Импортозамещение:
опасный переход

Уход с российского рынка зарубежных ИТ-компаний из-за санкций, массовый переход на отечественные ИТ-решения и повышенное внимание хакеров всех мастей к России заметно снизили уровень безопасного ведения бизнеса в стране. Как компании справляются с этим вызовом?

Вопросы экспертам

1. Подвергалась ли ваша компания DDOS-атакам в последние месяцы? Если да, то что помогает вам противостоять им?
2. Изменились ли требования к уровню информационной безопасности и работе ИБ-службы в вашей организации?
3. Какими решениями по ИБ вы пользуетесь и насколько они удовлетворяют вашим запросам? Каких отечественных ИБ-решений не хватает сегодня на рынке?
4. Что вы посоветуете специалистам по ИБ в связи с новой ситуацией? Какими компетенциями они должны обладать?

Максим Вирченко,
генеральный директор ITCOM Security

«Мы рекомендуем специалистам быть максимально сдержанными в информационном пространстве и не раскрывать без необходимости состав своей информационной системы»

1. С конца февраля ГК ITCOM подверглась уже трем мощным DDoS-атакам. Основной целью воздействия стали важные внешние веб-ресурсы компании, связанные с работой сервисов электронной подписи. Атаки пока не прекращаются, но мы справляемся своими силами – ITCOM Security входит в состав группы компаний и обеспечивает комплекс мер по защите инфраструктуры.

Мы используем различные методы сетевой безопасности, фильтрацию вредоносного трафика программными и аппаратными средствами, постоянно мониторим активность на сетевом периметре, а также привлекаем ресурсы операторов связи.

Мы провели внутреннее расследование и смогли выявить предпосылки продолжительной DDoS-атаки, а также сообщили об инцидентах в НКЦКИ. Сейчас очень много тематических информационных каналов, где размещаются призывы атаковать российские сервисы. Только в одном телеграм-канале может быть более пяти тысяч участников. Администраторы этих инфоресурсов в статусе кураторов подключают всех желающих подписчиков к проведению атак и подбирают новые цели для их реализации. Так, в список целей попала и ГК ITCOM, поскольку входит в число крупнейших удостоверяющих центров, работающих по всей России.

Во время второй атаки мы определили территориальную принадлежность атаки: ботнет атаковал нашу компанию из-за границы и преимущественно из США. Атакующая сеть оказалась достаточно гибкой, поскольку география атаки последнее время стала меняться. Центры атаки уже перетекли в Россию и в большей степени в Москву. Всё это указывает на то, что ботнет поддерживается квалифицированными операторами, либо хорошо автоматизирован. Также расследование позволило определить, что основная сеть, атакующая нашу инфраструктуру, принадлежит американской компании, которая занимается информационной безопасностью и позиционирует себя как активного сторонника Украины.

2. Мы стали уделять еще больше внимания мониторингу событий безопасности в компании, улучшать свои сервисы и укреплять свой сетевой периметр. Служба ИБ начала еще активнее работать после того, как ГК ITCOM почувствовала на себе первую атаку.

3. Наша инфраструктура представляет некий симбиоз систем. Мы используем и отечественные, и зарубежные решения. Зарубежные системы предназначены для таких участков, где не требуется соответствие законодательству РФ и для которых мы пока не можем подобрать прямой отечественный аналог.

Отдельно стоит отметить высокий уровень подготовки наших специалистов ИТ и ИБ, которые по мере необходимости в ручном режиме производят корректирующие настройки имеющегося оборудования и ПО.

4. Во-первых, мы советуем всем компаниям провести аудит информационной инфраструктуры и инвентаризацию своих информационных активов, а в случае выявления проблемных мест проверить актуальность и корректность настройки системы защиты информации, а также подобрать соответствующие средства защиты информации, в том числе внедрить у себя Anti DDoS-решение.

В случае отсутствия в штате компетентных специалистов мы рекомендуем привлекать в формате аутсорса компании с релевантным опытом и соответствующими лицензиями ФСТЭК и ФСБ. Такие услуги в том числе предоставляет ITCOM Security.

Непосредственно самим специалистам мы рекомендуем быть максимально сдержанными в информационном пространстве и не раскрывать без необходимости состав своей информационной системы. Указание на конкретную компанию и применяемые там решения может послужить мощной подсказкой для хакеров на этапе определения уязвимостей в эксплуатируемых системах.

Антон Ведерников,
руководитель группы разработки сервисов информационной безопасности
и соответствия требованиям, Selectel

«Сейчас важно сместить фокус с формального соответствия требованиям на обеспечение реальной защищенности своей инфраструктуры»

1. В последние месяцы атаки типа «отказ в обслуживании» стали самым популярным видом атак на ИТ-инфраструктуру различных компаний. Так, в марте этого года количество DDoS-атак, по данным Selectel, увеличилось в четыре раза по сравнению с предыдущим месяцем. При этом количество уникальных IP-адресов, на которые были зафиксированы атаки, увеличилось примерно в 2,5 раза.

Мы рекомендуем клиентам, которые размещают у нас инфраструктуру, использовать различные средства защиты от DDoS-атак. Недавно мы запустили бесплатную защиту всех своих сервисов от DDoS-атак на уровне L3-L4 — такая защита является базовой и подключается всем клиентам по умолчанию. Решение позволит быстро зарегистрировать подобную атаку и избежать полной блокировки IP-адреса, что минимизирует риск даунтайма. Такая система способна обеспечить защиту от атак до сотен Гбит/с. Мы также рекомендуем клиентам подключать дополнительные, более продвинутые сервисы защиты на случай более сложных и объемных атак.

2. Со стороны наших клиентов увеличился запрос на безопасность: от потребления инфраструктуры, соответствующей требованиям по обеспечению безопасности, до получения по подписке всех необходимых средств защиты, чтобы обеспечить безопасность и своих систем. Зачастую клиенты хотят получить экспертизу провайдера в части управления системами защиты и передать их на администрирование, решив тем самым задачу с отсутствием необходимых внутренних компетенций и потребностью в высоком уровне защищенности.

3. Базово решения российских вендоров покрывают большую часть требований по обеспечению безопасности инфраструктуры, но ориентированы, в первую очередь, на выполнение требований регуляторов. Можно прогнозировать, что с уходом некоторых зарубежных вендоров будет расти количество российских решений, а также их качество как с точки зрения доступного функционала, так и с точки зрения надежности.

Практически нет решений, предназначенных для контейнерных сред, начиная от выстраивания безопасного процесса непрерывной интеграции и доставки до обеспечения безопасности рабочих нагрузок. Сейчас эта потребность закрывается open source – решениями, но их использование требует от компаний дополнительных затрат на поддержку и доработки под свои нужды.

Что касается непосредственно Selectel, то у нас как у провайдера ИТ-инфраструктуры представлен широкий портфель решений по информационной безопасности, который мы непрерывно расширяем, отталкиваясь от задач и потребностей рынка.

4. С переходом на удаленную работу в период пандемии нагрузка на ИБ-отделы значительно возросла, в текущих условиях она продолжает расти. Поэтому первое правило обеспечения информационной безопасности компании — организация доступа к корпоративным системам только через VPN с использованием второго фактора аутентификации.

Сейчас важно сместить фокус с формального соответствия требованиям на обеспечение реальной защищенности своей инфраструктуры. Начать, как всегда, необходимо с базовых вещей, и только после этого растить зрелость процессов и сложность применяемых технологий.

В первую очередь, провести инвентаризацию систем и используемых в них сервисов – частый кейс, когда система есть, но про нее забыли или за нее никто не отвечает.

После формирования полной картины ИТ-ландшафта, необходимо убедиться, что опубликованы только те сервисы, которые требуются для работы. Сделать это можно своими силами, без привлечения сторонних специалистов.

Обеспечив безопасность сетевого периметра, можно переключиться на инфраструктуру: настроить используемые операционные системы и прикладное программное обеспечение в соответствии с рекомендациями. За основу можно взять контроли СIS, которые покрывают большинство популярных технологий. Используя сканеры, убедиться в отсутствии известных уязвимостей в используемых пакетах, а в случае их обнаружения – оценить возможность эксплуатации и обновить до безопасной версии.

Одним из важных пунктов является управление доступом и правами пользователей и сервисных учетных записей. Необходимо понимать кто, куда и для чего имеет доступ, а также максимально ограничить права, оставив только самые необходимые для работы.

Реализовав базовую защиту, оцените оставшиеся наиболее вероятные угрозы, опираясь на их критичность для бизнеса, и запланируйте меры по снижению этих рисков: от внедрения концепции Zero Trust до организации процесса безопасной разработки.

Помимо технических мер, специалистам по ИБ важно повышать цифровую грамотность сотрудников при работе с различными сервисами и обучать их цифровой гигиене в целом. Хорошо работает практика рассылки учебных фишинговых писем внутри организации. Делается это не с целью наказать тех сотрудников, которые открывают подозрительные письма, а с целью закрепить обучение на практике. Интересно, что нельзя с уверенностью описать портрет сотрудника, который чаще всего “попадается” на проверках — часто многое зависит только от того, насколько работник загружен в текущий момент и насколько рассеянно его внимание.

Роман Карпов,
директор по развитию и стратегии БЕЛЛСОФТ

«Такой простой шаг, как ИТ- гигиена (своевременная установка обновлений безопасности), позволит существенно сократить риск цифрового паралича»

1. Инженеры нашей компании реализуют концепцию жизненного цикла безопасной разработки продуктов, что позволяет поддерживать безопасность систем на их основе как на этапе построения, так и на протяжении всего срока эксплуатации.

В частности, БЕЛЛСОФТ инвестировал десять человеко-лет в разработку сертифицированного ФСТЭК продукта и верификацию 3 Гб программного кода (то есть 1 инженер разрабатывал бы это 10 лет). Отечественная среда разработки и исполнения Java Axiom JDK Certified может применяться на всех объектах критической инфраструктуры и в комплексных системах с повышенными требованиями к ИБ (4УД). Такого решения не хватало на рынке.

Впервые платформа Java получила сертификат Федеральной службы по техническому и экспортному контролю России. Раньше технологию Java избегали для сертификации и переписывали на С или использовали наложенные, или организационные меры защиты. В ходе проверки соответствия было подтверждено отсутствие в СЗИ Axiom JDK Certified недокументированных возможностей и наличие требуемых функций безопасности, произведен контроль архитектуры продукта и полный анализ его исходного кода, включая фаззинг-тестирование.

Тем самым сэкономлены ресурсы разработчиков КИИ на базе Java, так как при сертификации Java приложений ФСТЭК требует также сертификации их среды исполнения Java (JVM). А подавляющее большинство банковских КИИ спроектировано с использованием Java-компонентов. Кроме того, согласно данным экспертов под определение критических информационных инфраструктур (КИИ) подпадает 100 000 организаций, если предположить, что треть базируется на Java то, это 30000.

Также важно отметить, что в рамках комитета по интеграции АРПП «Отечественный софт» создан каталог с перечнем зарубежных программных продуктов и отечественных решений, готовых замещать их. После модернизации каталога в нем появится и информация о том, является ли продукт средством защиты информации (СЗИ), что поможет субъектам КИИ подобрать альтернативы. Уверен, количество и качество разработки отечественных программных продуктов повысится.

4. Такой простой шаг, как ИТ- гигиена (своевременная установка обновлений безопасности), позволит существенно сократить риск цифрового паралича.

Чтобы обеспечить информационную безопасность, необходимо решать проблемы комплексно. К сожалению, на протяжении десятилетий складывалась практика, что при построении ГИС / ГАС в основном использовались наложенные средства ИБ, при этом практически не уделялось внимание практикам безопасной разработки ПО (SDL, ApplicationSecurity, SecureByDesign, TestDrivenDevelopment), позволяющим изначально выстроить систему правильно, а не латать появляющиеся дыры.

Основная цель кибератак – это повреждение критической информационной инфраструктуры. Ведь выход ее из строя затормаживает нормальное функционирование общества и государства. Я уверен, что с переходом КИИ на отечественное ПО глобальных проблем не будет. А вот с системами, которые не являются КИИ, будут проблемы, потому что пока информационная система не ломается – обычно организации не начинают уделять внимание повышению уровня информационной защиты.

Важным шагом по усилению ответственности является недавний Указ президента о заместителях по ИБ в каждой компании (Указ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»). Его уже назвали революционным. Большая часть организаций, «попавшая под указ», уже имеет соответствующие кадры по направлению ИБ. А те компании, у кого отсутствуют штатные ИБ- специалисты, как правило, небольшие и смогут воспользоваться услугами специальных организаций – лицензиатов ФСБ по осуществлению мероприятий по обеспечению информационной безопасности. Такого рода компаний (без штата по ИБ) будет не более 30% от общего количества, при этом их информационные инфраструктуры будут исчисляться десятками информационных систем, а не сотнями или тысячами, как у крупных организаций.

Дмитрий Ковалев,
руководитель ИБ-департамента компании «Сиссофт»

«Компаниям нужно привлекать новых специалистов или самостоятельно переучивать сотрудников, либо обращаться к интегратору с обширным опытом внедрения российского ПО в области ИБ»

Глобально требования и подходы к ИБ не изменились, однако появились новые нюансы, связанные с нехваткой компетенций, а также требования к организации обеспечения информационной безопасности.

Долгое время большое количество организаций на российском рынке пользовались в основном зарубежными решениями для ИБ. Однако в связи со сложившейся ситуацией и уходом зарубежных вендоров, инженеры, отвечающие за определенный стек технологий, вынуждены в кратчайшие сроки адаптировать свою экспертизу под ограниченный набор существующий решений. Компаниям нужно привлекать новых специалистов или самостоятельно переучивать сотрудников, либо обращаться к интегратору с обширным опытом внедрения российского ПО в области ИБ.

Кроме того, довольно большой слой государственных и окологоударственных предприятий, а также компаний, имеющих критическую инфраструктуру, подпадает под действие указа президента РФ 250, вступившего в силу с 1 мая 2022. Это, в том числе, компании из сферы промышленности, здравоохранения, финансов и транспорта. В указе говорится, что компании должны возложить на заместителя руководителя организации полномочия по обеспечению информационной безопасности и иметь структурное подразделение по обнаружению, предупреждению, реагированию и ликвидации инцидентов в ИБ.

Евгений Беломестнов,
руководитель отдела информационной безопасности Softline

«Персонал организации должен понимать меру ответственности, которая ложится на него по защите информации, быть бдительным и готовым к противодействию атакам. ИБ-специалисты должны подготовить персонал к этому»

1. Нет, мы не фиксировали каких-либо DDoS-атак на наши информационные системы и ресурсы в последние месяцы. Все наши системы работают штатно с установленным уровнем доступности.

2. Требования к уровню ИБ Softline остаются по-прежнему высокими. От ИБ- и ИТ-подразделений компании требуется высокая квалификация, слаженность, глубокое понимание существующих угроз информационной безопасности и мер противодействия им, своевременное реагирование на события информационной безопасности.

4. ИБ-специалистам стоит уделять больше внимания работе с персоналом. Чисто технологический подход к защите информационных активов организации недостаточен, так как человек остается наиболее уязвимым объектом для атак злоумышленников. Персонал организации должен понимать меру ответственности, которая ложится на него по защите информации, быть бдительным и готовым к противодействию атакам. ИБ-специалисты должны подготовить персонал к этому.

Переход организаций к массовой удаленной работе в период пандемии, повышение мобильности сотрудников, использование облачных сервисов заставляет пересматривать традиционный подход к обеспечению периметра безопасности компании. Периметр все больше размывается, а злоумышленники получают больше возможностей, так как сотрудники теперь всё меньше защищены системами обеспечения безопасности организации. Требуется понимание всего ландшафта безопасности, пересмотр существующих концепций обеспечения безопасности, адаптации современных подходов к защите активов компании.

В связи с текущей ситуацией с иностранными поставщиками ПО и оборудования по ИБ встает задача максимально быстрого внедрения доступных на рынке решений. Необходимо будет осваивать новые продукты, адаптировать их к имеющейся архитектуре безопасности, возможно, пересматривать сложившуюся архитектуру.

Также потребуется больше коммуницировать с производителями российских решений по информационной безопасности, давать им обратную связь по их продуктам, возможно, предлагать какие-то решения по их доработке.

Филипп Щиров,
директор и сооснователь сервиса облачной автоматизации бизнеса Альтап

«Для защиты организации от атак требуются прокси-серверы с широкими каналами, которые будут фильтровать доступ к ресурсам компании. Создать такую инфраструктуру своими силами практически невозможно, поэтому лучше нанять компанию на аутсорс»

Для нас вопрос защиты от DDoS-атак стоит особенно остро, так как мы должны обеспечивать непрерывный доступ клиентов к нашему сервису. Пока наша компания не подвергалась DDoS-атакам, а вот наши партнёры c такой проблемой уже столкнулись, поэтому мы решили заранее себя обезопасить и обратиться к специалистам по информационной безопасности.

Дело в том, что ни один специалист по информационной безопасности со стороны компании, которую атакуют хакеры, не сможет решить этот вопрос самостоятельно. Для защиты организации от атак требуются прокси-серверы с широкими каналами, которые будут фильтровать доступ к ресурсам компании. Создать такую инфраструктуру своими силами практически невозможно, поэтому лучше нанять компанию на аутсорс.

Мы изменили требования к информационной безопасности и разработали план на случай, если атака на наши серверы всё-таки произойдёт. Самый главный момент в этой ситуации – переключить все системы на инфраструктуру сторонней компании, которая будет защищать ваш бизнес. Мы заранее обсудили порядок действий, чтобы этот переход был практически незаметен как для сотрудников, так и для наших клиентов.

Ключевые слова: защита от DDoS-атак, информационная безопасность, инфраструктура, импортозамещение, периметр, злоумышленники, удаленная работа, персонал компании

Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии могут оставлять только зарегистрированные пользователи