Подписаться
Читать в телеграм
«Без пилотирования мы ничего не внедряем. Это внутреннее табу»: информационная безопасность в «РусГидро»
Дата публикации:
26.09.2022
Посетителей:
944
Просмотров:
933
Время просмотра:
2.8 мин.
Повлиял ли кризис на ИБ-стратегию «РусГидро»?
Как холдинг участвует в разработке российских ИБ-продуктов?
Почему внутренние компетенции лучше аутсорсинга?
— Как масштаб «РусГидро» влияет на вашу ИБ-политику и выбор средств защиты информации?
Холдинг включает десятки подконтрольных компаний, которые имеют свою собственную сетевую инфраструктуру, используют разное специализированное ПО и поддерживают разнообразные внешние сервисы. В данных условиях основная цель — это повысить общий уровень информационной безопасности и привести к нему все компании группы «РусГидро».
Для реализации этой задачи мы определяем вектор развития ИБ в части нормативной документации и технических решений, учитывающих специфику деятельности каждого предприятия, и транслируем политику на все компании.
При выборе ИБ-решений ориентируемся на опыт производителя, функциональные преимущества продукта, возможность централизации управления и получения отчетности, легкость интеграции с имеющимися средствами защиты информации, удобство пользования и т. д. Кроме того, средства защиты должны соответствовать требованиям регуляторов, постановлениям Правительства РФ и директивам профильных министерств.
В «РусГидро» используются самые передовые средства защиты информации. И подавляющее большинство этих решений разработано в России.
— Как для вас изменилась ИБ-реальность в конце февраля?
Наша компания на протяжении многих лет планомерно реализовывала политику, направленную на укрепление уровня информационной безопасности, поэтому текущая ситуация не вносит существенных изменений в дальнейшие планы работы, но, безусловно, требует их ускорения.
С началом специальной военной операции мы столкнулись с тем, к чему готовились все это время. С помощью мер, принятых в соответствии с внутренними планами реагирования, мы, как и другие предприятия энергетики, транспорта, связи и т. д., успешно противостоим компьютерным атакам на объекты информационной инфраструктуры.
В этой борьбе, на мой взгляд, самая большая ИБ-проблема — человеческий фактор. Сложнее всего изменить сознание людей и заставить их чрезвычайно серьезно относиться к вопросам безопасности. Наш главный вызов — развеять миф о том, что ИБ-угрозы как микробы: не вижу, значит, их нет.
Наш главный вызов — развеять миф о том, что ИБ-угрозы как микробы: не вижу, значит, их нет.
— Как именно вы выстраиваете отношения с работниками в части «популяризации» ИБ?
Мы всегда уделяли особое внимание обучению работников основам информационной безопасности. Помимо стандартных курсов, с помощью информационных рассылок и публикаций в корпоративной газете мы постоянно информируем работников обо всех изменениях в области ИБ, проводим ликбезы по отдельным вопросам, обучаем методам выявления фишинга и других компьютерных атак, показываем персоналу наглядные примеры. Если вы посетите наш офис, то увидите всевозможные ИБ-памятки: в холле, лифтах, где-то ставим ролл-апы.
Указанные меры, несомненно, дают положительный результат. У нас идет позитивный конструктивный диалог по вопросам ИБ со всеми подразделениями группы «РусГидро». Это редкость для многих крупных компаний.
Мы формируем хребет SOC
— Какие новые ИБ-сервисы, услуги и подходы вам пришлось экстренно внедрить за последние несколько месяцев?
Как я уже сказал ранее, в целом подход к ИБ не изменился. Новые сервисы мы не внедряли, но стараемся расширять имеющиеся. Например, заметно ускорили развитие корпоративного SOC.
Также мы уделяем много внимания развитию DLP. Тема утечек — персональных данных и другой конфиденциальной информации — сейчас особенно актуальна для всех (вспомните примеры «Яндекс.Еды» и других атакованных компаний).
— Есть ли особые требования к SOC в случае, когда бизнес охватывает такую географию, как у «РусГидро»? Вы планируете наращивать внутреннюю экспертизу или будете и дальше пользоваться услугами аутсорсеров?
Особенных требований нет, за исключением круглосуточного режима работы. Но обстоятельство, что предприятия холдинга находятся практически во всех часовых поясах страны, мягко подталкивает нас к созданию распределенного SOС.
Плюсы такого решения очевидны: с одной стороны, мы реализуем отказоустойчивую распределенную схему функционирования SOC, с другой — создаем условия для работы специалистов в удобных временных рамках.
В настоящий момент над решением этой непростой задачи работают наши специалисты блока ИТ и представители производителей средств защиты, используемых в SOC.
Что касается аутсорсинга, то на начальном этапе формирования SOC мы привлекали подрядчика, у которого есть экспертиза и возможности для обучения наших сотрудников. На текущий момент стремимся развить внутреннюю экспертизу.
— У вас возникли проблемы из-за ухода с рынка зарубежных вендоров?
Программу импортозамещения в части ИБ мы начали давно и уже на 99% перешли на российские решения. Без пилотирования мы не внедряем ничего — это внутреннее табу. Поэтому с уверенностью могу сказать, что все отечественные ИБ-продукты, которые мы используем, находятся на достаточно высоком уровне и максимально нам подходят.
— Насколько сильно вы «допиливаете» отечественные ИБ-продукты?
Некоторые вообще не требуют доработки — достаточно базовой настройки. И таких, кстати, большинство. Российское ПО прошло уровень «сырых продуктов» — в основном это достаточно хорошие коробочные решения. Доработки чаще всего касаются интерфейса, тюнинга процессов и интеграции с другими сервисами. Критических ситуаций, когда нужно было практически переписывать продукт, в нашей практике не было.
Здесь есть важный момент: «РусГидро» активно участвует в развитии российских ИБ-продуктов. Мы готовы предоставлять производителям мощности и пилотировать новые технологии, потому что заинтересованы в качественных решениях. Например, Positive Technologies разрабатывали на нашей базе PT ISIM. Можно сказать, «РусГидро» была площадкой для его тестирования. Причем мы не просто предоставляли мощности, а работали вместе. Когда наши специалисты видели недоработки в продукте, они делились данными с партнером. Таким образом мы вместе улучшали систему.
Российское ПО прошло уровень «сырых продуктов» — в основном это достаточно хорошие коробочные решения.
— Какой из последних пилотов «РусГидро» кажется вам наиболее интересным?
Введение двухфакторной аутентификации для доступа к корпоративным ресурсам. На первый взгляд, проект не кажется особенно сложным, но он требует участия практически всех сотрудников ИТ- и ИБ-подразделений: инфраструктурщиков, безопасников, разработчиков и т. д. Кроме того, в пилоте было задействовано подавляющее большинство наших сервисов. Проще говоря, все силы и средства. Интересно было прорабатывать вопросы интеграции системы с разными отечественными решениями.
— Ваше мнение о решениях с открытым кодом. Можно ли использовать их на крупных предприятиях и в госструктурах?
Наверное, как и все ИБ-шники, в первую очередь я вижу в них угрозу. Используя Open Source, мы фактически выдаем злоумышленнику исходный код и существенно облегчаем ему жизнь.
На мой взгляд, решения с открытым кодом должны рассматриваться как промежуточный этап. Это база, с которой можно начинать развитие собственного продукта, но финальное решение не должно иметь с ней почти ничего общего.
Само собой, мы в одночасье не откажемся от общеизвестных библиотек, готовых модулей и т. д. В идеале нужно стремиться к созданию собственных репозиториев, в которых будут храниться эти решения. Пусть они тоже будут Open Source, но это будет наш Open Source, в который не могут внести изменения или закладки недружественные компании и государства.
— Могут ли закладки быть в лицензированном зарубежном ПО? Насколько, на ваш взгляд, актуальна эта угроза?
Кейсы уже есть: например, в Санкт-Петербурге отказались работать электрозаправки, которые были собраны на Украине.
Как безопасник, исключать наличие закладки я не имею права. Риск уже подтвержден, это реальная проблема. Как с ней бороться? Единственный выход — требовать у вендоров, заходящих на российский рынок, исходный код и проверять его. Но на это, скорее всего, никто не пойдет.
Со своей стороны мы постоянно разрабатываем меры противодействия этой угрозе, проводим тестирование ПО, полностью изолируем отдельные критические участки.
Мы допускаем, что злоумышленник сможет тем или иным образом проникнуть в нашу инфраструктуру, но возможность развития атаки должны исключить.
— Какие ИБ-угрозы будут нарастать, а какие, напротив, не стоит преувеличивать?
Не стоит преувеличивать угрозу DDoS, потому что практически весь бизнес ушел за «прокладки», фильтрующие трафик.
Наиболее опасными и реализуемыми мне кажутся атаки, связанные с социальной инженерией (тот же фишинг, которого стало заметно больше). Нельзя, опять же, списывать со счетов угрозу закладок в зарубежном и Open Source ПО.
Учитывая общий рост количества атак, сейчас особенно важно развивать направление SOC. Мы допускаем, что злоумышленник сможет тем или иным образом проникнуть в нашу инфраструктуру, но возможность развития атаки должны исключить.
— В ИБ есть проблема оттока специалистов за рубеж?
Нас она не коснулась. Фактов увольнения работников из-за эмиграции в «РусГидро» нет. В корпоративной ИБ нельзя работать удаленно, поэтому релокация не вяжется с самим пониманием информационной безопасности. Кроме того, наши ИБ-эксперты очень патриотичны.
— Повлияет ли кризис на кадровую ситуацию в ИБ-отрасли?
Кадровый голод в ИБ был и остается. Само собой, сейчас вопрос стал острее: это обратная сторона решения Правительства РФ об обязательном создании ИБ-подразделений. Компании, где их не было, активно включились в борьбу за кадры.
Очень тяжело найти компетентного специалиста ИБ — в этой профессии знания можно получить только на практике. И чтобы стать настоящим гуру, надо пройти путь становления информационной безопасности в организации с нуля.
Все ключевые ИБ-эксперты давно известны, они общаются друг с другом и обмениваются информацией. Есть костяк — по большому счету он и составляет информационную безопасность нашей страны. Новые специалисты появляются, но нужно время, чтобы они набрались опыта, а нам нужно просто работать, обучать коллег и растить новую смену.
Все ключевые ИБ-эксперты давно известны, они общаются друг с другом и обмениваются информацией. Есть костяк — по большому счету он и составляет информационную безопасность нашей страны.
— Чего ждать энергетической отрасли в ближайшем будущем, к чему стоит готовиться? Ваш прогноз до конца 2022 г.
В рамках обеспечения технологической независимости и безопасности КИИ стоит ждать развития линейки отечественных продуктов, а также роста нагрузки на российских производителей. В целом настрой достаточно позитивный, регуляторы и Правительство РФ активно подключились к вопросу повышения уровня ИБ. Я думаю, что к концу года следует ожидать принятия Национальной программы развития информационной безопасности.
О проекте с "Инфосистемы Джет"
