Игорь Ляпунов, «РТК-Солар»: Нам нужен новый подход к кибербезопасности
Февраль 2022 года существенно изменил характер киберугроз для российских предприятий. Кто сегодня находится под прицелом киберпреступников? Какое «оружие» они используют? Каким образом новые реалии изменяют сложившиеся подходы к организации корпоративной информационной безопасности? Об этом TAdviser рассказал Игорь Ляпунов, генеральный директор «РТК-Солар»
Игорь, в своем выступлении на TAdviser SummIT 31 мая Вы привели очень интересные цифры роста мощности DDoS-атак, которые обрушились на российские предприятия с началом СВО, - до 200 – 300 тыс. запросов в секунду. А как обстоит дело сегодня?
ИГОРЬ ЛЯПУНОВ: Я бы сказал так: накал эмоций и с той, и с другой стороны, спал, но объемы и количество атак не уменьшились. Сейчас в кибернападения на территорию России вовлечено больше 250 тыс. «сочувствующих» – не профессиональных хакеров и даже не профессиональных айтишников. Это обычные люди, но им в руки дают инструменты, которые не требуют никаких специальных знаний: нажимаешь несколько кнопок – и вот ты в киберармии. При этом действия атакующих очень хорошо координируются.
Если в начале мы имели дело преимущественно с DDoS, то сейчас видим все больше сложных целевых атак, направленных не на то, чтобы вывести инфраструктуру из строя на пару часов, а на ее разрушение, как это было в случае с RuTube. И еще одно направление атак – получение внутренней информации о российской критической информационной инфраструктуре, об ее устройстве, сотрудниках компаний. Это такая «разведка боем» – подготовительная атака, за которой может последовать более серьезная, целью которой будут уже реальные деструктивные воздействия.
Раньше, в первые недели СВО, на той стороне квалифицированных хакеров было очень немного, и они прорывались в наиболее незащищенную инфраструктуру, образно выражаясь, просто чтобы что-нибудь «разломать и быстро убежать». А сейчас все по-другому: хакеры четко понимают, что делают, куда попадают и что могут сделать с захваченной инфраструктурой. Все это приводит к выводу, что киберпротивостояние еще не закончилось: атаки все больше упорядочиваются, и каждая следующая волна – еще более изощренная, с еще более разрушительными последствиями. Хотя мы отразили первые волны атак, расслабляться рано: сейчас необходимо проанализировать спектр вероятных угроз и перевести операционную безопасность в круглосуточный и оперативный режим функционирования.
Можно сказать, что есть какая-то структура целей в этих атаках?
ИГОРЬ ЛЯПУНОВ: Да, безусловно. В самом начале киберпротивостояния у нападающих не было фокуса внимания как такового, и многие эксперты говорили, что вектор атак был непредсказуем. А сегодня я бы выделил три основных фокуса внимания злоумышленников. Первый – это все, что касается медиа. Здесь цель – визуальный эффект, не реальные последствия, а именно яркость атаки и то, насколько широко будет освещаться инцидент. Кибервойна сегодня ведется не только на традиционном для ИБ технологическом поле, но и с использованием максимального количества инструментов пропаганды и информационных войн.
Второй фокус внимания хакеров – это, конечно, системы государственного управления. Нападающие очень прицельно работают по социально значимым структурам. И третий фокус – это критическая информационная инфраструктура, которая по понятным причинам является лакомым куском для атакующих.
Можно ли тогда сделать вывод, глядя на происходящее со стороны коммерческих компаний, что если я «сижу, примус починяю» или торгую продуктами питания, то меня чаша сия минует. Или не минует?
ИГОРЬ ЛЯПУНОВ: Знаете, до СВО такой подход был распространен практически повсеместно: ну, кто я для хакеров? Вряд ли до меня их руки дотянутся, потому что количество целей неизмеримо больше количества рук на той стороне… Конечно, те сферы деятельности, которые я перечислил, с большей вероятностью могут подвергнуться атакам, чем другие. Но при этом очевидно, что когда-нибудь руки дойдут и до большинства других, потому что цель хакеров – это глобально РФ, просто у каждой компании своя модель рисков в нынешних условиях. Да, хакерам нет смысла взламывать главную страницу сайта регионального ритейлера, но украсть данные его клиентов и выложить в открытый доступ – вполне интересная задача. А для бизнеса это потеря доверия аудитории, отток клиентов и в перспективе, возможно, оборотные штрафы.
В целом наш коммерческий и государственный сектор оказался готов к такому накалу атак, который мы наблюдаем?
ИГОРЬ ЛЯПУНОВ: С одной стороны, в экспертном сообществе есть точка зрения, что наш инфобез не был готов к такому уровню кибернападений: были уязвимости в ИТ-системах, инфраструктуре, были периоды недоступности сервисов. С другой стороны, мы прожили полгода в режиме очень активного противостояния, и крупных инцидентов, вообще говоря, не произошло. Инфраструктура крупнейших российских организаций, несмотря на высокую плотность атак, продолжает функционировать, серьезных последствий или перебоев нет. Конечно, это хороший показатель нашей готовности к отражению атак.
Но все-таки в этой ситуации нас спасла самоотверженность ИБ-специалистов, мы не можем полагаться на нее каждый раз. Необходимо переходить к системной кибербезопасности, рассчитанной на очень частые и интенсивные кибератаки.
В чем это выражается?
ИГОРЬ ЛЯПУНОВ: Бизнес не мыслит категориями функций ИБ и ИТ, для него значим только конечный результат – киберустойчивость. Если нормальное, штатное функционирование компании нарушено, не важно, что стало причиной – вышла ли из строя серверная платформа, сгорел диск, отключилось электропитание или произошла кибератака. Поэтому в период пиковой частоты атак ключом к успеху была не только работа ИБ по борьбе с деструктивными кибервоздействиями, но и качество ИТ, скорость восстановления после сбоев. И именно скорость восстановления ИТ, стала определяющим фактором того, что бизнес не получил заметного ущерба от кибератак.
Несмотря на то, что мы довольно успешно противостояли кибератакам в эти полгода, многие эксперты сходятся в том, что подходы к кибербезопасности надо пересматривать. Кто-то говорит о смене концепции защиты: вместо защиты периметра – Zero Trust, кто-то – о единой вертикали ИБ, которая должна как стержень пронизывать все уровни деятельности компании. Как Вы сегодня ответите на вопрос: надо ли менять сами принципы создания надежной системы ИБ в компании и управления ею?
ИГОРЬ ЛЯПУНОВ: Да, безусловно, надо, но эти изменения должны происходить не в технологической, а в управленческой плоскости.
Раньше информационная безопасность считалась в первую очередь технологической дисциплиной, и это ошибочное представление. Информационная безопасность – это система менеджмента, которая должна идти рука об руку с управлением ИТ.
Фундамент киберустойчивости это не наличие систем защиты или мониторинга киберугроз, а базовые процессы управления ИТ: управление изменениями инфраструктуры, обновлениями и правами доступа, особенно привилегированными. Только если эти процессы выстроены и системно функционируют, можно говорить об эффективности технических решений или сервисов информационной безопасности. И от того, насколько в дальнейшем ИТ и ИБ будут взаимно интегрированы, и зависит итоговый результат – киберустойчивость бизнеса.
Такую парадигму в большой компании можно выстраивать только на базе единого проектного офиса, который сформирует карту ключевых бизнес-рисков, единую стратегию развития, этапы проверки ее эффективности, пересмотра и актуализации. Это также подразумевает централизацию и вертикализацию ответственности за информационную безопасность. В вопросе обеспечения киберустойчивости, как и во всех прочих бизнес-задачах, должна существовать единая точка ответственности. Эти же принципы заложены в основу Указа №250, который формирует систему ответственности за информационную безопасность.
Это новый подход в сфере борьбы с киберугрозами. Он требует пересмотра подходов к менеджменту кибербезопасности, но он прямо следует из того опыта, который мы получили в ходе кибервойны, начавшейся в феврале, и отвечает реалиям нового времени.
Какие принципы реализации такого подхода на практике Вы считаете ключевыми? Какую роль играет классический анализ рисков при таком подходе?
ИГОРЬ ЛЯПУНОВ: Он важен, но не в той мере, которую ему часто приписывают. Я нередко слышу мнение о том, что контроль на основе неприемлемых событий – это своего рода «серебряная пуля» для обеспечения безопасности. Но это не так. Анализ рисков – это, скорее, приоритизация усилий, то есть более фокусный подход к тому, что должно иметь максимальный уровень защиты, а где достаточно базового.
Как вы считаете, можно ли добиться 100%-ной защищенности?
ИГОРЬ ЛЯПУНОВ: Абсолютную киберзащищенную систему можно построить, но на короткий срок и при выполнении ряда условий: милитаризация доступов, минимальный объем и максимальная статичность инфраструктуры. В больших «живых» инфраструктурах полная защищенность невозможна. Там следует говорить о гарантиях отсутствия ущерба бизнесу через киберустойчивость.
Весной произошли серьезные потрясения на рынке поставщиков технологий ИБ: зарубежные вендоры ушли с российского рынка, а свободное ПО оказалось далеко не таким безопасным, как считалось раньше. Как это затронуло «Ростелеком-Солар» как сервис-провайдера и интегратора?
ИГОРЬ ЛЯПУНОВ: Несмотря на все сложности, для нас этот год стал очень успешным. Мы нарастили выручку на 47%, почти до 12,3 млрд.
Рынок изменился, и важной частью этих изменений стало то, что киберустойчиыость стала важной задачей на уровне руководителей компаний. Но, как я уже говорил, это запрос не только на технологии, а на функцию целиком – с процессами и оргструктурой. Мы сейчас чаще всего выступаем именно в роли такого «генерального конструктора», который помогает выстроить организационную модель, систему зон ответственности, процессы взаимодействия ИТ и ИБ, а уже затем обеспечить поставку технологий. Мы готовы обучить людей или предоставить сервисы кибербезопасности, но в целом запрос сейчас именно на то, чтобы мне просто дать заказчику настроенный инструмент, а создать внутри процесс, решающий ту или иную задачу ИБ либо полностью выстраивающий систему обеспечения киберустойчивости.
Конечно, вторым большим изменением стал уход с рынка зрелых иностранных технологий. Существует ряд отечественных технологий, теоретически способных заменить западные, но многие из них не подходят для проектов того масштаба, с которым работает «Ростелеком-Солар». И благодаря нашему опыту мы точно знаем, что нужно заказчикам, каким требованиям по функциональности и нагрузкам должны соответствовать российские технологии безопасности. Поэтому мы приняли решение о создании собственной фабрики технологий, дополняющих нашу текущую экспертизу.
На самом деле, развитие собственных технологий безопасности мы обозначили как стратегическое направление еще до СВО. Мы ведь один из крупнейших потребителей технологий безопасности в России: у нас очень большая собственная инфраструктура и самый большой пул крупнейших заказчиков, потребителей инфобеза. Но уход западных игроков, безусловно, заставляет нас развивать разработку ускоренными темпами.
Какие именно технологии вы планируете разрабатывать?
ИГОРЬ ЛЯПУНОВ: У нас четыре фокуса экспертизы: противодействие кибератакам и развитие центров мониторинга киберугроз, борьба с внутренними угрозами, управление доступом и безопасная разработка.
Наша целевая модель – полный скоуп собственных технологий в каждом из этих доменов экспертизы. Поэтому мы будем дополнять имеющиеся технологии сопутствующими. Например, подключаемые модули аутентификации (PAM) и технология единого входа (SSO) – в усиление управления правами доступа, динамический анализ исходного кода (DAST) – в усиление направления безопасной разработки и так далее.. Кроме того, мы заинтересованы в усилении разработки инновационных технологий: искусственного интеллекта, анализа больших данных.
Основная болевая точка российских технологий безопасности сегодня – это все, что касается сетевой защиты. Готовых российских продуктов класса Next-Generation Firewall (NGFW), которые могут работать на высоких скоростях, на рынке нет. Сегодня российские продукты NGFW могут работать на скорости 30 – 40 Гбит/с, может быть, 50 Гбит/с. А современный запрос – от 100 Гбит/с, именно такие скорости возникают сегодня в корпоративном ЦОД. Сейчас мы ведем исследования в этом направлении. В нашей группе компаний накоплен большой опыт, большая экспертиза и по анализу сетевых потоков, и по быстрому анализу магистральных сетей. У нас много технологических наработок в части выявления вредоносного контента, которые мы можем туда встраивать. И, конечно, у нас есть ключевой элемент – боевая база самых современных методов атак, которые мы фиксируем и у заказчиков, и на нашей собственной инфраструктуре. Все вместе это дает нам реальный шанс на успех в развитии технологий сетевой защиты.
Сейчас у нас несколько команд, которые занимаются проверками гипотез и рыночными исследованиями. Для одних задач мы создаем собственные команды разработки, для других планируем инвестировать во внешние компании, как достаточно зрелые, так и стартапы.
Инвестиционное направление сейчас крайне важно. Мы активно сотрудничаем со «Сколково», в партнерстве с которым будем взращивать стартапы, для которых в дальнейшем готовы выступить стратегическим инвестором.
Сейчас многие говорят о том, что отрасль ИБ в ближайшие годы будет консолидироваться вокруг сильных игроков. Звучат предложения закрепить за крупнейшими игроками сферы влияния. Что Вы об этом думаете?
ИГОРЬ ЛЯПУНОВ: Основной принцип, которого я придерживаюсь, я сформулирую так: все, что мы делаем, должно быть рыночным и работать по экономическим правилам. Все эти административные подходы типа «давайте договоримся, поделим» может нас привести обратно к госплану.
То, что сейчас идет консолидация рынка, верное наблюдение. Но ее стимулируют вовсе не административные механизмы. Все рынки и все индустрии так или иначе проходят этим путем – на пороге серьезного роста всегда возникает процесс консолидации вокруг сильных игроков, которые имеют опыт, больший финансовый потенциал и инвестиционные возможности. И на мой взгляд, российский рынок кибербезопасности тоже стоит на пороге больших сделок слияний и поглощений.
В итоге, скорее всего, сформируется пул доминирующих игроков, которые будут играть ведущую роль в отрасли. Но вот делить между ними сферы влияния - это, на мой взгляд, и неправильно и невозможно. Только рынок и конкуренция создают самые лучшие, самые зрелые продукты. И, конечно, окончательный выбор должен делать только заказчик, исходя из рыночных возможностей, конкурентного расклада. Только так могут вырастать хорошие продукты и технологии. А все, что, так или иначе, монополизируется, не идет на пользу ни потребителю, ни – как ни парадоксально – поставщику. Потому что любое появление монополиста (мы можем это видеть на примерах других отраслей экономики) – это всегда потеря эффективности, потеря темпа, отсутствие каких-то драйверов для развития. Конкуренция, как бы это банально ни звучало, наш двигатель.