7-8 декабря в Москве состоялся VII SOC-Форум – одно из крупнейших событий в сфере информационной безопасности, организованное ФСБ России и ФСТЭК России в партнёрстве с «Ростелеком-Солар», сообщила компания в среду.
Представители рынка ИБ обсудили вопросы киберзащиты на уровне государства и бизнеса, изменения в киберпреступном сообществе и необходимость соответствующей трансформации центров мониторинга и реагирования на инциденты ИБ.
Тон мероприятию задала ключевая дискуссия «Кибербезопасность: перезагрузка. Защита от компьютерных атак как неотъемлемая часть обеспечения безопасности процессов управления и бизнес-процессов».
Комментируя основные аспекты ключевой дискуссии, Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком», отметил: «Очевидно, что требуется переосмысление подходов к обеспечению защиты – с точки зрения не только экспертизы и технологий, но и инвестиций в ИБ со стороны государства и бизнеса, а также регулирования. Например, для эффективной цифровизации компании всё чаще используют облачную модель и аутсорсинг IT и ИБ. Но облака сильно изменили баланс ответственности за безопасность. Если раньше она целиком была на владельцах систем, то сейчас де-факто перешла на операторов облаков – в явном виде назрела необходимость изменений и в нормативной базе. Или другой быстро развивающийся тренд – атаки через подрядчиков: по сути у компаний сейчас нет возможности ни проверить защищённость аутсорсеров, ни разделить с ними ответственность в случае киберинцидента. И этот вопрос отрасли тоже надо серьёзно проработать».
Продолжая тему киберперезагрузки, Игорь Качалин, первый заместитель директора Национального координационного центра по компьютерным инцидентам, констатировал: «Организациям необходимо максимально расширять инструментарий и область выявления компьютерных инцидентов, совершенствовать навыки и процессы обнаружения, предупреждения, ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. В масштабах всей страны ключевое значение приобретает качество информационного взаимодействия в рамках ГосСОПКА. НКЦКИ, являясь центром компетенции в области компьютерных инцидентов, играет здесь роль не только верхней точки иерархии ГосСОПКА, но и центра сбора, наполнения и обогащения знаний об угрозах безопасности информации, а также экспертной поддержки в интересах всех ее участников».
Тематика взаимоотношений владельцев КИИ с регулятором нашла отражение в дискуссии «ГосСОПКА: взаимодействовать или быть частью», участники которой обсудили особенности информационного обмена субъектов КИИ и федерального CERT в российских реалиях.
В ходе сессии «Отрасль и новые реалии» Сергей Корелов из НКЦКИ отметил, что наибольшая доля угроз ИБ пришлась на органы госвласти и муниципального управления, промышленность и финансовый сектор. Ключевыми векторами проникновения стали социальная инженерия и взлом внешнего периметра организаций. При этом злоумышленники могут беспрепятственно развивать атаку от 3-4 недель до 3,5 лет. Среди первоочередных мероприятий, препятствующих быстрому перемещению хакеров в инфраструктуре, эксперт назвал установку критичных обновлений по всей сети, использование сложных паролей и надёжное их хранение, запрет удалённого входа для учётных записей локальных администраторов и блокировку учётных записей после большого количества ошибок аутентификации.
В ходе круглого стола «С кем боремся: структура темной стороны» ведущие российские компании – исследователи в области ИБ («Ростелеком-Солар», «Лаборатория Касперского», Positive Technologies, BI.ZONE) препарировали даркнет и его «бизнес-стратегии». В частности, поднимались вопросы о том, какие есть специальности на «тёмной стороне», как готовятся и проводятся атаки, сколько стоит ВПО, что представляет собой рынок доступов в организации, и умирают ли группировки, после того как на них обрушивается вся мощь Интерпола и ФБР, или просто меняют личины? Не обошли стороной и практический аспект: как компании действовать в случае, если её взломали?
Директор департамента цифровой трансформации Минэкономразвития России Александр Маслов и операционный директор Центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Антон Юдаков рассказали об успешном опыте создания ведомственного центра ГосСОПКА по сервисной модели. ИБ-проект стал частью проекта переезда в одно здание, централизации IT-ресурсов и перевода на сервисную модель сразу нескольких ведомств: Минэкономразвития, Минпромторга, Минцифры, Ростуризма, Росаккредитации, Росстандарта, подразделений Федерального Казначейства и ФАДН, объединяющих 5,5 тысячи сотрудников. Сегодня «Ростелеком-Солар» обеспечивает защиту единой инфраструктуры в части выявления и реагирования на киберинциденты, а также выполняет функции взаимодействия с НКЦКИ. Как отметил Александр Маслов, сервисная модель помогла сэкономить кадровые ресурсы и время на организацию процессов ИБ. При этом за время сотрудничества инфраструктура уже неоднократно подвергалась сложным атакам от наиболее продвинутых группировок – справиться с ними самостоятельно у министерства вряд ли бы получилось – подытожил спикер.
Самая неформальная часть форума – «Антипленарка» – прошла в формате мозгового штурма с элементами спора на тему «Выбирая следующую катастрофу 2025». Эксперты высказывали предположения насчёт обозримого будущего для «светлой» и «тёмной» стороны киберпространства. Какие сценарии наиболее опасны: перебои с поставками комплектующих во всём мире, изоляция и распад сети Интернет в результате информационных войн, драматическое снижение количества технически грамотных специалистов, а может, внедрение «внеземных» технологий (переход на zerocode-разработку и т.п.)? Обсудив сценарии возможного апокалипсиса, эксперты также поделились идеями эффективного противостояния.
Итоги похожего противостояния – в формате киберучений – были подведены в завершение форума. По легенде, 10 команд, представляющих госсектор, энергетику, банки, металлургию и др. отрасли, оказались в будущем, где мир захватил новый вирус-шифровальщик. Задачей безопасников стало спасение мира от нависшей над ним угрозы, и они справились.
