Кирилл Тимофеев, «ОБИТ»: Позиция интегратора — найти компромисс между запросами заказчика, решениями вендора и правилами регулят
В последние годы рынок информационной безопасности претерпел значительные изменения. Сегодня атакам подвергаются не только крупные игроки, но и малый, и средний бизнес. Клиенты хотят обеспечить защиту раз и навсегда с помощью волшебной, желательно импортонезависимой, пилюли. Тимофеев Кирилл, руководитель управления инфраструктуры и сервисов оператора ИТ-решений «ОБИТ», рассказывает о том, как изменились запросы заказчиков и как интеграторы помогают безболезненно адаптироваться к новым решениям на рынке ИБ.
Тимофеев
Расскажите, как вы вышли на рынок ИБ?
Кирилл Тимофеев: Наша компания вышла на рынок услуг информационной безопасности несколько лет назад, и это было продиктовано тем, что мы переквалифицировались из классического оператора в оператора ИТ-решений, и сами прошли путь организации контура информационной безопасности на импортонезависимых решениях. Затем стали переносить этот опыт на наших клиентов, помогая им закрывать бреши в безопасности различными инструментами. Так, например, на Международном форуме газовой промышленности нам удалось организовать защиту от DDoS-атак сетевой инфраструктуры и веб-ресурсов на время мероприятия в период повышенной нагрузки.
Также, за это время нам удалось обзавестись пулом партнеров — крупнейших вендоров отрасли, продукты которых мы внедряем, обслуживаем и кастомизируем под потребности абсолютно разных заказчиков с разной спецификой бизнеса, и, конечно, своими предубеждениями и страхами.
Портрет заказчика, который обращается к вам за услугами ИБ, изменился за последнее время?
Кирилл Тимофеев: В первую очередь я бы отметил осознанность. Раньше заказчикам было достаточно просто знать, что услуга DDoS-защиты доступна и работает. Сегодня клиенты стали более требовательными и хотят управлять этой услугой сами, им стало важно быть погруженным в процесс. Клиенты теперь часто спрашивают о возможностях личного кабинета, наличии оповещений при атаке и доступе к соответствующей аналитике. Это касается не только крупных компаний, но и малого и среднего бизнеса — теперь все хотят понимать, что происходит под капотом их защиты, чтобы принимать обоснованные решения по ее улучшению.
Иметь доступ под этот капот входит в нашу зону ответственности как интегратора. То есть, мы рассказываем, как той или иной продукт будет влиять на другие системы, вплоть до того, нужно ли переписывать технические характеристики сайта, чтобы разные программные продукты были целостно интегрированы и не стали причиной появления уязвимых мест.
Это и произошло в случае с глобальным сбоем Windows? Ошибки в обновлении антивирусного продукта Crowdstrike повлияли на другие системы?
Кирилл Тимофеев: Если объяснить в двух словах, одна программа может вызвать сбой другой из-за того, что они взаимодействуют с одними и теми же частями операционной системы или ресурсами компьютера. А что касается антивирусного программного обеспечения, то оно глубоко интегрируется в операционную систему, и это увеличивает риски в разы.
Причин сбоя может быть несколько: обновление может изменить важные файлы или настройки операционной системы. Также обновление может содержать ошибки, которые нарушают работу других программ. В официальных источниках говорят об этой версии случившегося с Windows. Либо обновление попросту не совместимо с другими установленными программами или версиями ОС.
Рисков на самом деле достаточно, поэтому мы всегда тестируем все обновления, выпускаемые вендорами, чтобы минимизировать эти риски. Я веду к тому, что нашим преимуществом и второй зоной ответственности является экспертиза. У нас есть тестовые лицензии всех наших партнеров, и все продукты и обновления проходят внутреннее тестирование специалистами «ОБИТ». Мы моделируем использование нового продукта внутри себя, активируя различные функции и оценивая его эффективность. В некоторых случаях сами занимаемся доработкой функционала, если продукт незакрытый, или передаем вендору список с найденными ошибками и просим доработать, а также отдаем своих инженеров, которые прошли соответствующую сертификацию у вендора, заказчику на поддержку этого продукта.
Получается, что более осознанные заказчики теперь могут сами понять, какое решение им необходимо?
Кирилл Тимофеев: Не все так однозначно. С одной стороны, нас радует, что заказчики начинают задавать более сложные и конкретные вопросы: «Какие дополнительные функции предлагает EDR?», «Какое поведение сети будет отслеживаться?», «Какие меры защиты будут применяться при обнаружении подозрительной активности?».
Но чтобы подобрать то самое решение, нужно провести серию подготовительных мероприятий, одно из которых — аудит, как внутреннего, так и внешнего периметра. Это третий аспект, который входит в нашу зону ответственности, и он необходим в большинстве случаев. Внешний аудит включает в себя базовый анализ защищенности, проведение пентестов на проникновение. Внутренний аудит более обширен и зачастую направлен на выполнение требований регуляторов, то есть всего, что касается защиты персональных данных и объектов критической информационной инфраструктуры. В процессе внутреннего аудита мы организуем инвентаризацию активов, оцениваем состояние текущих мер и средства защиты и разрабатываем рекомендации по их улучшению.
Более того, часто видение заказчика не совпадает с реальным положением дел в его ИТ-периметре. Мы в таком случае выступаем в качестве внешнего независимого аудитора и проводим независимую оценку того, с чем будем дальше работать.
С чем может быть связано несовпадение реального состояния систем и видения в представлении заказчика?
Кирилл Тимофеев: Несовпадение выясняется на этапе инвентаризации активов, о котором я упоминал выше. Инвентаризация происходит в два этапа: сначала мы запрашиваем информацию о сервисах, из чего они состоят и как взаимодействуют. Затем в ход идут технические инструменты, например, Total Network, для выгрузки конфигурации всех устройств в сети и их технических характеристик. Это позволяет получить точную картину состояния сети и выявить скрытые проблемы.
На первом этапе мы неоднократно сталкиваемся с тем, что информация, представляемая заказчиком или его ИТ-отделом, не соответствует действительности. Обычный человеческий фактор: думаешь, что у тебя все хорошо и не замечаешь, как молоко вот-вот выкипит. В одном из недавних проектов, на этапе инвентаризации мы запросили данные об учетных записях с повышенными привилегиями, и исходя из предоставленной информации всего три человека имели права администратора. Тем не менее, когда наши специалисты на месте техническими средствами провели инвентаризацию, выявили все узлы и конфигурации, то выяснилось, что все учетные записи имели повышенные привилегии. Соответственно, все сотрудники имели максимальный уровень прав и могли совершить неправомерные действия в информационных системах.
Рисков в целом становится кратно больше, так как мы все еще сидим на двух стульях, один из которых — импортозависимый
Кирилл Тимофеев: Наш рынок разросся до сотни различных продуктов, и каждое из них — с разными конфигурациями, сильными и слабыми сторонами. Радует то, что отечественные продукты улучшаются, становясь более удобными для пользователей. Однако мы все еще сидим на двух стульях, и я знаю несколько примеров, когда ряд компаний продолжают использовать западные решения в качестве первого эшелона защиты, а отечественные — как второй, поскольку они еще не до конца откалиброваны.
Сегодня организация ИБ-контура неразрывно связана с соблюдениями требований со стороны регулятора, отсидеться больше не получится?
Кирилл Тимофеев: Скорее важно вести диалог с регуляторами и планировать мероприятия по переходу на отечественные решения заранее. Скорость и возможность отсрочки процесса импортозамещения различаются для каждой компании, но требования к защите персональных данных и критической инфраструктуры ужесточаются, что накладывает двойные обязательства по организации систем и мер защиты для компаний — операторов персональных данных или субъектов КИИ.
Роскомнадзор и ФСТЭК внимательно следят за утечками данных, включая каналы даркнета, и приходят к пострадавшим компаниям с конкретными списками данных с вопросами: «Покажите вашу базу данных. Строки совпадают — значит, данные утекли. Какие меры вы предприняли, чтобы это предотвратить?». Здесь начинается проверка документации и опрос сотрудников, проверяются технические средства защиты по заранее составленному паспорту ИСПДн, который содержит технические характеристики всех информационных систем персональных данных, имеющиеся средства защиты, системы журналирования и логирования и т.д.
И если за утечку персональных данных предусмотрены штрафы, которые правда сейчас увеличивают и переводят в режим оборотных, то с критической информационной инфраструктурой ситуация еще жестче — наказание может быть вплоть до уголовной ответственности из-за более строгих требований, например, организации нужно иметь отдельное специальное подразделение, отвечающее за безопасность.
До 2025 года все отечественные госкомпании и важные для государства корпорации должны перейти на отечественные решения, но по нашим предположениям, сроки продлят, так как некоторые решения для телекома, например, пока отсутствуют. При этом и откладывать этот процесс нельзя, и крупные региональные структуры уже реализуют с нами пилотные проекты по внедрению отечественных ОС.
Поэтому, подготовка дорожной карты по импортозамещению и ее реализация, в такой же степени входит в нашу зону компетенций и ответственности. Наша позиция как оператора ИТ-решений — помочь найти компромисс между запросами заказчика, решениями вендора и правилами регулятора.
