Не просто брандмауэр: обеспечение безопасности того, что важно для GEA

7 июля 2025 г.

Многие компании, в том числе и GEA, осуществляют обработку и хранение больших объемов конфиденциальных данных. При этом число связанных с нарушением безопасности инцидентов — от атак программ-вымогателей до физических вторжений и промышленного шпионажа — постоянно растет. Эффективная защита компанией GEA данных своих деловых партнеров, а также собственной конфиденциальной информации становится конкурентным преимуществом. Мы поговорили с Искро Молловым (Iskro Mollov), директором по информационной безопасности GEA, о том, что необходимо для защиты глобального бизнеса в нашем нестабильном мире.

Что такое информационная безопасность?

Искро Моллов (Iskro Mollov): В широком смысле информационная безопасность — это защита информации компании, включая в том числе и цифровые данные. Это может быть конфиденциальная информация о клиентах, поставщиках и деловых партнерах, а также собственная информация нашей компании, в частности, интеллектуальная собственность, наши финансовые и стратегические показатели, а также персональные данные наших сотрудников. Защита этой информации является, прежде всего, комплексной задачей управления. Ее цель — защита от хакерских атак, шпионажа, обеспечение соблюдения нормативных требований и положений договоров, защита критически важных систем и предотвращение любых перебоев в работе предприятия. Наши заинтересованные стороны по праву требуют гарантий безопасности своей информации не только в рамках ведения обычной деятельности, но и в случае возникновения таких чрезвычайных обстоятельств, как кибератаки или стихийные бедствия.

Как компания GEA обеспечивает информационную безопасность?

Искро Моллов: В GEA мы рассматриваем все области и функции в комплексе, чтобы определить риски для системы безопасности компании. Исходя из этого мы внедряем эффективные и действенные меры обеспечения безопасности. Информационная безопасность особенно актуальна для информационных технологий (ИТ), операционных технологий (ОТ), наших продуктов и процессов их разработки, работы в Интернете, физических активов и объектов, поставщиков и кадровых ресурсов (HR). Важно отметить, что безопасность связана со значительным культурным аспектом: по-настоящему защищенная организация должна создать культуру, в которой вопросы безопасности должны стать привычным делом для каждого сотрудника независимо от его или ее должности, т. е., она не должна рассматриваться в качестве прерогативы исключительно специалистов по обеспечению безопасности.  

Каковы ваши основные обязанности как директора по информационной безопасности (CISO) компании GEA и обязанности вашей команды? 

Искро Моллов: У меня есть три основные и взаимосвязанные обязанности. Первая обязанность — постоянный анализ и совершенствование управления информационной безопасностью в GEA. В нашей команде мы реализуем целый ряд мер для достижения этой цели. Сюда входит координирование работы наших систем управления информационной безопасностью (СУИБ (ISMS)) по всему миру, получение сертификатов безопасности и обеспечение нормативно-правового соответствия, а также контроль за управлением рисками нарушения информационной безопасности, обучением сотрудников, управление идентификацией и доступом, реагирование на инциденты в сфере безопасности, определение эффективности, проведение проверок элементов управления системой и испытаний на проникновение. Мы также регулярно тестируем наши цифровые системы и продукты путем имитации хакерских атак.

Во-вторых, это обеспечение непрерывности бизнеса. То есть, это обеспечение бесперебойности деятельности компании GEA даже в чрезвычайных обстоятельствах. Это включает в себя готовность к таким возможным нарушениям в функционировании нашего бизнеса, как действие программ-вымогателей, сбои в производстве и цепочке поставок, стихийные бедствия, утрата средств технического обеспечения, общественные беспорядки, пандемии или юридические проблемы.

В-третьих, это антикризисное управление. Корпоративные кризисы могут иметь различные формы. В частности, в прошлом было несколько кризисов в результате пандемии COVID и международных (военных) конфликтов. Один из актуальных сценариев, к которому мы усердно готовимся, — это, конечно же, атака вируса-вымогателя с глобальными последствиями. В конечном счете, антикризисное управление — это сложная и требующая значительных усилий задача, которая может включать в себя выполнение множества корпоративных функций, требующих огромных усилий по координации.  

Что представляет собой ваша команда?

Искро Моллов: Я бы сказал, ее представительство весьма разнообразно! Наша команда по обеспечению информационной безопасности, непрерывности бизнеса и антикризисному управлению состоит из высококвалифицированных специалистов со всего мира, обладающих обширным профессиональным опытом. В нее входя эксперты по различным аспектам безопасности, в частности, по физической безопасности, ИТ, ЭТ и безопасности продуктов, а также по управлению непрерывностью бизнеса, общему управлению безопасностью и управлению рисками. Их образовательный уровень также весьма разнообразен и включает степени в области технического проектирования, информационных технологий и делового администрирования.

Почему информационная безопасность так важна для успеха бизнеса сегодня?

Искро Моллов: Информационная безопасность раньше играла вспомогательную роль, а теперь это специализированная функция, обеспечивающая конкурентное преимущество в нашей отрасли. При правильном подходе эффективное управление информационной безопасностью может стать решающим фактором для привлечения новых клиентов. К сожалению, число киберинцидентов и случаев шпионажа растет. Например, в 2024 году девять из десяти организаций по всему миру столкнулись как минимум с одной атакой программ-вымогателей. А такие явления, как «программы-вымогатели как услуга», требуют всего нескольких долларов и минимальных усилий для осуществления потенциально разрушительной атаки. Почти все компании в сфере машиностроения и проектирования технологических процессов, а также многие другие организации законным путем праву используют возможности подключения, ИИ и облачные решения, чтобы пользоваться преимуществами цифровизации. Негативный аспект: Это сопровождается расширением фронта для атаки. Более того, глобальные цепочки поставок стали более уязвимыми, и все мы являемся свидетелями того, как за последние несколько лет геополитическая обстановка стала более нестабильной.

Кроме того, нормативно-правовая база также становится более сложной: Такие всеобъемлющие нормативно-правовые акты, как Закон об устойчивости к угрозам кибербезопасности и NIS2 в ЕС, напрямую адресованы операторам и строителям производственных объектов. GEA выполняет и ту, и другую роль. Мы не только используем собственные технические мощности, но и создаем установки и машинное оборудование для клиентов. Для нас это выгодное сочетание с точки зрения информационной безопасности: Благодаря этому мы получаем всесторонний реальный опыт в отношении широкого спектра требований, возможностей и потенциальных проблем во многих отраслях. Благодаря нашему уникальному опыту и знаниям мы можем предложить самые передовые и всегда индивидуальные решения в области информационной безопасности, соответствующие новейшим нормативным требованиям.

Заметили ли вы рост осведомленности и повышение спроса на информационную безопасность со стороны клиентов? 

Искро Моллов: Безусловно, эта тема продолжает становиться все более актуальной. Это отчетливо отражено в отзывах, которые мы получаем от коллег по продажам из наших подразделений и из регионов — все они подчеркивают растущую важность информационной безопасности при взаимодействии с клиентами. Клиентам нужна наша помощь для развития их бизнеса. Предоставление высокоэффективных средств управления безопасностью является ключом к завоеванию и сохранению доверия и позволяет компании GEA привлекать новых клиентов.

Почему сертификация является столь важной темой в области информационной безопасности?

Искро Моллов: Многие клиенты однозначно предпочитают иметь дело с компаниями, которые сертифицированы, например, по стандарту ISO/IEC 27001. Это международный стандарт для систем управления информационной безопасностью. В нем определены требования к созданию, внедрению, актуализации и постоянному совершенствованию комплексной системы управления информационной безопасностью в организации. И для все большего числа из них это становится обязательным условием. Наличие заслуживающих доверия сертификатов является стандартом в области информационной безопасности и предоставляет нашим клиентам объективное и прозрачное представление о строгих стандартах информационной безопасности, которых мы придерживаемся в GEA. Они выдаются исключительно ведущими проверяющими организациями, в нашем случае — немецким агентством TÜV Rheinland.

В 2021 году компания GEA прошла первую комплексную сертификацию по стандарту ISO/IEC 27001. Из года в год эта деятельность расширялась и стала охватывать все большее количество объектов и юридических лиц GEA. Последняя переаттестация, проведенная в 2024 году — на этот раз в соответствии с новейшей версией стандарта ISO/IEC 27001 2022 года — охватывает все виды деятельности на 53 объектах GEA по всему миру. Это важное достижение, поскольку ISO/IEC 27001 является ведущим международным стандартом для систем управления информационной безопасностью, широко признанным во многих отраслях. Наши производственные объекты и процесс разработки продукции также сертифицированы в соответствии с IEC 62443 2-1 и 4-1 — ведущими стандартами промышленной автоматизации и безопасности систем управления. Это также групповые «зонтичные» сертификации, в которые мы с каждым годом включаем все больше наших подразделений.

Вы добились значительного прогресса в сертификации. Что дальше?

Искро Моллов: Наша цель — пройти сертификацию безопасности всех соответствующих объектов и продуктов GEA к 2027 году в рамках нашей Глобальной программы обеспечения безопасности в GEA. Кроме того, для дальнейшего повышения наших рейтингов по международным стандартам ESG мы стремимся к концу 2025 года достичь охвата сертификацией более 75 процентов сотрудников. Еще одной приоритетной задачей является подготовка GEA к предстоящим изменениям в нормативно-правовом регулировании. Например, Закон ЕС об устойчивости к угрозам кибербезопасности (CRA) обяжет производителей обеспечивать кибербезопасность на протяжении всего жизненного цикла продукта, следуя строгим стандартам и подкрепляя это подробными требованиями к отчетности.

Но помимо этих международных тем еще более важным условием является поддержка наших клиентов и помощь им в повышении эффективности их защиты, обеспечение их нормативно-правового соответствия и готовности к будущим вызовам. Таким образом, с одной стороны, это предоставление безопасных продуктов и цифровых услуг GEA, а с другой стороны — это предоставление специализированных продуктов и услуг в сфере обеспечения безопасности в рамках предложения GEA, в частности, GEA Asset Care.

Каковы перспективы развития информационной безопасности в GEA в долгосрочной перспективе? 

Искро Моллов: Все просто: GEA неустанно стремится укреплять систему управления информационной безопасностью в целях содействия внедрению инноваций и укреплению доверия. Обладая высокой репутации в области «технического совершенства», мы хотим, чтобы и наши строгие стандарты в области информационной безопасности также стали ключевой причиной, по которой клиенты будут выбирать GEA. Мы вкладываем значительные ресурсы в развитие в этой области и поэтому могли бы использовать накопленный нами значительный опыт и в других отраслях. Мы находимся в сильной позиции благодаря сложности решаемых нами задач и законодательной среде, в которой нам приходится вести дела.