Вопросам обеспечения информационной безопасности (ИБ) уделяется все больше внимания во всех странах. Требования регуляторов в этой области ужесточаются, что приводит к росту расходов бизнеса на ИБ. Несмотря на это, многие предприятия до сих пренебрегают вопросами обеспечения защиты IT-систем и телекоммуникаций. О том, почему это происходит, ждать ли нового витка ужесточения требований регуляторов и как реализуется импортозамещение в ИБ, в интервью журналу «Управление бизнесом» рассказал генеральный директор компании «Газинформсервис» Валерий Пустарнаков.

– Почему, на ваш взгляд, вопросы информационной безопасности стоят так остро, что о них говорят все, включая президентов государств?

– Существует ряд взаимоувязанных тенденций, которые и являются причинами такого внимания к вопросам информационной безопасности.

Во-первых, идет активная цифровизация экономики и в том числе процессов управления государством. На большинстве предприятий внедряются информационные системы (ИС) управления производственными процессами.

Во-вторых, в последние годы произошло резкое ухудшение международной обстановки и, как следствие, выросли угрозы кибернападения со стороны других государств.

Вот эти две тенденции и определяют повышенную значимость обеспечения безопасности информационных систем и систем управления технологическими процессами в стране.

Мы в этом бизнесе почти 15 лет и видим примеры эффективного воздействия на информационные системы других государств. Когда американцы входили в Ирак, то с помощью своих хакерских средств они заблокировали систему управления иракскими войсками, и это в том числе позволило им решить все военные задачи в кратчайшие сроки. С помощью кибероружия можно блокировать и энергосистему города, прекратить обеспечение энергией промышленных Варианты защиты Валерий Пустарнаков: информационная безопасность – область, в которой недооценка угроз может привести к плачевным результатам производств, а ведь есть заводы непрерывного цикла, для которых остановка критична. Это очень серьезно: если не заниматься обеспечением информационной безопасности, кибератаки могут нанести огромный ущерб как отдельным предприятиям и Вооруженным силам, так и стране в целом.

Если не заниматься обеспечением ИБ, кибератаки могут нанести огромный ущерб как отдельным предприятиям и Вооруженным силам, так и стране в целом

– Складывается впечатление, что государство уделяет вопросам информационной безопасности больше внимания, чем бизнес. Почему предприятия зачастую недооценивают киберугрозы?

– Все госучреждения и корпорации с госучастием, как правило, соблюдают требования законодательства и регулирующих органов. Крупный бизнес также созрел для комплексных решений в ИБ. Что касается среднего и малого бизнеса, который, как правило, не относится к предприятиям с критической информационной инфраструктурой, то в этом сегменте степень угроз недооценена. Многие руководители предприятий думают, что нет смысла тратить деньги на информационную безопасность, потому что у них ничего не происходит. Живут по принципу «пока гром не грянет, мужик не перекрестится». А когда инцидент произойдет, хватаются за голову. Предпринимателям надо думать наперед и обеспечивать безопасность своих информационных систем и баз данных.

Информационная безопасность – область, в которой недооценка угроз может привести к плачевным результатам. К примеру, в прошлом году произошли массовые атаки с использованием вируса-вымогателя WannaCry. Он блокировал работу огромного количества организаций по всему миру, гигантский объем данных был потерян. У нас также было много обращений от заказчиков по этому поводу.

От степени информационной защищенности зависит не только благополучие людей, но и их жизнь. Первый случай воздействия на пациента, находящегося в больнице, был зафиксирован в США еще лет 10 назад, если не больше. Тогда человека дистанционно отключили от искусственной вентиляции легких, и он скончался.

Сейчас же уровень автоматизации управления медицинским оборудованием вырос очень значительно, поэтому и риски растут. В нашей стране в этом году во время нейрохирургической операции врачами была обнаружена неработоспособность медицинского диагностического оборудования, и только благодаря профессионализму докторов операция завершилась успешно. Причиной отключения была не авария, а кибератака.

– Изменяется ли отношение к ИБ в тех компаниях, где произошел инцидент?

– Они приходят к нам, просят помочь, но далеко не всегда готовы всерьез решать вопрос обеспечения информационной безопасности.

Мы отработали методический подход, в соответствии с которым на первом этапе изучаются бизнес-процессы конкретной компании и создается модель нарушителя. Понятно, что на крупную корпорацию могут воздействовать иностранные технические разведки и спецслужбы, а на хлебозавод или продовольственную базу столь серьезные структуры вряд ли обратят внимание – отличий в модели нарушителя у таких предприятий будет много. В соответствии с этой моделью и разрабатываются технические требования к обеспечению безопасности. На следующем этапе мы предлагаем варианты защиты.

Выполнять все рекомендации одновременно очень затратно, поэтому многие предприятия внедряют системы ИБ последовательно. Это логичный подход.

– Тот факт, что об ИБ стали говорить на самых высоких уровнях, должен заставить задуматься тех, кто раньше этими вопросами пренебрегал?

– На государственном уровне за вопросами информационной безопасности закреплен отдельный раздел программы «Цифровая экономика». Бизнес к вопросам информационной безопасности относится без паранойи, но очень серьезно. Хотя если внимательно рассмотреть структуру расходов на эту программу, то на раздел ИБ выделяется всего около 1% от общего объема инвестиций.

– Каждое государство, стараясь защититься, устанавливает свои нормы и правила. Если речь идет о компаниях, которые работают не только в нашей стране, но и за рубежом, как им обеспечивать соответствие требованиям и России, и других стран?

– В России уже более 10 лет действует закон о защите персональных данных, в мае 2018 года подобный закон (GDPR) вступил в силу в Европе. Оба закона формулируют требования к защите персональных данных, но ЕС применяет гораздо более чувствительные штрафы.

Те предприятия, которые работают и у нас, и за рубежом, безусловно должны защищать персональные данные по самым высоким требованиям. Они должны разделять, что попадает под европейское законодательство, а что – под наше, и в соответствии с этим строить работу. Ничего страшного в этом нет, у нас уже есть опыт обеспечения требований обоих законов.

На создание зрелого продукта в области ИБ уходит от трех лет. Так что основные отечественные разработки появились еще до программы импортозамещения

Несовпадение требований в разных юрисдикциях отражается и на производителях средств ИБ, идущих на экспорт. Для этого тоже есть необходимые решения, адаптированные под требования других стран.

– Россия тоже будет двигаться в сторону ужесточения требований, связанных с ИБ?

– Сложно сказать. Все определяется угрозами и возможностями реализации этих угроз. Персональные данные защищаются, потому что их использование позволяет нанести вред людям. Если угрозы будут расти, то и требования будут ужесточаться. Сегодня тенденция в этом направлении очевидна. Но надо понимать, что любое ужесточение требований влечет за собой дополнительные расходы на обеспечение этих требований.

– Ваша компания исторически была связана с одной лишь отраслью. Почему и зачем вы сейчас вышли за эти отраслевые ограничения?

– Мы стартовали 14 лет назад. Когда завоевали доверие Газпрома, нам стали предлагать другие проекты внутри корпорации. Первоочередной задачей было выполнить весь предлагаемый объем работ, заработать репутацию. И хотя наша компания по численности персонала вначале ежегодно удваивалась, нам было не до проектов в других отраслях: на первых этапах нужно было удовлетворить все потребности энергетического холдинга.

Мы последовательно развивали собственные решения по ИБ, у нас сформировалась достаточно широкая линейка продуктов, и, естественно, возникло желание продавать их более широкому спектру заказчиков.

Я как руководитель компании прекрасно понимаю: если ты работаешь только с одним заказчиком, риски очень высоки. Необходимо диверсифицировать бизнес. На сегодняшний день у нас в портфеле заказы от предприятий самых разных отраслей: атомная промышленность, металлургия, ритейл, ВПК, телеком-компании, государственные органы власти.

«Газинформсервис» – крупная компания. С учетом филиалов и дочерних предприятий у нас почти 2000 сотрудников, перед которыми я чувствую персональную ответственность. Диверсификация делает наш бизнес более устойчивым.

– Есть ли специфика в работе с разными отраслями или базовые принципы одинаковы?

– Конечно, специфика есть, но не технологическая, а организационная и финансовая. Газпром работает по своим корпоративным правилам, предусматривающим, среди прочего, оплату контрактов после их выполнения. Чтобы работать с таким заказчиком по крупным проектам, надо иметь серьезную «финансовую подушку», которую ты можешь использовать в качестве оборотных средств. Кроме того, в корпорации процессы согласования занимают заметное количество времени. В этом смысле с предприятиями меньшего размера взаимодействовать проще.

– Российские решения в области ИБ – часть стратегии импортозамещения?

– Нет. В нашей сфере всегда существовали особые требования регулятора. Естественно, компании, которые разрабатывали продукты под эти требования, как правило, не брали импортного, а делали свое. Это одно из важнейших отличий рынка ИБ от IT в целом.

К слову, когда мы только выбирали, чем будет заниматься компания, то предполагали, что в перспективе IT-отрасль будут развивать преимущественно зарубежные компании, а с ними тяжело конкурировать – у них ресурсов больше. А ИБ – это интимная отрасль, куда государство не пустит чужих.

Разработка нами собственных решений не связана с импортозамещением. На создание зрелого продукта, который отвечает определенным требованиям и имеет необходимые эксплуатационные характеристики, уходит от 3 лет. А импортозамещение стало актуально только в последние 2–3 года. Так что основное количество отечественных продуктов в области ИБ появилось до этого.

– Условия новой экономической реальности на вас отразились?

– Они на всех отразились. Мы, к примеру, в этом году приняли решение не заниматься больше стройками, связанными с обеспечением физической охраны промышленных площадок. В связи с оптимизацией затрат заказчиками этот бизнес стал низкорентабельным. Наша компания все-таки технологическая, а не строительная. К тому же мы придерживаемся совершенно открытой налоговой политики: мы никогда не платим зарплаты в конвертах.

Одним из последствий новой экономической реальности стало то, что с каждым годом все чаще за те же деньги требуют выполнения больших объемов работ. Я считаю, что каждая компания должна отвечать на эти вызовы совершенствованием своих бизнес-процессов и повышением эффективности труда.

– Какие решения сейчас наиболее востребованы?

– Обеспечение ИБ – комплексная задача. Существует более 30 различных видов решений, применимость и формат использования которых сильно зависят от нескольких факторов: специфики бизнеса и планов по его развитию; текущего состояния и направлений модернизации IT-инфраструктуры компании; требований регуляторов, под которые подпадает компания; а также угроз информационной безопасности, которые она определяет для себя значимыми.

– Можно ли в таком случае выделить первоочередные задачи, которые необходимо решить компании, которая до этого системно не занималась обеспечением своей информационной безопасности?

– Конечно. Нужно защитить периметр сети, применять антивирусные средства, внедрить процесс обновления IT-систем для устранения выявляемых в них уязвимостей, обучать персонал, если предприятие территориально распределенное, и надо обеспечить шифрование передаваемых данных. Это все комплексная работа, которой нужно постоянно, ежедневно заниматься, в первую очередь опираясь на требования, определенные регуляторами ФСТЭК и ФСБ России.

– Какие технологии будут влиять на развитие ИБ в среднесрочной перспективе?

– Прежде всего, интернет вещей. Недавно была описана атака, реализованная в США с помощью китайских холодильников. Увеличение числа подключенных вещей потребует усиления обеспечения ИБ.

Пока безопасностью «умных» домов никто не занимается, потому что модель угроз немного иная: воришки на дачах окна бьют, а не системы взламывают. В промышленном интернете вещей ситуация другая – там риски гораздо выше. Также влияние окажут развитие цифровой экономики в целом, распространение распределенных баз данных и развитие систем автоматизации процессов управления производством.

– Каковы планы компании на будущее?

– Наша цель – быть востребованными и развивать бизнес. Темпы роста нашего бизнеса должны увеличиваться, в том числе благодаря закону «О безопасности критической информационной инфраструктуры Российской Федерации». Открылся новый рынок, и мы планируем занять в нем определенную нишу. Так что смотрим в будущее со сдержанным оптимизмом.

Журнал Управление бизнесом