Игорь Душа, НОТА КУПОЛ: Мы не можем доверять управление критической инфраструктурой иностранному ПО

Москва
20 июня 2024

Согласно указу Президента № 166, до 1 января 2025 года нужно закончить импортозамещение ПО для значимых объектов критической информационной инфраструктуры. Реально ли в короткие сроки создать и внедрить отечественное программное обеспечение? С какими сложностями сталкиваются разработчики? О том, как ведётся работа по импортозамещению в сфере ИТ и ИБ, нам рассказал Игорь Душа, директор портфеля решений «НОТА КУПОЛ».

Насколько реально в условиях санкций до конца года выполнить замещение всех ИТ-систем на действующем производстве?

И. Д.: ИТ-ландшафт очень неоднороден. Есть направления, например информационная безопасность, в которых присутствует выбор зрелых отечественных решений и миграция не представляет особого труда. Есть, наоборот, те, где разработка находится в активной фазе. Это касается в первую очередь сложного промышленного ПО. Здесь явно ощущается дефицит времени, потому что мало создать функциональные аналоги, надо масштабировать эти решения на десятки тысяч пользователей. Иными словами, всё зависит от классов решений и конкретной отрасли. На скорость влияют также уровень господдержки и создание отраслевых консорциумов. При этом необходимо учитывать, что при замене узлов критической информационной инфраструктуры медлить нельзя: от технологической готовности зависят работоспособность, эффективность и безопасность бизнеса.

Как вы думаете, может ли экстренная миграция привести к тому, что реальный уровень защищённости критически значимых объектов снизится?

И. Д.: Существуют разные мнения по этому вопросу. Конечно, российские вендоры значительно моложе иностранных, но это не значит, что они недостаточно развиты. Команды используют современный технологический стек, активно имплементируют инновационные инструменты, элементы нейросетевых технологий. Присутствуют опасения по поводу скорости: разработчикам, несмотря на крайне сжатые сроки, важно уделить должное внимание безопасности создаваемого ПО, чтобы впоследствии не возникало рисков обнаружения серьёзных уязвимостей в софте. Однако экспертные группы, которые занимаются безопасностью выделенных государственных решений и программного обеспечения, показали достойные результаты в ходе проверок. Стандарты безопасной разработки всё активнее входят в практику российского бизнеса.

Насколько важно учитывать такой технический момент, как инвентаризация?

И. Д.: Многие забывают, что безопасность начинается с определения того, что мы защищаем и от чего. Иными словами, харденинг — превращение цифровой инфраструктуры в «крепость» — невозможен без инвентаризации. В теории всё звучит максимально просто, на практике же подготовить описание систем и моделей угроз — труд тяжёлый и, к сожалению, потенциально бесполезный из-за того, что в любой момент модель может утратить актуальность. В отсутствие инструмента, который автоматизирует многие процессы, обеспечить безопасность просто невозможно. Команда вендора НОТА («Холдинг Т1») разработала инструмент автоматизации, который инвентаризирует активы и позволяет оценить угрозы, при этом генерирует необходимые документы. Кроме того, он связан со сканером, который анализирует уязвимости реальной системы. Он может быть запущен в любой момент или по расписанию, как удобно заказчику, обновляя эту информацию и, соответственно, модель угроз.

Если говорить о применении автоматизации для других областей информационной безопасности, то где вы видите большие перспективы?

И. Д.: Одно из наиболее интересных направлений — это блок NSPM, систем для анализа и контроля сетевых устройств, в частности экранов. Уже первые кейсы внедрений показали, насколько эта ниша богата с точки зрения функциональных доработок. О каких-то сценариях мы даже не догадывались до того, как начали говорить с заказчиками. Сама система позволяет управлять большой структурой устройств. Это существенно облегчает контроль за соблюдением прав доступа, правил межсетевого экрана. Даже если в компании есть пять таких экранов, на каждом из них может быть установлена тысяча правил. Найти дублирующиеся или затенённые правила, которые неоптимально работают, довольно сложно. В ежедневном режиме — тем более. Также важны вопросы связанные с контролем инфраструктуры, в частности конвейера разработки программного обеспечения. С точки зрения автоматизации здесь действительно есть над чем работать.

Сейчас очень много говорят о результативной информационной безопасности. Что такое ИБ с точки зрения результата?

И. Д.: Строительство цифровой крепости нужно начинать с инвентаризации активов — с оценки того, что важно для бизнеса. Это должно быть заложено в процесс категорирования. Тогда компания будет рассматривать ИБ в первую очередь как реального партнёра, который помогает добиваться результата, минимизирует риски, сохраняет деньги или помогает больше заработать за счёт генерации добавленной стоимости.

Игорь, спасибо большое за интервью! Желаем удачи в такой важной и, учитывая современные условия, непростой работе!


Поделиться

Копировать ссылку