Интервью TAdviser: Андрей Нуйкин, «Евраз» — о подходах к кибербезопасности и ИБ-разработчиках, страшно далеких от народа

Андрей Нуйкин: Я пришел в «Евраз» в 2014 году, и начиная с 2015 года мы начали строить систему управления информационной безопасностью (СУИБ). Прежде чем ее строить, было принято решение, что мы ориентируемся на семейство стандартов ISO 27000. Это мировой стандарт, и мы при строительстве своей системы защиты ориентировались на него. Естественно, мы не выпускали из зоны нашего внимания и российское законодательство. Впрочем, документы ISO в большей степени перекрывают требования отечественных регуляторов.

Мы и сейчас продолжаем придерживаться ISO как основного стандарта, хотя международных компаний у нас уже нет. Когда появился федеральный закон №187-ФЗ «О безопасности КИИ», то мы включили и его в зону нашего внимания. Требования документов ФСТЭК определяют процессы, которые в основне своей очень похожи на подпроцессы серии ISO 27000. Например, процесс управления учетными записями есть и в ISO, и в требованиях ФСТЭК, хотя называться они могут по-разному.

Мы решаем задачи типовые для любой службы информационной безопасности. Это обеспечение собственно информационной безопасности всей группы компаний, куда входят три большие площадки Москва, Сибирь, Урал, где Москва – это управляющая компания и предприятие в Туле. Сибирь и Урал – это крупные металлургические предприятия ЗСМК, НТМК и окружающие – Качканарский ГОК и другие. Экосистема PROMT: больше, чем перевод 4.2 т

Соответственно, основные направления – это борьба с вирусами и защита от хакеров. Также в зоне нашей ответственности находится безопасность промышленной автоматизации и операционных технологий (ОТ), таких как АСУ ТП. При этом за защиту коммерческой тайны и персональных данных мы отвечаем лишь частично – только в технической части и при подготовке регламентов защиты и некоторых других документов. В основном организацией защиты данных занимается службы коммерческой безопасности.

У нас построена служба управления информационной безопасностью. Сотрудников в ней немного, а основными функциями является разработка методологии и контроль за соблюдением мер ИБ. То есть мы не занимаемся непосредственно администрированием и ничего самостоятельно не внедряем. Мы только вырабатываем правила работы и требования по информационной безопасности, а затем контролируем их соблюдение. Непосредственно техническую работу осуществляет уже ИТ-департамент, в который мы входим. Мы напрямую взаимодействуем с вице-президентом по ИТ и пока неплохо получается. Синергия есть.

Работаем мы так: если антивирус обнаружил вирус, то реагированием занимается ИТ-служба. Когда из центра мониторинга мы получаем аварийные сообщения, мы анализируем происходящие события и координируем реакцию на них. Если происходит какой-то инцидент или какое-то событие, которое может привести к инциденту, то мы обеспечиваем координацию ответных действий. Мы собираем команды реагирования и начинаем управлять процессом управления инцидентом, то есть определяем роли, кто чем занимается и кто что делает, зачем и почему.

Андрей Нуйкин: В этом случае мы вырабатываем совместное решение: выдвигаем требования, которые с нашей точки зрения необходимы, а ИТ-подразделения выбирает конкретное решение – они на эти решения смотрят с точки зрения функционала, которым будут пользоваться. Например, сейчас обсуждается NGFW. Мы выдвигаем для него требования, что это должно быть. Допустим, нам надо сертифицированное решение. Оно должно быть отечественное. Оно должно иметь пятилетнюю поддержку. И еще предъявляем какие-то важные с нашей точки зрения требования. А для ИТ-департамента важна поддержка тех или иных протоколов, функций по производительности, удобству управления, возможности работать в кластере – это они уже сами решают. Дальше мы собираемся все вместе, обмениваемся требованиями и предложениями о продуктах, а затем выбираем конкретное решение, которое удовлетворяет как нас, с точки зрения информационной безопасности, так и ИТ с точки зрения удобства, поскольку работать с этим решением нужно будет именно им.

Конечно, иногда ИТ предлагают нам самостоятельно выбрать конкретное решение, и они даже готовы его купить. Я же говорю им: «Не вопрос, но вам ведь потом с этим жить. Я ведь выберу то, что мне лучше всего подходит, но не факт, что это будет удобно в эксплуатации». Поэтому они предпочитают активно участвовать в выборе продуктов, и мы, вроде бы, нашли в этом вопросе определенный консенсус. В целом нам с ИТ удается работать дружно и достаточно эффективно.

Все службы – ИБ, ИТ и промышленной автоматизации (АСУ ТП) – подчиняются единому вице-президенту по ИТ, то есть входят в ИТ-блок. На начальном этапе, когда еще происходила притирка друг к другу, возникали некоторые недопонимания и сложности, но мы все находимся в ведении одного вице-президента, который нас всех собирал. В случае конфликта, мы идем к нему. Он выслушивал претензии каждого, и дальше мы совместно вырабатывали решение, которое удовлетворило бы всех. Сейчас достаточно много ситуаций решается уже без участия вице-президента. Мы притерлись друг к другу, и уже понимаем, что нужно делать.

Причем в нас служба ИТ уже даже видит своего помощника. Системные администраторы зачастую любят закрутить гайки, чтобы пользователи не могли ничего лишнего делать и никуда не могли ходить. Они любят, чтобы у сотрудников было небольшое пространство для работы, а им такие ограничения делать не дают, мотивируя это так: «ребята, вы сервисная служба – почему это вы мне что-то запрещаете?» Они от этого страдают, и приходят ко мне за поддержкой: «Андрей, а ты можешь выпустить такое распоряжение, чтобы пользователи вот этого не делали?» Им же проще – когда к сисадминам приходят ругаться, они говорят, это всё Андрей потребовал – идите к нему. А с безопасностью люди как-то не любят связываться – на нее совершенно по-другому смотрят и запреты ее уважают.

Инцидентами же мы управляем с помощью центра мониторинга безопасности. Он относиться к ИБ. Впрочем, у ИТ есть аналогичный центр мониторинга инфраструктуры, но он контролирует ситуацию с точки зрения доступности. И если, например, наш центр мониторинга обнаружил какие-то события и идентифицировал их как инцидент безопасности, то мы выявляем цепочку системных сообщений, по которой мы можем определить, что происходит что-то странное. Мы это можем сделать даже в том случае, когда средства защиты и антивирусы пока на них не реагируют.

Впрочем, в последнее время подобных инцидентов особенно и не было. До АСУ ТП точно не доходило. Мы потратили много сил и средств на то, чтобы отделить промышленные сети от корпоративных и обеспечить максимальную сегментацию. У нас АСУ ТП – это самая ценная, самая защищенная часть нашей сети. Уже сегменты АСУ ТП подключены к корпоративной сети, которая является для нас менее доверенной. А уже эта сеть подключена к интернету, который совсем недоверенный. Между всеми сетями есть шлюзы или демилитаризованные зоны (ДМЗ), которые обеспечивают взаимодействие сегментов в соответствии с правилами безопасности.

Андрей Нуйкин: За это отвечает отдел АСУ ТП – они тоже, как ИТ, входит в ИТ-департамент. Поэтому у нас существует центр, который занимается корпоративными сервисами и системами, есть центр, который занимается АСУ ТП. И каждый занимается своей работой. Когда выходят обновления, то мы проводим сначала собственное тестирование, в процессе которого определяем, как это обновление себя ведет в тестовом сегменте. Если не фиксируем каких-то особенных отклонений, то даем разрешение устанавливать его уже внутри специализированных сегментов. Далее уже отдел АСУ ТП ставит его на выделенные системы, которые используются для тестов, и проверяет его поведение в промышленном окружении. Если ничего не сломалось и все работает нормально, то оно тиражируется на все устройства.

Андрей Нуйкин: Данные в промышленных системах действительно накапливаются. Сейчас очень много разных приложений – подсказчики, анализаторы и другие системы, которыми пользуются промышленные автоматизаторы. Поэтому у нас есть схема, по которой данные из АСУ ТП поднимаются вверх в корпоративную систему, а дальше они уже используются в приложениях, таких как цифровой подсказчик. Конечно защита этих данных больше смещается в сторону доступности и целостности, потому что процесс непрерывный. Поэтому данные поднимаются через промежуточные серверы в корпоративную сеть, а там уже к ним организуется доступ – кому что нужно. Каких-то особенностей здесь нет – современные технологии успевают обработать все, проверить правила и организовать доступ. Пока промышленники не жаловались на задержки из-за защиты. Конечно, есть нюансы, например, с антивирусной проверкой большой базы, но это вопросы решаемые.

Андрей Нуйкин: Мы расследуем инциденты, но их пока не очень много. Их вполне можно обработать и вручную. Мы справляемся. На существующих средствах мы сделали таблички для руководства и организовали оперативный контроль. Кроме того, у нас развернута GRC-система для понимания общей картины. Она используется как для выявления возникающих проблем, так и для общей оценки рисков. Я поэтому очень расстраиваю различных интеграторов, которые ко мне приходят и пытаются что-то продать. Чаще всего у нас это уже есть. Оно работает и удовлетворяет нашим требованиям: зачем его менять?

Начиная с 2022 года количество атак и вообще всех проблем увеличилось. Даже элементарных сканирований стало больше. Они не приводят к каким-то инцидентам, но создают общий фон некоторой нервозности. Он вырос как минимум в два раза. Но мы пока справляемся за счет внедренных средств мониторинга, управления и защиты. Но, наверное, это как у всех.

Андрей Нуйкин: В части IDM полноценного большого решения пока не внедрено. Мы еще идем в этом направлении, поскольку все больше и больше появляется потребностей и заказчиков у такого решения.

Если говорить про PAM, то мы его пока используем больше для контроля подрядчиков, которые к нам в сеть приходят из внешнего интернета. Ранее у нас были иностранные решения, а сейчас мы от них отказались и будем мигрировать на отечественные продукты. В части аутентификации мы перешли на второй фактор при организации внешнего подключения. Для его использования уже необходимы не только логин-пароль, но и второй фактор в виде специального решения. Это правильный подход, который уже доказал свою эффективность.

Андрей Нуйкин: К облакам мы всегда относились настороженно. Мы их не запрещали, но всегда очень аккуратно смотрели на их использование. В облака обычно отдавали системы, которые некритичны для производственного процесса. То есть, потеря облака не влияла на производство и корпоративную сеть. Когда в 2022 году начали все это отключать и блокировать, мы не сильно пострадали.

У нас облако, например, используется для разработки – для обеспечения цифровой трансформации мы сейчас много занимаемся собственной разработкой. Программисты от инфраструктуры обычно требовали: «Дайте нам срочно столько-то серверов, столько-то процессоров, столько-то памяти и других ресурсов». При этом инфраструктура в наших локальных ЦОДах не могла динамически все это предоставить. Поэтому мы приняли решение взять облако как инфраструктуру (IaaS), и предоставить доступ к ней разработчикам. У них получилась закрытая песочница, куда они могут зайти, сгенерировать сервер с нужными им характеристиками, поиграться с ним и проверить свои гипотезы. Дальше, если проект выстреливает, то мы эти проекты либо переносим в наш ЦОД, либо развиваем дальше в том же облаке.

Защита, естественно, транслируется и на это облако. Это такие же наши серверы, компьютеры, кусочек домена, веточка правил безопасности со всеми контролями и требованиями. Оператор облака отдает нам события, которые у него в нашем облаке происходят. Он нам дает инфраструктуру как сервис, а наши системные администраторы заходят, создают все необходимые виртуальные машины. Это наша же служба, то есть от провайдера мы берем только нижний уровень, где находится управление этой виртуализацией. Сейчас мы самостоятельно выявляем уязвимости облачной инфраструктуры, потому что рассматриваем их как наши устройства, входящие в наши домены. А с облачным провайдером взаимодействие организовано на уровне обеспечения безопасности системы управления виртуализацией, сетью и другой физической инфраструктурой. События для нашей службы ИБ тоже получаем из облака и загружаем в общую базу – они участвуют во всех тех процессах, которые я описывал ранее.

Андрей Нуйкин: Да, искусственный интеллект используется. Это сейчас модная тема – всем хочется и интересно, но многие не осознают тех рисков, которые несет искусственный интеллект. Мы, когда эти тенденции стали развиваться, вышли на руководство и сказали: «все хорошо, но вы понимаете, что искусственный интеллект имеет определенные риски?» У нас есть такой орган, как комитет по информационной безопасности, куда входят вице-президенты и президент компании. Мы раз в квартал собираемся и обсуждаем на нем насущные вопросы. Вот на этом комитете мы и подняли вопрос про использование искусственного интеллекта. Самое простое – запретить использовать, но это не наш подход – мы всегда ищем компромиссы.

Мы решили, что, если какая-то система, которая хочет пользоваться ИИ, расположена в технологической сети, то она не может обращаться к моделям искусственного интеллекта, которые находятся вне периметра нашей компании. То есть, она должна быть развернута на нашем внутреннем сервере, и приложение будет с ней общаться. Такая модель использования имеет определенные ограничения, поскольку наша внутренняя модель менее совершенная, чем в интернете. Те системы, которые расположены в корпоративной сети, они могут пользоваться внешними моделями, но при этом во вне запрещено загружать конфиденциальную информацию.

Андрей Нуйкин: В части искусственного интеллекта люди приходят и к нам. Я им привожу такую аналогию: «вот представьте, что вы выходите на большую площадь, поднимаетесь на трибуну, а перед вами стоят наши заказчики, конкуренты, государственные органы, всякие проверяющие специалисты. Вот если вы эту информацию готовы им рассказать, то, скорее всего, ее можно отдать и в искусственный интеллект, и это не станет проблемой. Если же не готовы по каким-то причинам ее озвучить, значит, скорее всего, это конфиденциальная информация, и отдавать ее в ИИ не стоит».

Искусственный интеллект хоть и называется «интеллект», но гарантий того, что он вам выдал правильный ответ, никто не даст. Если вы его неправильно научили, он вам неправильно и ответит. Как и любой человек. Если его всю жизнь учили, что Земля плоская, то он и дальше будет говорить, что Земля плоская. Так и здесь. Поэтому в любом случае нужно контролировать то, что дает вам ИИ-модель, а не просто тупо исполнять то, что она предлагает.

Андрей Нуйкин: Да, мобильные технологии используются, есть соответствующие решения, которые ими управляют. Мобильные устройства, естественно, относятся к корпоративной сети. Например, человеку приходит на планшет задание, и он идет с этим устройством и что-то чинит, заказывает и с его помощью отчитывается. Было исследование – изучали тему дополненной реальности. Предлагали технологию, которая позволяет просто навести камеру, и устройство тебе подсказывает, где и что нужно проверить.

У службы охраны, например, есть мобильные терминалы, с помощью которых они могут во время обхода территории, если встречают кого-то, то могут проверить у него наличие пропуска, кто он и что делает на территории. Это один из вариантов и такие технологии мы, естественно, используем. При этом корпоративная сеть наша, и Wi-Fi на территории также развернут наш. Где Wi-Fi нет, там GSM, который предоставляет мобильный оператор для нас. Мы с этим оператором в тесном сотрудничестве, и он нам обеспечивает выделенную сеть, которая работает только для нас.

Андрей Нуйкин: Наверное, нет. Всё как у всех – что требуется по закону и приказам, мы реализуем в той или иной степени. А все, что касается документации и прочих вещей – этим больше занимаются юристы и кадровики. Это как с интеллектом искусственным – на сторону эти данные отдавать нельзя.

Андрей Нуйкин: Мы активно участвуем в процессе импортозамещения. В первую очередь это касается средств защиты. Мы этим давно занимаемся – еще года с 2014. При выборе новых решений мы всегда старались ориентироваться в том числе и на отечественные продукты, для чего включали их в наши сравнения. И, если понимали, что отечественное по соотношению «цена-качество» и другим характеристикам выполняет все наши требования, то отдавали приоритет ему. Поэтому к 2022 году у нас уже было достаточно много отечественных средств защиты.

А в части ИТ, когда начались события 2022 года, то была собрана команда под руководством вице-президента по ИТ, которая за короткий срок сформировала перечень всего иностранного: ПО и аппаратуры. Дальше провели оценку того, что может произойти, если конкретный производитель уйдет и заблокирует работу своих продуктов.

Соответственно, дальше мы этот список проранжировали по критичности и сформировали план. Где-то мы просто изолировали соответствующие решения от внешнего мира, и они там пока живут. Для тех решений, которые мы не смогли изолировать, пришлось искать альтернативу. Там, где было очень критично, нам пришлось очень быстро искать замену, а обновление не очень критичных вещей отложили на потом. Сейчас мы постепенно движемся по составленному плану.

Тем более, государство медленно, но неуклонно прикручивает гайки. Например, сейчас горячей темой становятся доверенные ПАКи. С ними вопрос сложный и интересный, потому что закон уже начал действовать, а самих ПАКов пока нет. Мы общались с другими представителями промышленности, встречались в рамках ИЦК «Металлургия» и с Минцифрой. Какие-то ПАКи есть, но чтобы они стали доверенными не достаточно просто щелкнуть тумблером. Это определенный процесс, который тянет за собой остановку производства, переналадку, перезапуск – на это требуется немало времени. И поэтому не всегда можно выполнить требования по внедрению ПАКов даже в перспективе до 2030 года. Сейчас мы эту тему обсуждаем, чтобы адаптировать требования законодательства.

Мы хотели бы, чтобы нам разрешили использовать до окончания амортизации те системы, которые все-еще останутся недоверенными, но мы для них можем обеспечить дополнительную защиту для уменьшения рисков, а потом уже в рамках модернизации их можно будет безболезненно заменить. У нас есть системы, которые мы только-только построили, вложили много денег и запустили производство. А теперь надо производство остановить и все переделывать.

Андрей Нуйкин: Наверное, не сложнее и не проще. Есть общие подходы, поскольку это все типовое – все контроллеры, серверы и другие компоненты. У нас остаются опасения, что российские устройства тестировали менее тщательно, потому что их пока меньше ломали. Но контроллеры стоят достаточно глубоко в нашей системе – в технологической сети, куда добраться не просто. Это дает нам шанс выявить эту активность до того, как злоумышленники доберутся до самого контроллера. Им для этого нужно пройти большой путь, а мы при этом приглядываем за границей сети, поэтому надеемся вовремя заметить подобную подозрительную активность.

Андрей Нуйкин: Сейчас мы занимаемся замещение решений для удаленного доступа – VPN и управление аутентификацией. У российских разработчиков решения как бы есть, и их даже много, но полноценной замены, которая удовлетворила бы всех, пока нет. Надо делать либо связку нескольких решений, и это связано с определенными сложностями, либо ждать, когда существующие производители доделают нужные нам функции и модули.

В целом – не хватает модульности. Это как с NGFW в 2022 году, когда все начали искать замену. Мы тоже. И некоторые производители приносили свои решения и показывали: «вот, смотрите, какой межсетевой экран, вот он работает с такой-то скоростью». Но при этом они его позиционировали как NGFW, а это все-таки больше, чем просто межсетевой экран. И мы говорим: «хорошо, а если мы включим там IPS? А если мы включим URL-фильтрацию? Если мы включим SSL-декодирование и всякие другие модули?» Они делали удивленные глаза и спрашивали: «вы что, этим всем пользуетесь?» Мы тоже удивлялись в ответ и говорили: «ну, так это же NGFW». Бывает, что разработчики страшно далеки от народа, и живут в своем мире.

В части защиты много продуктов, в которых не хватает модульности. Приходит производитель, предлагает какое-то решение. Оно большое и мощное, но нам оно в комплексе не очень нужно. Если бы мы информационную безопасность строили с нуля, то это было бы отличное решение – купил, поставил и пользуешься. Но мы уже не первый год живем и безопасностью занимаемся давно. У нас какие-то элементы уже существуют. Они реализованы, интегрированы, отлажены и менять их смысла никакого нет. Нам в общей системе не хватает какого-то одного кирпичика, который был у иностранного производителя, но стал недоступен вместе с ним. У нас выпал только этот небольшой кирпичик, и мы приходим к производителю и говорим: «продайте нам вот этот маленький кирпичик – он у вас есть, а нам нужен только он». А они отвечают: «ой, нет – мы так не хотим и не будем. Или покупайте всё в комплексе, или – не покупайте». А весь комплекс нам не нужен, потому что получается дублирование функций. Поэтому хотелось бы, чтобы было больше модульности.

Я думаю, что все производители умеют делать модульные решения, но не хотят, потому что все стремятся к построению экосистем. А мы исторически шли по пути построения эшелонированной защиты, и не очень любим эти экосистемные вещи. Мы не любим зависеть от одного конкретного производителя, поэтому стараемся использовать решения разных разработчиков. Если обратиться к тому же Центробанку, который прямо в своем стандарте прописал, что в банке должно быть два или три антивируса, то здесь об экосистеме речь уже не идет. Нужны какие-то модульные решения.

И второе, чего не хватает, это взаимодействия российских компаний между собой. Хотелось бы, чтобы были какие-то API и возможность, например, взять одно решение от одного производителя и интегрировать его с другим решением другого производителя. Сейчас зачастую получается так – у всех экосистема. Вы наш этот модуль купили – покупайте еще наш модуль такой-то. Мы говорим: «а у нас используется другое решение – давайте вы с ним подружитесь». Нам отвечают: «нет, мы с ним не умеем, мы только со своим». При интеграции же возникают определенные сложности.

Должна быть договоренность между производителями. Проблему нужно решать комплексно, например, со стороны государства или профильных ассоциаций. Они могут выпустить какие-то рекомендации, например, по открытому API, чтобы можно было какими-то данными обмениваться между решениями разных производителей. Это не значит, что нужно вообще все открыть, но чтобы какие-то базовые вещи можно было использовать. Это на самом деле будет неплохо, потому что у многих компаний, которые давно уже занимаются безопасностью, уже есть большинство решений, которые менять бессмысленно. Они работают и удовлетворяют требованиям. Задача – просто к ним подключить новые модули.

В свое время Cisco, например, разработала развитое API. Алексей Лукацкий, когда был в Cisco, всегда говорил: «смотрите, вы можете по API обращаться туда и сюда, забирать данные, реагировать и реализовывать свою логику». Это никаких проблем не вызывало. Был еще CheckPoint со своими программными лезвиями (blade), которые просто активировали тот или иной модуль. Это тоже хороший вариант, поскольку мы платили только за те модули, которые нам нужны.

Андрей Нуйкин: Мы, наверное, сейчас больше думаем про DevSecOps и построение соответствующих систем. У нас уже частично есть анализаторы и другие необходимые компоненты. Дальше мы хотим перейти на комплексное решение по защите веб-ресурсов от DDoS, от ботов и, в целом, внедрить WAF. Сейчас они есть, но разрозненные и не всегда удобные. Приходиться использовать несколько личных кабинетов, что неудобно.

У нас есть некоторые веб-ресурсы, которые критичны. Их простой может привести к серьезным убыткам и проблемам. Несколько лет назад у нас из всех веб-ресурсов была только страничка на хостинге – сайт-визитка. Она вообще ни на что не влияла. Но сейчас, в связи с тем, что идет активная цифровая трансформация, то появилось огромное количество проектов. Мы внедрили много веб-сервисов, в том числе, на внешнем периметре, которые помогают автоматизировать те или иные бизнес-функции. Их все надо защищать.

Причем появились и ресурсы, которые критичны. Для нас даже их малейший простой – это серьезная проблема. Есть ресурсы, которые не столь критичны, и если они час будут недоступны, то никто и не заметит этого. Мы ищем комплексное решение, с помощью которого мы смогли бы динамически защищать веб-приложения, и менять меры защиты при необходимости. Если это критичный ресурс, то он должен постоянно находиться под защитой от DDoS и хакерских атак (WAF). Мы будем искать решение, чтобы было удобным в эксплуатации и было выгодным с точки зрения финансов. В нем не должно быть множество консолей, но единый центр управления. С его помощью мы сможем контролировать весь комплекс безопасности веб-ресурсов. Это основные направления, которые мы будем развивать в ближайшее время.

Появился интерес со стороны бизнес-подразделений, которые хотят добиться дебюрократизации и ускорения процессов, в том числе, за счет ускорения предоставления доступа. Сейчас надо писать заявку, затем ее надо рассмотреть в течении нескольких дней – в зависимости от типа заявки. Но есть понимание, что некоторые права доступа можно давать автоматически без большого числа согласований. Мы изучаем эту тему – какие есть для этого системы и как они работают, как лицензируются и что нужно для внедрения. Посмотрим, может до этого и дойдет...