Спасибо большое за предоставленное слово! У нас в силу обстоятельств как раз получается, что доклады пойдут от общего к частному, потому что я, наверно, скажу немножко о настоящем и о будущем, где безусловно вопрос критической инфраструктуры будет стоять также остро, как и сейчас. Проблем будет больше, потому что изменится территория, наверно, на которой будет распространяться вопрос критической инфраструктуры.

Модно сейчас говорить о цифровой трансформации и, как правило, речь идет о создании каких-то новых возможностей, новые бизнесы. А я хочу показать именно вопросы цифровой трансформации немножко с другой стороны – именно под углом информационной безопасности, где как раз вся цифровизация, так скажем, больше приносит проблемы и ставит новые задачи, которые, если их не начать решать сейчас, то завтра может оказаться поздно.

Говоря о цифровой трансформации, мне, например, больше нравится все-таки терминология четвертой промышленной революции. Потому что цифровизация не только IT-технологии, речь идет о серьезных изменениях всего технологического уклада. И что немаловажно, это то, что меняется мировоззрение людей, психология, и те многие модели безопасности, которые уже годами отработаны, с ними придется потихонечку прощаться и создавать новые, т.к. иерархическая модель управления, которая не одно столетие функционировала, потихонечку уступает совершенно новым формам организации. Вы много слышали, наверно, про бирюзовые организации. Они пока, слава Богу, еще, может быть, в таком объеме не присутствуют, но технологии сыграли свое дело, чтобы именно самоорганизующаяся тенденция, она расширялась.

А также меняется бизнес-модель. Если мы говорим именно о промышленности, то, наверное, самые серьезные изменения могут коснуться это переход концепции продукт на сервис. Совершенно меняют все производственные циклы, изменяют, условно говоря, жизненный цикл изделия, изделие как таковое прекращает быть, становится сервисом, становится польза. То есть что это такое, это, конечно, для многих будет вопрос, но тенденция есть. Даже уже сейчас можно видеть, что многие автопроизводители планируют переход на выпуск, уже не продавать автомобили, а продавать фактически часы передвижения, и вы покупаете не автомобиль, а именно удобство передвижения. Уже через несколько лет, уже некоторые фирмы анонсировали, т.е. это не так далеко, как нам кажется.

Как у нас оказывает влияние на информационную безопасность? Здесь как раз ближе, наверное, все-таки уже информационная технология. Гибкие подходы к созданию продуктов – Agile сейчас не только уже в разработке, но уже многие бизнес строят, бизнес Agile. DevOps тоже достаточно слово вначале было очень модным, сейчас очень многие переходят на эту модель и как туда встроить информационную безопасность, если даже айтишники с трудом между собой совмещают циклы разработки и циклы эксплуатации, а всегда между ними, условно говоря, метры воздуха и вопросы безопасности всегда решались там достаточно жестко. Как делать гибко, не так просто, как кажется на первый взгляд. Более того, готовых решений у айтишников нет, их надо разрабатывать совместно.

Переход на облачные решения, микросервисная архитектура – это все то как раз, где, с одной стороны, это может создавать новые сложности, а с другой стороны, дает действительно новые возможности для решения вопросов информационной безопасности. Предоставление именно сервисов информационной безопасности, встраиваемых и в платформы, на мой практический опыт, который вначале был теоретическим взглядом, потом практическим, только в таком случае возможны эти все гибкие подходы. Иначе дело кончается, к сожалению, очень плохо, большими ущербами либо крахами. И когда речь идет в том числе о надежности и доступности встраиваемых сервисов, то здесь уже говорить не приходится.

Здесь как раз изменение продукта и сервиса почему важно еще для промышленности? Традиционно вовлеченность IT в сам продукт низка, за исключением некоторых специфических изделий. А когда говорим о переходе на продукт именно как сервис, то именно насыщенность IT-сервисами, условно железяк, конфигурирует, скажем так, новую ценность, и именно вариации эти IT-сервисов зачастую будут и формировать качество, удобство. Опять же тот же автомобиль уже давно знаем, что двигатель и прочее почти у всех одинаковые, а именно сервисы навигации, автопилот и т.д., они будут определять то, что мы называем удобство.

И что же нам теперь делать с IT-безопасностью, со всем. Такой, конечно, я употребил вульгарный термин – прикручивание к встраиванию. Именно, к сожалению, уж так сложилось, что создание IT-продуктов строго сказано, что вначале сделать собственно без защиты, покажите, что вы хотите, а дальше будем вместе думать, как их защищать. Либо встраивайте, как вам видится, но это встраивание в силу имеющихся средства тоже выглядело как некое прикручивае.

Если сейчас не встраивать сервиса безопасности в IT-сервисы, что называется, by design, то и IT-сервис не взлетит, потому что в нем как раз все его качества, именно сервис ориентированные архитектуры, гибкость, ориентирование на продукт. Если в нём будет «зашита» жесткая структура безопасности, то это, наверное, на этом всем поставится крест. Все равно что в современном каком-то здании с Open Space наставить железобетоных перегородок, весь Open Space пойдет крахом.

Поэтому именно перестраивание организаций. Как это делать? Это на словах достаточно легко, повторяю, на своей практике это очень сложно организовать. Менталитет людей сопротивляется с обеих сторон – и IT, и безопасность. И необходимы огромные усилия руководителей, для того чтобы, как называется, создать серьезное принуждение к миру и совместному движению на самом начале, когда идет концептуальный дизайн, когда только появляется идея, что мы хотим создать. Здесь нужно думать вместе с безопасностью. И если так подходить, то очень многие решения, IT-решения, начинают носить двойной характер. Они используются и айтишниками, и их же качества используются безопасностью, и никаких неудобств как со стороны пользователей, так со стороны эксплуатационных служб не создается. И все качества именно гибкости остаются в полном объеме, но при этом уровень защиты очень высокий, т.е. максимально необходимый, который требуется изначально.

Когда я говорил в начале, что мы расширяем, как называется, плацдарм, как раз когда у нас продукт станет сервисом и он выйдет за границы, которые мы можем контролировать физически, по средам, ограниченное, не знаю, предприятиями или еще какой-то территорией, она существенно расширяется и мы должны тоже ее контролировать. Потому что то, как этот сервис функционирует, как его употребляют, в это мгновение и формируется качество, и мы должны знать, как оно работает. Поэтому де-факто это критическая инфраструктура распространяется на достаточно глобальный уровень, и все средства самых умных вещей, умная инфраструктура, мы должны научиться в ней строить защищенную инфраструктуру.

Когда говорим «Облака», все говорят: «Это не надежно», и употребляют в первую очередь публичные имеющейся сейчас «Облака». Но никто не запрещают строить закрытые «Облака», частные «Облака», защищенные специальные «Облака», специального назначения. «Облака» - это всего лишь жаргон, который позволяет вам использовать IT гибко, масштабировать и создавать новые продукты быстро. Но пока этот термин скорее не всегда безопасно. Задача как раз цифровой трансформации сделать это безопасно.

Это достаточно сложно и, к сожалению, и решений мало, да еще и не все решения реально апробированы, многие только на бумаге, и сделать это можно только сообща. Как раз задача рабочей группы именно найти подходы, как применить те наработки, которые сейчас существуют во всем мире – что за рубежом, что у нас, что именно подходит. Как видится развитие той или иной отрасли и какие цели и задачи ставятся перед предприятием, какими мы обладаем знаниями.

На самом деле, как показало уже даже небольшое общение, очень много у кого наработаны так называемые test practice, кто уже это проходил и те или иные решения применял. Так вот, даже обмен мнениями хорошо показать, как это сделано, это очень большая польза. Также это помогает выстраивать естественно взаимоотношения с подрядчиками, что нам нужно и лучшие продукты предоставляются, и безусловно с регуляторами. Потом что всегда если отрасль регулируема хорошо и здесь диалог с регуляторами о том, что понадобится завтра или что регулятор планирует завтра и как мы будем это реализовывать. Здесь очень важен трехсторонний диалог регулятора, потребителя и производителя и здесь очень важно иметь консолидируемую позицию.

Поэтому, что называется, welcome в нашу рабочую группу. Будем рады видеть представителей и информационной безопасности, и IT-служб, делиться опытом и совместно вырабатывать, что называется, дорогу в цифровое будущее.

Спасибо!