На главную
Цифровая Россия
Индустрия 4.0
Solar MSS — это киберзащита под ключ, а не просто аренда технологий
Сегодня под ударом киберпреступников оказывается не только бизнес любого размера, но и организации госсектора, особенно в регионах. При этом даже крупные компании далеко не всегда способны обеспечить информационную безопасность собственными силами. Согласно опросу, проведенному «Ростелеком-Солар», практически 40% организаций среднего бизнеса сталкивались с киберинцидентами в течение года, при этом им не удавалось реализовать полноценную защиту. Выработка стратегии информационной безопасности, закупка специализированных решений, их обслуживание и поддержка — все это требует значительных финансовых и кадровых ресурсов. Какие альтернативные пути защиты существуют у компаний, рассказал Константин Каманин, директор по развитию продуктового портфеля Solar MSS компании «Ростелеком-Солар».
— Константин, какие модели информационной безопасности предлагает «Ростелеком-Солар»?

— Сегодня в компании (да и глобально на рынке) представлены три основные модели информационной безопасности (ИБ). Одна из них — вендорская, в рамках которой мы производим и продаем решения, а заказчик внедряет их самостоятельно или с помощью системного интегратора. Вторая модель — интеграционная (проектная): мы строим индивидуальные решения комплексной инфраструктуры. И третье направление — сервисное. Здесь мы решаем задачу клиента, предоставляя ему сервис по подписке. То есть заказчик оплачивает один раз в год или в месяц услугу либо набор услуг равными долями и получает их «под ключ». В отличие от двух предыдущих вариантов, где клиенту надо эксплуатировать полученное решение самостоятельно либо нанять подрядчика, при сервисном подходе мы все берем на себя.

2.jpg

В свою очередь, с учетом масштабов и задач заказчика в составе наших сервисов есть два направления. Для крупных компаний, которые являются мишенями целевых атак со стороны высокопрофессиональных кибернаемников и иностранных проправительственных группировок, реализуются услуги центра противодействия кибератакам Solar JSOC. В то же время есть огромное количество организаций (это, в частности, средний бизнес и госструктуры в регионах), которым нужно решить довольно типовую проблему ИБ, но при этом они не могут или не хотят самостоятельно закупать, внедрять и поддерживать ту или иную технологию. Им мы предоставляем управляемые сервисы кибербезопасности Solar MSS (managed security service).

В экосистему Solar MSS в настоящее время входят сервисы для решения наиболее актуальных задач ИБ, таких как защита сетевого периметра и обеспечение связанности филиальной сети, защита почты, защита от продвинутого вредоносного ПО, защита каналов связи и веб-приложений, управление уязвимостями, повышение киберграмотности сотрудников. Также мы предоставляем комбинированные решения (бандлы) по защите от фишинга, шифровальщиков и защите онлайн-ресурсов.

3.jpg

— Экосистемы — модный сегодня тренд. Почему вы пошли в этом направлении? И в чем заключается экосистемность Solar MSS?

— Мы видим существенные ограничения в сервисной модели ИБ, которую предлагает рынок. Например, зачастую под названием managed security services скрывается обычная переупаковка вендорских лицензий в арендную схему, без какого-либо экспертного сопровождения со стороны продавца услуги. И если у заказчика нет своего обширного штата ИБ-экспертов, он остается беззащитным перед атаками-пандемиями. Кроме того, в стремительно меняющемся мире все большую значимость приобретает не только скорость подключения (это должны быть дни, а не недели), но и его полная бесконтактность, что далеко не все провайдеры могут предоставить. Но самое главное, покупая, к примеру, два сервиса в стандартной парадигме, заказчик получит ровно два отдельных сервиса без какого-либо синергетического эффекта, так как решения не взаимодействуют между собой.

Видя все это, мы трансформировали наш подход к сервисам киберзащиты. Решения Solar MSS предоставляются с экспертно-аналитическим насыщением. То есть с учетом своего многолетнего опыта мы можем рекомендовать заказчику оптимальные технические и организационные меры обеспечения безопасности на предприятии, внедрять процессы повышения киберграмотности среди пользователей, улучшать процессы в части ИБ и так далее.
Плюс ко всему мы усилили взаимосвязь Solar MSS с другими нашими продуктами и решениями. Сейчас экосистема обогащается данными от центра противодействия кибератакам Solar JSOC, от созданного нами Национального киберполигона и лаборатории обеспечения безопасности АСУ ТП, что позволяет нам оперативно реагировать на возникающие угрозы.

При этом и каждое решение в составе экосистемы построено на «переопылении» технологий между собой: обмене техническими данными, синхронизации политик безопасности, формировании отдельных аналитических инструментов в личном кабинете и т. д. Например, для бандла по защите от фишинга и шифровальщиков разработаны специальные политики для средств защиты почтового трафика (антиспама, песочницы) и отдельные политики по контролю попыток обращения к внешним центрам управления. Если же в состав бандла заказчик включает еще и услугу повышения киберграмотности сотрудников, то итоги их обучения повлияют на политики для групп пользователей: для тех, кто хорошо обучается и справляется с тестовыми фишинговыми атаками, политики будут мягче, и наоборот.

4.jpg

При защите онлайна экосистемный подход означает, что для определения уровня защиты оценивается совокупная угроза. И оценка эта складывается из параметров DDoS-атак, которые мы видим на магистральном канале, атак на прикладной уровень веб-ресурса и итогов проведенного внешнего сканирования. В результате заказчик получает максимально прозрачную картину угроз для критичного онлайн-сервиса (а не абстрактную оценку работы отдельных средств защиты).

Новый подход потребовал совершенствования архитектуры платформы. Благодаря этому сейчас 70% наших услуг доступны бесконтактно, не требуя установки оборудования на площадке заказчика в принципе, а техническое подключение к сервису занимает от двух до трех дней, что позволяет реализовывать защиту даже под непосредственно развивающейся атакой.

— С какими рисками сталкиваются компании при попытке обеспечить информационную безопасность самостоятельно?

— Риски связаны в первую очередь со сложностью реализации и высокой стоимостью. Для того чтобы компания могла самостоятельно обеспечивать кибербезопасность, в ее штате должен быть ответственный — офицер ИБ, и не просто исполнитель, а стратег.

5.jpg

Во-вторых, придется приобретать технологические решения. А это не только ощутимые начальные затраты на закупку и внедрение, но и регулярные высокие операционные расходы на продление лицензий и обслуживание. Наконец, необходимо нанять экспертов в сфере ИБ, которые смогут грамотно настроить системы безопасности и впоследствии эксплуатировать их.

Каждые пять-семь лет оборудование и программное обеспечение обычно амортизируются либо морально устаревают. Поэтому требуется обновление, а это дополнительные расходы. Кроме того, нанять квалифицированный штат сложно даже при наличии бюджета — на рынке информационной безопасности существенный дефицит кадров. В регионах дела обстоят еще хуже, потому что высок отток специалистов в города-миллионники, а безопасность нужна везде.

Наше сервисное направление как раз позволяет компаниям решить задачи обеспечения ИБ в условиях финансового и кадрового дефицита. Заказчик при этом не несет никаких капитальных расходов, только операционные в виде ежемесячной или ежегодной подписки. Если у него есть в штате офицер ИБ или служба ИБ, то эти специалисты могут сосредоточиться на стратегических задачах, а рутину выполняем мы. Если в компании нет офицера ИБ либо штат инженеров ограничен, мы компенсируем этот разрыв.

6.jpg

Другими словами, мы предлагаем заказчикам аутсорсинг компетенций, а не точечные технологии. И такая сервисная модель обеспечивает экономию средств в среднем порядка 40% на горизонте пяти лет по сравнению с классическим проектным подходом. Это особенно актуально для небольших и средних региональных организаций, в том числе распределенных, у которых бюджет на информационную безопасность ограничен.

— Это и госсектор?

— Да, разумеется. Мы предоставляем сервис и коммерческим, и государственным заказчикам по всей России, от Калининграда до Владивостока. Причем для госсектора это решение подходит оптимально, потому что кадровый дефицит и бюджетные ограничения здесь наиболее остры.

Мы видим, что наши решения востребованы в правительствах и администрациях субъектов Российской Федерации, в учреждениях здравоохранения и образования, подведомственных организациях и территориально распределенных подразделениях. 

7.jpg

В том числе нашим сервисом пользуются центры занятости населения, архивы, центры социальной защиты, ЗАГСы, МФЦ и муниципальные администрации.

Также сервисы Solar MSS востребованы среди предприятий промышленности, топливно-энергетического комплекса, финансового сектора, оптово-розничной торговли, сельского хозяйства.

— Наблюдаете ли вы региональную специфику атак? Отличается ли профиль киберзлоумышленника в регионах?

— Специфика атак действительно просматривается. Например, в этом году мы видим, что в Северо-Западном округе популярнее атаки на веб-приложения, на Дальнем Востоке наиболее распространенный хакерский инструмент — вредоносное ПО, в том числе для проникновения в инфраструктуры небольших организаций. Южный федеральный округ захлестнула эпидемия шифровальщиков.

8.jpg

Что касается профиля злоумышленника, мы выделяем пять основных уровней нарушителей. Первые три из них (автоматизированные бот-системы, начинающие хакеры-одиночки и киберкриминал) не преследуют цели атаковать конкретную компанию. Скорее, они хотят заработать с помощью веерной рассылки фишинга с последующим требованием выкупа. А вот четвертый и пятый уровни (кибернаемники и группировки уровня иностранных спецслужб) — это уже профессиональные группировки, финансируемые частными лицами или государствами. Их профиль — целевые атаки для реализации кибершпионажа или вывода из строя бизнес-процессов организации-жертвы.

По наблюдениям, злоумышленники, промышляющие в регионах, в подавляющем большинстве случаев относятся к первым трем уровням по нашей шкале. Продвинутыми их точно не назовешь. И тем не менее региональный заказчик находится в опасности просто потому, что его этой «ковровой бомбардировкой» может зацепить, если защиты нет. А ее часто нет даже на базовом уровне. По данным центра расследования киберинцидентов Solar JSOC CERT, каждая десятая организация сегодня заражена тем или иным видом вредоносного ПО. На внешних периметрах компаний встречаются старые, но все еще функциональные уязвимости (некоторым из них по несколько лет), а уровень своевременной установки патчей крайне низкий. Все это вкупе со слабой парольной политикой, низким уровнем киберграмотности сотрудников и множеством других подобных факторов делает подавляющее число организаций легкой мишенью даже для хакеров с низкой квалификацией.

9.jpg

Важно учитывать, что стоимость атаки постоянно снижается, а размер возможного ущерба растет. С развитием даркнета все больше хакерских инструментов появляется в сети и, к сожалению, часто они доступны даже для начинающих злоумышленников. Например, организация DDoS-атаки может стоить всего несколько тысяч рублей, а бизнес рискует потерять несколько миллионов. Из-за того, что с каждым годом бизнес все больше переходит в «цифру» и, как следствие, увеличивается количество критичных для него диджитал-активов, цена ущерба растет. Даже небольшая и простая атака для компании может обернуться прямыми финансовыми убытками, а в худшем случае — прекращением деятельности.

— Это ведь еще и имиджевые риски для компаний?

— Именно так. Поэтому пострадавшие компании ущерб не афишируют: даже сам факт атаки может привести к репутационным потерям. В случае, например, с онлайн-бизнесом атака на веб-сайт, интернет-магазин или личный кабинет означает, что компания не продает и не обслуживает клиентов. Это прямые убытки.

— Константин, по вашему опыту, сколько времени может понадобиться на устранение последствий кибератаки?

— Это очень интересный вопрос. Мы считали, сколько стоит атака и ее последствия, которые бывают прямыми и косвенными. На устранение первых может уйти от нескольких часов до нескольких дней и даже недель (такой сценарий для оперативного бизнеса равносилен смерти). Есть еще косвенные последствия — те самые репутационные риски, влияющие на прибыль. Финансовые последствия кибератаки растягиваются в среднем на три-четыре года. Например, региональный банк из топ-300 из-за массовой фишинговой рассылки в 2019 году по итогам того же года получил убыток в 163,6 млн рублей и на сегодняшний день до сих пор не вышел на уровень своих показателей 2018 года. Понятно, что грамотная киберзащита бизнес-активов обошлась бы ему куда дешевле.

— При внедрении сервисной модели ИБ возможно не прерывать бизнес-процессы компании и провести интеграцию удаленно?

— Да, для того чтобы внедрить сервис, работу компании останавливать, конечно же, не надо. В этом одно из ключевых преимуществ сервисной модели. Для подключения подавляющего большинства сервисов не требуется вмешательства в ИТ-инфраструктуру вообще. Это, скорее, процессные изменения, вопрос договорных отношений и распределения зон ответственности между заказчиком и нами как исполнителем, который обеспечивает информационную безопасность.

10.jpg

Для сервисов обеспечения защиты периметра, доставляемых из нашего облака, нужны минимальные действия. Они связаны с подключением предварительно настроенного оборудования на площадке заказчика. Дальше трафик перенаправляется в облако и получает защиту. Но так происходит буквально для одного-двух сервисов из всей нашей линейки. Это не требует остановки бизнеса, и все можно делать в плавном режиме.

— Если в компании уже внедрено решение в рамках вендорской или интеграционной модели, а руководство решает перейти на обслуживание по сервисной модели, насколько сложным и долгим будет переход?

— Это актуальная ситуация и востребованный запрос. Ряд заказчиков в прошлом верили, что свое оборудование надежнее. Спустя несколько лет эксплуатации этого оборудования, внутренних сервисов и программного обеспечения заказчики понимают, что стоимость владения очень высока. Зачастую она оказывается неподъемной. В ряде случаев мы действительно можем заменить сервисным предложением классическую модель владения оборудованием, которое уже устарело и не используется. За последний год мы значительно оптимизировали скорость подключения, и сейчас с момента подписания договора подключение сервисов может занимать от нескольких часов до нескольких дней.

Доставка оборудования у нас организована через собственную сеть логистики «Ростелеком» по всей России. Часто она не требуется, и тогда все делается удаленно. Кроме того, у нас по всей России семь центров компетенции по обеспечению сервисов. Во всех часовых поясах есть наши специалисты, мы представлены во всех регионах и обеспечиваем настройку, сопровождение, эксплуатацию и поддержку не только из Москвы, а по-настоящему 24/7 по всей территории России.