Резкий рост интенсивности кибератак на российские промышленные предприятия создает впечатление, будто мы столкнулись с новым набором угроз и известные принципы защиты информации больше не работают. Однако все не так пессимистично. Типы атак, которые мы наблюдем сейчас, хорошо известны специалистам. 
Игорь Душа: Защита от кибератак сейчас более приоритетна, чем наблюдение. Фото: Пресс-служба ГК InfoWatch
Что же тогда изменилось? Увеличилась частота атак, плюс с рынка стали уходить иностранные разработчики средств защиты, отключая обновления, а иногда и само ПО. Например, компания Cisco покинула нашу страну, оставив заказчиков с устройствами без обновлений. Для информационной безопасности такие устройства теперь бесполезны. Есть и более опасные случаи: иностранный разработчик без каких-либо уведомлений отключил клиентам ряд важных функций в ПО, оставив предприятия уязвимыми для атак.
Очевидный шаг для российских компаний в таких условиях — импортозамещение. С ним в сфере информационной безопасности дела обстоят неплохо — есть конкурентоспособное ПО для защиты промышленных систем. Выбор таких программных решений сейчас определяется двумя факторами: насколько легко их внедрить, получив работающую защиту с минимумом затраченных ресурсов, и может ли решение предотвращать атаки или только следить за происходящим. Скажу сразу — защита сейчас приоритетнее, чем наблюдение.
Разберем это на примере InfoWatch ARMA — системы защиты информации, разработанной в России специально для промышленных предприятий. Она состоит из трех компонентов, каждый из которых заменяет несколько классов решений иностранных аналогов. Первый компонент — промышленный межсетевой экран нового поколения — предотвращает атаки на сетевом уровне и может заменить аналогичные решения от Fortinet, CheckPoint, Tofino и др. Второй — промышленная защита рабочих станций и серверов, это альтернатива иностранным Endpoint-решениям, например, от McAfee или Symantec. Третий — центр управления системами защиты — позволяет увидеть цепочки событий в единой консоли, а не вылавливать из разрозненных средств защиты отдельные инциденты. Он может заменить иностранные системы централизованного управления от Cisco, McAfee и др. С помощью InfoWatch ARMA прямо "из коробки", минуя долгие и затратные интеграции, можно реализовать принцип эшелонированной защиты технологической сети — создать барьеры на каждом этапе проникновения злоумышленника. Вдобавок выполняется сразу 90 процентов технических мер Приказа №239 ФСТЭК России, который обязателен к исполнению для предприятий с объектами КИИ.
Второй принцип, подходящий для немедленной защиты, — это замкнутая среда. С помощью InfoWatch ARMA можно ограничить список операций только разрешенным перечнем, что лишает злоумышленника возможности проводить недопустимые действия. В итоге получаем сокращение поверхности и возможность предотвращения атаки — и все с помощью единой системы российской разработки.
