Михаил Соколов, ЦОДД Москвы: В последние три года атаки стали сезонными и предсказуемыми
Кибербезопасность городской транспортной системы всегда считалась чувствительной сферой, а в момент перехода на продукты отечественных вендоров внимания к этой теме стало еще больше. Как за последние два года отражали кибератаки в Центре организации дорожного движения Москвы, в интервью CNews рассказал руководитель отдела информационной безопасности ЦОДД Михаил Соколов.
«Рынок меняется примерно раз в пять лет»
CNews: В столице работает интеллектуальная транспортная система, которая контролирует инфраструктуру столичного дорожного движения. Насколько тяжело выстроить ее защиту с точки зрения информационной безопасности?
Михаил Соколов: Это очень крупная государственная информационная система, которая состоит из 42 модулей для обеспечения деятельности дорожного движения в Москве. У каждого модуля — своя функция, и каждый мы рассматриваем как отдельный объект, который необходимо защищать.
Центр обработки данных у нас разбит на сегменты: одни отвечают за критическую инфраструктуру, другие — за системы. Каждый периметр защищен по-своему одними и теми же средствами. На каждом уровне мы используем либо разные программно-аппаратные комплексы, либо разные виртуальные среды одного и того же решения, которые настроены индивидуально под тот или иной сегмент.
Дополнительно мы используем наложенные средства защиты информации для исполнения требований законодательства.
CNews: С какими угрозами в области кибербезопасности в последнее время вы сталкиваетесь чаще? Какие типы атак актуальнее всего для транспортных систем?
Михаил Соколов: Чаще всего на нас совершаются DDoS-атаки. Сложнее всего было в феврале-марте 2022 г., тогда все средства защиты были переведены в особый режим работы.
Среди крупных атак, что мы отразили — DDoS на нашу критическую информационную инфраструктуру. Одна из таких атак длилась порядка двух дней, однако данные остались целыми и неповрежденными. В последние три года атаки стали сезонными и предсказуемыми, чаще всего активность усиливается летом. Возможно, это связано с сезоном отпусков: хакеры считают, что в компаниях становится меньше ИБ-специалистов, а значит, и реагировать будут хуже.
CNews: Как выглядит в ЦОДД управление инцидентами кибербезопасности? Пришлось ли перестраивать работу за последний год или два? Как именно?
Михаил Соколов: Да, конечно, пришлось. Недавно ФСТЭК представил новые методические указания по созданию регламента реагирования на компьютерные инциденты. Когда регулятор выпускает такой нормативный документ, мы рассматриваем его в кратчайшие сроки и перестраиваем согласно с ним внутреннюю документацию на основании действующей политики информационной безопасности. Кстати, эта политика в ЦОДД каждый год актуализируется.
В итоге мы перестроили работу, в команде появились профильные аналитики.
CNews: Есть ли проблема дефицита ИБ-специалистов сейчас на рынке, или ЦОДД с ней не сталкивался?
Михаил Соколов: Пожалуй, в ИБ мы не сталкивались с такой проблемой. На рынке информационной безопасности специалисты есть, хотя, может, мало узконаправленных.
Также нужно понимать, что рынок меняется примерно раз в пять лет. Каждые пять лет приходится полностью перестраивать инфраструктуру и закупать новые средства криптографической защиты, и после этого необходимо обновлять и саму систему.
Сейчас в отделе информационной безопасности ЦОДД работают около 20 специалистов.
CNews: Приходилось ли увеличивать количество специалистов на фоне ухудшившейся ситуации с кибербезопасностью?
Михаил Соколов: Пока справляемся. Да, иногда возникают срочные задачи, которые нужно решать совместно, но в целом, для штатной работы, этого количества достаточно.
«Инфраструктура стала независимой и полностью отечественной»
CNews: Как контролируется соблюдение требований кибербезопасности при внесении изменений в ИТ-инфраструктуру?
Михаил Соколов: Основные усилия всех госорганов, не только ЦОДД, направлены на исполнение указов президента РФ №166 и №250 по части импортозамещения, чтобы сделать критическую информационную инфраструктуру независимой и полностью отечественной. Чтобы в информационных системах использовались только отечественные средства защиты информации, либо производителей из дружественных стран.
CNews: На каком вы этапе? Хватает ли времени?
Михаил Соколов: Сейчас у нас почти 90% информационных систем российского производства. До 2025 года планируем перейти на 100% только в части значимых объектов критической инфраструктуры. Из средств защиты уже ничего иностранного мы не используем.
CNews: Продукты отечественных вендоров сопоставимы по ценам с зарубежными, к которым вы привыкли?
Михаил Соколов: Все относительно, стоимость средств защиты зависят от системы, которой они нужны. Тех же инструментов защиты от вирусов у нас тоже достаточно. Под каждую систему нужно индивидуально проектировать и внедрять свою систему защиты информации, учитывая специфические для каждой отдельной системы угрозы. От этого и будет зависеть конечная стоимость.
CNews: Существует мнение, что хоть отечественные аналоги все же отстают по функциональности. Что вы думаете на этот счет?
Михаил Соколов: Я с таким мнением в корне не согласен, у нас есть прекраснейшие продукты, способные обеспечить необходимый уровень информационной безопасности. Мы изначально полностью погружаемся в систему, изучаем возможные угрозы, и под каждую систему индивидуально подбираем средства защиты информации.
CNews: Каких решений в области ИБ, на ваш взгляд, все еще не хватает на отечественном рынке? Насколько тяжело находить аналоги для таких решений?
Михаил Соколов: Мы находимся в процессе анализа и поиска различных решений. На российском рынке представлены технологии, которые отвечают нашим потребностям. Из необычных продуктов, которые мы хотим попробовать — сервис киберразведки. Подразумевается, что мы нанимаем внешних специалистов, которые глубоко мониторят инфраструктуру на предмет готовящихся кибератак: Telegram-каналы, соцсети, в том числе и даркнет. Предупрежден — значит вооружен.