#современнаяэлектроника #импортозамещение #импортонезависимость #киберпреступность #безопасность
Интервью с Артёмом Зиненко, руководителем отдела исследования и анализа уязвимостей, «Лаборатория Касперского» на Форуме для специалистов по автоматизации «PRO автоматизацию: Обеспечение технологического суверенитета в АСУ ТП»
01:42
СОВРЕМЕННАЯ ЭЛЕКТРОНИКА И ТЕХНОЛОГИИ АВТОМАТИЗАЦИИ
МЕДИАПОРТАЛ СЭТА
Официальный сайт медиапортала СЭТА https://www.cta.ru/
Журнал СОВРЕМЕННЫЕ ТЕХНОЛОГИИ АВТОМАТИЗАЦИИ
Журнал СОВРЕМЕННАЯ ЭЛЕКТРОНИКА
YouTube-канал СЭТА https://www.youtube.com/@sovelectronica
RuTube-канал СЭТА https://rutube.ru/channel/33177403/
Дзен-канал медиапортала СЭТА https://dzen.ru/cta_infoportal
Телеграм-канал медиапортала СЭТА https://t.me/cta_telegram
VK-сообщество медиапортала СЭТА https://vk.com/cta_infoportal
ПОДКАСТЫ СЭТА
VK подкасты https://vk.com/podcasts-223262893
Яндекс Музыка https://music.yandex.ru/album/33856890
Телеграм-плеер https://t.me/mavestreambot/app?startapp=ceta
MAVE-плеер https://ceta.mave.digital/
https://www.kaspersky.ru/
Лаборатория Касперского: производители и заказчики оценили значимость кибербезопасности
Текст интервью получен посредством автоматического распознавания речи
и не подвергался редактированию, в связи с чем возможны ошибки и неточности.
Меня зовут Зиненко Артем, я руковожу отделом в Касперский Kaspersky ICS CERT, который занимается поиском и анализом уязвимостей индустриальных систем. Наша задача это для определенных продуктов находить новые уязвимости, сообщать о них вендору, помогать их исправлять. Также мы анализируем существующие уязвимости, которые найдены кем-то другим, разбираемся с их техническими деталями, понимаем, где вендоры иногда обманывают своих клиентов, исправляем эти проблемы, и вот результат нашего анализа, они используются в разных продуктах нашей компании.
Вы только занимаетесь поиском уязвимостей или вы даете по итогам ваших поисков рекомендации по их устранению?
Мы, конечно же, даем рекомендации по их исправлению, и более того, за 8 лет нашей работы у нас неоднократно были случаи, когда мы тесно общались с командой разработки уже вендора, обсуждали возможные способы исправить уязвимости, давали какие-то рекомендации, и по результатам проводили аудит исправлений, подтверждали, что все хорошо, продукт можно выпускать для пользователей.
Вы сказали, что только что за 8 лет работы. Практически рынку отечественного АСУ ТП совсем ничего, то есть 8 лет назад вы занимались поиском этих уязвимостей в западных продуктах?
Мы до сих пор занимаемся в том числе и в западных, и в российских. Российские продукты 8 лет назад точно так же были.
Ну были, но их было мало.
Не совсем так, их было достаточно много, просто основное внимание было не на них. В первую очередь заказчики, они смотрели на какие-то большие продукты известных вендоров, в сторону Siemens, Yokogawa, ABB, Schneider Electric, вот в сторону этих вендоров смотрели, но тем не менее, там, ну российские вендора довольно зрелые, про софт-системы какие-нибудь, им много уже лет.
Но в силу специфики вашей деятельности, вы, наверное, лучше всех знаете, что такое доверенные паки. Это вот такая вещь интересная, о которой все говорят, но никто толком не представляет, наверное, что это такое и каким критериям должен доверенный пак соответствовать.
Ой, это очень-очень сложный вопрос, то есть каждый под ним понимает что-то свое. Конкретно для меня какой-то пак можно считать доверенным, только если вендор, который выпускает этот пак, у него достаточно зрелые процессы по созданию этого пака, и этот пак проходит на регулярной основе аудит у каких-то внешних компаний, то есть важно, чтобы это была не внутренняя команда пентестеров внутри конкретного вендора, а чтобы это было независимое исследование.
Но все-таки кто должен доверять этому доверенному паку в конце концов? Пользователи этого пака. Нет, но есть же определенные критерии, видимо, которые выдвигает государство, для определенных отраслей, областей деятельности, то есть критерии где-то сформулированы к доверенным пакам?
Мы пока что ни одного доверенного пака не исследовали, поэтому ничего про то, можно ли конкретному паку доверять или нет, сказать не можем.
Но здесь, тем не менее, на вот этой вот конференции уже заявлялись такие вот вещи, как доверенные паки на основе наших отечественных аппаратных решений и на основе альфа-платформы.
Да, как говорится, дьявол в деталях. То есть называть какой-то пак доверенным, безусловно, можно, а то из каких компонентов он построен и можно ли действительно этим компонентам доверять, это уже другой вопрос. Потому что за нашу историю мы находили разные проблемы, уязвимости в таких местах, куда до нас никто не смотрел, и проблемы были очень и очень серьезные. То есть конкретный компонент, он считался доверенным, а мы демонстрировали, что на самом деле нет, и архитектура решения нам никак не противостояла.
Кто привлекает вас к такой работе? Это заказчик сам привлекает вас для того, чтобы проанализировать решение, которое ему предлагают, или это вот вендор привлекает, или системный интегратор?
Системный интегратор, наверное, нет, а вот заказчики и вендоры, да, привлекают. То есть у нас несколько проектов с российскими вендорами уже было, где мы аудировали их продукты и аудировали процессы, которые при разработке этих продуктов, которым следуют. А также нас привлекали клиенты, по сути, во время, например, приемочных испытаний, то есть когда им поставили определенное решение, они привлекают нас, и мы проверяем, насколько можно это решение ставить.
Какие-то совместные решения, совместная деятельность с Атомик Софт у вас ведется?
Я точно знаю, что с Атомик Софт у нас партнерские отношения, и мы, например, наши решения для обеспечения безопасности вместе с ними тестируем и так далее.
Их решения именно?
Совместимость нашего продукта KICX, например, с их решением, что мы работаем в тандеме, но конкретно наша команда, к сожалению, аудитом продуктов Атомик Софта не занималась, поэтому про это ничего сказать не могу.
Как вы вообще оцениваете отечественный рынок кибербезопасности? Он достаточно зрелый, те решения наши отечественные, которые предлагаются сейчас, они в плане кибербезопасности хороши или нет?
По-разному. Не все, безусловно, хороши, но на самом деле не так важно, чтобы в продукте не было уязвимостей. Важно, чтобы тот вендор, которого вы используете, у него внутри были правильные процессы.
То есть когда обнаруживается эта уязвимость, он предпринимает действия определенные, которые приводят к исправлению этой уязвимости. Важно, чтобы не на 100% защищенный продукт был, а чтобы за этим продуктом стояла хорошая сплоченная команда, которая своевременно поставляла результат.
Ну вы посмотрели, сейчас уже, наверное, послушали многие доклады здесь. Вообще, вот тут я слышал, что больше 600 человек на конференции на этой присутствуют. Интерес к этим темам есть?
Интерес, безусловно, есть. Компании хотят заместить текущее решение. То есть ряд вендоров, они же просто бросили без поддержки нашей компании.
И в определенных местах даже технологический процесс, он какое-то время еще проработает, но после этого его придется остановить. Эти контроллеры продолжают ломаться и так далее. И желание перейти на что-то импортонезависимое, безусловно, есть.
Но они подыскивают, во-первых, продукт, который по функциональности будет близок к тому, что они до этого использовали. Ну и вопросы кибербезопасности, они, конечно же, тоже актуальны. То есть проблема, что вот часть решений, которые только-только начали появляться, им нужно какое-то время, чтобы отстояться.
И чтобы разные проблемы с функциональностью хотя бы исправить, чтобы это решение хорошо, стабильно работало. Ну и, соответственно, кибербезопасность тоже пока не на первом месте у этих компаний, но со временем, я надеюсь, все стабилизируется.
Видимо, наверное, все уделяли очень мало внимание кибербезопасности на нашем рынке, потому что серьезно никто не расшибал еще себе, видимо, лоб об это.
Насчет все я бы не стал так говорить. Есть некоторые компании, которые образовались после ухода иностранных компаний. То есть это бывшие подразделения вот этих крупных иностранных компаний. И что важно отметить, вот в этих компаниях очень правильные процессы внутри. То есть там есть отделы, которые занимаются аудитом безопасности, они понимают, как писать хороший стабильный безопасный код и так далее. То есть я бы не говорил, что прямо все решения такие.
То есть в основном этим грешат наши отечественные разработчики и производители. Чисто отечественные, не те, которые унаследовали от западных ушедших компаний.
Ну такое среди отечественных очень часто встречается. Это правда.
Но культура производства улучшается или нет?
Постепенно улучшается. Это же идет от университетского образования. И вот если раньше по сути там учили немножко программировать студентов и на этом все заканчивалось, то сейчас на ряде специальностей в некоторых университетах уже компании приходят и читают свои курсы, и как правило оттуда студенты выходят намного более подкованные.
То есть они уже разбираются, как писать хороший поддерживаемый безопасный код, как производить тестирование этого кода и так далее. То есть в целом процесс, какие-то улучшения мы видим, но это очень долгий процесс.
А вот ваша компания, кстати, не занимается популяризацией среди вузов темы кибербезопасности?
Ну если кратко, то занимается. Некоторые представители компании на регулярной основе читают в наших университетах курсы по каким-то темам, относящимся к кибербезу.
Это происходит как, на общественных началах или это прямо уже часть программы?
Там по-разному. Есть и курсы полноценные, которые включены в программу, а есть факультативы определенные.
Сами вы не испытываете кадровый голод в связи с тем, что вузы сейчас практически не готовят таких классных специалистов.
Мы в команду нанимали несколько раз ребят из вузов и уровень подготовки в некоторых случаях очень хорош. За счет чего это происходит? Сейчас у школьников и у университетов появилась возможность, если мы говорим про кибербезопасность, есть очень интересная сфера соревнования по компьютерной безопасности CTF и на самом деле школьники, студенты, которые участвуют в этих соревнованиях, они на деле оказываются очень и очень подкованными и по сути вот из этих отраслей к тебе приходят во многом уже готовые специалисты. То есть они в целом хорошо разбираются, если мы говорим про сферу, в которой я работаю, они хорошо разбираются с уязвимостями, с тем, как их искать, как их исправлять, я бы не стал говорить, что среди студентов подходящих специалистов найти сложно, найти их можно.
Как вы считаете вообще уровень компетенции наших отечественных специалистов в области АСУ ТП, собирательных скажем так, не будем делить на софт, на железо, если его сравнить с уровнем компетенции среднем, общемировым? Я просто слышал, что некоторые докладчики вот такую мысль проводили, что наши инженеры и наши программисты ну просто на голову выше тех, и нам только нужно дать немножечко времени, и мы их просто переплюнем. Это было бы здорово, если бы это было так, но вот как вы это оцениваете?
В России действительно масса талантливых разработчиков, программистов, это правда, я скорее согласен с этим утверждением, что нужно просто больше времени и мы сделаем решения во многом превосходящие похожие решения иностранных вендоров.