Компания ПАО «Ростелеком», приняв участие в программе «Цифровая экономика», развернула необходимую инфраструктуру и стала первым реально действующим оператором по новой модели MSSP (Management Security Service Provider) в России. На конференции «Код информационной безопасности», состоявшейся в Екатеринбурге, мы поговорили с руководителем направления информационной безопасности Ольгой Макаровой.
Расскажите об основных принципах работы «Ростелеком» в сфере информационной безопасности!
«Ростелеком» является сервис-провайдером услуг информационной безопасности. И мы не просто заявляем это, а реально обеспечиваем безопасность в облаке и предоставляем сервисы MSSP. Технически мы не разворачиваем системы у заказчика, а дополнительно фильтруем его трафик. На скорость Интернета это не влияет, поскольку занимает миллисекунды.
У нас развернута Telco Cloud – облачная платформа, разграничивающая полномочия, настроена модель, в соответствии с которой фильтруется трафик компонентами, выбранными клиентом, – межсетевой экран, контентная фильтрация, антиспам, система обнаружения вторжений, защита от DDoS, а также Web Application Firewall – защита на уровне приложений. На сегодня у «Ростелекома» нет конкурентов по тематике облачной ИБ-инфраструктуры. Наше облако аттестовано на соответствие требованиям К2 и 1Г.
Почему «Ростелеком» начал развивать направление информационной безопасности?
Всё началось с «Госуслуг». Когда запустили портал и стали очень плотно работать по сервисам СМЭВ, поняли, что безопасность – это критичная функция, и мы у себя ее построили. Перед выходом на рынок с сервисом MSSP провели анализ рынка и выяснили, что для компании развертывание системы с нуля – это большие затраты. Однако рынок средств защиты и наше законодательство меняются намного быстрее, чем окупается приобретение тех или иных средств. Эти изменения примерно раз в год происходят, и за ними можно не успеть.
Мы провели опросы в регионах и выяснили, что в отдаленных населенных пунктах специалисты по безопасности – большая редкость. В региональных городах люди набираются знаний и опыта и уезжают в мегаполисы. По факту в подсистему защиты вкладываются большие деньги, но мониторингом и настройкой средств защиты часто никто серьезно не занимается.
Хакеры становятся психологами и зачастую используют социальную инженерию. Недавно весь Интернет шумел об атаках шифровальщиков. WannaCry начался в пятницу вечером, когда сотрудники собирались на выходные. Скорее всего, технари просидели все выходные на работе.
Всё это привело к пониманию, что сервис MSSP сейчас необходим. Наша задача – повысить уровень информационной безопасности и минимизировать ее стоимость. Мы делаем информационную безопасность доступной компаниям малого и среднего бизнеса и повышаем эффективность систем обеспечения информационной безопасности для крупных компаний.
Обеспечивают работу сервисов безопасности у нас более ста сотрудников, они территориально распределены на трех площадках: в Новосибирске, Адлере, Москве, еще пять планируем ввести в эксплуатацию. Если говорить о техподдержке, то у нас она работает 24×7 – иначе оперативно реагировать на современные киберугрозы не получится.
Чем еще ваша инфраструктура обеспечивает информационную безопасность?
У нас есть облачная платформа – так называемое Telco Cloud – серверная часть. На стороне клиента ставится CPE – специальный миниатюрный программно-аппаратный модуль, который перенаправляет трафик клиенту, а затем на нашу платформу, где развернуты компоненты информационной безопасности. Мы работаем с ведущими вендорами и можем предоставить, например, сразу два-три межсетевых экрана, через которые будет проходить трафик.
Вендоры дают зачастую разные характеристики, а значит, есть возможность протестировать их и потом переключиться на одну. Сами мы не разрабатываем средства защиты, поскольку в этом нет необходимости –рынок насыщенный, есть игроки, которые на нём давно работают и отточили все свои решения. Мы же в наш портфель вендоров собираем «сливки».
Не стремится ли ваша компания стать неким монополистом по цифровой теме?
Мы действительно инициировали большую часть тем программы «Цифровая экономика». Считаем, что тематика должна быть регулируемой: если мы предоставляем сервис, то обязаны его обезопасить. Что касается Интернета – нет желания, как в Китае, закрыть его весь, кроме разрешенных ресурсов. Тем не менее при большом количестве атак система должна быть готова к ним. То есть Интернет должен быть защищенным. Заставлять людей жить в каких-то рамках – не наша задача.
От каких напастей может защитить ваша компания?
Всё, что касается атак извне, помогает решить MSSP. Для защиты от внутренних атак мы предоставляем сервис SOC (Security Operation Center) – систему по мониторингу инцидентов информационной безопасности. По желанию клиента можем подключить все компоненты – и операционные системы, и сетевое оборудование. Благодаря своей экспертизе выявляем инциденты информационной безопасности у заказчика, и в течение двух часов формируем рекомендации, что сделать, чтобы устранить инцидент. В режиме предотвращения предоставляем периметровую защиту, внутренняя безопасность работает в режиме обнаружения и информирования с рекомендациями, для восстановления – резервные копии и архивы, наши ЦОДы отлично подходят. Мы защитили Олимпиаду в Сочи. Нашими партнерами сегодня являются Сбербанк, ФСО, «Электронное правительство», «Государственные услуги», «Почта России», Роскомнадзор, ВТБ, Альфабанк, Сургутнефтегазбанк, «Евросеть», QIWI, МВидео, ВГТРК.
Как меняется статистика инцидентов в сфере информационной безопасности в последние годы?
Количество атак постоянно увеличивается. За первое полугодие 2017-го предотвратили столько же атак на наших клиентов, сколько за весь 2016 год. Неуклонно растет число атак на ресурсы социального характера –игровые порталы, соцсети, государственные организации. Всплески часто связаны с политическими активностями, сезоном торгов. Порядка 42% всех атак приходится на коммерческие компании. Банки – 20% всех атак. К слову, под нашей защитой находятся около 80% всех банков Урала и 13 банков России из Топ-100.
Кто инициирует DDoS-атак и кого чаще всего злоумышленники выбирают в качестве мишеней?
Мишенями становятся сайты государственных организаций и банков, порталы, интернет-магазины, организации, они имеют веб-сервисы вовне, которые приносят им деньги. Наша задача – атаки предотвращать, мы их не расследуем. По желанию клиента можем предоставить все данные для дальнейшего расследования. По нашим данным, для коммерческих компаний это почти всегда конкуренты. Заказать атаку (от $2) гораздо проще, чем использовать физическое воздействие. Мы анализировали статистику по интернет-магазинам: кроме прямых потерь, они несут еще и косвенные, репутационные. Ведь человек, зашедший на неработающий сайт интернет-магазина, не только не совершит покупку, но и больше туда не вернется.
Среди исполнителей атак на госорганизации много любителей: людям из каких-то соображений интересно взломать, скажем, портал администрации небольшого региона, отсюда очень много атак с низкой квалификацией нарушителей. Сейчас наметился тренд по увеличению числа хорошо продуманных атак – с определенной целью.
Вы 100% атак отражаете, или бывает, что подзащитный ресурс падает?
Я давно занимаюсь безопасностью и всегда опасалась термина «100%». Потому что у любого средства защиты максимум 99,99%. Утверждение о 100% – еще и дополнительная провокация, а нам и так работы хватает. Я лучше факты приведу. Последняя волна атак, которая прошла (WannaCry, Petya, DDoS-атаки) была нами успешно отражена.
Как развивались события на вашей стороне во время эпидемии WannaCry?
Таргетированные атаки и атаки нулевого дня выявляются с помощью «песочницы», системы обнаружения вторжений, или SOC. Суть атаки WannaCry была – попасть внутрь, заразить компьютер и потом передать управление компьютерами центру управления в Интернете. Во время атаки менялись порты, ip-адреса центров управления, эту информацию нам удавалось вовремя выявлять и корректировать настройки компонент MSSP, а также правила корреляции SOC. Мы сами мониторим информацию об атаках в режиме реального времени, и дополнительно подключены к Threat Intelligence – ряду центров компетенции по угрозам и уязвимостям.