За последние несколько лет стало совершенно очевидно, что информационная безопасность выходит за рамки чисто технологических процессов: это целый набор практик. По словам Хавьера Дьегеса, Директора Basque Cybersecurity Centre (Центра информационной безопасности в регионе Басков, Испания), теперь мы понимаем, что информационная безопасность включает в себя элементы лучших практик и управление рисками предприятия. Это придало нашей дисциплине намного более важную роль. Теперь безопасность рассматривается в качестве важнейшего фактора на управленческом уровне предприятий, а не только как внутренний вопрос ИТ-отдела.

Хавьер Дьегес

Хавьер имеет более чем 15-летний опыт работы в сфере корпоративной и промышленной безопасности, и он был выбран для создания Баскского Центра информационной безопасности (BCSC). Дьегес также входит в состав группы экспертов, которая сотрудничает с Национальным Центром защиты объектов критической инфраструктуры (CNPIC) в целях содействия разработке отраслевых стратегических планов для электроэнергетического сектора.

Предлагаем Вашему вниманию интервью с Хавьером Дьегесом:

Panda Security (P.S.): В чем заключается Ваша работа в качестве Директора Баскского Центра информационной безопасности?

Хавьер Дьегес (Х.Д.): Я был нанят для создания BCSC с нуля, управляя рядом краткосрочных целей, таких как организация Центра как такового и установление отношений с другими национальными и европейскими центрами и агентствами. Мне также было поручено создать базовые сервисы для повышения зрелости баскской индустрии информационной безопасности, способствуя развитию корпоративной культуры защиты и обороны.

Наряду с особым пониманием того, насколько важно защищать промышленность и поощрять рост конкурентоспособности, страна Басков имеет довольно важную формирующуюся отрасль информационной безопасности. Нет другого места с такой высокой концентрацией стартапов по информационной безопасности и технологическим продуктам. Мы в BCSC обязаны развивать эту экосистему и поощрять ее рост, искать международные связи и возможности, а поскольку это цифровой бизнес, то он не может оставаться только на локальном уровне.

P.S.: По Вашему мнению, какие наиболее серьезные угрозы в наши дни?

Х.Д.: Большинство жалоб, которые мы получаем, связаны со всеми видами мошенничества: от преступного фишинга до целенаправленных атак, подобно имперсонации (выдача себя за другого человека – прим. авт.) руководителей компаний. В более индустриальной среде, которая является экономическим сердцем страны Басков, существует два других важных типа атак. Первая из них – это саботаж: подрывные операции, которые менее распространены, но они могут принимать множество различных форм в промышленной среде. А вторая угроза, которую намного труднее обнаружить, - это кибер-шпионаж. Этот вид атаки преимущественно касается кражи интеллектуальной собственности, чтобы получить конкурентное преимущество и поставить под угрозу бизнес потенциального конкурента, а также кражи информации о коммерческих стратегиях.

P.S.: Большая часть Вашей карьеры была посвящена критическим инфраструктурам, особенно электрическим инфраструктурам. Какие наиболее распространенные риски, которые могут повлиять на эту отрасль?

Х.Д.: еще несколько лет назад атаки на предприятия считались почти невозможными или, по крайней мере, чрезвычайно сложными. Однако в наши дни системы, используемые критическими инфраструктурами, все чаще подключаются к Интернету, открывая больше точек взаимодействия с внешним миром, особенно для проведения работ по обслуживанию и сопровождению. Необходимо обеспечить более высокий уровень наблюдения с тем, чтобы обеспечить надлежащую защиту периметра, т.е. той поверхности корпоративной сети, которая подвержена воздействию Интернета. Также важно убедиться в том, что сети разделены внутри компании: отдельно критические сети и отдельно остальные, менее важные. В этой области до сих пор существует огромный объем работ, которые еще необходимо сделать: сегментация выполнена не всегда так, как необходимо, периметры сетей не всегда четко определены и защищены от несанкционированного доступа, преднамеренного или случайного.

Существует также набор проблем, связанных с долговечностью и разнообразием систем и жизненным циклом систем, которые поддерживают критические инфраструктуры. Жизненные циклы систем в электрических инфраструктурах длятся десятилетиями. Мы видим случаи, когда бок о бок работают системы совершенно разных поколений, а многие из них являются устаревшими системами. Совсем не редкость, например, встретить операционную систему Windows NT 4.0, которая существует аж с 1996 года. Ее обслуживание уже давно прекратилось, а патчи для таких систем уже не выпускаются.

Третья проблема связана с характером технологий и политик поддержки, которые имеют производители оборудования. Такие компании как Siemens или Honeywell обычно устанавливают такие ограничения, чтобы их клиенты, инфраструктурные операторы могли добавлять независимые или внешние механизмы управления в пакет решений, которые продает производитель. Это ограничивает эволюцию методов защиты в нашей среде.

P.S.: Как компания может повысить свою кибер-устойчивость?

Х.Д.: Организациям необходимо диагностировать свой профиль рисков и проходить серьезные обследования. Для этого первое, что должна сделать компания, - это найти надежного партнера, которому можно доверять. В интересах компании выбрать независимого от нее партнера по информационной безопасности, который будет плотно работать с руководством компании, кто знает приоритеты своего бизнеса. Это означает, что они будут способны устанавливать приоритеты и определять наиболее важные активы и процессы, которые необходимо защищать. Как только будут определены профиль и приоритеты, компания может начать осуществлять требуемые шаги. Также существует множество базовых мер, которые необходимо применять: