Привет Хабр! Меня зовут Константин Закатов, я работаю в «ПК Аквариус» директором департамента по информационной безопасности. Количество киберугроз растет, поэтому необходимо постоянно модернизировать и адаптировать подходы к защите оборудования на объектах критической информационной инфраструктуры (КИИ). Один из ответов текущие вызовы - внедрение встроенных механизмов безопасности.
В этой статье объясню, что представляют собой эти встроенные механизмы безопасности, и расскажу, в каком направлении они развиваются на примере решений нашей компании.
Компания «Аквариус» - вендор, который разрабатывает и производит широкий спектр ИТ-оборудования, а также реализует комплексные ИТ-проекты федерального масштаба, включая решения в области кибербезопасности. Мы - его сотрудники - видим, что вопросы безопасности становятся критически важными на каждом этапе жизненного цикла ИТ-систем. Мировой рынок давно использует различные встроенные и неотделимые механизмы, такие как TPM и проприетарные чипы безопасности. Давайте разберёмся, как добиться похожего уровня у нас в стране на практике.
Для построения надёжной и безопасной информационной инфраструктуры требуется соединить компетенции по разработке средств вычислительной техники и экспертизу в области информационной безопасности.
Годами мы жили в мире, где базовые инструменты информационных систем были придуманы и спроектированы вне нашего поля зрения. Мы потребляли только готовый продукт, зачастую не отвечавший требованиям отечественных нормативных документов. Однако, поступательное движение нашей нормативной базы по локализации разработки и производства даёт свои плоды – мы научились создавать гораздо больше сами, а не только пользоваться готовыми технологиями. Тем самым мы движемся в сторону технологического суверенитета.
Аналогию технологическому суверенитету можно найти в области продуктовой безопасности: множество требований регламентируют обязанность любых иностранных производителей локализовывать свою продукцию на территории нашей страны, будь то йогурт или сладости. Так почему же мы не должны в областях промышленности, которые имеют критическое значение для нашей страны, действовать схожим образом? И если лет 10-15 назад мы говорили о встраивании отдельных элементов безопасности в иностранную технику, потому что мы не обладали достаточными компетенциями, то сейчас нам под силу реализовать сложные, но крайне необходимые элементы «по умолчанию» в отдельных элементах инфраструктуры и обеспечить их жизненный цикл в рамках всей системы.