ИТ-портал компании «Инфосистемы Джет»

Импортозамещение, категорирование и кадровый вопрос: о чем говорили на SOC-Forum

В Москве прошел SOC-Forum «Практика противодействия кибератакам и построения центров мониторинга ИБ». На протяжении двух дней более двух с половиной тысяч человек дискутировали о методах обеспечения ИБ, обсуждали кадровые нюансы работы и особенности импортозамещения в области информационной безопасности.

Тысячи объектов и ноль рублей

SOC-Forum проводился уже в четвертый раз, в этом году у мероприятия было два ключевых изменения. Во-первых, он стал двухдневным. Во-вторых, сменились организаторы, ими стали государственные регуляторы — ФСБ и ФСТЭК России. И это повлияло на обсуждаемые вопросы.

На пленарном заседании, открывавшем мероприятие, первым взял слово заместитель директора ФСТЭК России Виталий Лютиков. В своем выступлении он уделил внимание Федеральному закону № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», в частности категорированию объектов критической информационной инфраструктуры.

По его словам, с начала этого года в ФСТЭК отклонили данные по 600 объектам КИИ, поскольку заявки были поданы с нарушениями. Среди компаний, не спешащих подавать заявки о категорировании, Виталий Лютиков выделил операторов связи и банковскую сферу. «При этом у нас есть примеры предприятий, которые обработали уже более 1000 своих объектов и разработали все необходимые документы», — подчеркнул заместитель директора ФСТЭК.

Первый заместитель директора Департамента информационной безопасности Банка России Артем Сычев рассказал о ключевых трендах, которые ЦБ видит в ИБ-сфере: «Первый тренд — увеличение количества атак, причем это разнотипные атаки. Второй — с этими угрозами научились бороться, и количество денег, которые теряет финансовая система, снижается».

Также представитель ЦБ отметил, что в рамках информационного обмена между банками и ФинЦЕРТом возможен переход от обязательных форм отчетности к так называемым сырым данным. Возможность анализировать их дает больше эффекта по сравнению с анализом форм отчетности.

О программе «Цифровая экономика», утвержденной год назад, и роли ИБ в ней говорил руководитель службы кибербезопасности Сбербанка Сергей Лебедь. Большое внимание он уделил выявленным за год проблемам в ИБ-сфере: кадровая (низкие профессионализм и культура кибербезопасности), отсутствие центров кибербезопасности в компаниях и недостатки правового поля. «Но самая большая проблема — это финансирование. На направление ИБ требуется выделить 5,66 млрд рублей, из них выделено 0,363 млрд, а до исполнителей доведено 0 рублей. Фактически на сегодняшний день мы имеем задержку программы на один год», — отметил эксперт. Но, по его словам, есть и положительные стороны работы — например, трансформация направления в федеральный проект, при этом было укрупнено много мероприятий: вместо 390 их стало 140.

Заместитель начальника центра ФСБ России Игорь Качалин начал свой доклад с напоминания о том, что ряд государств наращивают свои возможности воздействия на критическую информационную инфраструктуру других стран. Эксперт рассказал о работе по созданию и развитию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

Компания «Ростелеком-Solar» опубликовала аналитический отчет о кибератаках на российские компании, произошедших в первой половине 2018 г.

357 тыс. компьютерных атак зафиксировали специалисты Solar JSOC, это в 2 раза больше, чем в первом полугодии 2017 г.

20% из них классифицированы как критичные, то есть потенциально ведущие к финансовым потерям на сумму свыше 1 млн руб.

48,9% критичных внешних атаках происходили ночью.

33,6% атак были направлены на взлом веб-приложений организаций.

22,5% атакующих пытались заразить серверы и рабочие станции пользователей вредоносным ПО.

21,7% пытались подобрать пароли к учетным записям личных кабинетов или системам файлового обмена с контрагентами.

Рецепты SOC

После пленарного заседания участники обсуждали более узконаправленные темы на секциях «Практика реализации положений ФЗ-187 и его подзаконных актов» и «Опыт эксплуатации SOC». На секции, посвященной аспектам построения и использования SOC, Алексей Мальнев, руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет», поднял кадровый вопрос в своем выступлении на тему «Как укомплектовать команду мониторинга и реагирования».

В том числе он рассказал, как компания формировала структуру услуги, почему было решено сделать акцент на реагировании и исходя из каких факторов была выбрана именно концепция CSIRT. «Последние пять лет мы наблюдаем взрыв специализаций как в инженерной части, так и в части аналитики. При этом если инженерам важно погружение в конкретные технологии и продукты, то аналитик смотрит более широко и обычно работает на стыке нескольких тематических пластов», — отметил эксперт по ходу своего выступления.

Импортозамещение: да или нет

Киберустойчивость и импортозамещение — эти темы стали ключевыми на пресс-брифинге форума, в котором приняли участие представители государственных организаций и лидеры российского рынка информационной безопасности.

Известно, что взломать можно любую компанию, это вопрос времени и денег. В таких условиях всё чаще начинают говорить о киберустойчивости — возможности корпоративной ИТ-инфраструктуры выживать в агрессивных условиях под регулярными атаками. Поэтому, уверен Сергей Лебедь, важно понимать, как компания будет восстанавливаться после каждой атаки и вырабатывать соответствующие алгоритмы защиты. Не менее важно при этом правильно выстроить общение с клиентами, поскольку есть примеры, когда крупные ИБ-инциденты приводили к массовому оттоку клиентов и компании просто переставали существовать. «Пока нам не хватает методологии, соответствующих кадров и нет компаний-консультантов, которые могли бы помочь реализовать подобные процедуры. При этом чем выше цифры бизнеса, тем выше и уязвимость компании. Если вы спросите меня, сколько на российском рынке компаний, обладающих киберустойчивостью, я отвечу: совсем немного», — отметил эксперт.

Директор по развитию бизнеса Positive Technologies Максим Филиппов вспомнил события прошлого года, когда сначала WannaCry (май), а затем Petya (июнь) атаковали рабочие станции в десятках стран по всему миру. Именно тогда многие участники рынка осознали, что подобные инциденты будут происходить постоянно и к ним необходимо быть готовыми.

Следом подняли тему импортозамещения в сфере ИБ. Участники дискуссии охарактеризовали главную проблему импортозамещения так: деньги выделяются — результата нет. Пока производительность отечественных ИБ-решений за редким исключением на порядок ниже западных продуктов.

Максим Филиппов привел интересный пример, связанный с разработкой Positive Technologies — Application Firewall. По его словам, несмотря на сотни миллионов, которые компания зарабатывает на этом решении в России, доходы ненамного превосходят затраты на его разработку. И хотя в 2015 г. компания с этим продуктом стала визионером в рейтинге Gartner Magic Quadrant по безопасности веб-приложений, она до сих пор не отбила потраченных на него денег.

Однозначно в защиту импортозамещения высказался только заместитель генерального директора компании «ИнфоТеКС» Дмитрий Гусев. По его словам, пару лет назад благодаря политике импортозамещения началось реальное взаимодействие между заказчиками и российскими производителями отраслевых продуктов/услуг. Это обеспечивает развитие отечественного ИБ рынка.

«SOC-Forum — главное мероприятие по тематике экспертного аутсорсинга сервисов SOC, CSIRT, CERT. Это обзоры передовых инструментов аналитики, детектирования и реагирования на инциденты ИБ, обсуждение вопросов соответствия требованиям регуляторов в этих областях и многое-многое другое, — подчеркнул Алексей Мальнев. — Поэтому SOC-Forum стал для нашей компании ведущей площадкой в России, на которой мы обмениваемся с экспертным сообществом опытом и мнениями по интересующим нас темам.

По итогам форума можно с уверенностью сказать, что уровень зрелости его участников — как сервис-провайдеров, так и заказчиков — год от года растет. Никто уже не обсуждает вопросы необходимости и важности процессов и технологий обнаружения угроз и реагирования на инциденты, как это было несколько лет назад. Основной акцент в дискуссиях сместился на тонкости реализации и выстраивания процессов, повышение их зрелости, на новые аналитические методы, инновации в технических решениях. Для нас как для одного из игроков этого рынка очень важно, что мы не только идем в ногу со временем, но и вносим свой вклад в формирование повестки дня, в развитие передовых аналитических подходов, в изучение актуальных ИБ-угроз, в оптимизацию процессов Incident Response, а также в вопросы создания и развития ИБ-команд, работающих по этому профилю.

Вернуться к архиву
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su