Главная тема форума — партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности. О том, как интегрирован крупный российский бизнес в мировую систему защиты персональных данных и программам противодействия утечкам информации накануне конференции в немецком Гармиш-Партенкирхен рассказал вице-президент – руководитель блока корпоративной защиты ПАО «ГМК «Норильский никель» Владислав Гасумянов.
— «Норильский никель» — это крупное добывающее предприятие. С какой стороны вас затрагивает тема глобальной информационной безопасности?
— Проблема безопасности — это вопрос не только бизнес-стратегий, но и самой философии бизнеса. ГМК «Норильский никель» включилась в «Гармишевский процесс» по ряду веских причин. Первая: крупный бизнес заинтересован в бесперебойной работе всех производственных, финансовых, логистических, транспортных, сбытовых цепочек своих предприятий. Коммуникационные сети — кровеносные сосуды этого единого экономического организма. Нарушение, а тем более, насильственное вторжение в их работу, может привести к негативным последствиям для акционеров и снижению инвестиционной привлекательности компании. В этом основной мотив нашего активного участия в обсуждении проблематики информационной безопасности. Вторая причина связана с глобализацией мировой экономики и, как следствие, вовлечением ведущих мировых корпораций в процесс выработки решений на международном уровне по широкому кругу актуальных проблем, включая социальные. В миссии «Норильского никеля» говорится: «Эффективно используя природные ресурсы и акционерный капитал, мы обеспечиваем человечество цветными металлами, которые делают мир надежнее и помогают воплощать надежды людей на развитие и технологический прогресс».
— И все-таки, зачем конкретно это нужно такому гиганту горно-металлургической отрасли, как ваша компания?
— «Норильский никель» — одна из системообразующих компаний российской экономики. Она является одним из главных игроков мирового горно-металлургического рынка, от ее позиции в значительной мере зависит развитие отрасли. Направления деятельности предприятий компании включают геологоразведку, производство, сбытовую сеть, транспорт (в т.ч. морской и авиационный), энергетику, информационную инфраструктуру и научные комплексы. Уже в силу этого мы являемся одним из крупнейших потребителей IT-продуктов и сервисов. С другой стороны, предприятия «Норникеля» реализуют ряд собственных крупных IT-проектов в области информатизации и информбезопасности в соответствии со стратегией развития и принципами корпоративной социальной ответственности.
Так, в тяжелых условиях Крайнего Севера мы ведется активное строительство волоконно-оптической линии связи (ВОЛС) по маршруту Новый Уренгой-Норильск длиной около 1000 км, которая радикально снизит нагрузку на действующие линии спутниковых коммуникаций. Проект нацелен не только на обеспечение потребностей компании в современных системах связи, но и на предоставление с его помощью жителям Норильского промышленного района доступа к широкополосному интернету.
— На каких принципах строится система информационной безопасности «Норникеля» в целом?
— Масштаб бизнеса компании требует современной мобильной системы защиты корпоративных интересов. Руководство ГМК «Норильский никель», учитывая все аспекты безопасности, особое внимание уделяет обеспечению комплексной информационной защиты. Разработаны и реализуются программы защиты персональных данных, противодействия утечке информации и содействия защите гостайны, противодействия несанкционированному вмешательству в работу информсистем, обеспечения лицензирования в области информбезопасности и т.д. Активно работает «Институт современных проблем безопасности» — методологический и экспертный центр группы «Норильский никель» в сфере IT-защиты.
Поэтому процессы модернизации производства, связанные с внедрением новых информационно-коммуникационных технологий, таких как комплексы радиосвязи и позиционирования на рудниках, создание баз данных промышленных активов, систем мониторинга ремонтной деятельности, введения в эксплуатацию SAP ERP, решений по обеспечению современного документооборота КАСУД, строительство ВОЛС, модернизация Центра обработки данных, создание Общего центра обслуживания, проходят в полной синхронизации с мероприятиями по обеспечению информационной безопасности.
— Как статус стратегического предприятия влияет на систему информационной безопасности?
— Предприятия «Норильского никеля» — один из ключевых элементов экономической безопасности страны. Такие структуры представляют повышенный интерес для киберпреступников и кибертеррористов, использующих электронные коммуникации в качестве средства нанесения материального и репутационного ущерба.
По оценкам специалистов, Россия в 2015 г. вошла в топ-5 стран, подвергшихся массированным действиям хакеров. Более 92% российских компаний и госструктур столкнулись с попытками вторжения в свои IT-cистемы. При этом 55% атак на российские компании были направлены против их веб-сайтов, 34% — против коммуникационных сервисов, 18% — на файловые хранилища, 12% — на сервисы для совершения финансовых операций. По данным российских и зарубежных экспертов, ущерб, нанесенный экономике России в 2015 г. от действий киберпреступников, оценивается в 203,3 миллиарда рублей, что составляет 0,25% ВВП страны. Во всем мире ущерб от киберпреступлений в 2015 году в мире составил $158 млрд. При этом атакам подвергаются как ресурсы бизнес-сектора, так и государственных органов, общественных организаций и СМИ.
Для нас, как горно-металлургической компании, особый интерес представил факт взлома хакерами системы управления печами на металлургическом заводе в Германии, что привело к выводу из строя механизма их отключения. Итоги ситуационных анализов подобных инцидентов, результаты моделирования киберугроз привели нас к решению, что приоритетным направлением в обеспечении информационной защиты нашей компании должна стать безопасность автоматизированных систем управления технологическими процессами. Прежде всего, системы диспетчерского управления и сбора данных, распределенных систем управления, систем на программируемых логических контроллерах.
— Сможет ли форум в Гармиш-Партенкирхене повлиять на актуальные тенденции в сфере информационной безопасности?
— Говоря языком дипломатии, в ходе форума IISRC/МИКИБ будут обсуждаться принципы мирного сосуществования государств, бизнеса, гражданского общества в киберсреде. Кстати, одним из пунктов его повестки значится «Трактовка основных понятий, принципов и норм Женевских конвенций применительно к киберпространству». Вопрос, между прочим, фундаментальный.
Информационная безопасность, как в корпоративном секторе, так и в глобальном плане, очень зависима от состояния мировой информационной экосистемы в целом. Кризисные явления в мировой экономике привели к значительным сокращениям бюджетов в области информбезопасности. Как следствие, отмечается рост активности групп, занимающихся противоправной деятельностью в киберпространстве, повышение их профессионального уровня, переход от примитивных массовых атак к адресным нападениям с применением всего арсенала технических средств, включая элементы социальной инженерии и психологического воздействия через электронные средства коммуникации. Учитывая фактическую внегосударственность и внетерриториальность подобных хакерских сообществ, мы вполне можем столкнуться с таким явлением, как условный «киберИГИЛ», логику и мотивацию поведения которого просчитать весьма проблематично.
Указанные реалии накладывают дополнительную ответственность на структуры корпоративной информбезопасности. «Норильскому никелю» удалось существенно укрепить эту функцию, как с кадровой точки зрения, так и в плане ввода в эксплуатацию передовых решений (включая продукты российских производителей) – обновить системы предотвращения утечек конфиденциальной информации, контроля мобильных корпоративных устройств, решения по обработке событий информационной безопасности, заменить системы криптографической защиты.
— Учитывая диверсифицированность и масштаб бизнеса «Норильского никеля», каким опытом может поделиться компания со своими зарубежными партнерами?
— Возглавляя комитет безопасности Международной ассоциации металлов платиновой группы (IPA), совместно с научно-исследовательским институтом ООН по вопросам преступности и правосудия (UNICRI), мы активно участвуем в программах по противодействию незаконному обороту сырья драгоценных металлов и борьбе с транснациональной преступностью. Наша инициатива об усилении взаимодействия государственных и частных структур получила высокое признание: благодаря усилиям МИД РФ, МИД ЮАР и ГМК «Норильский никель» принята резолюция Экономического и социального совета ООН «О борьбе с транснациональной организованной преступностью и ее возможными связями с незаконным оборотом драгоценных металлов». В настоящее время готовится доклад UNICRI, в котором будут обозначены перспективные направления борьбы с международной контрабандой драгметаллов.
Активно сотрудничаем в области комплайенса и противодействия мошенничеству с нашими партнерами — компанией LexisNexis, глобальным поставщиком информационных и аналитических решений для бизнеса.
В этом году «Норильский никель» принял решение присоединиться к Международному исследовательскому консорциуму информационной безопасности в качестве полноправного члена. И мы уверены, что опыт ГМК в сфере международной борьбы с незаконным оборотом цветных и драгоценных металлов, может быть успешно применен в процессе создания глобальной системы информационной безопасности.
— Каких результатов ожидает «Норникель» от форума в Германии?
— Анализируя опыт участия «Норникеля» в мероприятиях IISRC/МИКИБ, мы констатируем взаимную заинтересованность всех участников «Гармишевского процесса» в снижении угроз использования информационно-коммуникационных технологий в преступных целях, создании предпосылок для повышения уровня доверия к поставщикам оборудования и программного обеспечения, добросовестной конкуренции среди вендоров IT-решений и формировании общей среды нетерпимости к проявлениям электронного экстремизма и терроризма.
Участвуя в работе Консорциума, «Норильский никель исходит из принципа «ответственного IT-прагматизма» — комплексной вовлеченности компании в актуальные процессы, затрагивающие ее деятельность как на технологическом уровне (производство и поставки IT-продукции и технологий), так и на глобальном (выработка принципов мирного сосуществования в информационной среде). Данный подход является прямым воплощением Миссии нашей компании и соответствует основным принципам ее развития. Отдельно следует отметить важность разработки и запуска в действие инструментов государственно-частного партнерства в противодействии использованию информационно-коммуникационных технологий в преступных целях. Именно этот вопрос мы намерены поднять в рамках работы форума.
Что такое IISRC/МИКИБ
Международный исследовательский консорциум информационной безопасности образован по инициативе Института проблем информационной безопасности МГУ им. М.В.Ломоносова 25 апреля 2010 года в г. Гармиш-Партенкирхен (Германия). В настоящее время в IISRC/МИКИБ входят 20 организаций из 14 стран.Среди них: Институт исследований вопросов киберпреступности (Германия), Компания «Глобал Сайбер Риск» (США), Корпорация ПейПал (PayPal, США), Университет штата Нью-Йорк (США), Центр международной безопасности Университета Инсубриа (Италия), Университет Токай (Япония), Организация оборонных исследований и разработок Министерства обороны Индии, Китайское общество дружбы с зарубежными странами (КОДЗС), а также НИИ информационной безопасности и криптологии Евразийского национального университета им. Л.Н.Гумилева (Казахстан), Объединенный институт проблем информатики Национальной Академии наук Беларуси, Институт электроники и телекоммуникаций при Киргизском государственном техническом университете им. И. Раззакова.