Фисенко: промышленных шпионов раскроют при помощи искусственного интеллекта

Исполнительный директор компании "Кросс технолоджис" Лев Фисенко
Читать на сайте Ria.ru
Трудно найти такого человека, которому хотя бы раз не позвонили телефонные мошенники. И так же нелегко найти компанию или промышленное предприятие, которое не сталкивалось бы с киберугрозами. О том, какие опасности грозят бизнесу и госструктурам, в интервью РИА Новости рассказал исполнительный директор компании "Кросс технолоджис" Лев Фисенко.
- Лев Иванович, какого рода угрозы встают перед промышленными предприятиями?
- Существует несколько опасностей – это угроза прерывания технологических процессов, риск потери данных и возможность полноценной аварии. Начало текущего и весь прошлый год отличались от предыдущих достаточно большим количеством атак, направленных на промышленные предприятия со стороны "идейно вдохновленных" хакеров, – как их еще называют – "хактивистов". Потенциально самым страшным результатом этой деятельности могли бы быть техногенные катастрофы. Поэтому надо опасаться подобного фанатизма, связанного с политикой, пропагандой каких-либо идей. Люди, вдохновленные этим, замышляют порою жуткие, ужасные вещи и не осознают ответственности за их последствия.
- Спасает, наверное, то, что они – не профессионалы?
- Совершенно верно. Большинство этих эмоционально настроенных людей не обладают высокой квалификацией, но "раз в год и палка стреляет". Есть примеры, когда мы обследовали предприятия, связанные с коммуникациями. И на удивление в их технологические сети можно было попасть через офисную IT-инфраструктуру посредством доступа через Wi-Fi-точки. Прямым следствием могло быть (я почти не утрирую) перекрытие некой задвижки в трубопроводе, нарастание давления и последующий взрыв. Не так страшно, если это труба с водой, а если с горючими веществами? С газом? Или на территории большого города, в густонаселенном районе?
Итоги года для российской IT-отрасли: обмани, но останься
- Какие алгоритмы и действия используют мошенники в отношении предприятий и госструктур?
- По большому счету ничего нового не появилось. Количество злоумышленников увеличилось, но уровень их компетентности в среднем сильно упал за счет увеличения количества непрофессионалов. Отчасти поэтому в прошлом году на территории РФ была отбита большая часть активности злоумышленников. В этом году есть основание предполагать, что атаки будут более подготовленными и продуманными, а уровень участвующих лиц будет выше. Этой тенденции стоит опасаться в разы сильнее.
- Прогнозируете ли вы в этой связи появление новых угроз?
- Угрозы останутся теми же – деятельность шифровальщиков, фишинговые рассылки, DDoS-атаки. Целевые атаки для кражи технологий с наукоемких предприятий и компаний – были, есть и будут. Определенную опасность будет представлять конкурентная деятельность – со стороны компаний-конкурентов или стран-конкурентов. Будет увеличиваться количество случаев привлечения промышленных шпионов. Криптомайнеров, кстати, опасаться не стоит – это направление и не было сильно популярным. А благодаря средствам автоматизации в IT-инфраструктуре и средствам мониторинга в текущих инфраструктурах компаний допустить бесконтрольное расходование ресурсов практически нельзя. Это в большинстве случаев видно. Гораздо опаснее то, что не так заметно.
- Например?
- Интересный момент с точки зрения информационной безопасности на промышленных предприятиях – безопасность в автоматизированных системах управления технологическим процессом (АСУ ТП) и в технологических сетях, в том числе безопасность контроллеров. Автоматизация и цифровизация с каждым годом становятся глубже. Контроллеры технологических процессов повсеместно используются на современных производствах в РФ. Они могут иметь прямой доступ в интернет или через систему управления, которая общается, допустим, с сайтом компании производителя системы. Соответственно, гипотетически можно допустить получение внешнего управления злоумышленниками.
- Именно над контроллером?
- Да, над неким определенным контроллером, который отвечает за простейшую функцию. Например, открывает заслонку, потом закрывает. Гипотетически, получив доступ к этому, можно получить общий доступ к системе.
Пентесты: кому и зачем?
- Можно ли от этого застраховаться?
- Такие неприятные казусы могут происходить, когда IT-инфраструктура компании имеет доступ в технологическую сеть. Как правило, технологические сети отделяют от общей инфраструктуры, но при этом "мостики" могут остаться. Иногда они по разгильдяйству плодятся в больших количествах. В идеале же их быть не должно. Технологические сети должны быть отделены от доступа в интернет. Эта мера дает достаточно высокий уровень защищенности технологических сетей.
- На какие моменты, связанные с информационной безопасностью,руководителям следует обращать внимание в первую очередь? Как могут выглядеть "тревожные звоночки"?
- Четкого перечня нет. Все зависит от конкретной решаемой задачи и локального окружения в рамках ее решения. Информационной безопасности сейчас уделяется самое пристальное внимание, но не все компании могут себе позволить большие траты. На это есть компании, подобные нашей, которые в состоянии в рамках небольшого бюджета решить конкретную задачу обеспечения информационной безопасности.
- То есть, информационный щит доступен даже небольшим компаниям?
- Да. Если совмещать разумное и достаточное, то вопрос вполне подъемный. И это прерогатива не только крупных компаний, у которых есть большие бюджеты. Как хороший пример мы можем привести продукт Kaspersky Industrial CyberSecurity. Решение предназначено для технологических сетей, закрывает и уровни рабочих мест операторов, и ядра систем АСУ ТП, при этом протестирован на совместимость с вендорами АСУ ТП и не влияет на работоспособность системы автоматизации. Так, Kaspersky Industrial CyberSecurity for Networks может в пассивном режиме снимать информацию, отслеживать отклонения от нормального профиля работы, а также выявлять вторжения в промышленную сеть. Далее продукт сигнализирует ИБ-специалистам о том, что есть некоторые изменения в промышленной сети, и их надо более внимательно рассмотреть.
- Может ли сейчас предприятие огородиться подобием большого китайского файервола?
- У нас есть сферы промышленности, которые изолированы от интернета, однако чем больше цифровизация проникает в работу производственных предприятий, тем меньше мы себе можем позволить ограничений от общего цифрового пространства. Поскольку взаимодействие с интернетом, с цифровыми ресурсами – национальными, международными, отраслевыми – дает только дополнительный плюс с точки зрения прогресса в технологиях, например в части реализации продукции. Мы уже не можем жить в рамках определенной области, индустрии, страны, для обеспечения процессов необходимо взаимодействие.
Минцифры назвало возможный размер штрафа за утечку данных пользователей
- А если крупный концерн решит объединить всех поставщиков комплектующих под своей крышей. Он ведь может самоизолироваться?
- Такие меры снижают себестоимость, сокращают логистические цепочки. Но даже большие компании не могут собрать у себя весь технологический процесс. Думаю, производство все равно будет географически распределенным и, скорее всего, межгосударственным с акцентом на страны Азии и Ближнего Востока. Это и удобнее – где-то дешевле производить одну продукцию, где-то – другую, где-то больше специалистов в одной области, где-то – в другой. Это нельзя выровнять по миру, да и по стране тоже.
- Состоялось ли импортозамещение в области информационной безопасности?
- К началу этого года мы видим, что в части информационной безопасности у нас, в принципе, пробелов нет. Большая часть решений ИБ импортозамещена, где-то функционально может быть похуже, а в некоторых продуктовых направлениях – и получше, сравнивая с импортными аналогами. Если есть отставание в определенных функциональностях по продуктовым направлениям, это достаточно быстро закрывается. Появляются производственные предприятия, которые выпускают полностью российское оборудование. Особых альтернатив нет – надо поднимать это направление.
Для долгосрочного решения вопросов информационной безопасности и, соответственно, полного перехода на решения российских производителей отечественные вендора предлагают комплексные решения. Например, "Лаборатория Касперского" разработала Kaspersky Symphony – это линейка решений, в которой заказчик может самостоятельно выбрать подход к защите своего бизнеса, исходя из своих потребностей и бюджета: расширять собственную защиту или же выбрать управляемую защиту от экспертов "Лаборатории Касперского".
Первый подход состоит из трех тиров, включающих технологии классов EPP (Endpoint Protection Platform), EDR (Endpoint Detection and Response) и XDR (Extended Detection and Response). Так, Kaspersky Symphony Security обеспечивает автоматическую защиту рабочих мест - как физических и мобильных, так и виртуальных. Второй тир Kaspersky Symphony EDR дает возможность расширить базовую защиту конечных точек и предлагает инструменты для обнаружения сложных и целевых атак и реагирования на них. И верхний уровень линейки - Kaspersky Symphony XDR. Решение, которое включает все возможности предыдущих тиров, а также предоставляет корреляцию событий безопасности, сетевую песочницу, аналитические данные Kaspersky Threat Intelligence и даже модуль обмена данными с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). Использование таких комплексных тиров от вендора позволяет в рамках одной лицензии или подписки получить полный функционал из набора решения производителя и закрыть основные ИБ-потребности.
Второй же подход представляет собой управляемую защиту бизнеса и включает два тира Kaspersky Symphony Security и Kaspersky Symphony MDR (Managed Detection and Response). Kaspersky Symphony MDR помимо включенной базовой защиты конечных точек позволяет пользоваться ключевыми преимуществами SOC, не имея его внутри компании, то есть отдать защиту своего бизнеса на аутсорс экспертам "Лаборатории Касперского".
- Какие направления в сфере информационной безопасности в настоящее время развиваются наиболее динамично и являются самыми востребованными?
- Традиционно уже несколько лет подряд самый сильный тренд – это перевод вычислительных процессов, мощностей и IT-инфраструктуры в облака. Как и везде, тут возникают риски в сфере информационной безопасности, они в целом понятны, как и способы их закрытия. Нужно только время и ресурсы, чтобы закрывать. И самое главное – надо использовать разумно-достаточные технологии, не бежать за какими-то дорогостоящими средствами. Овчинка должна стоить выделки – риски должны закрываться технологиями определенного уровня стоимости. Крайне неблагоразумно риск потери 100 рублей закрывать технологией, которая стоит 1 миллион.
- Насколько уверенно можно сегодня оградить от вторжения чужаков корпоративные телекоммуникационные решения?
- Внешний периметр компаний защищается уверенно хорошо. Мы видим больше рисков со стороны инсайдеров – сотрудников, на которых злоумышленники воздействуют с помощью социальной инженерии и работают с ними в связке. Так, они получают доступ к внутренним системам. Это, наверное, самый опасный формат. Эффект их разрушительной деятельности может быть достаточно велик.
- А как-то можно выявить такого инсайдера средствами технологий информационной безопасности?
- Конечно, инсайдеров отслеживают по нестандартной активности на рабочем месте. На протяжении определенного времени создается профиль обычной деятельности пользователя – это те активности, которые нужны в рамках служебных обязанностей сотрудника. И если сотрудник начинает выполнять активности, которые не вписываются в его профиль – например, многократно заходит на определенный сайт, скачивает большое количество информации, выполняет вход в систему в нерабочее время, – это уже сигнал, что надо на этого пользователя обратить внимание. Вообще, в большинстве решений, которые анализируют поведенческую активность, шаблонируют ее, достаточно логично и уместно используется искусственный интеллект (ИИ) как технология.
- Заменит ли искусственный интеллект человека в сфере информационной безопасности?
- Простейшие атаки и методики злоумышленников уже отслеживаются ИИ, но в каждом технологическом процессе есть своя кастомизация. И построение системы защиты для технологического процесса – это всегда достаточно уникальный проект, не типовая задача. Потому что технологический процесс везде разный, разные средства автоматизации, разные АСУ ТП используются.
- То есть, без человека пока никак.
- Я думаю, так будет еще долгое время.
Обсудить
Рекомендуем