CNews: В последние годы существенно изменилась модель киберугроз, инциденты стали более опасными, они охватили новые области, стали наносить больший ущерб. Повлияло ли это на зрелость российских заказчиков ИБ?

Александр Малявкин: Мы видим, что наши заказчики всё чаще отмечают изменение ситуации в области киберзащиты. Эксперты в области информационной безопасности (ИБ) давно говорят, что классические меры защиты компаний уже недостаточны и не отвечают актуальным угрозам безопасности. По их мнению, необходим проактивный подход к ИБ, мониторинг, нужны новые классы средств защиты и т.п. И если раньше в ответ на это можно было слышать от заказчиков: «Да кому наши данные интересны? Никто нас взламывать не будет, а если что-то случится, мы всё восстановим из резервных копий…», то в этом году неоднократные массовые атаки вирусов-шифровальщиков многим открыли глаза на реальность угрозы. Эти атаки были направлены на компании из совершенно разных сфер экономики, с разными оборотами и профилями.

Но при этом, в целом пока рано говорить о росте зрелости заказчиков, потому что зрелость предполагает качественное изменение подходов к ИБ. Во всяком случае сегодня таких ответов от клиентов мы уже не слышим. Все понимают, что проблема есть, и многие способны правильно оценить ситуацию и осознать, что их инфраструктура далеко не в полной мере защищена от кибератак.

CNews: Как, по вашему мнению, должны измениться подходы крупных компаний к защите своей ИТ-инфраструктуры?

Александр Малявкин: Здесь мое мнение может расходиться с позицией многих коллег, которые считают, что нужно выбирать механизм защиты, исходя из оценки реальных рисков конкретного бизнеса. Это верно только в идеале. Однако в реальности, когда компания начинает этим серьезно заниматься, она буквально тонет в бесконечных аудитах рисков, разработке документации, выстраивании процессов, найме новых людей и часто «запал угасает», так и не дойдя до создания по-настоящему защищенной инфраструктуры. Есть, конечно, и положительные примеры, но в нашей стране они единичны, да и за рубежом ситуация в целом не лучше.

Александр Малявкин: Мы придерживаемся комплексного подхода, предоставляя клиентам вместе с виртуальной инфраструктурой и сервисы безопасности

Я сторонник более короткого пути к практической защите. Для этого достаточно категоризировать ресурсы компании с точки зрения их ценности – причем у многих эта работа уже выполнена. Отдельно нужно выделить системы, в которых должны выполняться требования по ИБ, регулируемые государством. И после этого квалифицированные безопасники уже могут определить минимально необходимый набор средств защиты для каждой из этих категорий, распределенный по соответствующим уровням – каналам связи, серверной инфраструктуре, веб-приложениям и прочим.

Обязательно должна выстраиваться система повышения осведомленности сотрудников в области ИБ. Такой подход позволяет снизить уровень угрозы ИБ процентов на восемьдесят. Необходим постоянный контроль защищенности. Желательно внешний, с проведением тестов на проникновение, чтобы защита была проверена и действительно работала. Обязательно нужен непрерывный мониторинг событий ИБ с использованием собственных инструментальных средств и внешних сервисов. Весь этот комплекс мероприятий, хоть и выглядит новаторски, уже стал минимально необходимым инструментом для построения защищенной инфраструктуры. А дальше уже можно добавлять различные системы и сервисы ИБ, в соответствии со спецификой конкретной компании и ее финансовыми возможностями.

CNews: Не у всех компаний, особенно небольших, есть возможность приобрести дорогостоящие ИБ-решения, но при этом их информационные активы могут быть весьма ценными. Как им следует поступать, какие инструменты им доступны?

Александр Малявкин: На мой взгляд, у компаний сегмента СМБ есть только один вариант создания защищенной инфраструктуры – это сервисная облачная модель. Небольшие компании очень тщательно считают деньги, поэтому должны понимать, на чем они сэкономят или заработают в дальнейшем, если во что-нибудь инвестируют. И сервисный подход позволяет им очень быстро оценить эффективность вложений в защиту инфраструктуры. Ведь речь не идет об инсталляции систем уровня ЦОДа, покупке межсетевых экранов нового поколения, которые можно купить за большие деньги, долго внедрять, а потом понять, что это не то, что было нужно на самом деле. Сервисная модель лишена таких рисков: к сервису безопасности можно быстро подключиться, провести пилот, посмотреть, насколько эффективно он управляется, масштабируется.

Уже существуют все технологии, необходимые для развития защиты своей инфраструктуры с помощью сервисов внешних провайдеров. Они владеют необходимой технологической платформой, у них выстроены процессы, есть квалифицированные специалисты, и все это можно использовать более эффективно, чем строить у себя. Особенно учитывая, что у СМБ-компаний в принципе нет на это денег.

CNews: Готов ли российский сектор СМБ вообще вкладывать деньги в безопасность?

Александр Малявкин: Я считаю, что в «просто безопасность» и «просто облака» они не понесут деньги. Но, если провайдер предложит им комплексную модель, при которой можно будет отказаться от капитальных затрат на построение ИТ-инфраструктуры, если в виде сервиса по хорошей цене будут предоставляться и инфраструктура, и ПО, и информационная безопасность, то соблазн перейти на такую модель будет очень велик – очень сложно будет найти контрдоводы. И мы в «Ростелекоме» наблюдаем существенный рост подключения компаний СМБ к нашим сервисам. Другое дело, что пока в абсолютном выражении доля доходов провайдеров от небольших клиентов не очень велика по сравнению с доходами от крупных компаний.

CNews: По каким параметрам компания-заказчик может оценить поставщика облачных услуг с точки зрения защищенности своих данных, софта, инфраструктуры, переданных в облако?

Александр Малявкин: Таких параметров достаточно много. Например, относящиеся к инфраструктуре провайдера: мощность ЦОДа, пропускная способность и число каналов связи и прочие. А в договоре прописываются показатели доступности сервиса. Есть данные о штатной численности и квалификации персонала поставщика услуг, описание механизмов защиты на уровнях инфраструктуры и информационных систем в облаке. Все это подтверждается аттестатами, сертификатами, лицензиями.

Всех, конечно, интересует вопрос компенсаций в случае нарушения условий соглашения об уровне сервиса (SLA). Мы, как и все участники рынка, готовы компенсировать простои предоставлением бесплатных услуг – для этого в сервисных договорах есть специальные формулы расчёта. Что же касается убытков клиента, недополученной прибыли в случае сбоя – всегда есть большая проблема юридических доказательств, поэтому провайдеры, как правило, не берут на себя такие обязательства. Но мы пошли дальше и заключили договор со страховой компанией в области страхования киберрисков клиентов.

Этот факт тоже свидетельствует в пользу высокой защищенности нашей инфраструктуры: нужно понимать, что страховщик готов брать на себя обязательства только после того, как проведет серьезную оценку рисков и уровня услуг, предоставляемых оператором.

CNews: Как вы оцениваете уровень защищенности вашего ВЦОДа, и почему?

Александр Малявкин: То, что известно мне о механизмах защиты ВЦОДа «Ростелекома», позволяет говорить об очень высоком уровне защищенности. Так инфраструктура компании, на базе которой оказывается услуга «Виртуальный ЦОД», одновременно является фундаментом ряда крупнейших национальных проектов. И понятно, что она привлекает внимание не только наших клиентов, но и государственных органов, и злоумышленников.

С одной стороны, защищенность инфраструктуры «Ростелекома» подтверждена всеми необходимыми государственными сертификатами, она соответствует требованиям международных и российских стандартов. Ее уровень защищенности достаточен для размещения в ней информационных систем персональных данных и государственных ИС самых высоких классов. С другой, мы не ограничиваемся получением сертификатов и постоянно проводим практический аудит защищенности с помощью собственного Центра кибербезопасности и двух внешних команд квалифицированных пен-тестеров, которых периодически подключаем для проверки внешнего периметра.

CNews: Вашу инфраструктуру и ваших клиентов затронули массовые атаки вирусов-шифровальщиков?

Александр Малявкин: Попытки заражения мы наблюдали, но за все волны атак шифровальщиков только у одного нашего клиента был зафиксирован инцидент. Причем источником заражения стал личный ноутбук сотрудника, который тот принес на работу и включил в сеть. Практически мгновенно наш Центр кибербезопасности, или SOC – Security Operations Center, к которому подключена эта компания, выявил угрозу и локализовал вирус, что позволило клиенту избежать ущерба.

CNews: Расскажите, пожалуйста, о SOC «Ростелекома», о его возможностях, об информированности клиентов о существовании такого сервиса.

Александр Малявкин: Многие, конечно, знают о его существовании. Для нас SOC уже стал одним из привычных сервисов, без которых не проходит ни один серьезный проект. SOC – самостоятельная услуга мониторинга событий, выявления инцидентов и предотвращения распространения угроз. Но специалисты нашего Центра кибербезопасности принимают участие и в предоставлении других услуг информационной безопасности компании «Ростелеком».

Сейчас в штате SOC около 30 человек, и, благодаря существенному росту востребованности этой услуги, мы запланировали в 2018 году втрое увеличить количество сотрудников. Кроме того, скоро SOC переедет в новое помещение, более просторное и оборудованное по самым высоким стандартам. И там же будет организован шоурум для демонстрации клиентам возможностей SOC.

CNews: Какие еще сервисы позволяют операторам защищать клиентов?

Александр Малявкин: Мы придерживаемся комплексного подхода, предоставляя клиентам вместе с виртуальной инфраструктурой и сервисы безопасности. Это и VPN-каналы различных уровней, и широкий спектр средств защиты каналов, включая защиту от DDoS-атак, межсетевые экраны, средства обнаружения вторжений, URL-фильтрацию, антивирусы, «песочницы» и многое другое. Предлагаем защиту веб-приложений, в том числе высоконагруженных. Спектр сервисов ограничен только фантазией или спецификой потребностей заказчика. Проверить защищенность своих сетей клиенты могут при помощи тестов на проникновение – есть и такая услуга.

Отмечу, что эти сервисы мы предлагаем по уникальной технологии, которая позволяет реализовывать их как на наших каналах, так и на каналах любых других провайдеров без установки громоздкого парка оборудования и программных средств. Это позволяет клиентам реализовывать такие средства защиты, которые они просто не смогли бы приобрести и внедрить у себя. Также у нас есть целый ряд консалтинговых сервисов, позволяющих клиентам оценить их соответствие требованиям регуляторов в области безопасности.

CNews: Ваш прогноз: какие изменения на российском рынке ИБ следует ожидать в 2018 году?

Александр Малявкин: Мы позитивно, хотя и достаточно спокойно смотрим на перспективы рынка информационной безопасности в 2018 году. Мы не ожидаем резких скачков, потому что те изменения, о которых мы говорили в начале, были вызваны конкретными фактами, массовыми атаками – это не был осознанный рост. Первая реакция клиентов прошла, и теперь нужно некоторое время, наверное, года два на то, чтобы изменился принципиальный подход клиентов к построению защищенных инфраструктур, и чтобы сотрудники ИБ-подразделений компаний при планировании проектов включали бы этот новый подход в число рассматриваемых.

Рост рынка сервисов ИБ в 2018 году будет существенным, но его достаточно сложно спрогнозировать. Дело в том, что основные массовые кибератаки проходили летом, и только части компаний хватило времени на то, чтобы пересмотреть свои подходы и запланировать проекты до принятия бюджета на следующий год. В любом случае, заказчики будут анализировать, изучать рынок и тестировать инструменты, позволяющие им создать защищенную ИТ-инфраструктуру.