и видя у себя дефицит ИБ-специалистов, стали активно отдавать внутренние сервисы ИБ на аутсорсинг. И это один из быстрорастущих сегментов внутри ИБ-рынка.
IT Channel News: В этой ситуации с нехваткой персонала регуляторы предлагают ввести более жесткую (в том числе персональную) ответственность ИБ-специалистов за инциденты, которые произошли на их предприятии. Как вам кажется, не будет ли эта инициатива тормозить рынок?
Лев Фисенко: Это та тема, которая вот уже несколько месяцев будоражит бизнес-сообщество. Началось все с инициативы по применению оборотных штрафов в части нарушения законодательства по защите персональных данных. Но сейчас есть сторонники того, чтобы распространить эту практику на любые нарушения в области ИБ. Я бы в этом вопросе встал все-таки на сторону бизнеса: 3% от оборота — это огромные цифры. Рентабельность многих предприятий не так велика, чтобы спокойно расстаться с 3% выручки компании. И это может стать подножкой для бизнеса. Тем более сейчас, когда ситуация достаточно тяжелая.
При этом, несомненно, ответственность нужна и для компаний, и для их руководителей, и для профильных специалистов — как на стороне компаний-клиентов, так и на стороне компаний-исполнителей. Без этого мы на должный уровень ИБ не выйдем. И вот тогда это будет отнюдь не тормозом, а новым толчком к развитию ИБ-отрасли.
Источник: IT Channel News