В мире найдется немного исследовательских институтов, сравнимых по масштабу и охвату с Европейской организацией ядерных исследований, ЦЕРН. Основанная в 1954 году 12 европейскими странами, Европейская лаборатория физики элементарных частиц расположена в швейцарском городе Мейрин, в кантоне Женева, хотя ее объекты простираются вдоль франко-швейцарской границы. Среди них — Большой адронный коллайдер (БАК), крупнейший в мире ускоритель частиц. Международное сотрудничество лежит в основе его создания: более 3500 человек составляют его постоянный штат. Небольшой городок расширяется до 17 000 человек, когда добавляется научный персонал из примерно 950 учреждений из более чем 80 различных стран, которые сотрудничают в проектах в центре. В этой самодостаточной экосистеме управление ИТ-рисками представляет собой сложную задачу.
«Главная проблема в том, что мы управляем огромной организацией», — объясняет Стефан Людерс, директор по информационной безопасности ЦЕРНа. «Мы являемся одним из самых важных исследовательских институтов физики частиц на планете. Мы делаем сложные и интересные вещи, что делает нас мишенью для атак со стороны различных сообществ». Он перечисляет несколько потенциальных угроз: скрипт-кидди или хакеры с базовыми знаниями, которые представляют потенциальный риск безопасности; программы-вымогатели или утечка данных; саботаж работы ЦЕРНа; шпионские действия и преступные группы, пытающиеся проникнуть через компьютеры или другие устройства.
«Именно здесь вступают в игру люди. Потому что у нас очень большое, разнородное и очень изменчивое исследовательское сообщество. Каждый год в организацию вступает много физиков. Они приходят и уходят, чтобы получить докторскую степень, проводить исследования в ЦЕРНе, а затем уходят», — описывает он, указывая на проблему «заботы об этом сообществе пользователей. Другая проблема — гибкий и быстро развивающийся мир ИТ». Это включает в себя программирование — импорт библиотек с открытым исходным кодом, их безопасность и т. д. — и ИИ. «Чем более сложным становится ИИ, тем больше вероятность того, что эти инструменты безопасности или атаки на основе ИИ попытаются проникнуть в организацию».
Обеспечение безопасности ЦЕРНа
Как обеспечить эффективную реализацию инициатив в области кибербезопасности, которые не нарушают научную работу? «Никак», — утверждает Людерс. «Кибербезопасность — это неудобно. Давайте посмотрим правде в глаза». Людерс сравнивает это с запиранием входной двери или использованием PIN-кода для снятия наличных в банкомате; это может раздражать, но необходимо. «Мы стараемся объяснить нашему сообществу, почему необходимы меры безопасности», — говорит он. «И если мы адаптируем наши меры безопасности к нашей среде, люди их принимают. Да, это немного усложняет исследования, но лишь немного».
Людерс настаивает на факторе исследовательской работы. «Мы не банк. У нас нет миллиардов долларов. Мы не военная база, а значит, нам не нужно защищать страну. Мы проводим исследования, что означает адаптацию уровня безопасности и уровня академической свободы, чтобы они шли рука об руку. И это постоянный разговор с нашим сообществом пользователей». Сюда входят как научные сотрудники, так и управление системами промышленного контроля, ИТ или человеческие ресурсы. «Чтобы решить эту задачу, важно разговаривать с людьми. Вот почему, я настаиваю, кибербезопасность — это очень социологический вопрос: говорить с людьми, объяснять им, почему мы это делаем».
Например, не все охотно используют многофакторную аутентификацию, потому что «давайте посмотрим правде в глаза, это мучение. Гораздо проще ввести пароль, да и кто вообще хочет вводить пароль? Вы просто хотите войти в систему. Но для защиты сегодня у нас есть пароли и многофакторная аутентификация. Поэтому вы объясняете людям, что вы защищаете. Мы говорим им, почему важно защищать их работу, а также результаты исследований. И подавляющее большинство понимает, что нужен определенный уровень безопасности», — говорит он. «Но это сложная задача, потому что здесь так много разных культур, разных национальностей, разных мнений и мыслей, разного происхождения. Это то, к чему мы постоянно пытаемся адаптироваться».
Использование проприетарных технологий может создавать риски, по словам Тима Белла, руководителя отдела ИТ-управления, рисков и соответствия ЦЕРНа, который отвечает за обеспечение непрерывности бизнеса и аварийное восстановление. «Если вы посещаете университет, вы захотите принести свой ноутбук и использовать его в ЦЕРНе. Мы не можем позволить себе удалять эти электронные устройства по прибытии на объект. Это было бы несовместимо с характером организации. Это означает, что мы должны иметь возможность внедрять меры безопасности типа BYOD».
Потому что в основе всего всегда остается совместный характер ЦЕРНа. «Академические статьи, открытая наука, свобода исследований — часть нашей сути. Кибербезопасность должна адаптироваться к этому», — отмечает Людерс. «В нашей сети 200 000 устройств, использующих BYOD». Как в этом случае применяется адаптация киберзащиты? «Это называется эшелонированной защитой», — объясняет директор по информационной безопасности. «Мы не можем ничего устанавливать на эти конечные устройства, потому что они нам не принадлежат, (…), но у нас есть мониторинг сети». Таким образом, даже если у вас нет прямого доступа к каждому устройству, вы получаете предупреждение, когда что-то делается вопреки политике центра, как на уровне кибербезопасности, так и в случае ненадлежащего использования, например, использования предоставленной ими технологии в личных интересах».
Эти меры распространяются и на устаревшие системы, которые организация способна усваивать, потому что у них достаточно устойчивая сеть, так что даже если одно оборудование будет скомпрометировано, это не повредит другим системам ЦЕРНа. Проблема устаревших технологий распространяется и на оборудование, необходимое для физических экспериментов, проводимых в центре. «Они защищены выделенными сетями, что позволяет сетевой защите вступить в действие и защитить их от любого злоупотребления», — объясняет Людерс. Об IoT-подключенных устройствах, не разработанных с учетом кибербезопасности, «проблеме для всех отраслей», Людерс говорит прямо: «Вы никогда не получите безопасность в IoT-устройствах». Его решение состоит в том, чтобы подключать их к сегментам ограниченной сети, где им не разрешено общаться ни с чем другим, а затем определять места назначения, с которыми они могут общаться.
Общая структура
Это часть более масштабной задачи: согласование ИТ- и OT-сторон, чтобы обеспечить непрерывность безопасности во всей организации. Задача, которая проходит через централизацию. «Сегодня OT-часть, системы управления в ЦЕРНе, используют ИТ-виртуализацию», — объясняет Людерс. «Стратегия состоит в том, чтобы объединить ИТ-специалистов и специалистов по управлению, чтобы специалисты по управлению могли использовать ИТ-сервисы в своих интересах. Технологический отдел предоставляет центральную систему с различными функциями для операций, а также для других областей организации, доступную через единую точку входа. «В этом сила централизации». Эта система также включает в себя новые инструменты, такие как инструменты ИИ в LLM, где у них есть рабочая группа, чтобы найти лучший способ их использования. «Мы стоим перед большим открытием, и позже мы централизуем его через центральную ИТ-службу. И так мы поступаем со всеми технологиями».
Подобно тому, как развиваются темы, которые они исследуют в ЦЕРНе, развивается и их структура ИТ-управления. По словам Белла, она не отстает от развития отрасли, рука об руку с аудитами, которые позволяют ей работать в соответствии с передовой практикой. «Часть управления становится более формальной. В целом все было хорошо организовано; оставалось только стандартизировать это и разработать вокруг этого политические рамки». Несмотря на установление этих стандартов, результат получается противоположным жесткому, объясняет Белл, который иллюстрирует это на примере недавнего аудита кибербезопасности, в котором ЦЕРН был оценен на соответствие одному из международных стандартов, что послужило повышению уровня зрелости. «Мы принимаем довольно гибкую политику ИТ-управления, учась на опыте других в принятии отраслевых стандартов».
(*) Имейте ввиду: редакции некоторых изданий могут придерживаться предвзятых взглядов в освящении новостей.
8/9
Автор – María Ramos Domínguez
