CNews: Какие вызовы и угрозы в области информационной безопасности актуальны сегодня для агропромышленного сектора?

Александр Данченков: После ухода зарубежных вендоров, как и многие другие отечественные компании, мы были поставлены перед необходимостью перестроить систему технической защиты информационных систем и данных, сохраняя при этом высокий уровень безопасности. Мы справились с этой задачей и уверенно отражаем атаки не только коммерчески мотивированных, но и политически ангажированных злоумышленников. Уход зарубежных вендоров и политически ангажированные хактивисты — пожалуй, это и есть сегодня два наиболее актуальных вызова для большинства российских предприятий, в том числе агропромышленных.

CNews: Известно, что в «Русагро» самая сильная структура ИБ среди агропромышленных компаний. В какой момент вам понадобилась внешняя экспертиза для развития?

Александр Данченков: Действительно, у нас сейчас очень сильная структура ИБ. Но так было не всегда. Сильную систему ИБ невозможно создать быстро, мы долго росли, накапливали опыт, развивали команду. Точкой отсчета можно считать 2017 год, когда мы от закрывания сиюминутных потребностей и децентрализованного управления начали переходить к единому сервисному подходу и централизации ИБ. Тогда нам был необходим консалтинг со стороны более опытной в сфере ИБ компании. Команда «Инфосистемы Джет» предложила несколько подходов к развитию, мы вместе оценили все плюсы и минусы, и составили дорожную карту изменений на ближайшие два-три года. Они сопровождали и консультировали нас несколько лет, пока мы не вырастили собственную автономную ИБ. Ежегодно мы совместно делали аудиты, смотрели, как идут процессы, корректировали планы по улучшению, учитывая изменившуюся ситуацию, постепенно выстраивали систему безопасности. Наше взаимодействие все эти годы было похоже не на классическое «заказчик-клиент», а скорее на партнерские отношения, в которых «Инфосистемы Джет» помогала нам выстроить сильную структуру.

CNews: Какие защитные технологии легли в основу информационной безопасности в «Русагро»?

Александр Данченков: Мы внедрили большинство самых современных средств защиты информации, таких как NGFW, WAF, IDM, SIEM, развернули собственный Security Operation Center (SОС). Наше «всевидящее око» позволяет наблюдать за всем происходящим, своевременно выявляя угрозы благодаря постоянной корректировке настроек и правил реагирования, а также высокому уровню подготовки сотрудников SOC.

CNews: Это «всевидящее око» — ваш собственный продукт?

Александр Данченков: На рынке довольно много предложений услуг коммерческого SOС. Но мы не стали их покупать, а развернули свой собственный. Внедрили SIEM, SOAR, обучили персонал, развиваем и совершенствуем знания и навыки команды в процессе киберучений. Мы очень довольны своим решением делать SOС внутри компании: у нас есть договор на «3-ю линию SOC» с подрядчиком для расследования сложных инцидентов, но, как показала практика, даже с такими инцидентами наша команда справляется эффективнее. Возможно, потому, что, кроме высокого уровня навыков и знаний, мои коллеги вкладывают в каждое расследование еще и свою душу, азарт и энтузиазм. Я считаю этот фактор очень важным и выгодно отличающим наш собственный SOC от «бездушного» коммерческого конвейера.

CNews: Какие еще технологии и инструменты вы используете для защиты данных в контексте современных киберугроз?

Александр Данченков: Мы используем все самые современные технологии: усиленная (многофакторная) аутентификация, контроль привилегированных пользователей, защита веб-приложений (WAF), межсетевые экраны нового поколения (NGFW), системы предотвращения вторжений (IPS), SIEM, система управления учетными записями, ролями и полномочиями (IDM) и многие другие. Наша команда разработала собственное программное обеспечение, которое не позволяет пользователям задавать простые и словарные пароли и при этом работает очень быстро. На рынке есть подобные утилиты, но они медленно обрабатывают информацию, и пользователь долго ждет верификацию нового пароля. Созданная нами программа значительно повысила информационную безопасность компании, поскольку результаты ранее проведенных внутренних пентестов показывали, что взлом слабого пароля (соответствующего парольной политике, но словарного или легко подбираемого) — один из наиболее простых способов атаки злоумышленника, пытающегося получить несанкционированный доступ.

CNews: Что еще повлияло на эффективность информационной безопасности агрохолдинга?

Александр Данченков: Мы усовершенствовали систему ИБ «Русагро», проведя централизацию служб ИБ четырех бизнес-направлений (так у нас называются дивизионы по производству сахара, мяса, масла и сельхозпродукции). Это позволило нам эффективнее использовать кадровый ресурс. Вместо того чтобы дублировать одни и те же операции в бизнес-направлениях, мы функционально разделили сотрудников: кто-то специализируется на сетевой безопасности, кто-то — на архитектуре, кто-то делает экспертизу безопасности информационных систем.

CNews: С какими сложностями вы столкнулись при централизации системы ИБ? Какие рекомендации вы можете дать другим компаниям?

Александр Данченков: Главное — коммуникация с людьми, которые в силу инерции не хотят менять привычные алгоритмы работы. Мы провели разъяснительную работу и преодолели сопротивление сотрудников, рассказав им о тех выгодах, которые дает централизация. Это должны учитывать другие компании при любых внутренних реформах. Второй момент — стандартизация систем ИБ. Упростить этот процесс и сделать его менее болезненным нам также помогла компания «Инфосистемы Джет», которая в рамках консалтингового проекта поделилась опытом подобных трансформаций. Поэтому нам удалось избежать многих ошибок и сберечь время. Мы отказались от «зоопарка» различных технологических решений по защите информации в разных бизнес-направлениях и выбрали единые системы, наиболее эффективные с точки зрения функционала и наиболее выгодные коммерчески, что позволило привести процессы информационной безопасности к единым правилам и стандартам. В итоге, мы снизили стоимость поддержки, обслуживания и стоимость владения системой в целом. Иными словами, люди и технологии меняют всё, но прежде нужно помочь измениться самим людям и технологиям.

CNews: Какие ключевые принципы вы считаете наиболее важными при разработке и реализации стратегии информационной безопасности в агропроме?

Александр Данченков: Основной принцип — это минимизация рисков. Поскольку мы коммерческая компания и не являемся критической информационной инфраструктурой, наш основной фокус — это минимизация практических коммерческих рисков: если нас взломают, остановится производство, а мы не должны этого допустить.

CNews: Как вы оцениваете уровень осведомленности сотрудников в вопросах информационной безопасности? Как повышаете киберграмотность персонала?

Александр Данченков: Мы прекрасно понимаем, что каждый сотрудник компании — ключевое звено в обеспечении информационной безопасности, поэтому в рамках стратегии ИБ уделили этому достаточно большое внимание. Мы регулярно тестируем персонал на устойчивость к фишингу: имитируем фишинговые рассылки и смотрим, как сотрудники на это реагируют. Кроме того, в системе электронного обучения, которую мы развернули вместе с коллегами из HR, есть курсы по информационной безопасности для пользователей разного уровня — от рабочих до менеджеров. В случаях подозрения на фишинг или при массовой рассылке писем мошенниками наши сотрудники сообщают об этом (пишут или звонят напрямую) в службу информационной безопасности.

CNews: Каковы, на ваш взгляд, перспективы развития информационной безопасности в агросекторе в будущем? Как ваша компания планирует адаптироваться к угрозам и вызовам в этой области?

Александр Данченков: «Русагро Тех» — дочерняя ИТ-компания «Русагро» — является технологическим лидером в области внедрения инноваций, цифровизации и технологий искусственного интеллекта. У нас используются беспилотные комбайны, машинное зрение и различные математические алгоритмы. Системы защиты строятся на технологиях выявления даже незначительных аномалий. Мы фиксируем весь спектр киберугроз: это и возможный интерес со стороны злоумышленников, которые действуют в целях наживы, и угрозы, вызванные внешнеполитическими факторами, в частности кибератаки так называемых хактивистов. Иногда это могут быть действия нелояльных или коммерчески замотивированных конкурентами сотрудников. Не надо сбрасывать со счетов и деятельность хакерских группировок, которые могут «пошифровать» корпоративную информацию с целью получения выкупа. Все эти угрозы, безусловно, надо рассматривать в совокупности.

Мы также видим необходимость работы с угрозами, идущими от искусственного интеллекта, в двух направлениях: с одной стороны, воздействие ИИ на систему защиты, а с другой — воздействие на сам искусственный интеллект посредством «замусоренности» данных. Например, систему машинного зрения можно дезориентировать дипфейками, и на основании поддельного изображения система ИБ примет ошибочное решение. Система отреагирует нерелевантно, если на этапе обучения ввести в нее неправильные данные. Кроме того, злоумышленники могут использовать системы искусственного интеллекта для совершенствования своих атак. Таким образом, для оперативной защиты данных подразделениям информационной безопасности также необходимо принимать во внимание все возможности искусственного интеллекта.

Кстати, в нашей SIEM давно работает User Behavior Analyze (технология поведенческого анализа пользователей), которая выявляет даже малейшие аномалии. Для дальнейшего усиления нашего Security Operation Center мы регулярно проводим киберучения, чтобы быть всегда в лучшей форме и не подпустить врага к нашим ценным ресурсам.

Помимо перечисленного, есть так называемая проблема размытия периметра, когда работники с личных устройств получают доступ к определенным корпоративным данным, облачным решениям. И это повод задуматься о концепции, которую за границей называют Zero Trust (уровень нулевого доверия). Когда на каждом этапе доступа пользователя к данным происходит проверка: имеет ли право данный пользователь получить эти данные на это устройство.