Российский рынок кибербезопасности сильно изменился в последние годы. Теперь даже самые подготовленные компании не могут чувствовать себя в безопасности. В группе риска, в том числе, и энергетические компании — для них ущерб от кибератак может быть очень чувствительным. О том, как решить проблемы обеспечения кибербезопасности, рассказал Дмитрий Балдин, заместитель директора департамента информационных технологий и цифрового развития «РусГидро».
SecurityLab: Как события последних нескольких лет отразились на российской информационной безопасности? Насколько сильны произошедшие изменения?
Дмитрий Балдин: Для взвешенной оценки произошедших за последние 2-3 года изменений можно вспомнить, как развивалась отечественная отрасль ИБ в течение последних, скажем, десяти лет. Если говорить о состоянии области российской кибербезопасности образца 2012-2013 года, то это в подавляющем большинстве случаев был рынок западных производителей, а его размеры были в разы меньше.
События 2014 года стали поворотным моментом и в понимании важности современной кибербезопасности на государственном уровне, и в формировании тенденции на импортозамещение. Стало очевидно, что необходимо купировать санкционное давление и предотвратить возможные негативные последствия от действий зарубежных поставщиков разнообразной продукции, включая ПО и средства защиты информации. С тех пор в российских сегментах ИБ и ИТ появились и новые игроки, и новые услуги, но главное — решения, которыми можно замещать достаточно сложные импортные продукты, которые разрабатывались, продвигались, использовались годами.
В итоге, к моменту начала пандемии проекты по импортозамещению, подстегиваемые законодательными требованиями, во многих крупных компаниях уже были завершены, поэтому экстренную ковидную цифровизацию бизнес-процессов выстраивали уже на российских технологиях. К началу 2022 года отечественные компании условно разделились на те, которые выстроили фундамент информационной инфраструктуры на российских решениях, и на те, кто продолжал использовать импортные решения. Яркий пример — системы видеоконференцсвязи и совместной работы: кто-то использовал условные Cisco Webex и Microsoft Teams, а кто-то — TrueConf и eXpress.
Однако, весной 2022 года сделавшие ставку на зарубежные решения столкнулись с уходом вендоров, отказами в предоставлении технической поддержки и обновлений, с невозможностью продлить лицензии. В итоге, потребовалось срочно формировать планы по импортозамещению всей инфраструктуры, включая системы кибербезопасности. Те же, кто вел планомерную работу по внедрению отечественных решений на замену импортным, оказались более устойчивы к сложившимся обстоятельствам, а также продемонстрировали более высокий уровень готовности к отражению массовых кибератак, волна которых захлестнула нашу страну. В «РусГидро» к началу 2022 года мы импортозаместили практически 100% зарубежных ИБ-продуктов и уже успешно эксплуатировали российский решения в нашем SOC-центре, поэтому противостояли компьютерным атакам в соответствии с выстроенными планами реагирования, используя отечественные СЗИ.
SecurityLab: Какие главные драйверы кибербезопасности можно выделить в промышленном секторе отечественной экономики?
Дмитрий Балдин: Традиционными глобальными драйверами кибербезопасности являются законодательные требования и необходимость снижения киберрисков, но в случае с отечественным промышленным сектором они дополняются необходимостью замены средств защиты для обеспечения безопасности производства при переходе на отечественное оборудование и программное обеспечение. Последний фактор можно назвать уникальным для мировой кибербезопасности, поскольку случай, когда в сжатые сроки требуется заменить одновременно и ПО, и СЗИ на промышленном оборудовании с минимизацией простоев, является прецедентным. Как известно, в соответствии с указом Президента РФ №166 от 30.03.2022 для госкомпаний вводится запрет на использование иностранного софта, в том числе в составе ПАК, на значимых объектах КИИ уже с 1 января 2025 г.
Кроме того, указ Президента РФ №250 от 01.05.2022 вводит запрет на использование госорганами, госкомпаниями и субъектами КИИ средств защиты информации из недружественных стран — такой запрет начнет действовать также с 1 января 2025 г. Таким образом, для промышленных компаний, которые являются субъектами КИИ, установлены достаточно сжатые сроки, в рамках которых требуется полностью заменить ПО и СЗИ, не останавливая при этом своей деятельности и обеспечивая непрерывность поставок продукции на фоне значительно возросшего спроса.
При этом не следует забывать, что риски реализации кибератак на субъекты КИИ по-прежнему высоки: атакующие перешли от тактики проведения массовых неизбирательных кибернападений к более сложным многоходовым целевым кибероперациям, в рамках которых могут быть атакованы подрядчики и поставщики оборудования, ПО, СЗИ. Последствия успешных атак могут разниться от причинения максимального ущерба организации и вывода из строя оборудования до кибершпионажа и вымогательства.
SecurityLab: Каковы особенности обеспечения информационной безопасности в энергетической отрасли?
Дмитрий Балдин: Для энергетического сектора характерны все те же вызовы, что и для промышленности в целом, однако есть и определенные особенности: генерирующие компании должны в непрерывном режиме обеспечивать устойчивое энергоснабжение и качество электроэнергии для потребителей, включая промышленные объекты, не допускать энергодефицита, контролировать состояние оборудования для предотвращения поломок и выхода их строя компонент, которые пока что не замещены и для которых невозможно оперативно найти альтернативу.
Оборудование западных компаний, таких как Siemens или General Electric, достаточно закрыто с точки зрения встроенного ПО, что означает возможность несанкционированного удаленного подключения со стороны производителя, сложности при устранении ошибок и неисправностей ПО самостоятельно в отсутствии поддержки вендора, необходимость использования наложенных отечественных СЗИ вместо применения встроенных функций безопасности, заложенных производителем. Удаленная деактивация или вывод оборудования из строя со стороны производителей или проправительственных атакующих сообществ могут привести к производственным авариям, техногенным катастрофам, угрозе здоровью и жизни граждан. Кроме того, как и в любой отрасли промышленности с высокой долей цифровизации, следует учитывать особенности OT-инфраструктур (технологические протоколы, специализированное оборудование, IIoT-устройства, географическую распределенность), нарастающую конвергенцию ИТ и OT на предприятиях, а также расширяющееся использование технологий создания цифровых двойников технологических процессов, внедрение систем искусственного интеллекта и технологий обработки больших данных, применение пограничных вычислений на производстве.
В энергетическом секторе, в частности, как и в промышленности в общем, фокус ИБ направлен в первую очередь на обеспечение надежности и отказоустойчивости производственных процессов, поддержание непрерывности и киберустойчивости технологических операций, обеспечение кибербезопасности используемых технологий, оборудования и программного обеспечения, в том числе в составе ПАК.
SecurityLab: Сейчас много говорят о неизбежности кибератак и необходимости сфокусироваться на снижении ущерба от неминуемых киберинцидентов. Вы согласны?
Дмитрий Балдин: Изменения, которые мы наблюдаем в российском ландшафте киберугроз, красноречиво говорят о большой доле вероятности реализации успешной кибератаки даже в отношении самой подготовленной и защищенной компании. Этому есть ряд объяснений: организованные кибергруппы, координируемые правительственными органами различных стран для нападений на российские организации, ищут и применяют все более сложные вектора атак, которые включают в себя продвинутую социальную инженерию и атаки на цепочки поставок, а также всё шире используют технологии машинного обучения и искусственного интеллекта для эффективного поиска уязвимостей, разработки скрытного ВПО, быстрого закрепления, горизонтального перемещения и нанесения максимального ущерба атакованным компаниям.
Мы анализируем крупные киберинциденты, лишь часть из которых освещается в прессе, и видим, что успешные кибератаки на продвинутые организации развиваются, как правило, последовательно, и в течение определенного времени (от нескольких десятков минут до нескольких часов) у команд реагирования и у SOC-центров есть возможность минимизации ущерба от кибернападения. При этом подход, который подразумевает, что любая инфраструктура рано или поздно будет скомпрометирована, совсем не означает, что от традиционных предупредительных, директивных, превентивных и компенсирующих мер нужно отказываться — они помогают снизить вероятность успешной кибератаки и минимизировать ущерб, однако должны быть дополнены сдерживающими, корректирующими, восстановительными, расследовательными контрмерами.
Деятельность команд реагирования на инциденты ИБ и SOC-центров сфокусирована на эффективном обнаружении, анализе, сдерживании и устранении киберинцидентов, а также на восстановлении после кибератак, что позволяет снизить ущерб от успешного кибернападения за счет своевременного выполнения действий в соответствии с заранее разработанными сценариями реагирования. Наш распределенный корпоративный SOC-центр не только занимается реактивным реагированием на киберинциденты, но и обеспечивает эффективное выявление киберугроз за счет процессов инвентаризации активов, управления уязвимостями, мониторинга событий ИБ и управления инцидентами ИБ, управления данными о киберугрозах, повышения ИБ-осведомленности работников компаний, входящих в структуру «РусГидро», а также за счет предоставления отчетности и ситуационной осведомленности руководителям.
SecurityLab: Построение SOC-центра в географически распределенной группе компаний сопряжено с рядом вызовов. Как их преодолеть?
Дмитрий Балдин: Дочерние предприятия «РусГидро» географически распределены и находятся почти во всех часовых поясах, поэтому решение о построении распределенного SOC было логичным. Основными преимуществами распределенного центра мониторинга являются возможность круглосуточного мониторинга инфраструктуры и реагирования на инциденты без формирования крупных круглосуточных дежурных смен, повышение отказоустойчивости процессов и технологий за счет задействования разных физических площадок, а также возможность привлечения ИБ-специалистов из различных регионов страны, у каждого из которых есть своё понимание и видение ситуации, что вносит значимый положительный вклад в совместную работу команды.
К счастью, при построении распределенного SOC-центра уже не возникает сложностей в подборе подходящих СЗИ: решения для распределенных команд присутствуют на рынке, зрелые вендоры прислушиваются к запросам и пожеланиям подобных заказчиков, продукты позволяют выстроить совместную продуктивную работу различных групп сотрудников, обеспечить их эффективное взаимодействие и оперативный обмен информацией.
В распределенном SOC-центре важнее корректно выстроить внутренние процессы, обучить и замотивировать сотрудников, обеспечить взаимодействие со смежными подразделениями для получения релевантной информации и событий ИБ. Работу с последним аспектом — потоком данных — также следует заранее обдумать, поскольку в современных инфраструктурах генерируется огромное число событий ИБ, и при детально настроенном журналировании, особенно на географически удаленных площадках, неизбежно встанет вопрос пропускной способности каналов связи для передачи информации в системы SIEM и SOAR. В подобных случаях, как правило, рекомендуется осуществлять хранение и первичную обработку сырых данных как можно ближе к источнику, отправляя в модуль корреляции уже очищенные и нормализованные события ИБ.
С точки зрения выстраивания внутренних процессов распределенный SOC должен подчиняться определенной иерархии, в рамках которой распределенные команды реагирования работают по разработанным аналитиками головного SOC регламентам и процедурам, учитывающим специфику дочерних учреждений, но по возможности не содержать различных исключений. С точки зрения управления персоналом важно, чтобы руководство SOC-центра предоставляло распределенным командам поддержку, координировало их действия, а также сообщало контекст ставящихся задач для более детального понимания ситуации. Сотрудники на местах не должны чувствовать оторванность от головного SOC, к их идеям и предложениям следует внимательно прислушиваться. При этом требования к ним не следует занижать — правила должны быть едиными для всех. Кроме того, программы внутреннего обучения и повышения квалификации обязательно должны охватывать распределенные команды — это прекрасная возможность не только приобрести знания и опыт, но и укрепить социальные связи в команде за счет личного общения во время обучения.
SecurityLab: Какие решения используются в вашем центре мониторинга? Как много среди них отечественных и Open Source решений?
Дмитрий Балдин: Мы используем как классические средства защиты, так и ряд инновационных решений. Так, в работе нашего SOC используются антивирусные решения, межсетевые экраны, системы обнаружения и предотвращения вторжений, системы анализа трафика и выявления сетевых аномалий, решения для сегментирования сетей, системы для сбора и корреляции событий ИБ. Кроме этого, мы используем ряд продвинутых продуктов от компании Security Vision: SOAR-решение для автоматизации управления киберинцидентами и взаимодействия с НКЦКИ (ГосСОПКА), платформу для автоматизации управления активами, уязвимостями, соответствия внутренним и законодательным (187-ФЗ) требованиям в части ИБ, проведения аудитов и самоаудитов.
SOAR-система позволяет автоматизировать и систематизировать работу нашего распределенного SOC-центра, повысить скорость реагирования на киберинциденты и тем самым снизить ущерб от успешных кибератак, упростить работу по управлению многочисленными активами, упорядочить процессы управления уязвимостями, а также соблюдать строгие законодательные нормы в части скорости и формата оповещения НКЦКИ через систему ГосСОПКА при обнаружении киберинцидента.
Кроме того, мы поддерживаем сотрудничество с другими отечественными вендорами, такими как «Касперский», Positive Technologies, «Ростелеком Солар», пилотируем различные новые решения, даем обратную связь, дорабатываем продукты совместно с производителями — это наш вклад в дело разработки качественных российских СЗИ.
Что же касается Open Source решений, то ситуация с ними неоднозначная: с одной стороны, данные продукты многими воспринимаются как быстрый способ заместить зарубежный софт, с другой — миф о большей безопасности Open Source по сравнению с проприетарным ПО постепенно развеивается. Современные векторы атак, прежде всего через цепочки поставок и через прокси-агентов (скомпрометированных подрядчиков и аутсорсеров), заставляют по-новому взглянуть на типовой Open Source продукт. Множество программных зависимостей, поддерживаемые лишь энтузиастами пакеты, разнообразие дистрибутивов, не всегда достаточные внутренние компетенции для администрирования ОС семейства Linux.
Широкое применение различных Open Source решений, а тем более быстрый вынужденный переход на них, в конечном счете приводят к увеличению поверхности атаки на организацию: недостаточно безопасные конфигурации по умолчанию, ошибки при настройке и тонком тюнинге, использование кода проектов, которые не поддерживаются авторами и не получают должных обновлений безопасности, закрывающих обнаруженные энтузиастами уязвимости.
Кроме того, известны факты внедрения вредоносного функционала в код Open Source продуктов, когда либо атакующие получали административный доступ к Git-репозиторию путем компрометации учетной записи разработчика или втирались в доверие к авторам и становились официальными соавторами решений, либо сам автор, движимый определенной мотивацией, бесконтрольно внедрял в свой код вредоносные функции, которые срабатывали при заданных условиях. Поэтому к широкому применению Open Source решений, по крайней мере, в промышленном секторе, мы пока что относимся скептически.
SecurityLab: Дефицит кадров в кибербезопасности, как и в других отраслях, становится всё острее. Как найти и удержать ИБ-специалистов?
Дмитрий Балдин: Проблема недостатка квалифицированных кадров сейчас действительно характерна для многих отечественных отраслей, но именно в ИБ дефицит стал хроническим. И на это есть ряд объективных причин: профессия достаточно новая, учебные программы в вузах не везде актуальны, выпускникам приходится некоторое время (1-2 года) доучиваться на рабочем месте, а опытные профессионалы получают множество заманчивых предложений, при этом склонны к быстрому выгоранию из-за повышенной рабочей и психологической нагрузки.
Относительная новизна профессии является причиной еще одной сложности для ИБ-специалистов, характерной прежде всего для небольших компаний, в которых считают, что кибербезопасник должен разбираться сразу во всех аспектах ИБ: комплаенс, разработка внутренних документов, настройка СЗИ и харденинг ОС, предотвращение утечек и кибератак, проведение awareness-тренингов.
К счастью, с учетом повышенного внимания к проблематике защиты информации, в том числе на государственном уровне, в большинстве организаций уже не нужно обосновывать необходимость создания ИБ-подразделения или введение должности специалиста по кибербезопасности в штатное расписание. Однако, зачастую в компаниях упускают из вида еще один фактор, который напрямую влияет на степень удовлетворенности ИБ-специалиста своим местом: психотип специалиста должен соответствовать направлению кибербезопасности, которым он занимается. Например, кому-то комфортнее в спокойной обстановке разрабатывать политики и регламенты по ИБ, кому-то больше нравится тесное взаимодействие с ИТ-специалистами для защищенной настройки операционных систем и сетевых устройств, безопасной разработки ПО и устранения уязвимостей, а кому-то нравятся движуха и адреналин при реагировании на киберинциденты — такой человек не растеряется в стрессовой ситуации и будет более эффективен, чем тот, кто склонен к более размеренной работе. В общем-то, именно поэтому в большинстве SOC-центров и в крупных департаментах ИБ практикуется разделение специалистов по разным уровням реагирования (классические L1/L2/L3) и по командам (Red/Blue/Yellow Teams) — профиль работы определяется не только компетенциями, но и предрасположенностями члена команды.
Для удержания толковых специалистов следует не только обеспечить достойную материальную компенсацию и создать комфортную рабочую среду, но и предложить работникам возможность смены направления, например, перейти из команды «синих» в команду «желтых», заняться киберразведкой вместо написания политик, попробовать себя в расследовании киберинцидентов и форензике. Поиск же новых специалистов можно вести не только на рынке, но и среди внутренних кандидатов — возможно, кто-то из ИТ-департамента давно помогает вашему подразделению и с удовольствием примет предложение присоединиться. Кроме того, встречаются случаи, когда в ИБ приходят люди с юридическим или финансовым бэкграундом, специалисты по рискам или сотрудники физической безопасности — если у них есть способности и желание развиваться.
SecurityLab: Искусственный интеллект проникает всё глубже во многие сферы, и кибербезопасность — не исключение. Как вы считаете, насколько целесообразно применять системы ИИ уже сейчас?
Дмитрий Балдин: Перспективные технологии зачастую используются по обе стороны баррикад — и для защиты, и для нападения. В случае с технологиями машинного обучения и искусственного интеллекта можно вспомнить, что злоумышленники начали их применять уже более 10 лет назад для подделки голосов и изображений и проведения фишинговых атак, для обнаружения наиболее коротких и эффективных векторов атак, для поиска наименее защищенных объектов в атакованной инфраструктуре для дальнейшего горизонтального продвижения. Производители средств защиты, разумеется, также следили за трендами и начали использовать системы ИИ для обнаружения аномалий, отклонений в трафике, утечек данных, распознавания текста в изображениях.
В настоящее время компоненты систем ИИ встраиваются уже в операционные системы и средства разработки ПО, а для использования ChatGPT версии 3.5 даже не нужно регистрироваться — работа с ним доступна любому. Можно с уверенностью утверждать, что развитие систем ИИ будет и дальше активно идти, поэтому целесообразно внедрять решения, поддерживающие машинное обучение и системы ИИ — сами ML-модели будут и дальше совершенствоваться, но их поддержка на архитектурном уровне должна присутствовать уже сейчас.
Что касается СЗИ, то поддержка ИИ активно внедряется в отечественных продуктах - для выявления инцидентов, обнаружения сетевых аномалий, выдачи рекомендаций и советов специалистам, составления отчетов, роботизации рутинной деятельности. Это помогает частично смягчить текущий дефицит кадров, однако, до полной автоматизации кибербезопасности еще далеко. Скорее, системы ИИ будут помогать специалистам делать больше и быстрее с использованием тех же ресурсов.
SecurityLab: Какие киберугрозы могут стать актуальными в ближайшие 1-2 года? Можно ли как-то подготовиться?
Дмитрий Балдин: Всё более широкое применение систем ИИ атакующими несет определенные вызовы, а тренд на автоматизацию киберпреступной активности скорее всего будет возрастать. Уже сейчас злоумышленники активно применяют ИИ для фишинга, создания и распространения ВПО, эффективного анализа похищенной информации. Вероятно, в дальнейшем мы увидим более широкое применение пентест-фреймворков (которыми часто пользуются хакеры) со встроенными движками ИИ для автоматизации нападений, таких как PentestGPT, BurpGPT, DarkBERT, DarkBART, которые уже сейчас демонстрируют пугающую эффективность. Вероятно, с ростом производительности систем ИИ атакующие будут все шире использовать их для атак с помощью методов социальной инженерии, создавая еще более правдоподобные дипфейки, которые будут успешно проходить все антифрод-проверки. Новый импульс отрасли ИБ может придать квантовая криптография при развитии и повышении доступности соответствующих технологий.
В промышленности уровень цифровизации будет расти, поэтому можно ожидать развития методов защиты и атак на системы АСУТП, IIoT-устройства, платформы автоматизации производства. Вероятно и развитие методов атак на цепочки поставок — уже сейчас хрупкость выстроенной системы работы многих Open Source решений с их множественными зависимостями вызывает вопросы, которые встанут острее с развитием технологий поиска уязвимостей. Не стоит недооценивать и потенциальный ущерб от киберопераций, проводимых киберармиями, проправительственными хакерскими группировками и APT-командами — негативные последствия успешного кибершпионажа и длительного нахождения атакующих в скомпрометированной сети могут быть неявными, но от этого не менее существенными. Для адекватной подготовки к эволюционирующим киберугрозам можно порекомендовать уже сейчас внедрять решения, в архитектуре которых заложены меры перспективного противодействия — например, с использованием систем ИИ и машинного обучения. Кроме того, следует помнить, что тактики атакующих, в отличие от конкретных техник и способов атак, не столь часто меняются, поэтому классические фреймворки и процессы ИБ всё ещё вполне применимы.
SecurityLab: Можете дать свои советы и пожелания коллегам по отрасли?
Дмитрий Балдин: В состоянии перманентной кибертурбулентности выстраивать адекватную систему защиты можно только с учетом непрерывно актуализирующихся знаний, поэтому главной рекомендацией будет непрерывно повышать собственные компетенции, используя разнообразные источники данных о киберугрозах, включая зарубежные. Атакующие не знают границ, поэтому при появлении нового эффективного способа кибератак его начинают применять повсеместно. Полезно также обмениваться опытом не только с коллегами по ИБ-индустрии, но и с представителями ИТ-сообщества, которые могут указать на новые вероятные вектора атак.
В организациях следует выстраивать надежные контакты с ключевыми сотрудниками различных подразделений — как в рамках awareness-программ, так и при личном общении. Такое взаимодействие поможет не только контролировать обстановку на местах и в коллективах, но и повысить уровень защищенности компании к различным фишинговым атакам — работники должны не только уметь их выявлять, но и знать, к кому можно обратиться с вопросами, касающимися ИБ в компании. Важно создавать в организации атмосферу доверия, в которой сотрудник, случайно кликнувший по фишинговой ссылке или открывший подозрительный файл, не будет бояться сообщить об этом в ИБ-подразделение. Кроме того, руководителям следует подавать своим сотрудникам личный пример соблюдения правил и политик ИБ, а ответственное отношение к кибербезопасности компании должно восприниматься как всеобщая обязанность.