08 Декабря 2023 11:11 08 Дек 2023 11:11 |

Поделиться

Дмитрий Смирнов, ОХК «Уралхим»: Искусственный интеллект поможет построить систему ИБ в условиях кадрового дефицита

CNews: Какие изменения в отрасли кибербезопасности, произошедшие за последние пару лет, вы могли бы выделить? Как в целом изменились киберугрозы и меры противодействия?

Дмитрий Смирнов: За последние пару лет в области кибербезопасности произошло несколько значительных изменений. Заметно увеличилось количество кибератак на организации различного масштаба. Злоумышленники стали более активными и используют разнообразные методы для нарушения безопасности информационных систем. Киберугрозы становятся все более сложными и изощренными. Все чаще встречаются атаки с применением продвинутых методов, таких как технологии искусственного интеллекта.

В связи с уходом зарубежных вендоров выбор средств защиты информации значительно сократился. Зачастую качество отечественных СЗИ значительно ниже зарубежных аналогов, а стоимость выше или сопоставима.

С увеличением использования облачных технологий наблюдается рост киберугроз, направленных на облачные сервисы. Защита данных в облаке становится приоритетной задачей для многих организаций.

Злоумышленники все чаще направляют атаки на поставщиков услуг и программного обеспечения, чтобы скомпрометировать их системы и получить доступ к целевым организациям через слабые точки. Успешные атаки осуществляются путем социальной инженерии с использованием человеческого фактора. Обучение сотрудников и поддержка культуры кибербезопасности становятся важными средствами противодействия атакам. В ответ на угрозы и частые инциденты безопасности регуляторы ужесточают требования по соответствию требованиям законодательства в части защиты персональных данных и КИИ.

В целом, сфера кибербезопасности становится более динамичной и требует от организаций постоянного обновления стратегий и технологических решений для эффективной защиты от современных угроз.

CNews: Какие основные вызовы сейчас стоят перед руководителями ИБ-подразделений в промышленности?

Дмитрий Смирнов: Перед руководителями ИБ-подразделений сегодня стоит целый ряд вызовов. Промышленные предприятия сталкиваются с угрозами, направленными на физические процессы, такие как кибер-физические атаки на промышленное оборудование и системы управления. Процессы цифровой трансформации в промышленности, такие как внедрение интернета вещей и облачных технологий, предоставляют новые возможности, но также увеличивают поверхность атак и требуют усиленных мер безопасности.

Промышленные объекты, в том числе энергетические и транспортные системы, находятся в центре внимания киберпреступников, что поднимает вопросы безопасности критической инфраструктуры. Регулирующие органы вводят новые требования к безопасности промышленных систем. Руководителям ИБ приходится быстро адаптироваться к соблюдению этих нормативов.

Кибератаки могут существенно повлиять на непрерывность производства в промышленности. Руководители ИБ должны разрабатывать и реализовывать стратегии по обеспечению бизнес-континуитета. Ситуация осложняется тем, что на промышленных предприятиях встречается устаревшее оборудование, которое не всегда совместимо с современными системами безопасности. Руководителям ИБ нужно эффективно интегрировать различные технологии для обеспечения всеобъемлющей безопасности.

Чтобы ответить на эти вызовы, руководители ИБ должны обладать стратегическим мышлением, постоянно обучаться и использовать передовые технологии для защиты информации и бизнес-процессов.

CNews: При обеспечении ИБ в промышленности критически важно обеспечить своевременное реагирование на киберинциденты. Как можно это реализовать?

Дмитрий Смирнов: Обеспечение своевременного реагирования на киберинциденты в промышленности требует комплексного и организованного подхода. Необходимо разработать подробные планы и процедуры реагирования на киберинциденты. Они должны включать в себя шаги по обнаружению, анализу, ликвидации и восстановлению после инцидента. Надо регулярно проводить тренинги и учебные сессии для сотрудников, чтобы обеспечить понимание процессов реагирования. Тренировки должны включать симуляции различных типов кибератак.

Краткая биография

Дмитрий Смирнов

• В 2010 г. окончил Московский Государственный Индустриальный Университет по специальности «Организация и технологии защиты информации»
• С 2013 г. отвечал за направление информационной безопасности в Федеральном операторе безопасности «Аркан»
• В 2020 г. возглавил Управление информационной безопасности в «Стройтранснефтегаз»
• В 2022 г. возглавил Управление информационной безопасности ОХК «Уралхим»
• С 2023 г. директор по информационной безопасности ГК «Уралхим»

подробнее

Важно внедрять системы мониторинга безопасности (SOC, SIEM), включая системы обнаружения вторжений (IDS, IPS) и средства анализа журналов. Автоматизированные средства могут помочь выявить аномалии и предупреждать об инцидентах. Также необходимо правильно настроить системы оповещения для мгновенного уведомления о возможных инцидентах. Это может включать в себя системы мгновенных сообщений, электронные письма, а также средства автоматического оповещения.

Предприятиям необходим специализированный центр мониторинга и реагирования, ответственный за оперативное управление киберинцидентами. Его надо обеспечить квалифицированным персоналом и необходимой технической инфраструктурой.

Очень важно взаимодействовать с внешними экспертами и компаниями по кибербезопасности. Это может включать в себя обмен информацией о текущих угрозах и совместную работу при реагировании на инциденты. Надо всегда иметь под рукой рамочные договоры на форензику с несколькими профильными компаниями. После завершения инцидента надо обязательно провести детальное расследование, чтобы выяснить причины и последствия. Полученные знания необходимы для улучшения системы предотвращения и реагирования. Инцидентные планы и процедуры должны регулярно обновляться и адаптироваться к новым угрозам и технологиям. Это включает в себя ревизию политик безопасности и обучение персонала.

Таким образом, обеспечение своевременного реагирования требует постоянного внимания к изменяющейся киберугрозной среде и эффективного сотрудничества между различными подразделениями компании и сторонними экспертами по безопасности.

CNews: Что требуется для успешного внедрения и эффективной эксплуатации систем класса IRP/SOAR?

Дмитрий Смирнов: Внедрение и эффективная эксплуатация систем Incident Response Platform (IRP) и Security Orchestration, Automation and Response (SOAR) требуют совокупности технических, организационных и человеческих факторов. На первом этапе надо провести детальный анализ существующих процессов инцидентного реагирования и выявить области для автоматизации и оркестрации. Разработать стратегию внедрения, учитывая потребности организации. Затем можно перейти к исследованию рынка и выбору платформы IRP/SOAR, которая наилучшим образом соответствует требованиям. Необходимо учитывать возможность интеграции с другими системами безопасности. Очень важно обеспечить обучение персонала использованию выбранной платформы. Это включает в себя знакомство с интерфейсом, основами автоматизации и оркестрации процессов безопасности.

Платформа IRP/SOAR должна быть интегрирована с другими системами безопасности, такими как SOC или SIEM (системы управления событиями и информацией), IDS (системы обнаружения вторжений) и системы мониторинга безопасности. Надо создать и настроить автоматизированные сценарии для решения типовых задач в рамках инцидентного реагирования. Это может включать в себя автоматическое обнаружение угроз, блокирование подозрительных активностей и другие действия.

Например, мы внедрили IRP решение от Security Vision. Решения подобного класса значительно снижают трудозатраты специалистов кибербезопасности, автоматизируя рутинную операционную деятельность аналитика кибербезопасности. Решение может кастомизироваться, масштабироваться, взаимодействовать с другими системами информационной безопасности и, как результат, стать единым окном для аналитика кибербезопасности.

CNews: Одним из основных трендов и драйверов развития рынка ИБ в настоящее время является обеспечение национальной технологической независимости. Какие возможности и вызовы вы видите в этом процессе?

Дмитрий Смирнов: Обеспечение национальной технологической независимости в области информационной безопасности — важный стратегический вопрос для многих стран, в том числе и для России. Это дает целый ряд возможностей.

Инвестирование в исследования и разработки в сфере ИБ может привести к созданию собственных технологических решений, что укрепит технологическую независимость. Поддержка стартапов и инновационных компаний в области кибербезопасности может стать стимулом для развития внутренних технологий. Внимание к образованию и подготовке кадров в сфере ИБ обеспечит наличие высококвалифицированных специалистов в стране. Одним из путей создания кадрового пула может стать переподготовка специалистов из смежных областей. Этот вопрос необходимо контролировать и регламентировать для недопущения снижения квалификации специалистов.

Установление стандартов безопасности и законодательство в области ИБ поможет создать благоприятное окружение для развития внутренних технологий и защиты национальной информационной инфраструктуры. А развитие концепции киберсуверенитета, когда страна имеет контроль над своей информационной инфраструктурой и данными, способствует укреплению технологической независимости.

Однако для реализации этих возможностей придется преодолеть ряд сложностей. Многие страны все еще зависят от зарубежных технологий и поставщиков в сфере ИБ, что создает вызовы при переходе к национальной технологической независимости. Разработка собственных технологий требует значительных инвестиций в исследования, образование и разработку, что может стать ограничивающим фактором. Многие киберугрозы являются глобальными, и собственные технологии могут не обеспечить полную защиту от международных угроз.

Также высокий спрос на квалифицированных специалистов в области ИБ может создать дефицит кадров для внутренних разработок. Уже сейчас мы видим, как меняется спрос — общие запросы на специалистов по защите информации сменились более узкими и нишевыми запросами на условных «аудитор защищенности приложений», «специалист по защите web-приложений», аналитики инцидентов ИБ L1, L2, L3 уровней.

В контексте кибербезопасности, где угрозы могут пересекать границы, стратегии технологической независимости должны учитывать необходимость международного сотрудничества. Учитывая геополитическую обстановку в мире, подобное сотрудничество с рядом стран крайне затруднительно или вовсе невозможно. Поэтому обеспечение национальной технологической независимости в ИБ является сложной задачей, требующей сбалансированного подхода с учетом всех аспектов, включая технологические, экономические, правовые и образовательные.

CNews: Как можно восполнить нехватку кадров в кибербезопасности?

Дмитрий Смирнов: Восполнение нехватки кадров в области кибербезопасности — важная задача, особенно в свете амбициозных планов по обеспечению цифрового суверенитета. Для того, чтобы ее решить, необходимы инвестиции в образование и подготовку специалистов по кибербезопасности, начиная со школьного уровня. Создание специализированных программ и курсов в учебных заведениях поможет сформировать базовые навыки в этой области. Речь идет именно о программах с акцентом на практические навыки. Это могут быть курсы, сертификационные программы, воркшопы и тренинги.

Надо развивать партнерские отношения между учебными заведениями и компаниями в сфере кибербезопасности. Это может включать в себя программы стажировок, лекции от профессионалов отрасли и совместные проекты. Кроме того, необходима поддержка развития онлайн-платформ и ресурсов для обучения кибербезопасности. Она может снизить географические и временные ограничения, позволяя людям из разных регионов получать доступ к образованию в этой области. Также нужно развивать программы профессиональной переподготовки для людей, уже работающих в смежных областях. Многие специалисты могут переквалифицироваться в область кибербезопасности.

CNews: Системы машинного обучения и искусственного интеллекта уже сейчас сулят значительные изменения во многих отраслях мировой экономики. Как эти технологии могут помочь киберзащитникам?

Дмитрий Смирнов: Системы машинного обучения и искусственного интеллекта предоставляют киберзащитникам эффективные инструменты для более сильной и адаптивной защиты от киберугроз. Системы машинного обучения могут анализировать поведение пользователей и систем, выявлять аномалии, которые могут свидетельствовать о потенциальных кибератаках. Это позволяет обнаруживать нестандартные и подозрительные активности. Использование машинного обучения для анализа больших объемов данных позволяет выявлять скрытые закономерности и тенденции, что полезно при прогнозировании угроз и предотвращении кибератак. Модели могут предсказывать потенциальные атаки, опираясь на анализ исторических данных и текущих угроз. Это дает киберзащитникам возможность предупреждать о возможных инцидентах и принимать меры заранее. Также системы машинного обучения могут помочь фильтровать ложные срабатывания систем безопасности, уменьшая количество ложных положительных результатов и повышая эффективность работы аналитиков.

Использование искусственного интеллекта может позволить быстрее и эффективнее реагировать на угрозы. Это может быть автоматическое блокирование подозрительных активностей или восстановление систем после инцидента. Искусственный интеллект может проанализировать исторические данные об угрозах, выявляя схожие модели и тактики, что позволяет специалистам кибербезопасности адаптировать свои стратегии и тактики. Он обнаруживает фишинговые атаки и мошеннические схемы, помогая предотвращать атаки, связанные с социальной инженерией, и вредоносные активности, сигнатуры которых неизвестны.

Очень важно, что такие системы способны адаптироваться к изменяющейся угрозной среде, обновляя свои модели и алгоритмы на основе новых данных. А значит, с их помощью можно сделать киберзащиту более интеллектуальной и способной быстро реагировать на постоянно меняющиеся угрозы. Я уверен, что использование машинного обучения и искусственного интеллекта является ключевым фактором для успешного построения системы ИБ в условиях серьезного кадрового дефицита.

Но говоря о потенциальной пользе ИИ в вопросах обеспечения кибербезопасности, необходимо не забывать, что использование ИИ может быть применено и в злонамеренных целях, что порождает большое количество рисков кибербезопасности. Создание ИИ является одним из главных ИТ-вызовов современности, нуждающихся в пристальном внимании.

CNews: Объединение усилий и конвергенция используемых технологий в ИТ и ИБ подразделениях — уже устоявшийся тренд. Насколько такая синергия помогает обеспечивать киберустойчивость компании?

Дмитрий Смирнов: Объединение усилий и конвергенция технологий между ИТ и ИБ подразделениями являются ключевыми стратегическими шагами, направленными на повышение киберустойчивости компании. Это дает возможность глубже понимать как операционные процессы, так и потенциальные угрозы информационной безопасности, позволяет компаниям внедрять более эффективные стратегии обеспечения киберустойчивости.

Совместная работа ИТ и ИБ дает возможность разрабатывать проактивные меры по предотвращению инцидентов, а не только реагировать на них. Объединение усилий позволяет более эффективно выявлять уязвимости и риски превентивно или на ранних стадиях.

Объединение усилий ИТ и ИБ оптимизирует использование ресурсов компании. Совместная работа позволяет распределять бюджет и управлять рисками более эффективно.

ИТ-специалисты, обученные аспектам безопасности, и специалисты по информационной безопасности, понимающие операционные процессы ИТ-специалистов, могут вместе работать над общими задачами, что повышает уровень общей компетенции и киберграмотности. Объединение ИТ и ИБ способствует интеграции различных технологий безопасности в общую ИТ-инфраструктуру. А значит, обеспечивает единое управление и более эффективное взаимодействие между различными системами безопасности. А единая система мониторинга и управления, объединяющая ИТ и ИБ, формирует централизованный взгляд на всю информационную инфраструктуру и единые политики безопасности.

Таким образом, синергия между ИТ и ИБ помогает внедрить более комплексный и эффективный подход к кибербезопасности, что особенно важно в условиях постоянно меняющихся киберугроз и технологических вызовов.

CNews: Каковы будут ваши рекомендации коллегам по отрасли, начинающим специалистам и состоявшимся ИБ-экспертам?

Дмитрий Смирнов: Начинающим специалистам в области информационной безопасности я могу посоветовать изучать основные принципы и технологии в области ИБ — получение соответствующих сертификатов может укрепить ваш профессиональный статус. Можно использовать открытые ресурсы, такие как онлайн-курсы, блоги и форумы. Сообщество ИБ богато опытом, который может быть полезен вам на начальном этапе. Также полезно участвовать в стажировках и практических проектах — реальный опыт работы приносит больше пользы, чем теоретические знания. Надо развивать коммуникативные навыки — безопасность часто требует взаимодействия с другими отделами и сотрудниками. И, конечно, необходимо быть в курсе последних трендов в ИБ — эта отрасль постоянно меняется, и важно оставаться информированным.

ИБ-экспертам сложно что-то советовать, но из основного я бы рекомендовал активно участвовать в сообществе ИБ, обмениваться опытом с коллегами. Коллективный интеллект может быть мощным инструментом в борьбе с угрозами. Если у вас есть опыт, поднимайтесь на роль лидера и ментора. Обучение других не только способствует их росту, но и углубляет ваше собственное понимание предметной области. Интересуйтесь новыми технологиями и решениями в области автоматизации. Это может существенно улучшить эффективность вашего отдела. Развивайте стратегическое мышление. ИБ должна быть встроена в бизнес-стратегии компании, и ваша роль в этом важна.

Как начинающему специалисту, так и опытному эксперту в ИБ важно постоянно развиваться, отслеживать изменения в отрасли и стремиться к постоянному совершенствованию.

Наталья Рудычева

Поделиться

Подписаться на новости Короткая ссылка