23 Апреля 2025 10:00 | 23 Апр 2025 10:00 | |

Поделиться

Андрей Нуйкин, «Евраз»: Более 10 лет мы смотрим в первую очередь на отечественных разработчиков

«Мы старались построить эшелонированную систему безопасности на всех уровнях — как промышленном, так и корпоративном»

CNews: «Евраз» — один из лидеров металлургической отрасли и крупный промышленный холдинг. Расскажите, какие главные вызовы вы видите в области управления информационной безопасностью?

Андрей Нуйкин: Да, «Евраз» — крупная компания. У нас три больших площадки и огромное количество ИТ-специалистов и информационных систем. Основная цель, как и в любой промышленной компании, — обеспечить непрерывность производства, потому что на нем завязан весь бизнес. Поэтому мы старались построить эшелонированную систему безопасности на всех уровнях — как промышленном, так и корпоративном. Этим мы последовательно занимаемся с 2015 года. За последние несколько лет серьезным вызовом для промышленности стала цифровая трансформация. Появляется много новых ИТ-сервисов — от простых подсказчиков до сложных систем искусственного интеллекта. Наша задача заключалась в том, чтобы аккуратно интегрироваться во все процессы. Мы стремились сделать так, чтобы новые сервисы были безопасными с точки зрения архитектуры и разработки. При этом они должны обеспечивать бизнес всем необходимыми, не создавая рисков, уязвимостей или проблем при использовании.

CNews: Цифровая трансформация несет как возможности, так и риски. Как вы это оцениваете это соотношение?

Андрей Нуйкин: Да, с точки зрения бизнеса удобств больше: при работе с цифрой появляются различные панели для оперативного просмотра данных по производству и продажам. На рынке появляются сервисы, которые оптимизируют бизнес-процессы. Но новые решения несут и определенные риски. Десять лет назад у «Евраза» из внешних ресурсов был только сайт-визитка, на котором мы рассказывали о компании и продукции. У него не было никаких интеграций. С развитием цифровой трансформации количество сервисов выросло: теперь у нас есть интернет-магазин, личные кабинеты, системы мониторинга. Естественно, они увеличивают периметр атаки и требуют от нас большего внимания и ресурсов. При их построении необходимо учитывать наши требования, а также обеспечить мониторинг и защиту, чтобы системы работали бесперебойно и без взломов.

CNews: Давайте вернемся к промышленности. Какие особенности информационной безопасности здесь? Чем она отличается от корпоративной?

Андрей Нуйкин: Почему-то считается, что если мы промышленная компания, то информационная безопасность у нас какая-то особенная. Определенная специфика есть, но она не ярко выраженная. Например, у интернет-магазина самое ценное — их сервера и система. В нашем случае это производство, поэтому его мы поместили в самую цитадель. Но большая часть рисков такая же, как у всех: фишинг, уязвимые системы, атака на цепочку поставок.

«Если у компании десятки тысяч пользователей и тысячи серверов, работать в Excel становится проблематично»

CNews: Как новые реалии, такие как введение санкций и импортозамещение, повлияли на ваши подходы к информационной безопасности в компании?

Андрей Нуйкин: Безусловно, все текущие реалии повлияли на компанию в целом и на безопасность в частности. Мы всегда строили эшелонированную защиту, и у это позволило нам поддерживать систему безопасности на достаточно неплохом уровне. У нас не было моновендорного решения, и это позволяло нам маневрировать. Кроме того, западные игроки уходили не одномоментно: процесс был растянут во времени. Конечно, это потребовало от нас пересмотра портфеля решений. Во-первых, появились требования государства о том, что нужно переходить на отечественное решение. Мы и сами понимали, что надежды на западных производителей нет. Нет уверенности, что завтра они не захотят отключить свои сервисы.

С одной стороны, решение было вынужденное. Это как пересесть с иномарки на отечественный автопром: он ездит, но уровень все же разный. Иностранные производители давно развивали свои продукты. Когда они ушли, рынок освободился, и отечественные разработчики начали занимать его, но за такой короткий срок создать что-то действительно мощное и функциональное очень сложно.

Трудности с поиском решений были, но большую часть нам удалось импортозаместить. С 2014 года при внедрении новых продуктов мы в первую очередь смотрели на отечественных разработчиков. Если функционал был похожим, отдавали предпочтение им. В 2022-2023 годах оставался небольшой класс иностранных решений, которые мы тоже успешно заместили. Пока не все идеально: например, в сегменте NGFW (Next-Generation Firewall, межсетевой экран следующего поколения). В России уже насчитывается более 40 производителей NGFW, но полноценного решения пока нет. Уверен, что оно скоро появится, и мы следим за несколькими компаниями с хорошими перспективами. Как только будет представлено окончательное решение, мы сразу начнем тестирование и рассмотрим возможность закупки, если наши требования будут выполнены.

CNews: Как у вас была организована работа с управлением активами и комплаенсом в сфере ИБ до внедрения Securitm? С какими сложностями сталкивались?

Андрей Нуйкин: Сложности были, как и у всех. Когда у вас маленькая компания на 50 человек с несколькими серверами, можно вести базы в Excel. Но если у компании десятки тысяч пользователей, тысячи серверов и множество документов и требований, работать в Excel становится проблематично. Мы тоже столкнулись с определенными трудностями: у нас были разрозненные файлы, базы и системы. В какой-то момент мы поняли, что нам нужна система для централизованного управления информационной безопасностью. Мы начали исследовать рынок и узнали о Securitm. Мы ее протестировали, и она нам понравилась. Одним из факторов, оказавших положительное влияние, стало наличие у системы развитого Сommunity. Существовала открытая версия, в которую любой мог зайти и посмотреть базовые функции.

Также коллеги провели интересную работу по сопоставлению различных стандартов и нормативных документов. Например, при анализе ISO 27000 и приказов ФСТЭК мы обнаружили, что во многих документах требования пересекаются. В системе было удобно отмечать, какие документы относятся к нашей компании и каким требованиям она должна соответствовать. При указании определенной защитной меры система автоматически отмечала выполнение соответствующего требования в других стандартах. Не нужно было вручную искать каждое требование.

Когда мы интегрировали систему, у нас сформировалась картина мира: сколько у компании активов и где они расположены. Раздел с метриками позволяет отслеживать работу отдельных бизнес-процессов. Еще мы наладили работу с подрядчиками. У нас появилась возможность оперативно проверить, откуда пришел конкретный подрядчик, какой доступ он имел и что необходимо сделать для блокировки этого доступа или его мониторинга. Это учитывает последние тенденции атак на цепочку поставок, когда злоумышленники взламывают подрядчиков и получают доступ к нашей системе через них.

«По мере появления новых интеграций и наполнения системы данными переходим от одного модуля к другому»

CNews: Securitm — модульная система. Какие модули используете вы?

Андрей Нуйкин: Мы сразу взяли все модули, но фактически шли поэтапно. По мере появления новых интеграций и наполнения системы данными переходим от одного модуля к другому. Начали с модуля активов, поскольку в первую очередь нужно понимать, что у нас есть, где и зачем. Затем перешли к рискам, а вместе с ними внедрили защитные меры. После этого подтянулись нормативные требования.

Далее у нас появились метрики, и мы начали использовать модуль постановки задач. Сейчас плавно движемся к модулю по уязвимостям. Мы оставили его напоследок, так как у нас уже есть модуль работы с уязвимостями в другой системе. Это будет просто дополнительная система для оценки общей картины, своего рода дашборд.

Поэтапно работать проще, тем более не всякая компания морально и физически готова сразу внедрить все модули.

CNews: На какие технические аспекты обращали внимание при выборе платформы?

Андрей Нуйкин: По техническим параметрам все было неплохо: на начальном этапе не требовалось больших ресурсов. По мере увеличения объема данных нам понадобилось наращивать мощности. Но это разумные мощности, пока мы на одном мощном сервере справляемся. При росте нагрузки будем масштабироваться.

Техническая поддержка работает очень хорошо. Это важно, поскольку у многих с этим проблемы. Они сосредоточены на разработке новых функций, но о старых клиентах тоже нельзя забывать. С коллегами мы тесно сотрудничаем: на наши вопросы отвечают практически в онлайн-режиме. Если вопрос сложный, берут тайм-аут и возвращаются с решением. Наши пожелания учитываются: если нужно что-то доработать или изменить, это либо ставится в план с понятным сроком, либо оперативно реализуется. Мелкие изменения могут быть выполнены чуть ли не мгновенно.

У нас была ситуация с длинными названиями должностей в компании. Например, моя должность — начальник отдела обеспечения безопасности информационных систем — не помещалась в отведенное поле. При работе с активами открывалось узкое окошко с надписью «начальник отдела». Какого отдела? Непонятно. Мы попросили добавить всплывающее окно с полным названием должности. За пару дней вопрос был решен.

Николай (Николай Казанцев, CEO компании Securitm) всегда внимательно слушает нас. Мы доносим свои пожелания до коллег, и они вносят необходимые доработки. Хотя мы не единственные клиенты, их много.

«Все можно найти и просмотреть в одном месте»

CNews: Возникали ли сложности при внедрении или эксплуатации?

Андрей Нуйкин: В определенный момент были сложности с загрузкой сервера. Это болезнь роста: активов стало много. Мы обратились в поддержку и сообщили, что часть процессов работает некорректно. Потратили некоторое время, но нашли решение, и теперь все работает.

«Евраз» — компания с достаточно большой доменной структурой, у нас несколько площадок и большое количество пользователей. Простая синхронизация оказалась сложной задачей, так как она требует много времени. Не потому, что сервис плохо работает, просто количество данных велико. Чтобы обработать всю систему, необходимо время. Когда начали разбираться, поняли, что синхронизация идет, просто она не успевает обработать все наши данные в отведенное время. В результате мы с коллегами внесли необходимые изменения, и процесс наладился.

CNews: Какие еще ключевые эффекты от внедрения можно выделить?

Андрей Нуйкин: В целом внедрение системы выполняет свою функцию по автоматизации и повышает удобство: теперь не нужно обращаться к нескольким различным подсистемам для получения данных — все можно найти и просмотреть в одном месте.

Недавно поступило уведомление о том, что был зафиксирован вход пользователя из необычной локации. У нас есть логин, но нет информации о том, как зовут пользователя. Я зашел в систему и через поиск сразу получил необходимые данные: ФИО, регион, площадка. Это оказался подрядчик, и мы смогли увидеть его куратора от ИТ. Теперь стало ясно, к кому обращаться для выяснения нюансов.

CNews: Сколько раньше уходило времени на поиск таких данных?

Андрей Нуйкин: Ранее для поиска информации по логину нужно было поискать в нескольких системах. Сначала найти ФИО пользователя. Понять, что это подрядчик. Далее в заявках найти кто подавал заявку. Найти его контакты и далее уже связаться с ним и уточнить статус подрядчика.

Возникали периодические задачи, такие как проверка устойчивости паролей пользователей или актуализация данных о подрядчиках, которые больше не работают. Теперь достаточно зайти в одну систему, выбрать подрядчика, и она покажет всех сотрудников, их доступы и статус учетной записи — активно или неактивно. Если кто-то не заблокирован, можно сразу в системе создать письмо, которое автоматически попадет в техподдержку как заявка для блокировки доступа.

«Внедрить систему можно всего за 30 минут»

CNews: Были ли какие-то неожиданные инсайты во время внедрения и эксплуатации? Что оказалось проще или сложнее, чем вы ожидали?

Андрей Нуйкин: По сравнению с другими системами было проще. У Николая есть вебинары, на которых он говорит, что внедрить SGRC (Security Governance, Risk Management and Compliance, система для автоматизации построения комплексной системы управления информационной безопасностью) можно всего за 30 минут. И это на самом деле так. Конечно, полноценно настроить систему под все свои процессы за 30 минут не получится. Но это подчеркивает простоту процесса: буквально за несколько кликов вы получаете представление о системе. Можно просто зайти в Community-версию (версия предоставляет бесплатный доступ к базовым функциям).

Риски и защитные меры у всех компаний в целом схожи — это базовые вещи. Нюансы, различаются: у нас критические активы — производственные системы, а у интернет-площадок — сервера и информация о клиентах. Система дает базу, и затем мы просто дополняем ее специфическими рисками. Это действительно удобно.

Сложность заключается в том, что SGRC-система подразумевает участие всей компании. Невозможно оставить всю работу на отделе информационной безопасности. У каждого риска должен быть свой владелец. Мы назначаем их, но процесс вовлечения всей компании оказался сложнее, чем мы ожидали. Нельзя просто сказать: «Теперь ты ответственный за риск». Но задача решаемая, просто требует больше времени.

CNews: Какие у вас ожидания от ближайшего будущего? Какие новые тренды и вызовы предвидите в сфере ИБ?

Андрей Нуйкин: Сейчас основной вызов — это искусственный интеллект. Не все еще понимают риски, связанные с его применением. Нам необходимо разобраться, как работать с этими технологиями. Поскольку искусственный интеллект проникает все глубже как в бизнес, так и в руки злоумышленников, это потребует расширения наших компетенций. Важно осознавать, как злоумышленники могут использовать эти технологии и что нужно сделать для их защиты. Мы увидим появление новых систем и сервисов в этой области.

Кроме того, уже сейчас многие обращают внимание на возрастающее количество атак на цепочки поставок. Соответственно, все больше компаний начинают более активно взаимодействовать с подрядчиками, предъявляя им требования и разрабатывая совместные решения по защите и взаимодействию.

Не исключаю, что с развитием цифровизации появятся новые риски, о которых мы раньше не думали. До 2022 года многие тоже не верили, что Microsoft или Cisco могут покинуть российский рынок. Риск был, но он казался небольшим. Тем не менее это случилось. Думаю, что в будущем многие угрозы еще будут пересмотрены по мере развития ситуации. Международное сообщество хакеров уже три года атакует российские предприятия. В результате в России сейчас работают одни из лучших специалистов по безопасности, поскольку страна постоянно подвергается атакам. Хочешь или не хочешь — приходится защищаться. Поэтому это не просто теория, а практический опыт в области защиты. Скорее всего это продолжится, несмотря на определенные шаги по прекращению текущего кризиса.

CNews: Какие решения в сфере ИБ приоритетны для «Евраза» в ближайшее время?

Андрей Нуйкин: Мы продолжаем развивать нашу систему СУИБ (стандарт для систем управления информационной безопасностью). Сейчас мы уделяем больше внимания разработке. Цифровая трансформация в «Евразе» включает 100-150 проектов в год, и все их необходимо защищать. Это довольно интересное направление, и мы активно его осваиваем.

Естественно, продолжается процесс импортозамещения. Мы уже заменили большинство основных решений, но в некоторых сферах пока нет идеального результата. Поэтому мы внимательно следим за новыми продуктами на рынке. Я уверен, что в России, благодаря сильным разработчикам и талантливым специалистам, со временем появится много интересных решений, способных заменить иностранные аналоги. Мы с нетерпением ждем этого.

Поделиться

Короткая ссылка