– Алексей, как изменились сегодня основные киберугрозы? С чем мы можем справиться, а с чем пока невозможно?
– Реализация киберугроз может быть активной, когда атаки проводятся намеренно, и пассивной, когда вашу систему напрямую никто не атакует, однако ее стабильное функционирование становится невозможным, если отключаются привычные базовые технологии, не имеющие собственных аналогов, как это произошло сейчас.
От активных угроз есть хорошо известные средства защиты, и работать на этом поле мы хорошо умеем. А с пассивными в таком масштабе мы сталкиваемся впервые. Проработка механизмов борьбы с ними должна включать, в том числе, и создание собственных систем, альтернативных находящимся под угрозой отключения. Это непростая и дорогостоящая задача, но решаемая, пусть и не сразу. В ряде областей такой опыт в России уже есть. Наиболее известный пример – создание собственной платежной системы МИР.
Когда мы что-то проектируем и разрабатываем, необходимо понимать, как развивается наша надсистема, которая может нести как новые возможности, так и опасности.
Модели угроз развиваются постоянно. Практически каждое технологическое новшество вместе с повышением потребительских характеристик какого-то продукта несет новые возможности и для злоумышленников. Нужно учиться прогнозировать подобные обстоятельства. Тем более, что существует подходящий инструментарий.
Выработанная за долгие годы привычка жить в глобальном, стабильно развивающемся мире и сопутствующая этому инерция мышления зачастую вынуждают бизнес действовать инстинктивно.
Например, стремиться взять прибыль здесь и сейчас с минимальными затратами, игнорируя целый ряд аспектов, в числе которых и вопросы безопасности. Это приводит к тому, что многие оказываются не готовыми к «черным лебедям». Разумеется, есть и исключения. И тем игрокам, которые своевременно и в нужном объеме уделяли внимание борьбе с потенциальными угрозами, а таких немало, достанутся все «плюшки» в новых условиях.
– Насколько нынешняя ситуация скажется на проектах в сфере IoT в России? Усилится ли их развитие или, напротив, замедлится из-за недостатка элементной базы?
– Санкции влияют на многие направления ИТ-отрасли в России, и IoT здесь не исключение. Определенное замедление развития вызовут как сниженный объем импорта из привычных источников, так и переориентация логистических цепочек.
Другое дело, что российский IoT развивался несколько иначе в последние годы, нежели в других странах. Его большую часть составляет рынок приборов учета энергоресурсов. Это не столь требовательная к новизне отрасль, и в ряде решений теоретически возможен полный отказ от компонентов из стран, которые ввели санкции. В том числе и за счет наращивания собственного производства компонентов.
График рентабельности, конечно, просядет на время поиска замены и переработки решений, но затраты на преодоление этих трудностей будут с лихвой компенсированы новыми заказами. Особенно в тех отраслях, в которых участвует государство.
– Какие шаги вы порекомендуете предпринять прямо сейчас?
– Адаптировать свои критические отрасли таким образом, чтобы снижать зависимость от импорта с Запада. На первых этапах это будет смена поставщиков и переориентация логических цепочек. Параллельно с этим, возможно, нужно будет поднимать у себя недостающие производства и технологические процессы. Это огромная, наукоемкая и дорогостоящая работа и она планомерно ведется в нашей стране.
При смене элементной базы разработчикам придется заново проходить цикл «разработка-тестирование-сертификация». Это особенно актуально для заказов, формируемых государством, где эта сертификация необходима. В сложившихся условиях регуляторы уже идут навстречу производителям, в плане ускорения и смягчения вышеописанной процедуры.
– Правительство приняло постановление о легализации «серого» импорта. Это сократит дефицит элементной базы?
– Опыт других стран под санкциями показывает, что это может хорошо работать, не без трудностей, конечно.
– А как ваша компания противостоит санкционным ограничениям?
– Что касается Компании «Актив», то зависимость от элементной базы, конечно же, присутствует и у нас. Однако отработкой запасных вариантов мы всегда занимались на постоянной основе. В силу того, что компоненты, такие, как, например, микроконтроллеры, массово доступны на рынке определенное время. Они могут устаревать, необоснованно дорожать, их производство вовсе может прекратиться. Им приходится искать достойную замену, пусть не так внезапно, как это произошло сейчас, но механизмы отработаны.
– В каких сферах IoT- технологии сегодня обещают показать ощутимый эффект в России?
– В ряде областей этот эффект уже заметен. Это прежде всего умное ЖКХ и учет энергоресурсов. Сегодня об IoT нельзя говорить, как о каком-то принципиально новом стеке технологий. Большинство сфер существующей инфраструктуры, где IoT-решения применимы и могут дать экономический эффект, уже так или иначе покрыты. Сейчас вопрос стоит о повышении отдачи существующих решений и переработке концепции обеспечения их безопасности.
К сожалению, IoT-технологии во многих аспектах развивались стихийно. Сначала появился этот термин, появились небольшие проекты, но крупному бизнесу интересно что-то большое, масштабируемое, поэтому в 2018-2019 годах крупнейшие IoT-решения были реализованы в российской сфере ЖКХ.
А все начиналось фактически со студенческих стартапов, где при разработке решений упор делался на эффективность выполнения их основной функции, а не на безопасность. И в условиях дефицита времени и средств, свойственных подавляющему большинству стартапов, это привело к тому, что обеспечению безопасности отводилась весьма скромная роль. Теперь данную ситуацию нужно исправлять. И это выйдет существенно дороже, чем если бы безопасностью занимались сразу.
– Почему все-таки обеспечение безопасности откладывают на потом? Как Вы думаете?
– Потому что при создании информационных систем часто совершается одна ошибка. Люди не рассматривают нарушителя, как неотъемлемую часть системы: как оператора, например, или как исполнительный механизм. Продать основную функцию системы для разработчика легче, чем монетизировать безопасность. По крайней мере так было до недавнего времени, но времена меняются. Победят те, кто найдет разумный баланс между желанием заработать немедленно и возможностью оставаться в бизнесе длительное время, продавая качественные защищенные решения.
– Очевидно, что ведущую роль в «вытягивании» IoT-индустрии на новый уровень будет играть государство, в частности Минцифры. Какие федеральные проекты включают в себя в том числе IoT-технологии?
– Яркими примерами проектов федерального значения являются решения в области транспортной телематики. Многие из них наверняка вам известны. Также множество решений обкатываются в сфере производства, ТЭК и прочего.
То, что сегодня можно отнести к IoT-технологиям, а это достаточно большой спектр решений, в том или ином виде уже присутствует в большинстве проектов. IoT ради IoT уже отмирает. Пик хайпа пройден. Сегодня это привычные всем технологии, которые, в том числе, используются в проектах, так или иначе связанных с государством. И проще спросить, а какие проекты не включают IoT? И мы активно помогаем всем проектам быть безопаснее.
– Каких изменений нормативной базы (в том числе в разрезе кибербезопасности IoT-систем) вы сейчас ожидаете для решительного скачка в развитии IoT- проектов, инфраструктурной и компонентной базы для них?
– Нормативная база постепенно формируется сразу несколькими регуляторами. Ожидаю, что эта работа получит общую координацию и управление, как обычно и бывает при развитии всех новых технологий. Тогда с учетом новых возможностей, которые возникли сейчас, это даст большой толчок к развитию отрасли IoT.
– Существуют ли в России серьёзные проблемы в области правового регулирования обработки персональных данных, защиты КИИ? Насколько действующие IoT- системы соблюдают данные нормативные акты?
– Нормативная база пока находится на стадии формирования и работа эта продолжается.
Есть целые отрасли, где следование текущим требованиям не происходит по разным причинам. СКУД – одна из таких. С одной стороны, это часть IoT, т. к. она обладает всеми формальными признаками подобных систем: наличием коммуникационной составляющей, удаленно управляемых механизмов.
С другой стороны, де-факто это система персональных данных, поскольку выполняется однозначная идентификация личности и хранятся данные об индивидууме, в том числе и биометрические.
ГОСТ 51241-2008, который описывает СКУД, можно доработать с учетом текущего уровня развития технологий. Но это вопрос отдельной статьи.
– Говоря о кибербезопасности в IoT- системах: какие проблемы может вызвать невнимание к подсистемам безопасности или несвоевременное их интегрирование? На каком этапе проектирования IoT- систем необходимо задуматься об аспектах их безопасности?
– В большинстве случаев все заканчивается финансовыми потерями, иногда – юридическими последствиями. Разгребать последствия атаки, попутно удовлетворяя судебные иски – не самое приятное занятие. Но и это полбеды.
Допустим, вы решили все проблемы с безопасностью в плане несанкционированного доступа, проникновения, манипуляции и т. д. А ваша система базируется на технологиях, которыми вы не можете управлять, а кто-то может. Таких систем подавляющее большинство. И начиная с базовых протоколов, и заканчивая витальными для вашей системы сервисами, опасность отказа функционирования все равно остается на каком-либо из уровней.
Вспомним инциденты с VISA, Apple Pay – и это «цветочки». Если от факта функционирования вашей системы зависит функционирование надсистемы, то опасности подвергается вся надсистема.
Теперь про этапы. Конечно, о безопасности нужно думать в момент разработки первичной концепции, лучше вообще на этапе Ideation. Помимо анализа зависимости от технологий, о которых я говорил чуть выше. Нужно четко осознавать, что злоумышленник является такой же неотъемлемой частью технической системы, как и ее основные механизмы. Концентрируясь только на главной функции, вы никогда не создадите безопасную систему, а многие разработчики продолжают так делать, подталкиваемые дефицитом ресурсов и прочими ограничениями.
– В 2021 году направление защиты кибер-физических систем было выделено в Компании «Актив» в отдельную структуру, Рутокен Модуль, руководство которой было доверено Вам. Что стало причиной создания такого направления? Какую нишу удалось разглядеть? Что уже успели сделать?
– Мы с коллегами всегда видели, что эта сфера нуждается в защите, вариативность угроз здесь гораздо больше в силу относительной новизны и сочетания разных технологических направлений. И привычные методы защиты могут не покрыть всех потенциальных «дыр». Работы оказалось много, сейчас для нас открываются весьма широкие возможности, часть которых мы реализуем.
Что касается разрабатываемых Компанией «Актив» проектов, то они относятся практически к любым отраслям и сферам, где требуется аутентификация устройств и пользователей, защита каналов связи, подпись передаваемых данных.
Департамент, как самостоятельная единица, существует несколько месяцев, за которые удалось проработать множество концепций защиты самых разных систем. Сейчас есть несколько партнеров, с которыми мы ведем взаимодействие по вопросам реализации защиты.
Текущая ситуация показала на конкретных примерах нашу правоту по многим вопросам и подстегнула интерес к нам не только производителей, но и государства. Так что без дела не сидим.