В условиях импортозамещения построение эффективной киберзащиты объектов критической информационной инфраструктуры требует дополнительных навыков и ресурсов. О характере основных киберугроз, способах и моделях противодействия вирусам шифровальщикам, возможностях SOC (Security Operations Center) и форматах предоставления на их базе услуг рассказал Егор Куликов, руководитель направления безопасности КИИ и АСУ ТП К2 Кибербезопасность.

– Какие киберугрозы сегодня наиболее актуальны для КИИ и АСУ ТП?

– Из года в год мы наблюдаем серьезный рост и усложнение киберугроз во всех российских компаниях. Промышленность входит в тройку наиболее атакуемых отраслей наряду с госсектором и финансами. В прошлом году количество наших проектов по защите КИИ и АСУ ТП увеличилось на 70%.

Основные угрозы – атаки на периметр и через цепочку поставок. Критичны не столько сами атаки, сколько именно лазейки, через которые можно проникнуть. Например, нелегитимные/забытые каналы удаленного доступа, что особенно актуально для промышленных предприятий.

В прошлом году активизировались вирусы шифровальщики. В наш SOC каждую неделю приходит по несколько заявок от заказчиков. Если шифровальщик попадает из корпоративной среды в производство, то оно просто встает. Для тех, у кого нет ручного управления, это максимально критично. 

– Как изменился за последнее время подход к обеспечению проактивной защиты от киберрисков и угроз объектов КИИ и АСУ ТП? 

– Несколько лет назад, когда мы приходили к заказчикам и обсуждали вопросы кибербезопасности, видели большое сопротивление со стороны специалистов по эксплуатации промышленных инфраструктур. Сейчас компании начали намного серьезнее подходить к вопросу информационной безопасности. Она встроилась в общую модель управления рисками бизнеса. 

Во-первых, большую роль играет ужесточение санкций за неисполнение требований законодательства в области КИИ. Здесь и большие штрафы, и даже уголовная ответственность для гендиректора и ответственных за кибербезопасность, если произошел инцидент, повлекший экономические риски или угрозу здоровья и жизни. Также необходимо учитывать то, что всех обязали проводить регулярный контроль защищенности. Это уже точно не про «бумажную» безопасность. Ну и, конечно, вызовы импортозамещения.

Во-вторых, из-за усложнения атак возросла доля инцидентов, которые направлены на нарушение деятельности организаций. Наиболее частое последствие ИБ-инцидентов в любой промышленности – простои в работе предприятия, что чревато очень большими финансовыми и репутационными рисками.

– Насколько последовательно осуществляется миграция с иностранных ИБ-решений на отечественные, с какими трудностями сталкиваются компании?

– Мы видим, что миграция активно продолжается, но далеко не все успели выполнить требования Указа Президента № 250 и полностью перейти на отечественные средства защиты информации к началу этого года. Согласно нашему прошлогоднему опросу рынка, больше половины (59%) субъектов КИИ еще летом понимали, что у них не хватит времени на полную замену зарубежных продуктов. Основными причинами называли все еще заметную нехватку отечественных аналогов иностранных ИБ-решений, отсутствие бюджета и других ресурсов для осуществления перехода, сжатые сроки и неготовность инфраструктуры.

При этом вопрос импортозамещения постепенно решается. Отечественные производители предлагают все больше решений. Появляются целые экосистемы для безопасности КИИ. Как показывает опыт реализации наших проектов, инфраструктура СОИБ может быть полностью импортозамещена.

Делать долгосрочные прогнозы очень трудно. На мой взгляд, полное импортозамещение потребует несколько лет. Все-таки это вопрос не просто быстрого перехода на отечественные решения, а построения эффективной киберзащиты именно КИИ. Инциденты в них могут повлиять не только непосредственно на организации, но и на очень большое количество людей. К тому же многие ждут более качественные аналоги зарубежных решений, чтобы не перестраиваться в будущем снова.

– Полтора года назад К2 Кибербезопасность вышла на рынок коммерческих SOC. Чем было обусловлено решение? Каков спрос на услуги SOC?

– Нашей целью было предоставить рынку востребованный и эффективный продукт с учетом вызовов: роста и усложнения киберугроз, ужесточения требований законодательства (особенно для КИИ), дефицита на рынке кадров, оптимизации бюджетов и многих других. В таких условиях компаниям трудно самостоятельно быстро трансформировать свои системы киберзащиты и инфраструктуру, оценивать и делать выбор в пользу решений тех или иных вендоров, а затем качественно их внедрять и настраивать, эффективно мониторить и своевременно реагировать на инциденты.

Мы предлагаем комплексное решение – SOC, куда входят и технологический стек, и налаженные процессы, и команда профессионалов с опытом работы в разных отраслях и широкой партнерской сетью.

Регулярно проводимые нами опросы рынка показывают, что мы сделали верный выбор. Согласно нашим данным, 83% корпораций считают SOC ответом на рост киберугроз.

Основными мотиваторами перехода к услугам центров мониторинга кибербезопасности называют оценку ИБ-рисков, опыт прошлых атак, требования регуляторов и оптимизацию ИБ-бюджета. 78% компаний, внедривших SOC, довольны эффективностью его работы, а именно непрерывностью мониторинга, оперативным выявлением инцидентов и реагированием на них.

– По каким моделям предоставляются услуги на базе SOC? Что вы рекомендуете заказчикам?

– Моделей SOC всего три: собственные, гибридные и MSSP. Собственные SOC – это дорогостоящее решение, требующее постоянного внимания и развития. Такой центр нельзя построить, единоразово внедрив технологические решения, например, SIEM и IRP. Нужны большие затраты на регулярное обновление оборудования и ПО, а также на персонал высокой квалификации. К тому же внедрение новых средств защиты информации всегда несет риски остановки прикладного оборудования и ПО, что особенно критично для промышленности. 

Мы предлагаем более простые по формату альтернативы – SOC по моделям MSSP и гибрид. MSSP-модель выбирают компании, стремящиеся найти готовое решение с предсказуемым бюджетом и получить сервис «под ключ»‎. Этот вариант подходит для крупных организаций и небольших предприятий, не имеющих собственной команды или достаточных ресурсов. Такую модель выбирают из-за прогнозируемых операционных расходов; делегирования провайдеру рисков, связанных с управлением оборудованием; отсутствия необходимости нанимать или обучать команду специалистов; гарантированного уровня обслуживания и т. д.

Для сравнения замечу, что создание и внедрение собственного SOC занимают от одного года, а по MSSP-модели – от одного месяца. 

Гибридную модель выбирают в ситуациях, когда внутренних ресурсов компании недостаточно для полноценного функционирования SOC, но есть желание сохранить определенный уровень контроля. Здесь могут быть самые разные варианты распределения ответственности между заказчиком и интегратором. Например, гибрид актуален, когда уже внедренная SIEM-система не справляется с задачами предприятия и необходима внешняя экспертиза для повышения ее эффективности.

– В последнее время возрастают требования к профессиональному уровню специалистов в сфере ИБ, в частности, в АСУ ТП. Как ваша компания наращивает собственную экспертизу, как организовано обучение команды SOC?

– Не секрет, что на рынке дефицит талантливых кадров во всех направлениях кибербезопасности. Многие растят специалистов с нуля чуть ли не со школьной скамьи. Или переквалифицируют ИТ-сотрудников в ИБ-специалистов. Оба варианта требуют времени и других ресурсов на обучение. Из-за этого компании не могут быстро найти нужные кадры и приходят к нам – интеграторам. Мы вырастили у себя специалистов, в том числе в сфере ИБ в АСУ ТП, и продолжаем эту практику.

В целом это непрерывный процесс, поскольку повышение квалификации должно быть регулярным в условиях постоянно появляющихся угроз и технологий. Имеются в виду, в частности, стандартные курсы по кибербезопасности, спецкурсы по управлению СЗИ.

Нам важны не только hard skills, но и soft. Например, наша команда специалистов техподдержки SOC прошла тренинг по коммуникации с заказчиками. Основная цель – научить ребят общаться с клиентами на одном языке, просто и быстро доносить важную информацию без непонятных им узкопрофильных терминов. Во-первых, это крайне важно в случае инцидента, когда каждая минута играет огромную роль, и все должны друг друга четко понимать. Во-вторых, это отлично сработало на повышении лояльности клиентов, которые воспринимают нашу команду как доверительный источник экспертизы в сложных процессах. Например, заказчики могут понять и оценить наши действия, даже если на их стороне нет ИБ-специалиста.