Спецпроекты

Руслан Рахметов, «Интеллектуальная безопасность»

Руслан Рахметов, «Интеллектуальная безопасность»:

Из-за мер российских регуляторов киберпреступники атакуют западный финсектор

О том, почему киберпреступники отказываются от атак на росийские банки, из-за кого происходят сливы персональных данных и почему бизнес тратит на обеспечение информационной безопасности все больше, в интервью CNews рассказал Руслан Рахметов, генеральный директор группы компаний «Интеллектуальная безопасность» (бренд Security Vision).

CNews: Расскажите, какие основные тренды вы сейчас видите на рынке? Что нового произошло в ИБ-сегменте за последний год?

Руслан Рахметов: Тренды в современном мире зачастую формируются не объективными вызовами или актуальными угрозами, а тем, что и как подается в информационное поле вендорами — производителями защитных решений, крупными компаниями и отдельными людьми — инфлюенсерами, то есть лидерами мнений в области информационной безопасности. Говорить о тенденциях и динамике угроз можно на основании статистики и отчетности. В России такой обязательной отчетностью, собираемой на регулярной основе и глубоко обрабатываемой, является, например, отправка сообщений в ФинЦЕРТ Банка России об инцидентах ИБ, произошедших в финансовых организациях, а также в систему ГосСОПКА, обрабатывающую инциденты ИБ в критической информационной инфраструктуре (КИИ). Статистика по инцидентам в КИИ пока в должном объеме не набрана, но если говорить о кредитно-финансовой сфере, то можно выделить растущее применение методов социальной инженерии как способов осуществления атак и хищения персональных данных и конфиденциальной информации как конечных целей атак.

С экспоненциальным ростом объема информации становится все труднее контролировать обработку этих больших данных, способы их хранения и предоставления контрагентам, что приводит к росту непреднамеренных утечек конфиденциальных данных из неправильно сконфигурированных облачных хранилищ и веб-приложений. Вместе с тем, экономическая ситуация толкает нелояльных сотрудников компаний на преднамеренный «слив» ценных сведений или персональных данных, которые затем могут использоваться в атаках на клиентов или саму организацию.

Руслан Рахметов: Объем и скорость обработки данных в современных компаниях таковы, что попытки в ручном режиме обеспечивать их информационную безопасность обречены как минимум на несвоевременность, а как максимум — на торможение бизнес-процессов

Вендоры и интеграторы, безусловно, учитывают современные реалии и стремятся предложить продукты и услуги, отвечающие вызовам времени. Автоматизация обеспечения информационной безопасности и реагирования на инциденты ИБ, в том числе с применением технологий машинного обучения и искусственного интеллекта, предотвращение утечек данных, защита информации в облаках, соответствие законодательству — вот то, что сейчас в тренде.

CNews: Какие технологии выходят на первые роли, а какие уходят в прошлое?

Руслан Рахметов: Технологии обеспечения информационной безопасности формируют большой рынок как непосредственно самих средств защиты, так и сопутствующих услуг по консалтингу, аудиту, настройке и сопровождению систем защиты информации. Вендоры, стремящиеся к лидерству на рынке, вкладывают ресурсы в R&D (Research & Development — разработку новых способов обеспечения ИБ и создание соответствующих средств), которые обеспечат получение прибыли и продажу сопутствующих услуг. За последние 10-15 лет мы видели множество новых технологий и систем, чьи создатели и продавцы убеждали покупателей, что именно их система и подход будут той самой «серебряной пулей», обеспечивающей стопроцентную защиту. Так было с NGFW (Next Generation Firewall), DLP (Data Loss Prevention), SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response), SOAR (Security Orchestration, Automation and Response), CASB (Cloud Access Security Broker) и рядом других технологий и решений. В итоге, данные системы занимали свое место в ряду уже имеющихся систем, позволяя при грамотном совместном применении действительно получить эффективную защиту.

Теория информационной безопасности учит нас отталкиваться прежде всего от модели угроз и нарушителя — нам надо понимать, что и от чего/кого мы защищаем, а также учитывать бизнес-процессы, типы применяемых ИТ-систем, особенности защищаемых данных и требования законодательства. На сегодняшний день объем и скорость обработки данных в современных компаниях таковы, что попытки в ручном режиме обеспечивать их информационную безопасность обречены как минимум на несвоевременность, а как максимум — на торможение бизнес-процессов, чего допускать нельзя, поскольку в современном контексте информационная безопасность должна быть не Showstopper, а Business Enabler. В связи с этим растет спрос на системы автоматизации процессов обеспечения кибербезопасности, реагирования на инциденты, соответствия законодательству, оценки рисков, отчетности и обеспечения Situational Awareness для руководства. Применение данного класса систем автоматизации позволяет существенно ускорить реагирование на угрозы и инциденты ИБ, особенно с учетом хронической нехватки квалифицированных кадров в области защиты информации.

CNews: Насколько велика сейчас пропасть между желаниями заказчиков и тем, что могут предложить поставщики ИБ-решений?

Руслан Рахметов: Заказчики, зачастую сами того не осознавая, желают то, что поставщики уже предлагают — ведь перед выводом продукта на рынок предварительно оценивается потенциальная емкость данного направления и прогнозируется объем продаж, для чего проводятся опросы и исследования, в которых потенциальные покупатели и описывают то, что потом будет воплощено в продукте. Это больше касается обычного потребительского рынка, но работает и в сфере высоких технологий. Как следствие, заказчики де-факто выбирают из того, что уже есть на рынке, при этом высказывая пожелания относительно конкретных технических реализаций.

Спросом пользуется тонкая настройка и/или доработка продукта под нужды конкретной организации — ведь любой инструмент, в том числе средство защиты информации, будет эффективен только после его «подгонки» под конкретные условия применения. Разумеется, мы в группе компаний «Интеллектуальная безопасность» чутко прислушиваемся к пожеланиям клиентов и учитываем их при выпуске новых продуктов и релизов, делаем продукты гибкими и адаптируемыми.

CNews: Какие средства защиты информации сейчас наиболее популярны на рынке? А какие — наиболее качественные?

Руслан Рахметов: Приведу пример: опытный автомеханик точно знает, какой именно инструмент следует применять для той или иной детали автомобиля. Так же и в области информационной безопасности: профессионал может точно сказать, какой именно тип системы защиты поможет минимизировать тот или иной риск ИБ в зависимости от конкретных условий (сферы деятельности компании, модели угроз и нарушителя, осуществляющихся бизнес-процессов и так далее). Компании, не имеющие возможности закупать и эксплуатировать наложенные (дополнительные) средства защиты, отдают предпочтение встроенным механизмам защиты — штатным функциям обеспечения безопасности системного и прикладного ПО.

Разумеется, не все штатные механизмы позволяют минимизировать актуальные риски, ассоциированные с деятельностью компании — это позволяет вести диалог с бизнесом о выделении дополнительных ресурсов на обеспечение ИБ в зависимости от риск-аппетита конкретной компании. Рассмотрим банковскую сферу: даже если не учитывать строгие законодательные нормы, любой банкир понимает, что вынужденный простой финансовой ИТ-системы приводит как минимум к недополученной прибыли, то есть логическая цепочка «атака — неработоспособность системы — финансовые потери» выстраивается весьма четко. В такой ситуации при реагировании на инциденты ИБ счет идет буквально на секунды, и поэтому столь популярна концепция Cyber Resilience: чем быстрее инцидент будет выявлен, проанализирован, локализован, устранен, а информационные системы будут восстановлены, тем меньшие потери понесет финансовая организация. Поэтому очевидна популярность средств защиты, позволяющих максимально автоматизировать реагирование на инциденты ИБ, т.е. выполнить все необходимые процедуры или с минимальным вовлечением специалиста, или вообще в полностью автоматическом режиме.

CNews: Один из наиболее актуальных вопросов последнего времени — безопасность банковской сферы — во многих наших банках целые черные дыры, из которых хлещут персональные данные клиентов. Решаема ли эта проблема в России и в чем ее корень?

Руслан Рахметов: Сразу хотелось бы отметить: проблема информационной безопасности банковской сферы не уникальна для России. Однако есть факторы, делающие ее достаточно актуальной именно у нас.

Во-первых, сама отрасль коммерческих финансовых услуг в нашей стране достаточно молода; на Западе вопросы применения, регулирования и защиты информационных технологий в финансовых учреждениях имеют более глубокие корни. Во-вторых, исторически сложилось так, что в России бурно развивалась нелегальная деятельность в области высоких технологий, включая киберпреступность, которая, пользуясь достаточно продолжительным правовым вакуумом в сфере регулирования ИБ, сумела вырасти до угрожающих масштабов. Однако на текущий момент многие киберпреступные группы переключили свое внимание на западные финансовые институты, поскольку в последнее время регуляторные инициативы ЦБ РФ вынуждают банки соблюдать все более строгие нормы в области защиты информации, а уголовное правоприменение становится более эффективным. И, наконец, обязанность финансовых организаций предоставлять сведения о выявленных инцидентах в ФинЦЕРТ Банка России приводит к тому, что такие факты становятся достоянием общественности. У людей может сложиться впечатление, что утечек и атак становится все больше, хотя больше становится именно подробностей, которые раньше могли быть скрыты в целях защиты репутации или конфиденциальности при проведении внутренних проверок.

Возвращаясь к вопросу решаемости данной проблемы и ее корневой причины, следует отметить, что большинство утечек в банках все же являются непреднамеренными, то есть допущенными по причине халатности работников или ошибок защиты при выстраивании бизнес-процессов. Решить данные проблемы призваны как регуляторные нормы, обязывающие выстраивать бизнес-процессы, изначально продуманные с точки зрения ИБ, так и непрерывное повышение осведомленности работников финансовых учреждений в области защиты информации.

Если же говорить о преднамеренных утечках персональных данных, то есть «сливах», или нелегальной торговле ими (так называемые услуги «пробива» в Darknet), то следует напомнить важность выстраивания логической системы доступа к информации на основании известных принципов минимизации полномочий (предоставление лишь минимально необходимых прав доступа для выполнения служебных обязанностей) и двойного контроля (запрет на выполнение критичных действий одним работником), а также предоставления доступа только при наличии подтвержденной служебной необходимости и согласования от руководителя. Эти принципы давно известны и перечислены в соответствующих нормативных документах, однако до сих пор, особенно в небольших финансовых учреждениях, можно столкнуться с ситуацией, когда сотрудник регионального офиса имеет полный доступ к персональным данным всех клиентов своего работодателя по всей территории страны, что увеличивает риски несанкционированного доступа и продажи таких сведений, учитывая средний уровень заработной платы в регионах.

Неслучайно для банков на сегодня актуальны не единичные темы, а целый комплекс инициатив регулятора: соответствие новому финансовому госту (ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018); существенные изменения в положениях 672-П и 683-П и выстраивание банками своей деятельности в соответствии с ними; вопросы информационной безопасности и антифрода в системе быстрых платежей (СБП); реализация работы с биометрией (ЕБС), 4-МР; перспективы OPEN API и вопросы безопасности; безопасность систем на базе распределенных реестров (система мастерчейн, в частности); ожидаемая новая версия 382-П; противодействие фишингу; массовые рассылки электронных писем; противодействие социальной инженерии.

CNews: Другой актуальный вопрос - защита критической инфраструктуры. Находите ли вы достаточными предложения, существующие на рынке? Как развивается эта история?

Руслан Рахметов: Защита КИИ — действительно актуальный вопрос, особенно в свете новых регуляторных инициатив, посвященных данному вопросу. На текущий момент, насколько я могу судить, основной проблемой является не наличие или отсутствие рыночных предложений, а необходимость выполнения требований самими субъектами КИИ. Пока даже первый этап защиты КИИ идет со скрипом — невелико количество субъектов, корректно осуществивших категорирование своих объектов, что уж говорить про дальнейшие шаги по защите. И это при том, что, по данным ФСТЭК России, за последний год количество прокатегорированных объектов КИИ увеличилось в 2 раза (до более чем 45 000), а количество учтенных субъектов КИИ увеличилось в 5.6 раз. Таким образом, субъектам КИИ предстоит еще очень большая работа, особенно с учетом того, что многие регуляторные требования им предстоит выполнить самостоятельно, без привлечения сторонних интеграторов.

Если же говорить о наличии на отечественном рынке сертифицированных средств защиты информации, которые можно применять для защиты КИИ, то, по данным ФСТЭК России, их производство за последние пять лет увеличилось на 69%.

CNews: Растет ли популярность SOC-центров в России? Каким компаниям стоит о них задуматься?

Руслан Рахметов: Безусловно, тематика построения SOC-центров, или Центров мониторинга информационной безопасности, актуальная в России на протяжении последних примерно пяти лет, с учетом создания системы ГосСОПКА и законодательных требований по подключению к ней организаций, становится все острее. Таким образом, вопрос создания SOC уже не является исключительно внутренним делом организации. Субъект КИИ, относящийся к органу государственной власти, в соответствии с текущими законодательными нормами должен подключиться к соответствующему ведомственному Центру ГосСОПКА. У субъекта КИИ, не являющегося органом государственной власти, есть возможность либо создать свой собственный корпоративный Центр ГосСОПКА, либо подключиться к уже созданному Центру, оказывающему услуги по подключению к системе ГосСОПКА, либо осуществить самостоятельное подключение к системе ГосСОПКА. При этом вариант с самостоятельным подключением к Центру ГосСОПКА предполагает построение собственного SOC-центра, учитывая требования разработанного в ФСБ России документа «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА», а также получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры). Но даже если отбросить законодательные требования, то некая абстрактная частная компания, задумавшаяся о создании собственного SOC, столкнется прежде всего с проблемой технического и кадрового обеспечения такого Центра. И если технические средства можно приобрести при наличии соответствующего бюджета, то заполнить организационно-штатную структуру SOC будет проблематично: если компания крупная, то некий прообраз SOC у нее скорее всего уже есть, а если организация и, соответственно, ее ИТ-инфраструктура небольшая, то сразу встанет вопрос о поддержании квалификации сотрудников SOC (специалистов на L1/L2/L3, аналитиков, форензик-экспертов, cyber threat hunter'ов, менеджеров) в условиях малого количества «боевых» инцидентов. Таким организациям будет логично рассмотреть предложения услуг класса MSSP (Managed Security Service Provider) или MDR (Managed Detection and Response). Данные услуги предоставляются коммерческими SOC-центрами и обеспечивают мониторинг и реагирование на инциденты ИБ в соответствии с заданными SLA в компаниях-клиентах, при условии пересылки событий ИБ в инфраструктуру таких провайдеров. Это чем-то напоминает подключение к внешнему (коммерческому) центру ГосСОПКА, однако лишено регуляторных ограничений и обязательств.

CNews: Расскажите о наиболее интересном кейсе, который реализовывала ваша компания в последний год?

Руслан Рахметов: «Интеллектуальная безопасность» обладает высокой экспертизой в области автоматизации процессов информационной безопасности многих отраслей, а продукты на платформе Security Vision обеспечивают информационную безопасность Сбербанка России, банка «Открытие», ФСО России, Совета Федерации, Ростеха, Главгосэкспертизы, Гознака, ГРЧЦ и многих других государственных органов и коммерческих структур. В последнее время наибольшую известность приобрел проект автоматизации реагирования на инциденты кибербезопасности в ФК «Открытие».

В 2018 году банк «Открытие» провел открытый многоэтапный конкурс среди российских и иностранных IRP-систем. Победителем была признана наша система Security Vision IRP.

Данный проект показателен тем, что в банке накопился большой потенциал сформированных процессов, то есть процессы ИБ были хорошо формализованы, но отсутствовал инструмент для их автоматизации. С помощью Security Vision IRP были автоматизированы более 30 сценариев реагирования на инциденты ИБ, проведено более 50 интеграций со средствами защиты банка.

Это напрямую повлияло на эффективность работы сотрудников. Если раньше специалисту банка нужно было не менее двух часов для проверки 1-2 сложных параметров, то сейчас система может осуществлять по 200+ проверок за несколько секунд. Повысились не только ширина охвата (при подключении компаний ФК «Открытие»), но и глубина автоматических проверок параметров ИБ. За счет использования технологий IRP развитие приобрело интенсивный характер, когда качество не теряется от расширения области ИБ, а скорее зависит от компетенции сотрудников. У банка команда отличная и компетентная, так что теперь 19 сотрудников Службы мониторинга и реагирования на инциденты ИБ могут обслуживать более 25 000 рабочих мест группы без потери качества. Это хороший задел для развития.

Кроме того, платформа стала центром накопления знаний по киберинцидентам внутри банка.

В планах на ближайшее будущее, во-первых, расширение и модернизация инструмента IRP и его покрытия, во-вторых, создание единой платформы по взаимодействию с регулятором и аналитике ИБ на основе больших данных.

Вернуться на главную страницу обзора