Центр кибербезопасности Ростеха: первые сутки атаки WannaCry мы работали в авральном режиме
За последний год российские компании, в том числе предприятия оборонно-промышленного комплекса, несколько раз подвергались крупным кибератакам. Наиболее нашумевшими стали эпидемии WannaCry и BadRabbit, которые, к счастью, не смогли парализовать работу нашей "оборонки" во многом благодаря отлаженной системе обнаружения и предупреждения компьютерных атак.
О том, как боролись с вирусами предприятия оборонно-промышленного комплекса, входящие в госкорпорацию "Ростех", что нужно предпринимать, чтобы не стать жертвой киберэпидемий и какие телефоны использовать для обсуждения секретных проектов российской "оборонки", в интервью ТАСС рассказал директор по информационной безопасности компании "РТ-Информ", создавшей в Ростехе центр кибербезопасности, Александр Евтеев.
— Для чего создан "РТ-Информ"?
— Главным образом он был создан как внутренний интегратор и Центр компетенций в сфере информационных технологий (ИТ) и информационной безопасности (ИБ). Корпорация "Ростех" наделила нас соответствующими полномочиями, чтобы все ее предприятия получали необходимые услуги, сервисы и консультации на качественно высоком уровне.
— То есть это только центр компетенций и экспертизы без производственных мощностей?
— Мы не являемся производителем решений, а обладаем ИТ-, ИБ-экспертизой, которая востребована внутри госкорпорации. Из активов у нас есть собственный центр обработки данных и корпоративный центр по обнаружению, предупреждению и ликвидации последствий компьютерных атак (КЦОПЛ).
— Сейчас весьма актуальна тема кибербезопасности и защиты потенциально важных объектов от нападений хакеров. В Ростехе с вашим непосредственным участием создан центр, которой занимается мониторингом таких угроз и помогает ликвидировать последствия. Оправдал ли он свое существование?
— Идея его создания возникла по нескольким причинам. Во-первых, когда мы начали популяризировать тему информационной безопасности в холдингах Ростеха, получили обратную связь в виде обращений — предприятия стали чаще приходить к нам с вопросами. У всех возникло понимание, что есть эксперты, которые могут оказать профессиональную помощь по борьбе с киберугрозами.
Есть эксперты, которые могут оказать профессиональную помощь по борьбе с киберугрозами
Вторая причина создания центра — это увеличение количества инцидентов в сфере информационной безопасности, а поскольку корпорация включает в себя объекты оборонно-промышленного комплекса, то вопрос о защите национальных интересов встал довольно остро.
Концепция центра появилась еще в начале 2016 года, а в 2017 году он заработал в полном объеме. КЦОПЛ обладает очень мощной экспертизой, способен вовремя реагировать на инциденты, которые возникают на предприятиях. В некоторых холдингах даже установлено специальное оборудование, которое позволяет создать дополнительный эшелон обороны от всевозможных кибератак. Наш центр, по сути, нужен для того, чтобы выявлять угрозы, которые смогли преодолеть штатные средства безопасности предприятий.
В 2017 году мы начали собирать и формировать статистику, и могу сказать, что предприятия корпорации к этой идее относятся позитивно и благодарят за нашу работу.
— Сейчас активно идет процесс подключения предприятий Ростеха к этому центру, в ближайшей перспективе, наверное, все холдинги госкорпорации будут подключены к нему. А планируется ли выходить на внешний рынок и осуществлять мониторинг на предприятиях, не входящих в Ростех?
— Наши компетенции по информационной безопасности распространяются только на Ростех, на внешний рынок мы сейчас не ориентированы. Теоретически выход на внешние рынки возможен, потому что спрос на ИБ-экспертизу растет год от года, а у нас есть опыт, в том числе передовой, взять хотя бы наш КЦОПЛ, который по праву можно назвать одним из самых первых действующих корпоративных центров ГосСОПКА на сегодня.
Теоретически выход на внешние рынки возможен, потому что спрос на ИБ-экспертизу растет год от года, а у нас есть опыт
Внутри самой корпорации достаточно много задач и планов. Количество предприятий Ростеха постоянно меняется, но если брать в среднем, то в составе госкорпорации порядка 700 компаний. К нашему центру на сегодняшний день подключено 433 предприятия. Для понимания, это порядка 25 тысяч внешних ip-адресов, которые мы мониторим.
Ориентируемся на то, что по итогу будет подключено порядка 650–700 предприятий, и я думаю, что к этому показателю мы придем до конца года. Кроме того, у нас есть план по расширению перечня услуг, которые мы можем оказывать предприятиям по вопросам кибербезопасности. Это связано с введением Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". Все к нему относятся по-разному, потому что новые требования приводят к необходимости пересмотреть привычные схемы работы, но мы считаем, что кибербезопасность — это очень важная вещь для критических объектов. Злоумышленники оттачивают свое "мастерство", чтобы противостоять им, необходимо совершенствовать ИБ-системы. Этому в том числе способствуют и решения, принимаемые на законодательном уровне.
— На какие мощности рассчитан центр? Сколько предприятий максимально можете отслеживать?
— Все масштабируется в зависимости от задач. Сейчас центр заработал на полную мощность, но процесс подключения предприятий продолжается. Будем работать над тем, чтобы обеспечить безопасность максимально возможного количества компаний, входящих в Ростех.
— Прошлый год был очень богат на события в области кибербезопасности. Я говорю о вирусах WannaCry, BadRabbit и так далее. Какое влияние они оказали на предприятия ОПК и удалось ли отследить атаки компаниям Ростеха при помощи вашего центра? Были ли какие-то утечки информации?
— Что касается утечек информации, то могу успокоить, так как нашумевшие вирусы занимаются больше вредительством и имеют целью шифрование данных.
А если говорить о каком-либо влиянии на предприятия Ростеха, то все эпидемии, которые были в прошлом году, никак не затронули компании, входящие в корпорацию. Это связано с тем, что на всех предприятиях достаточно серьезно относятся к информационной безопасности и своевременно выполняют необходимые обновления систем и антивирусного ПО, а также предпринимают меры в соответствии с разработанными регламентами.
Для того чтобы противостоять тому же самому WannaCry, не нужно было изобретать велосипед, необходимо было просто регулярно выполнять всем известные требования безопасности и вовремя обновлять программное обеспечение. В первые часы, когда только начала появляться информация об эпидемии, мы подготовили рекомендации, разослали по предприятиям Ростеха, чтобы по максимуму сократить ущерб.
Можно сказать, что первые сутки мы работали в авральном режиме, и благодаря этому, а также профессионализму людей, отвечающих за ИБ на предприятиях, удалось свести до минимума количество заражений. Мы собирали статистику, и хочу отметить, что по всему Ростеху были отмечены лишь единичные случаи, говорить о каких-то массовых заражениях не приходится.
— А это действительно была мощная эпидемия или же это просто распиаренный в СМИ вирус, каких миллионы?
— Я считаю, что это была достаточно мощная эпидемия, которая ударила в основном по России и Украине, и, возможно, была нацелена на эти страны. Эксперты расходятся во мнениях, почему это произошло, я не берусь рассуждать на эту тему, так как явных доказательств тех или иных версий нет.
Могу лишь сказать, что этот вирус был простым в части исполнения, и любой человек, знающий программирование, а также уязвимость, о которой все были в курсе уже около трех месяцев, мог его написать.
— Уязвимость операционной системы от известной американской компании?
— Да, речь о ней. Причем компания опубликовала сведения об этой уязвимости за три-четыре месяца до начала эпидемии, все о ней знали, поэтому нужно было просто обновить операционную систему, чтобы не стать жертвой вируса WannaCry.
— Возможности центра позволяют отследить, откуда была произведена атака?
— Такие возможности есть, но отслеживать местоположение, откуда производятся современные хакерские атаки, нецелесообразно, так как даже если мы определим страну и город, откуда произошла атака, это совсем не будет означать, что виновник находится там. Ничего не мешает злоумышленнику находиться на территории одной страны, а совершать хакерскую атаку или распространять вирус совсем из другой.
— Отмечаете ли вы увеличение количества кибератак на предприятия ОПК, входящие в Ростех, за последние год-полтора?
Увеличение числа кибератак — общемировая тенденция
— Вопрос достаточно сложный, потому что количество подключенных к Центру предприятий растет, соответственно, статистика меняется, поэтому я не могу сказать, что увеличилось именно количество атак. Кроме того, основную часть атак останавливают сами предприятия, поэтому до нас не всегда могут доходить сведения о зафиксированных случаях.
Однако увеличение числа кибератак — общемировая тенденция. Россия, и в частности, Ростех — не исключение, что подтверждают новости рынка и обсуждения с "коллегами по цеху".
— По какой причине, на ваш взгляд, войны переходят в разряд информационных, и сейчас все чаще мы слышим не о том, что создан новый вид вооружений, а о том, что чьи-то хакеры взломали какие-то серверы или запустили куда-то вирус? И какие наиболее распространенные виды атак?
— Думаю, что это связано с тем, что такие войны проще вести, потому что фактически очень сложно доказать, где и откуда было осуществлено то или иное действие, а ущерб можно нанести очень существенный.
Что касается основных трендов, то чаще всего, конечно, атаки в информационной среде происходят с целью хищения финансовых средств, но сейчас банки становятся более защищенными, поэтому что-то украсть злоумышленникам становится все сложнее. Гораздо опаснее инциденты, связанные с кибершпионажем. Самая большая проблема в том, что, например, вывод денег всегда можно отследить, пусть и спустя какое-то время после кражи, а вот отследить кражу какого-то конфиденциального документа гораздо труднее.
— Может, тогда есть смысл все секретные документы хранить на полках архивов, а чертежи в папках или журналах, которые лежат за семью замками, как это было раньше?
— Возврат к старым способам уже невозможен, потому что взят всеобщий курс на цифровизацию экономики, который позволит оптимизировать ресурсы, в том числе при разработке новых продуктов. Это касается как ОПК, так и гражданской сферы.
К сожалению, нет волшебной пилюли, которая гарантированно сможет защитить от утечек информации
Многие предприятия российской "оборонки" стараются по максимуму переходить на цифру и обращаются к нам с просьбами о защите информации. К сожалению, нет волшебной пилюли, которая гарантированно сможет защитить от утечек информации, но если соблюдать все меры информационной безопасности, то риски от попыток кибершпионажа можно минимизировать.
Мы работаем над тем, чтобы помогать предприятиям Ростеха в обеспечении информационной безопасности, но большая ответственность по защите информации от утечек и кражи лежит на специалистах по безопасности на самих предприятиях. Сегодня многие эксперты отмечают среди главных проблем информационной безопасности нехватку кадров в этой области, это касается в первую очередь регионов, где нет вузов, которые обучают достаточное количество таких специалистов.
— На предприятиях Ростеха много людей, которые пользуются техникой, производимой в США и других странах запада. Как обезопасить условного гендиректора предприятия, который поговорил по телефону американского производства и обсудил какой-то секретный проект?
— Должен быть целый комплекс мер. Но если говорить о телефонном разговоре, в котором обсуждаются какие-то коммерческие тайны или секретные проекты, то он в принципе не должен происходить по обычному телефону. Для этого есть специальные средства, проверенные телефоны, позволяющие такие вещи обсуждать в относительно безопасном режиме.
Но вообще, тема актуальна еще и с точки зрения оборудования, которое установлено на предприятиях. Несмотря на то, что идет курс на импортозамещение, пока не во всех нишах в России есть производители, которые предлагают похожие по характеристикам решения, поэтому в случае ухудшения геополитической обстановки может очень остро встать проблема замены на заводах оборудования, которое произведено не в России.
— Давайте обсудим ваше взаимодействие с ФСБ в рамках государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы. Что вам это дает?
— С ФСБ мы взаимодействуем более года, просто ранее это не было закреплено документально. Одним из требований ФСБ было наличие в каждом ведомстве или корпорации центра кибербезопасности, потому что ресурсы ФСБ не позволяют охватить все предприятия и компании России в сфере обнаружения и предупреждения кибератак и кибершпионажа. Соглашение с ФСБ позволяет нам получать доступ к специализированным системам и средствам автоматизации и эффективно взаимодействовать с силовыми ведомствами по предотвращению кибератак.
Беседовал Алексей Паньшин