От первого лица , Санкт-Петербург и область ,  
0 

«Сегодня наиболее эффективны человекоцентричные стратегии киберзащиты»

Фото: РБК Петербург
Фото: РБК Петербург
Гендиректор «Комфортел» Дмитрий Петров — о том, почему в современном мире не все должно защищаться цифровыми методами

В 2023 году в России было отражено 65,8 тыс. кибератак на объекты критической информационной инфраструктуры (КИИ), и устранено 1,8 тыс. инцидентов. Количество утекших в сеть персональных данных превысило 1 млрд записей. Во втором квартале текущего года участились DDoS-атаки в телеком-отрасли, что подчеркивает необходимость усиления мер кибербезопасности. Генеральный директор компании «Комфортел» Дмитрий Петров в интервью РБК+ Петербург рассказал, какие вызовы в области киберзащиты стоят перед телекомом и какие стратегии обеспечения кибербезопасности и защиты КИИ наиболее эффективны.

Зона риска для богатых и знаменитых

— Чувствуете ли вы, что телеком является одной из главных мишеней киберзлоумышленников?

— Основное количество инцидентов все-таки происходит не в телеком отрасли, а в ИТ. То есть они связаны с компаниями, которые не услуги связи оказывают, а являются сервис-провайдерами или оказывают услуги населению на основе ИТ. Однако риски и угрозы растут. Даже случаются крупные инциденты, которые, правда, не становятся достоянием общественности, но в отрасли известны.

— Можете привести пример?

— Например, была успешная атака на инфраструктуру федерального оператора, которая по всей стране вывела из строя несколько десятков тысяч абонентских устройств. В атаке была использована уязвимость вендора и, скажем так, непрофессионализм инженеров внутри самой компании. Через систему обновлений ПО было выведено из строя 50-70 тыс. роутеров конечных пользователей в b2b-сегменте по всей стране. Так что десятки тысяч клиентов этой компании остались без связи и причем надолго. Ведь для перезапуска оборудования нужно было приехать к нему и поменять прошивку, потому как удаленный доступ к оборудованию был потерян полностью. Наверняка для кого-то это был единственный канал интернет-доступа, и так как речь шла о нескольких неделях, это могло быть критичным.

Это был первый звоночек, но не единственный, к сожалению. В этом году атаке подверглась одна домашняя сеть в Московской области: злоумышленники смогли взломать часть роутеров и вывести сеть из строя на незначительное время. В этом случае в течение суток все уже было восстановлено. Если же говорить в целом по отрасли, то количество такого рода инцидентов возросло — раньше подобного не было.

— Причины в новых уязвимостях телеком-инфраструктуры или в изменении стратегии преступников?

— Возможно, инфраструктура операторов связи до 2022 года в принципе не была целью киберпреступников, хоть это и странно. А возможно, поменялись методики атак, что сделало их более эффективными. При этом злоумышленники точно целятся в инфраструктуру богатых и именитых компаний, потому что основной целью остаются деньги. Зашифровать данные с целью получения выкупа — их основная задача. В случае самой масштабной атаки, которую я упомянул, был и политический подтекст. Но в любом случае можно сказать, что сети операторов попадают под атаки и политически ангажированных, и материально заинтересованных киберпреступников.

Сети операторов попадают под атаки и политически ангажированных, и материально заинтересованных киберпреступников.

Цена взлома

— Успешная кибератака для телеком-оператора — это имиджевые или финансовые потери?

— И то, и другое. Для компании важно, чтобы ее считали надежным поставщиком услуг, а масштабный инцидент этому не способствует. Но оценить имиджевые потери в деньгах на коротком горизонте сложно. Объемы новых подключений сократятся, увеличится отток, но это произойдет не сразу. А прямые финансовые потери отследить проще: речь идет о невыставленных счетах за услуги связи, предоставленных скидках на основании претензий клиентов и т.д. Очень затратной будет замена оборудования или его перенастройка и оплата работы подрядчиков. Представьте: 50 тыс. выездов, каждый из которых с учетом срочности будет стоить в среднем по 10 тыс. руб. В итоге в 0,5 млрд руб. обошлось только устранение последствий.

— А сами абоненты чувствительны к этому или сейчас все все понимают и подождут, пока починят?

— Сегодня связь — это базовая инфраструктура, благодаря которой могут работать дальше все основные цифровые сервисы — и облака, и автоматизация, и цифровизация. Поэтому для кого-то, возможно, потеря канала связи не является критичной для бизнеса, но в любом случае это точно заметно, причем гораздо заметнее, чем было 10 или уж тем более 20 лет назад. То есть если 20 лет назад пропадал в офисе, на производстве или складе интернет, далеко не всегда это отражалось на бизнес-процессах. Сейчас ситуация изменилась. Уже 10 лет назад я воочию видел, что такое потеря связи на складе крупной компании (канал связи был не зарезервирован, поэтому произошла полная остановка работы склада). Так как там была облачная ERP-система, то сотрудники не могли отгрузить товары, выставить счета, проверить их наличие и т.д. Еще один пример: в то же время потеря связи на заводе одной международной компании в Петербурге привела к остановке возможности отгрузки уже загруженного в машины товара, так как охрана не могла открыть ворота. На предприятии был настолько высокий уровень цифровизации, что при потере связности система управления доступом не позволила дальше работать.

Конечно, за прошедшие 10 лет многие осознали необходимость резервирования каналов. На сегодняшний день покрытие сотовых сетей очень хорошее, есть технологии, которые позволяют агрегировать сразу несколько каналов. Соответственно, те предприятия, куда невозможно протянуть проводной канал, как правило, резервируются двумя разными радиоканалами или быстро ищут альтернативы в случае сбоя. Так что не только технологии связи развились, но и клиенты в значительной степени стали относиться к резервированию связности ответственнее.

Так что не только технологии связи развились, но и клиенты в значительной степени стали относиться к резервированию связности ответственнее.

Система защиты

— Какие стратегии защиты КИИ в телекоме сейчас наиболее эффективны?

— На мой взгляд, наиболее эффективны человекоцентричные стратегии киберзащиты. Назовем их так, потому что в большинстве случаев источником проблемы являются действия самого человека, пользователя системы. Поэтому, безусловно, плясать надо от источника проблемы и проводить киберучения. Причем проводить регулярно, в разной конфигурации атак, с разным набором участников и последствий. И делать их надо так, чтобы люди не боялись, а именно учились. Если человек открывает ссылки или копирует коды, то просто должно все перестать работать — как минимум у этого сотрудника, а лучше у соседей тоже. Например, должен выключиться экран ПК. Такой опыт полезен, потому что покажет, к чему приведут действия человека. А это даст эффект, когда будет работать в комплексе с техническими средствами.

Если говорить об эшелонированной защите, то сеть должна быть сегментирована, бекапы должны делаться не только в автоматическом режиме, но и в ручном, а храниться они должны так, чтобы проходить проверку. То есть должен существовать бекап судного дня: он может быть не очень свежим, но лучше потерять данные за неделю или месяц, а не все целиком. Сеть должна быть разделена на сегменты, причем, права на внесение изменений в конфигурацию должны быть очень ограничены. При этом все изменения должны логироваться, логи — анализироваться, должны быть выстроены понятные, простые, пусть и напоминающие костыли, но триггеры, которые позволят понять, что какие-то возможности доступа дискредитированы и сейчас ими пользуется злоумышленник, а не администратор системы. Кроме того, должны быть сценарии работы в случае, если все-таки инцидент случился.

На мой взгляд, наиболее эффективны человекоцентричные стратегии киберзащиты. Назовем их так, потому что в большинстве случаев источником проблемы являются действия самого человека, пользователя системы.

— Цифровые сценарии?

— Нет. Приведу в пример еще один инцидент, который известен профсообществу, но также не попал в публичное поле. Речь шла о компании очень большого масштаба. И когда ее сотрудники поняли, что происходит атака и данные начинают зашифровываться, то побежали физически отключать серверную инфраструктуру. И это тоже часть сценария защиты, потому что можно потратить большой бюджет, провести пентесты, учения, купить софт и оборудование, обложиться эшелонами, но не иметь плана по физическому отключению.

Представьте подводную лодку: много внимания уделено прочности корпуса, установлены радарные системы и разнообразные средства защиты, но все это по каким-то причинам не сработало и появилась пробоина. Вода прибывает, а команда не знает, что делать. Результат предсказуем. Кстати, я бы посоветовал всем ИТ и ИБ-специалистам посмотреть именно на опыт военных, потому что несмотря на всю свою консервативность, некоторые принципы и подходы в этой сфере очень полезны и эффективны. Ведь их важнейшая задача — сохранить живучесть, чтобы остаться обороноспособными. Именно поэтому нужно предусмотреть план на случай, если все пошло не по плану. И он должен предусматривать ручное управление, без автоматизации и цифровизации.

Был интересный прецедент, когда в глобальной интернет-корпорации, владеющей соцсетью, мессенджером и пр., произошел сбой в работе протокола граничного шлюза из-за кривых настроек. В результате персонал не мог попасть в собственный дата-центр — не работала система контроля и управления доступом. Что в этом случае делать? Только двери вскрывать физически. Так что «сценарии судного дня» должны быть не про автоматизацию, чтобы слово «кибер» никого не сбивало с настроя, киберзащищенность — это не только про цифровые методы и инструменты.

«Сценарии судного дня» должны быть не про автоматизацию, чтобы слово «кибер» никого не сбивало с настроя, киберзащищенность — это не только про цифровые методы и инструменты.

Персональные сценарии

— Ваша компания стала больше тратить на кибербез в последние годы?

— Однозначно больше. Мы в принципе стали больше внимания этой проблеме уделять. Да, резервированием и бекапкопированием мы занимались всегда, потому что это основа любого инфраструктурного айтишника или связиста, но каждый произошедший в отрасли масштабный инцидент меня заставляет задуматься о том, как это может коснуться нас, и я делаю соответствующие выводы. Поэтому еще до того, как были зафиксированы атаки на сетевую инфраструктуру, и до 2022 года, когда многим было рекомендовано или предписано отключить возможность автоматического обновления софта на оборудовании, мы это уже применяли у себя. И мы точно будем тратить на киберзащиту больше в перспективе, потому что всем нам хочется спать спокойно. А для этого нужно быть уверенным в том, что инфраструктура не превратится в тыкву.

— Какие решения регулятора относительно безопасности КИИ в телекоме еще необходимы, а какие — уже избыточны?

— Реальная защита инфраструктуры происходит не на основании выпуска какого-то постановления или регламента — это процесс более сложный. Но сам факт, что эти требования возникли, заставит подавляющее число топ-менеджеров в отрасли озадачиться вопросом защиты, а это уже само по себе хорошо. Кто-то, конечно, сможет выполнить требования формально, закрыться на бумаге, что не приведет к повышению уровня безопасности, но все же многие задумаются и реализуют все необходимые технические и управленческие меры, чтобы купировать возможные риски киберугроз,

Единственное, что позволяет мне скептически оценивать инициативы регулятора, это их запаздывание. Например, ценность персональных данных государство осознало лишь лет 10 назад, а уже к тому времени количество утечек было огромным. Однако сразу подчеркну, что тренд на ускорение регулирования явно прослеживается. Для этого есть несколько предпосылок. Во-первых, сам процесс цифровизации и развития технологий ускорился. Во-вторых, объективно в Минцифре собрана более профессиональная команда. Хотя органом, который курирует КИИ, является ФТЭК, являющийся частью структуры Минобороны. А у этого министерства сейчас другие задачи. Поэтому, мне кажется, мы идем не совсем тем маршрутом, который можно было бы назвать оптимальным. И все-таки я надеюсь, что меры, которые будет государство предпринимать, будут бизнесу не мешать, а помогать.

Экспертиза Облачный тренд, который не сдержать
Содержание
Закрыть