CNews: Какие ключевые проблемы в области ИБ и киберриски возникают у компаний во время цифровизации?
Григорий Сизов
«Концепция кибериммунитета способна стать основой для цифровой трансформации промышленности»

Цифровизация и цифровая трансформация дают компаниям много новых возможностей оптимизировать бизнес-процессы, сократить пути от заказа до создания вещи и ее доставки клиенту. Процесс этот сложный, индивидуальный для каждой крупной компании и, конечно, связанный с множеством проблем — от стратегических и технологических до киберрисков. Зачастую именно из-за последних срываются планы по подключению оборудования устройств к аналитическим системам, а производственные компании боятся подключать дорогое оборудование к интернету, к сетям общего пользования.

В промышленности важную роль играет ключевое требование к оборудованию: оно должно работать бесперебойно и непрерывно. Любое обновление ПО — это угроза бесперебойности, а жизненный цикл у оборудования — десятки лет. То есть сейчас на вполне современных производствах работает оборудование, которое создавалось 10-30 лет назад. Соответствующий возраст и у софта, на котором оно работает. Понимание киберрисков для такого оборудования — явление сравнительно новое.

Недавно аналитическое агентство Arc Advisory выпустило отчет, в котором рассказало, что наша концепция кибериммунитета способна стать основой для повсеместной цифровой трансформации промышленности. Построение продуктов, защищенных от киберугроз по умолчанию, надежнее, чем использование наложенных средств защиты для каждого компонента сложных киберфизических инфраструктур. К тому же для большинства компонентов таких средств просто не существует.

CNews: Какие общие стандарты решения подобных проблем существуют в отрасли? Эффективны ли они?

Общие стандарты только создаются, и мы, «Лаборатория Касперского», активно в этом участвуем как в России, так и на глобальном уровне. Это быстро меняющаяся область. При этом во многих отраслях, очевидно, приближается большое перевооружение, переход на новые модели и стандарты, в том числе в области разработки безопасных ИТ-систем. Например, в марте наш эксперт Екатерина Рудина стала соавтором важного международного документа, который определяет MILS-подход к разработке надежных решений для индустриального интернета вещей (IIoT).

Защищать сложные многоуровневые киберфизические инфраструктуры, например, в том же интернете вещей, сложно. Требуется комплексный подход, специализированные решения, высокий уровень компетенций у сотрудников. Кибериммунитет же дает возможность заложить безопасность в основу решений уже на этапе разработки. Я отвечаю за развитие решений на основе KasperskyOS — это на сегодняшний день единственная операционная система, которая позволяет создавать кибериммунные ИТ-решения, практически неуязвимые для кибератак. Мы хотим, чтобы когда-нибудь вся ИТ-инфраструктура стала кибериммунной и не нуждалась в наложенных средствах защиты.

Григорий Сизов:

Защищать сложные многоуровневые киберфизические инфраструктуры, например, в том же интернете вещей, сложно. Требуется комплексный подход, специализированные решения, высокий уровень компетенций у сотрудников.

CNews: Вы объявили о выводе на рынок кибериммунных решений на основе KasperskyOS. Существовали ли решения подобного класса на рынке раньше? Что препятствовало их созданию?
Григорий Сизов:

Да, 14 апреля вышел в продажу первый кибериммунный шлюз данных для индустриального интернета вещей. «Лаборатория Касперского» разработала его на базе KasperskyOS вместе с дочерней компанией, НПО «Адаптивные Промышленные Технологии» (Апротех). Kaspersky IoT Secure Gateway 100 помогает компаниям повышать эффективность производства и кибербезопасно проходить цифровую трансформацию, становясь частью Индустрии 4.0.

Кибериммунных решений раньше не существовало. Сейчас создавать их можно только с помощью нашей ОС. Она разрабатывалась именно с этой целью — дать возможность строить цифровой мир будущего, где можно не бояться за безопасность устройств, потому что они уже и так защищены от кибератак. Мы видим потребность в кибериммунных решениях, и она продолжает расти.

CNews: Расскажите подробнее, какие задачи выполняют такие продукты, как они функционируют и каким компаниям и из каких отраслей могут быть полезны.
Григорий Сизов:
Григорий Сизов
Kaspersky IoT Secure Gateway 100 — первый кибериммунный шлюз данных для индустриального интернета вещей

На основе KasperskyOS мы создаем ИТ-решения для систем, где крайне важна высокая кибербезопасность. Это интернет вещей (в том числе промышленный), электронные блоки управления для умных автомобилей, ПО для тонких клиентов в инфраструктуре корпоративных виртуальных рабочих мест. Продукты, которые мы строим в этих направлениях, объединяет одно: наше стремление сделать их максимально функциональными и безопасными, а в скором будущем — и кибериммунными.

Кроме готовых решений, мы планируем предлагать партнерам SDK нашей ОС. С их помощью они смогут самостоятельно строить собственные продукты для разных отраслей и, при следовании особой методологии «Лаборатории Касперского», наделять их кибериммунитетом.

CNews: Какова роль операционной системы KasperskyOS в работе кибершлюзов? Расскажите о создании и характеристиках этой ОС.
Григорий Сизов:

Роль операционной системы — обеспечивать работу шлюзов и другого оборудования, гарантируя при этом минимальную вероятность уязвимостей в собственном коде. Она призвана практически исключить шлюз из возможных векторов кибератак на предприятие, сделать его кибериммунным. Ну и при этом позволить ему работать и выполнять свои функции, передавать данные. В общем, ее задача — сделать шлюз одновременно функциональным и безопасным, что, поверьте, непросто.

В основе архитектуры KasperskyOS лежит изоляция доменов безопасности. Это значит, что то, что происходит в каждом из них, не сможет влиять на то, что происходит в остальных. Даже если злоумышленник сможет получить доступ к какому-то из компонентов (доменов), он не сможет мешать работе других и, в итоге, выполнению всей системой ее критических функций.

«Сердце» KasperskyOS — микроядро нашей собственной разработки. Оно работает в паре с движком Kaspersky Security System. Эти два компонента проверяют все процессы внутри системы: если процесс не соответствует политикам безопасности, заданным на этапе разработки, он блокируется еще до выполнения. То есть все, что не разрешено, запрещается по умолчанию.

Соответственно, эти принципы нашей ОС ложатся и в основу продуктов на ней. На данный момент это наиболее ярко можно увидеть в кибериммунном IIoT-шлюзе, о котором я говорил ранее.

KasperskyOS — одно из стратегических направлений для «Лаборатории Касперского», и мы планируем развивать как саму операционную систему, так и возможности решений на ее основе.

CNews: Какими характеристиками обладает Kaspersky IoT Secure Gateway 100?
Андрей Суворов
«KISG 100 поможет компаниям эффективно и кибербезопасно стать частью Индустрии 4.0»

Это первый кибериммунный шлюз промышленных данных, который поможет компаниям эффективно и кибербезопасно стать частью Индустрии 4.0. Расскажу, что это значит.

Сегодня уровень использования данных непосредственно с оборудования очень низкий, в среднем около 15%. Из-за этого у компаний сильно ограничены возможности по мониторингу параметров дорогостоящего оборудования, прогнозированию и предотвращению инцидентов, применению новых бизнес-моделей на производстве.

На то есть две главные причины. Первая — все промышленное оборудование работает на специфических протоколах (OPC UA, Modbus и др.). Надо приложить значительные усилия, чтобы перевести эти данные на язык, понятный для корпоративных приложений. Вторая причина — высокие киберриски: подключенное оборудование — это потенциальный источник цифровых инцидентов, ведущих к внеплановым простоям. Потери от простоя ключевой технологической установки типового нефтеперерабатывающего завода могут составлять миллион долларов в сутки.

С Kaspersky IoT Secure Gateway (KISG) 100 индустриальные предприятия, использующие интернет вещей, могут использовать множество ранее недоступных данных с производств. Шлюз «общается» с оборудованием по универсальному протоколу OPC UA и собирает телеметрию, которую нужно обработать. Потом он переводит данные из промышленного формата в формат, который понимают корпоративные приложения, и передает в облако (Siemens MindSphere) для хранения и обработки. При этом информация защищена от компрометации благодаря кибериммунитету — «врожденной» защите KISG 100 от кибератак.

Мы представили Kaspersky IoT Secure Gateway 100 не только на российском уровне, но и на международном — 14 апреля в рамках ежегодной Hannover Messe, ключевой европейской конференции для представителей промышленности. Из более чем 6000 участников выставки наш шлюз включили в число 16 самых интересных и перспективных разработок. Это особенно важно еще и потому, что мы — единственная российская компания, которая вошла в этот список.

CNews: Какова логика внедрения этого решения? Сколько времени оно занимает и из каких этапов состоит?

Мы предлагаем двухшаговую модель внедрения Kaspersky IoT Secure Gateway 100. Первый шаг называется «Индустриальный консалтинг 4.0». Создается группа из инженеров, программистов и представителей бизнеса; затем мы вместе определяем пять узких мест производства.

В результате индустриального консалтинга мы предлагаем различные сценарии по устранению узких мест, обозначаем все их плюсы, минусы и требования. Вместе с заказчиком выбираем ключевой сценарий, реализация которого принесет понятный эффект и в то же время не потребует существенных инвестиций (помните, что мы получаем этот эффект из промышленных данных, которые раньше просто не использовались). Выбранный сценарий становится основой пилота. После этого примерно полтора месяца разрабатывается архитектура пилотного проекта с участием KISG 100 и цифровой платформы промышленного интернета вещей, на которой производится прототипирование.

Затем мы переходим ко второму шагу пилотного проекта. Он может длиться от одной недели до двух месяцев. На базе облачной платформы, куда с помощью нашего устройства передаются данные, проверяется алгоритм их обработки по согласованному сценарию и предоставляется результат. Таким образом, за два-четыре месяца можно получить осязаемый результат использования нашего маленького шлюза в составе сквозного цифрового сервиса.

Если же у компании анализ точек роста проводился самостоятельно, то можно сразу переходить к этапу пилотирования цифрового сервиса.

Андрей Суворов:

Мы представили Kaspersky IoT Secure Gateway 100 не только на российском уровне, но и на международном — 14 апреля в рамках ежегодной Hannover Messe, ключевой европейской конференции для представителей промышленности. Из более чем 6000 участников выставки наш шлюз включили в число 16 самых интересных и перспективных разработок.

CNews: Каким образом кибершлюз интегрируется с системами на предприятии? Требуется ли предварительный анализ инфраструктуры?
Андрей Суворов:

Для нас было важно, чтобы KISG 100 мог интегрироваться с существующими системами. Промышленные данные могут давать дополнительную ценность даже тем учетным системам, которые уже работают. Например, если в ERP-системы поступают данные не из табличек и реестров (которые заполняют старшие смен), а непосредственно с оборудования, это помогает лучше определять чистое время его работы, а значит, и чистое время работы сотрудников (такие пилоты уже есть).

Архитектура решения, которая завязана и на шлюзе, и на цифровой платформе промышленного интернета вещей, позволяет использовать данные не только для визуализации. Она обладает широкими интеграционными возможностями. По сути, наработки и компоненты в составе Siemens MindSphere могут служить интеграционной шиной промышленных данных (и, напомню, специфических протоколов). А с помощью аналитической платформы можно обработать большое количество промышленных данных, выявить новые аномалии и отправить информацию о них в корпоративные системы. И чем больше данных будет обрабатывать искусственный интеллект, тем лучше будет результат.

CNews: Есть ли ограничения по подключению устаревшего оборудования?
Андрей Суворов:

В мире промышленных вендоров серьезная конкуренция, и устройства каждого из них работают по специфическим протоколам, которые не понимают другие. Мы создали наш шлюз на базе стандарта OPC UA, чтобы унифицировать подключение различного оборудования. Случаи, когда на предприятии до сих пор работает аналоговое оборудование, довольно редки. И в таком случае мы предлагаем использовать конверторы, которые могут преобразовывать аналоговые сигналы в цифровые.

CNews: В чем в контексте построения аналитических моделей неэффективны SCADA-системы?
Андрей Суворов:
Андрей Суворов
«Мы создали наш шлюз на базе стандарта OPC UA, чтобы унифицировать подключение различного оборудования»

SCADA-системы разрабатывались много лет назад, и их основная задача не работать с новыми бизнес-моделями, а следовать за течением технологического процесса, говорить о его состоянии в текущий момент. Безусловно, SCADA-системы эволюционируют и сегодня предлагают расширенные функции. Но раз сквозные цифровые сервисы должны помогать строить горизонтальные цепочки (в которых поставщики и клиенты работают с одной платформой), то SCADA в них может быть важной внутренней подсистемой, а цифровое ядро лучше строить на системах класса IIoT-платформ (например, MindSphere).

Чтобы применять предиктивные сервисы, выявлять аномалии, нужна эластичная вычислительная система, способная накапливать и обрабатывать промышленные данные. Нужен и центр экспертизы на уровне предприятия.

Датчики и контроллеры турбины мощностью 35 МВт генерируют до 100 Гб информации в сутки, но из этого для текущего управления в контур SCADA-систем передается только 10%. Чтобы эффективно управлять сложным технологическим оборудованием, данные от SCADA-системы можно дополнять потоками с трекеров (которые находится у работника и отслеживают его перемещения), а также с датчиков состояния окружающей среды и др. Для новых потоков данных как раз и подойдет KISG 100, а агрегация данных и корреляция событий будет происходить на уровне платформы IIoT.

Также, например, прежде чем создавать собственный ЦОД, надо просчитать нагрузку и оценить потенциальную выгоду, учитывая пики не только увеличения, но и снижения нагрузки. И если SCADA создается на заранее прописанных мощностях, то цифровую платформу можно использовать по мере необходимости.

Еще, конечно, очень сложно найти собственных дата-сайентистов, специалистов по искусственному интеллекту, машинному обучению и аномалиям, особенно в привязке к локальным производственным площадкам. Причиной тому — дефицит таких специалистов и высокие расходы.

CNews: Каких бизнес-результатов позволяет достичь использование кибершлюзов? Как оно сказывается на качестве продукции, скорости вывода товаров на рынок и т.д.?
Андрей Суворов:

Аналитики оценивают накопительный эффект от цифровой трансформации примерно на 6% в годовом исчислении. По данным PwC Global Digital Operations Study, цифровизация в промышленности позволит сократить затраты (3,2% в год) и увеличить доходы (2,7% в год). Активное внедрение IIoT в компаниях стало ключевым драйвером бурного развития облачных IIoT-платформ и приложений. Они стали самым быстрорастущим сегментом глобального рынка облачных услуг: в J’son&Partners Consulting оценили, что до 2022 года темп их развития будет составлять 64% CAGR.

Kaspersky IoT Secure Gateway 100 служит важным инструментом цифровой трансформации, будучи компонентом довольно молодого решения — платформы промышленного интернета вещей. За прошлый год мы провели около 20 пилотных проектов, которые показали, что для возврата инвестиций, как правило, требуется всего 4-6 месяцев. Чем более открытый диалог на промышленном предприятии ведется между инженерами, программистами и безопасниками, тем более серьезные результаты мы получаем при подключении новых источников доверенных промышленных данных к IIoT-платформе.

Например, в ходе одного из кейсов мы научились предсказывать момент, когда надо заменить инструмент на очень дорогих станках, чтобы качество обработки детали не упало. Это позволяет вовремя решить три задачи: запланировать остановку станка, заранее закупить инструменты и назначить специалиста, который сможет это сделать. Оценив стоимость решения и экономию c учетом текущего уровня затрат на инструмент, мы рассчитали, что вложения окупятся за 2,5 месяца.

Андрей Суворов:

Kaspersky IoT Secure Gateway 100 служит важным инструментом цифровой трансформации, будучи компонентом довольно молодого решения — платформы промышленного интернета вещей. За прошлый год мы провели около 20 пилотных проектов, которые показали, что для возврата инвестиций, как правило, требуется всего 4-6 месяцев.

CNews: Чувствуете ли вы интерес рынка к этой технологии уже сейчас? Ведутся ли предварительные переговоры о внедрениях кибериммунных шлюзов?
Андрей Суворов:

В настоящее время мы работаем с более чем 20 заказчиками, в том числе такими, как Челябинский трубопрокатный завод, «Газпромнефть», «Станкомаш-комплекс». Интерес к нашему решению проявляют и представители строительства — например, инженерные системы офисных зданий класса «А» подвержены тем же «болезням», что и производственное оборудование.

Перед тем как внедрить решение, мы обязательно проводим пилотирование, в ходе которого не только тестируем цифровые сервисы, но и формируем модель угроз: например, у пищевого производства она совершенно другая, чем у нефтеперерабатывающего завода.

Сейчас мы переходим к поставке готовых шлюзов. Кибериммунные решения — новый продукт на рынке. Они позволяют совершенно по-другому строить вычислительные системы.

CNews: Вы сотрудничаете с компанией Siemens. Возможно ли подключение к другим цифровым платформам?
Андрей Суворов:

Разрабатывая шлюз, мы ориентируемся и на российских, и на зарубежных заказчиков и участников экосистемы. Мы проектировали и создавали KISG 100, изначально понимая его экспортный потенциал, а по итогам международной презентации в апреле мы уже проводим встречи в Китае, Германии, Италии и других странах. Поскольку все программное обеспечение шлюза создано специалистами нашей объединенной команды («Лаборатория Касперского» и Апротех), мы всегда сможем добавить модуль, который позволит подключиться к любой платформе — как отечественной, так и иностранной.