Защита по-японски: как Mitsubishi Electric выстраивает информационную безопасность

Редакция SecPost представляет краткий обзор корпоративного отчета «Mitsubishi Electric Information Security Report». Документ раскрывает, как компания строит комплексную систему информационной безопасности — от защиты данных и продуктов до обеспечения устойчивости производственных площадок. Особое внимание уделено международным стандартам, управлению рисками и формированию культуры безопасности во всех подразделениях группы, включая зарубежные филиалы. Полная версия отчёта доступна по ссылке.

Кибербезопасность как стратегическая цель

Mitsubishi Electric рассматривает защиту информации как стратегическую задачу и часть корпоративной ответственности. На фоне усложнения кибератак компания усилила систему управления безопасностью, объединив все функции в единое подразделение, подчиненное президенту. Оно отвечает за защиту данных, ИТ-систем и продуктов, а также координирует работу команд CSIRT (Computer Security Incident Response Team — реагирование на инциденты информационной безопасности) и PSIRT (Product Security Incident Response Team — реагирование на уязвимости в продуктах и сервисах).

В развитие инфраструктуры вложено более 50 млрд иен, что отражает долгосрочную политику компании по укреплению корпоративной устойчивости и повышению уровня зрелости киберзащиты.

Безопасность выстраивается по циклу «Планируй-Выполняй-Проверяй-Действуй» (PDCA) — через внутренние регламенты, обучение сотрудников и регулярные проверки. Меры адаптированы к международным требованиям, включая EU Cyber Resilience Act, и распространяются на зарубежные филиалы, формируя единый стандарт корпоративной защиты.

Управление и стандарты

Система управления безопасностью Mitsubishi Electric охватывает организационные, технические, кадровые и физические меры. Эффективность контролируется по циклу PDCA через самопроверки, взаимные аудиты и централизованный анализ результатов. Такой подход обеспечивает единый уровень защиты во всех подразделениях группы, включая зарубежные.

Политика компании закреплена внутренними регламентами, охватывающими защиту корпоративной информации, персональных данных, использование мобильных устройств и безопасность цепочек поставок. Все документы регулярно пересматриваются с учетом изменений законодательства и практики.

Особое внимание уделяется защите персональных данных. Mitsubishi Electric руководствуется принципами законности, прозрачности, минимизации и privacy by design, сертифицирована знаком PrivacyMark и соблюдает международные требования — GDPR (General Data Protection Regulation, Общий регламент ЕС о защите данных), китайский Personal Information Protection Law и японский My Number Act. Передача данных подрядчикам допускается только после заключения NDA и проверки их мер безопасности.

Технологическая и физическая защита

Mitsubishi Electric применяет принцип «глубокой обороны» (Defense in Depth), объединяющий три уровня защиты: сеть, конечные устройства и серверы. На сетевом уровне используется фильтрация почтового и веб-трафика, на терминальном — антивирус, регулярные обновления и система EDR (Endpoint Detection and Response), а серверы и облака проходят периодические проверки уязвимостей и шифруются по принципу наименьших прав доступа.

За реагирование на инциденты отвечает корпоративная команда MELCO-CSIRT, которая отслеживает атаки, оценивает ущерб и координирует восстановление систем. Для удаленной работы внедрены VPN и многофакторная аутентификация, а запуск корпоративных сайтов возможен только после тестов безопасности и регулярных инспекций.

Физическая защита строится на многоуровневом контроле доступа — от внешней территории до помещений с критически важной информацией. Идентификация осуществляется по ID-картам, что снижает риск несанкционированного проникновения. Эффективность мер регулярно оценивается и включается в цикл PDCA для дальнейшего совершенствования.

Безопасность продуктов и сервисов

Для обеспечения безопасности выпускаемых решений в Mitsubishi Electric действует команда PSIRT, отвечающая за выявление и устранение уязвимостей в продуктах и сервисах. Она координирует работу с подразделениями разработки и поддержки, публикует уведомления о рисках и обучает сотрудников безопасным практикам.

PSIRT работает как на корпоративном уровне, так и в бизнес-группах и на производственных площадках. С 2020 года команда сертифицирована как CVE Numbering Authority, что дает право присваивать уязвимостям продуктов Mitsubishi Electric уникальные идентификаторы CVE и раскрывать информацию в международной базе.

Компания синхронизирует процессы с глобальными нормативами, включая EU Cyber Resilience Act, чтобы обеспечить соответствие требованиям разных стран и сохранить доверие клиентов и партнеров к качеству своих решений.

OT-безопасность и цифровые фабрики

Распространение IoT и цифровизация производств сделали заводские сети уязвимыми для атак, ранее невозможных в изолированных средах. Mitsubishi Electric создала специализированную группу по OT-безопасности, которая разрабатывает меры защиты на основе модели Purdue (Purdue Reference Model — архитектура, разделяющая промышленные сети на уровни для построения систем защиты и управления доступом). Она делит производственную инфраструктуру на уровни — от корпоративных ИТ-систем до контроллеров оборудования — и определяет требования безопасности для каждого из них.

В основе подхода лежит международный стандарт IEC 62443-2-1 (Industrial communication networks – Network and system security – Part 2-1: Requirements for an Industrial Automation and Control System Security Management System), определяющий требования к управлению безопасностью промышленных автоматизированных систем. На практике это означает фильтрацию трафика через межсетевые экраны, выделение DMZ-зон, защиту терминалов и использование VPN-каналов для внешних подключений. Такие меры снижают риск распространения атак внутри производственных сетей и повышают устойчивость заводов к цифровым угрозам.

В компании отмечают, что переход к открытым средам, где операционные технологии взаимодействуют с ИТ-системами и облаками, требует постоянного мониторинга и обучения персонала. OT-безопасность становится неотъемлемой частью корпоративной стратегии киберустойчивости.