Информационная безопасность в госсекторе

Важность защиты данных в госструктурах и госкомпаниях трудно переоценить. Особенно сегодня, когда постоянные кибератаки на их информационные ресурсы уже никого не удивляют. Кто в этом виноват – пусть обсуждают политики. Поговорим о том, что делать службам информационной безопасности, работающим в госсекторе.

Вопросы для экспертов:

• Пандемия COVID-19 привела к переходу многих организаций на удаленный режим работы. Видите ли вы увеличение количества утечек информации из-за использования персональных устройств сотрудников в сфере кибербезопасности? Какие методы противодействия вы предприняли для минимизации этих угроз?
• Рассматривая статистику кибератак на известные компании, нетрудно заметить, что наиболее часто мы встречаемся с вредоносным программным обеспечением, социальной инженерией, атаками на веб-приложения, DDoS-атаками. Есть ли отличия для российских компаний госсектора в этой области?
• Безопасность как сервис. Хотите ли вы использовать облачные решения для противодействия киберпреступлениям? Если да, то что вы готовы, а что не готовы перевести в облако?
• Какие существующие модели и стандарты противодействия киберугрозам вы можете назвать актуальными?
• Что для вас является самой «болевой точкой»: уязвимости приложений, недостаточная квалификация сотрудников, инсайдеры, внешние сетевые угрозы?
• Специалистов, работающих в сфере кибербезопасности, явно недостаточно. Как вы ищете сотрудников? Считаете ли вы необходимым появление государственного профстандарта в сфере кибербезопасности или это лишь создаст дополнительные трудности для компании?
• Какие знания необходимы начинающему специалисту в ИБ?

Вопрос 1. Пандемия COVID-19 привела к переходу многих организаций на удаленный режим работы. Видите ли вы увеличение количества утечек информации из-за использования персональных устройств сотрудников в сфере кибербезопасности? Какие методы противодействия вы предприняли для минимизации этих угроз?

Павел Кириллов

– Если мы говорим о госсекторе, то сотрудников этой сферы раньше не особо баловали возможностью работать удаленно. И во время пандемии госслужащие смогли оценить все преимущества и недостатки коммуникаций на дистанции. Нельзя сказать, что удаленка серьезно повлияла на количество утечек, поскольку основным их источником были и остаются недобросовестные сотрудники, и этот канал сложно «закрыть» технологиями.

Если говорить о том, какие меры предпринимаются для минимизации рисков, связанных с использованием персональных устройств сотрудников, то подход госсектора основан, как и во многих других отраслях, на принципе BYOD (Bring Your Own Device). Следование этой концепции предполагает, прежде всего, шифрование диска, защиту канала связи (VPN) и антивирусную защиту, в идеальном случае также профилирование устройств под требования внутренних политик. А также хранение минимума информации на домашнем компьютере, лучше терминальный доступ.

Дмитрий Романченко

– Возможность использования персональных устройств сотрудниками государственных организаций в режиме удаленной работы – весьма сомнительная. Требования по защите государственных информационных систем (https://fstec.ru/normotvorcheskaya/akty/53-prikazy/702) являются обязательными для выполнения, вне независимости от установленного в госорганизации режима работы. Использование персональных устройств создает неконтролируемый канал утечки.

Поэтому в данной ситуации уместно применять следующие меры:
1) выдавать сотрудникам ведомственные устройства, оснащенные комплектом средств защиты;
2) осуществлять доступ к ведомственным системам только через инфраструктуру VDI, замыкающую информационный поток внутри ИТ-инфраструктуры организации;
3) использовать инструменты контроля действий пользователя с журналированием операций.

Евгений Суханов

– Переход на удаленную работу в сжатые сроки был основным вызовом для служб информационной безопаснос

ти. В новых реалиях защищенный периметр организации не ограничен привычной контролируемой зоной офиса и простирается на каждое переносное и мобильное устройство, которое получает доступ к корпоративной сети и информационным системам. Безопасность этих коммуникаций – основной вектор защиты и атаки одновременно. Мы видим увеличение на 20 % попыток целевых компрометаций и инцидентов информационной безопасности, связанных с незащищенностью таких коммуникаций, либо использованием внешних, незащищенных сервисов (файловый обмен, видео- и аудиоконференции). Для обеспечения безопасных коммуникаций для клиентов мы выстраиваем эшелонированную защиту персональных устройств, которая включает в себя целый спектр средств защиты информации.

Дмитрий Дудко

– Разумеется, увеличение точек доступа к защищаемой информации влечет за собой увеличение утечек. Так как никто не был готов к пандемии и массовому переходу на удаленку, то главной мерой противодействия стала работа с сотрудниками. Повышение осведомленности и выполнение элементарных правил цифровой гигиены в рамках нулевого бюджета стало основным направлением работы.

Павел Коростелев

– С пандемией COVID-19 и переходом многих организаций на удаленный режим работы увеличился в целом ландшафт области информационной безопасности. Связано это с ростом количества удаленных сотрудников и уменьшением контроля за конечными точками. При подключении через VPN-клиент к рабочим местам внутри организации потенциально повышается риск атак злоумышленниками.

Кроме того, из-за использования облачных сервисов для хранения информации при удаленной работе, повышается риск утечки данных. Наиболее благоприятным решением этой проблемы является запрет выгрузки каких-либо файлов, прописанный в корпоративной политике. Это значительно снижает риск утечки информации.

Михаил Целищев

– Использование персональных устройств, конечно, увеличивает риск утечки данных или атак злоумышленников. Количество утечек увеличивается, когда сотрудник обрабатывает и передает корпоративные данные с помощью персональных устройств.

Для обеспечения нормального уровня корпоративной информационной безопасности сотрудникам необходимо использовать корпоративное оборудование, которое перед подключением АРМ к корпоративной сети и перед запросом двухфакторной авторизации для VPN-соединения проверяет надежность этого АРМа (сертификаты SSL, актуальность антивирусных баз, актуальность политик безопасности, отсутствие посторонних устройств).

Для минимизации этих угроз достаточно следующих стандартных шагов:

• использовать корпоративные АРМы с двухфакторной авторизацией;
• для работы с личных устройств разрешить подключение только через шлюз удаленных рабочих столов к своему рабочему АРМу или к терминальному серверу, запретить использовать буфер обмена за пределами корпоративной локальной сети, внедрить Active Directory Rights Management Services или иную Information Rights Management;
• обязательно необходимо использовать следующие ресурсы: Система управления доступом (IDM); Средства защиты информации от несанкционированного доступа (СЗИ от НСД); Средства криптографической защиты класса не ниже КС 2, для гостайны КС 1 сертифицированные ФСБ; Антивирусную защиту на всех хостах (физические и виртуальные) сертифицированные ФСБ; Межсетевой экран, которые включает в себя Систему обнаружения вторжений и Систему предотвращения вторжений сертифицированный ФСБ; Система защиты информации от утечки (DLP); Защита информации при использовании мобильных устройств (MDM), если необходимо работать с мобильных устройств; Сетевой сканер уязвимостей.

Вопрос 2. Рассматривая статистику кибератак на известные компании, нетрудно заметить, что наиболее часто мы встречаемся с вредоносным программным обеспечением, социальной инженерией, атаками на веб-приложения, DDoS-атаками. Есть ли отличия для российских компаний госсектора в этой области?

Дмитрий Романченко

– В целом палитра угроз ИБ интернациональна – так же, как используемый инструментарий. Однако профиль (сценарий) атаки, конечная цель, масштаб – всё это индивидуально. Компании госсектора в России отличает наличие большой аудитории пользователей, имеющей крайне смутное представление о цифровой гигиене. Это становится одной из причин кибератак.

Второй значимый фактор – использование информационных технологий в рамках киберпротивостояния мировых игроков.

Евгений Суханов

– Отличий для госсектора нет, за исключением того факта, что государственные организации всё чаще становятся жертвами вредоносного вмешательства с использованием различных видов атак и социальной инженерии. Это происходит чаще всего ради ценной информации, которая циркулирует в информационных системах и является целью атакующих.

Павел Кириллов

– Да, вредоносное программное обеспечение действительно один из самых любимых инструментов киберпреступников и, в первую очередь, программы-шифровальщики. Отличительной особенностью госсектора, если мы говорим о людях на местах, являются довольно высокий уровень ответственности у сотрудников и более закрытая инфраструктура (персонал активнее соблюдает требования законодательства, чем в корпоративной среде, нацеленной, в первую очередь, на получение прибыли).

На первый взгляд, это позитивная тенденция, но здесь есть обратная сторона медали: обновления, патчи без доступа/с ограничениями к Интернету сложно ставить своевременно, а это приводит к наличию большого количества уязвимостей в системах.

Другая интересная особенность – атаки с применением социальной инженерии в госсекторе происходят довольно редко, однако, если удается их реализовать, обычно дело оборачивается серьезными проблемами, учитывая отсутствие обновлений в инфраструктуре (например, https://zoom.cnews.ru/soft/news/top/2017-05-16_mvd_provodit_sluzhebnuyu_proverku_po_faktu_zarazheniya).

Есть еще одна проблема, связанная с сертифицированными средствами защиты. Госструктуры обязаны по законодательству использовать сертифицированные средства защиты информации. Процесс сертификации небыстрый (занимает примерно год), и в течение этого периода появляются новые типы угроз, для которых еще нет сертифицированных средств защиты информации. Это добавляет риски для госструктур.

Дмитрий Дудко

– Главный источник угроз в информационной безопасности – человеческий фактор. В этом случае работа по пресечению может вестись по двум направлениям: во-первых, работа с сотрудниками, которых необходимо информировать о последствиях их действий, возможно, мотивировать не нарушать, а во-вторых – пресекать каналы передачи конфиденциальной информации.

Павел Коростелев

– Представители российского госсектора также встречаются с вредоносным программным обеспечением, социальной инженерией, атаками на веб-приложения, DDoS-атаками. Но для них еще характерны атаки с использованием цепочек поставок. Они стали известны после инцидента с компанией Solar Winds, продукт которой был заражен злонамеренным кодом. Это позволило злоумышленникам взломать более 18 тысяч компьютеров в частном и государственном секторах.

Михаил Целищев

– По большому счету, основной алгоритм защиты от DDoS-атак стандартный: антивирус + DNS SEC + SSL для хостов + IP Sec.

Вопрос 3. Безопасность как сервис. Хотите ли вы использовать облачные решения для противодействия киберпреступлениям? Если да, то что вы готовы, а что не готовы перевести в облако?

Дмитрий Романченко

– В целом ИБ-технологии всё чаще использует облачную локацию. Однако важно понимать, что различные механизмы (средства) защиты имеют различные перспективы ухода в облако.

К примеру, успешная защита от инфраструктурных DDoS-атак возможна только в облаке телеком-провайдера, в то время как защита Endpoint неизбежно осуществляется именно на Endpoint. Сервисы мониторинга и выявления инцидентов ИБ могут быть размещены в облаке (за исключением сенсорной составляющей), но при этом канал взаимодействия с объектами мониторинга должен быть надежно криптографически защищен.

Защита данных в хранилищах и на прикладном уровне информационных систем – неотрывна от самих ИС. Защита инфраструктуры виртуализации также может осуществляться только совместно с данной инфраструктурой.

Евгений Суханов

– Многие процессы информационной безопасности для своих клиентов мы переводим в режим сервиса из облака. Основными направлениями являются предоставление как услуг эвристического анализа по угрозам нулевого дня, так и защищенных виртуальных инфраструктур для обработки и защиты персональных данных граждан в соответствии с требованиями федерального закона, а также процесс защиты от утечек конфиденциальной информации.

Дмитрий Дудко

– Многие компании используют безопасность как сервис, например, при проектировании и внедрении системы защиты, при комплайнсе. Другой вопрос, что образ мыслей безопасников основан на контроле всего и вся. А как можно контролировать инструмент, в котором на разделяемых вами серверах, буквально за дверью, может находиться ваш конкурент или того хуже – злоумышленник?

К тому же до конца не решен вопрос ответственности сервис-провайдера за обеспечение безопасности. Очень сильна разница между маркетинговыми заявлениями и пунктами сервисного договора. Большинство безопасников если и готовы использовать облачные решения, то только для исконно внешних сервисов – сканеров, защиты от DDOS, пен-тестов.

Павел Коростелев

– Если раньше атаки с использованием цепочек поставок были характерны для компаний и госучреждений, обрабатывающих гостайну, то теперь хакерам интересны обычные организации уровнем пониже. Для российских предприятий это может быть серьезной проблемой. Поэтому при желании госсектора воспользоваться услугами того же облачного провайдера необходимо убедиться, что он аттестован в области безопасности.

Михаил Целищев

– Облачные решения не подходят для ИБ-решений. В облаке не должно быть критически важных сервисов, которые могут в случае их недоступности или компрометации остановить работу компании.

Павел Кириллов

– Если мы подразумеваем под безопасностью как сервисом аутсорсинг обслуживания СЗИ, то это направление уже активно развивается на практике. Если же иметь в виду сдачу лицензий как сервис, то российские вендоры еще не готовы к этому. На наших глазах набирает обороты направление, связанное с защищенными ЦОДами. Такие проекты есть у крупных российских провайдеров и, что самое главное, госсектор заходит в эту историю.

Как правило, речь идет об аттестованном ЦОДе, где заказчики готовы размещать свои ресурсы по принципу инфраструктура как сервис, удовлетворяющая требованиям нормативных документов (ФЗ-152 (ПДн), ФЗ-149 (ГИС), ФЗ-187 (КИИ)). Вот этот тренд мы видим, и он довольно активный.

Вопрос 4.  Какие существующие модели и стандарты противодействия киберугрозам вы можете назвать актуальными?

Дмитрий Романченко

– Базовая концепция защиты – это Zero Trust. Объективно ни информационные технологии и средства, ни ИБ-технологии и средства, ни людей (пользователей и администраторов) нельзя назвать доверенными компонентами человеко-машинных систем. Все современные подходы, методы и способы защиты должны исходить из этой парадигмы.

Архитектурно и функционально комплекс ИТ- и ИБ-систем, а также все прикладные и системные процессы должны обеспечивать должный уровень доверия к ИС и данным в ней. При этом каждый из компонентов в такой системе априори будет являться недоверенным. Подход продвигает использование различных зонтичных систем безопасности, динамическое моделирование и оценку угроз, адаптивную защиту на всех уровнях модели OSI (open systems interconnection basic reference model), контроль пользователей, контроль состояния данных.

Евгений Суханов

– В части процессной модели мы используем базис стандарта управления качеством информационной безопасности, описанный в ISO 27001. Для системы обеспечения информационной безопасности мы выбираем комплексный подход, создавая эшелонированные и мультивендорые системы защиты.

Дмитрий Дудко

– Любой стандарт – это лишь набор рекомендаций и обобщений, который призван расставить флажки, куда двигаться. Стандарт не может учесть всех нюансов даже внутри одной отрасли, не говоря уже о чем-то более широком. Сюда же накладывается проблема, что каждая организация уникальна, как минимум, в мелочах. Поэтому при выборе модели противодействия киберугрозам, главное – ее прикладное применение именно в конкретной организации. А уж как конкретно будет называться данный стандарт – непринципиально. И западные и отечественные имеют свои плюсы и минусы. Я предпочитаю использовать отечественные, так как они более адаптированы к нашей нормативной базе.

Павел Коростелев

– В ИБ-отрасли достаточно моделей и стандартов противодействия киберугрозам. Конечно, наиболее строгие в госсекторе, и коммерческим предприятиям стоит их перенять. Например, это ряд нормативно-правовых актов ФСТЭК:

• приказ № 21 – меры защиты для информационных систем и персональных данных;
• приказ № 17 – меры защиты государственных информационных систем;
• приказ № 239 – меры защиты значимых объектов;
• приказ № 31 – меры защиты сетей АСУТП.

У ФСТЭК также есть методические рекомендации по моделированию угроз, которые позволяют выявить актуальные для конкретной сети или приложения. Также стоит присмотреться к западным стандартам информационной безопасности: NIST 800-53, Mitre ATT&CK и CIS Top 20 Critical Security Controls.

Но даже без моделей и стандартов стоит отметить ряд «болевых точек» информационной безопасности.

Во-первых, это топ-менеджеры, которые недооценивают киберугрозы. Как правило, высший менеджмент, занимающийся ИБ, перешел из ИТ. А информационная безопасность – это больше про анализ рисков и их связывание с ключевыми показателями эффективности организации.

Во-вторых, сотрудники, бездумно работающие в Интернете. До них нужно доносить правила информационной безопасности, иначе никакие технические решения не уберегут от угроз.

В-третьих, процессы реагирования, своевременной локализации и устранения последствий инцидентов. В России исторически мало специалистов, которые способны их выстроить в организациях.

Павел Кириллов

– Госсектор, в первую очередь, ориентируется на нормативные документы ФСТЭК и ФСБ в части защиты информации. ФСБ – в части криптографии, ФСТЭК – в части остальных СЗИ. Как раз относительно недавно (в феврале) ФСТЭК утвердил новую методику по определению актуальных угроз в информационных системах, этот документ сейчас активно обсуждается в профессиональном сообществе.

Михаил Целищев

– В настоящее время государственные регуляторы придерживаются следующей точки зрения: если объект КИИ признан значимым (т. е. ему присвоена одна из трех категорий значимости), то используется приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

А если объект КИИ признан незначимым (т. е. категория значимости не была присвоена), то по решению субъекта КИИ можно применять как приказ № 31 по АСУТП, так и приказ № 239 по КИИ.

То есть все технические меры в приказе ФСТЭК № 239. Также для каждой компании должен быть свой «План действий по обеспечению кибербезопасности».

Вопрос 5. Что для вас является самой «болевой точкой»: уязвимости приложений, недостаточная квалификация сотрудников, инсайдеры, внешние сетевые угрозы?

Павел Кириллов

– Мы, в первую очередь, при построении системы защиты информации делаем упор на эффективное управление ИТ-ресурсами, которое является ключевым фактором при построении надежной системы защиты информации. Это как фундамент для хорошего дома. Поэтому, с нашей точки зрения, необходимо активно повышать квалификацию сотрудников, чтоб они могли эффективно распоряжаться имеющимися у них ресурсами.

Дмитрий Дудко

– Ключевая проблема информационной безопасности – обилие задач при недостатке финансирования.

Дмитрий Романченко

– Все указанные проблемы относятся к концепции ZeroTrust, и решение может быть только комплексным.

Вопрос 6. Специалистов, работающих в сфере кибербезопасности, явно недостаточно. Как вы ищете сотрудников? Считаете ли вы необходимым появление государственного профстандарта в сфере кибербезопасности или это лишь создаст дополнительные трудности для компании?

Дмитрий Романченко

– Пожалуй, это самая острая проблема. Несмотря на то, что вузы открывают всё новые и новые специальности по направлению ИБ, приток специалистов на рынок явно недостаточный. Это приводит к определенным перекосам на рынке труда.

Сегодня работодатели всё чаще сталкиваются с ситуацией, когда молодой специалист с нулевым уровнем компетенций и отсутствием практики на входе в профессию ожидает, что его доход будет таким же, как у опытного профессионала. Из-за нехватки экспертов в области ИБ на рынке появляется огромное количество специалистов уровня junior с высокими зарплатными ожиданиями. Это еще больше разогревает рынок и стимулирует ведущих экспертов снова и снова повышать свои зарплатные ожидания.

Такая ситуация буквально «запирает» рынок, создавая дефицит специалистов уровня middle и senior в области информационной безопасности.

Евгений Суханов

– Рынок соискателей в области кибербезопасности меньше, чем предложение рынка. Часто мы используем модель «вырастить редкого эксперта проще, чем найти». Люди с высокой квалификацией в смежных областях при правильной мотивации и адаптации за довольно короткий период становятся высокоуровневыми экспертами в области кибербезопасности.

Павел Коростелев

– Вопрос кадрового «голода». К сожалению, программа обучения вузов не соответствует реалиям информационной безопасности. ИБ-компании спасаются стажировками, когда берут студентов и обучают их на реальных проблемах. После выпуска из вуза молодым специалистам уже готовы поручать прикладные задачи. Изменить положение дел может только кардинальный пересмотр учебных программ и навыков преподавателей.

Дмитрий Дудко

– На рынке нет недостатка в специалистах по кибербезопасности. На рынке есть недостаток квалифицированных специалистов с адекватными зарплатными ожиданиями, с одной стороны, и избыток специалистов с узкой квалификацией за оверпрайс – с другой.

По поводу найма: мы стараемся брать выпускников и студентов старших курсов, обучая их в реальных проектах. 90 % моих сотрудников пришли сразу после института и не имели опыта работы по специальности.

Не совсем понятно, о каком профстандарте идет речь. Если о требованиях по наличию безопасников в штате компании, то они уже есть. Если компания защищает персональные данные, то необходимо минимум три специалиста по информационной безопасности.

А если компания обладает объектами КИИ, то ей необходима лицензия ФСТЭК или ФСБ, а специалисты в ней и так должны быть. С другой стороны, четкая регламентация – это всегда палка о двух концах. Это как с лимитом на легионеров в спорте. Здесь очень сложно соблюсти баланс.

Павел Кириллов

– На мой взгляд, профстандартами не решить проблему по информационной безопасности. В первую очередь, у руководства госсектора должно быть понимание, что информационная безопасность – это важно. От этого уже и будет результат.

Вопрос 7. Какие знания необходимы начинающему специалисту в ИБ?

Дмитрий Романченко

– Невозможно считать себя компетентным специалистом в области ИБ, не обладая отличным знанием современных информационных технологий. Это базовое и обязательное условие. Также очень важна хорошая теоретическая подготовка в области российских и международных стандартов информационной безопасности. К сожалению, сегодня этот пробел встречается у большинства молодых специалистов.

Кроме того, хотелось бы видеть у начинающих ИБ-специалистов наличие хотя бы небольшого практического опыта. К сожалению, сегодня это редкость. И, наконец, основным дефектом современной системы высшего образования – в том числе и в области ИБ – становится отсутствие у специалистов комплексного подхода к обеспечению информационной безопасности.

Евгений Суханов

– Стандартный набор практик – начальное понимание процессной модели информационной безопасности, знание сетевой архитектуры и стандартов, операционных систем и уровня прикладного ПО. Далее каждый специалист делает собственный выбор по направлению роста. Это может быть методология процессов или конкретная область в системе обеспечения ИБ – технической экспертизе.

Дмитрий Дудко

– К сожалению, текущие учебные стандарты по информационной безопасности существенно отстают от требований рынка. Приходится обучать молодых специалистов на рабочем месте. Для этого им необходимы: технический кругозор, способность к поиску и анализу информации.

Павел Коростелев

– Хороший специалист по информационной безопасности должен знать теорию информационных технологий, принципы работы операционных систем, сетевых инфраструктур и систем защиты информации. Важным навыком становится быстрая обучаемость, когда, например, нужно освоить новый способ защиты информации. Постоянное самосовершенствование и самообразование поможет ИБ-специалисту довольно быстро достигнуть хороших заработков.

Михаил Целищев

– Нужно отметить, что обычному человеку без опыта в ИТ потребуется около 1,5 лет для выхода на уровень джуниора при условии постоянных самостоятельных занятий в течение этого периода, целенаправленного изучения тем. Сисадмину и другим специалистам отрасли потребуется меньше времени – около 6–9 месяцев.

Чтобы стать специалистом по ИБ необходим определенный уровень знаний, а для каждой позиции свои навыки, включая навыки сетевого администратора со знаниями локальных и глобальных сетей, модели OSI, настройки коммутаторов и маршрутизаторов для ЦОД, администрирования баз данных MS SQL и PostreSQL, работа с виртуализацией VMware и Hyper-V.

Также важен опыт внедрения сервисов в инфраструктуру и знание локальных нормативных и правовых актов в сфере информационной безопасности. Отличным показателем знаний и умений станет прохождение тестового задания, которое сотрудник выполняет в режиме реального времени, например, разворачивает на одном сайте несколько контроллеров домена и подключает к ним все хосты (IP-адреса), упрощая работу под доменной учетной записью.

Павел Кириллов

– Начинающему специалисту, в первую очередь, необходимо понимать, как работает ИТ-инфраструктура, чтобы на основании этого реализовывать защиту. И, конечно, актуализировать постоянно свои знания в соответствии с профильными направлениями.

Ключевые слова: информационная безопасность, госкомпания, госсектор, организация, защита, угрозы, ИТ-инфраструктура, специалист по ИБ, знания, профстандарт

Комментарии могут оставлять только зарегистрированные пользователи