Компания Angara Security выступила официальным партнером форума «КИБЕРТЕХ», где ведущие специалисты обсудили актуальные вопросы кибербезопасности и выработки рекомендаций для развития национальной инфраструктуры информационной защиты. Форум состоялся 7-8 октября в технологическом кластере «Ломоносов» в Москве.
Эксперты Angara Security провели две ключевые сессии форума, а генеральный директор компании Сергей Шерстобитов принял участие в панельных дискуссиях по двум актуальным темам: «Безопасное сотрудничество в ИБ: ожидания заказчиков vs. ответственность подрядчиков» и «ИБ в промышленности».
Участниками круглого стола, посвященного сотрудничеству в области информационной безопасности, стали представители корпораций, банков, министерств и ИТ-компаний. Генеральный директор Angara Security Сергей Шерстобитов выступил на панельной дискуссии с докладом о требованиях по информационной безопасности в договорах, отношению к рискам третьих сторон и работе с недобросовестными подрядчиками.
«Все участники этой конференции осознают, что такое кибербезопасность и понимают важность выполнения соответствующих требований. Мы, безусловно, более подготовлены к кибератакам. В то же время коллеги из других отраслей бизнеса, на мой взгляд, значительно отстают, поскольку у них еще нет ясного понимания информационной безопасности и природы кибератак», — заявил генеральный директор Angara Security Сергей Шерстобитов.
Он подчеркнул, что отрасль кибербезопасности развивается стремительно, поэтому в дальнейшем необходимо разработать требования к подрядчикам и определить, какую ответственность они должны нести при их неисполнении. По его словам, это даст позитивный эффект для развития отрасли в верном направлении.
«Исполнение требований информационной безопасности подрядными организациями крайне актуальная тема. Риски от третьих сторон всегда присутствовали, граница между нашей инфраструктурой и инфраструктурой других компаний практически стерлась. Какие истории несут наибольшие риски? Первое это взлом подрядчика и использование его инфраструктуры и доступ к нашим информационным системам, которые потенциально злоумышленник мог бы использовать. Вторая история это использование продуктов, которые были разработаны третьей стороной, используя их, мы не имеем уверенности в том, что в этих продуктах нет злонамеренных функций. И наиболее серая зона когда бизнес стремится к повышению своей производительности за счет повышения эффективности с использованием цифровых продуктов. Соответственно, для решения этих задач привлекаются стартапы, которые, в силу своей низкой зрелости, разработчики редко уделяют внимание информационной безопасности» — добавил Андрей Абашев, руководитель по направлению методологии развития ИБ-департамента защиты информации и ИТ-инфраструктуры Норильского никеля.
Кроме того, участники определили важность включения требований к информационной безопасности в договоры, которые заключают между собой стороны. Они отметили, что наличие перечня добросовестных подрядчиков, который постоянно пополняется, может помочь избежать проблем на этапе до заключения договора.
«Важный момент, в соглашении не просто прописаны штрафные санкции или предусматриваемая ответственность, но и различные технические моменты. Например, каким образом подрядчик может взаимодействовать с нашей инфраструктурой, рассматриваются вопросы, связанные с пентестами и проверкой безопасности подрядчика в целом», — прокомментировал Сергей Валуйских, директор Центра правозащиты Сбербанка.
В дискуссии об информационной безопасности в промышленности приняли участие топ-менеджеры крупных промышленных предприятий, а также ведущие эксперты в области кибербезопасности. В своем докладе генеральный директор Angara Security Сергей Шерстобитов раскрыл, какие требования у промышленного сектора к подрядчикам, и поделился лучшими практиками по обеспечению информационной защиты.
«На сегодняшний день в России происходит процесс стремительного накопления опыта в кибербезопасности. Истории о кибератаках выходят в публичное пространство, где активно обсуждаются. Если один из игроков рынков становится жертвой атаки, то другие его участники начинают задумываться, не станут ли они следующими. В итоге созревает коллективный иммунитет, и компании с самым разным уровнем развития с точки зрения безопасности начинают выстраивать свою систему устойчивости к атакам», — заявил Сергей Шерстобитов.
Во время сессии «Атаки Trusted Relationships — кто виноват и что делать?», участники проанализировали атаки через доверенные стороны и эффективные меры защиты от подобных угроз. Инициатором и модератором сессии выступил Тимур Зиннятуллин, директор Angara SOC.
Подобные атаки происходят, когда злоумышленники проникают в целевую организацию через её подрядчиков или партнеров. Эксперты перечислили несколько шагов, которые бизнесу важно предпринять для защиты от такого рода угроз, помимо уже давно известной многофакторной аутентификации (2FA), хоть и до сих пор не везде применяемой.
Во-первых, компаниям нужно определить надежных партнеров: не только подрядчиков, которые подключаются к их инфраструктуре, но и тех, у кого они арендуют услуги, а также тех, с кем у них есть давние связи. Во-вторых, важно наладить постоянное отслеживания действий подрядчиков там, где у них есть доступ к инфраструктуре клиента, так как этот мониторинг является ключевым для предотвращения возможных угроз. Если они имеют доступ к нашей инфраструктуре, важно, чтобы они находились в безопасной и ограниченной среде, которая затрудняет развитие атаки. Проблема заключается в тысячах маленьких компаний, предоставляющих услуги, которые могут быть уязвимы. Хотя мы можем выявлять некоторые из них через мониторинг и анализ или включать их в область защиты заказчика их услуг, но вопрос о том как эффективно и повсеместно справляться с этой ситуацией остается открытым.
Необходимо внимательно следить за подрядчиками, так как злоумышленники могут использовать их доступ для проникновения в инфраструктуру клиента. Важно отслеживать активность подрядчиков. Также стоит быть осторожными с учётными данными для удалённого доступа, чтобы предотвратить компрометацию.
Участники сессии подчеркнули, что клиенты должны требовать от подрядчиков ответственного раскрытия информации об инцидентах, даже если они их не затронули. Проблема взаимодействия с подрядчиками заключается в том, что многие из них не хотят идти на контакт, даже когда есть серьезные проблемы. Подрядчики часто полагаются на своих сотрудников, которые не обладают достаточными знаниями в области безопасности.
Компании в сфере информационной безопасности нуждаются в инструментах для обмена сведениями, но часто сталкиваются с ограниченной информацией при инцидентах. Регуляторы могут помочь, обязывая поставщиков информировать клиентов. В некоторых случаях для этого не требуется специальная квалификация, а в других — может понадобиться привлечение дополнительных сервисов по мониторингу и реагированию на инциденты.
В свою очередь, регуляторы могут помочь, обязывая поставщиков подключаться к таким сервисам и информировать своих клиентов.
«Сегодня мы говорим об атаках через доверенные стороны — действительно актуальной проблеме. Мы должны помнить о той ответственности, которую взяли на себя, когда пришли в индустрию ИБ, и стремиться делать всё возможное для развития всей отрасли в целом. Ответ на вопрос об атаках через доверенные стороны, как всегда, комплексный, как и сами подходы. Он включает в себя эшелонированные системы защиты, в том числе в информационных системах средних и малых предприятий, простую но эффективную двухфакторную аутентификацию, а также расширение привычных границ процессов мониторинга и реагирования на инциденты, — прокомментировал дискуссию Тимур Зиннятуллин, директор Angara SOC и модератор сессии.
На второй сессии «Безопасность КИИ: основные вопросы на сегодняшний день» специалисты поделились знаниями в области защиты критической информационной инфраструктуры. Под руководством модератора сессии Александра Хонина, руководителя отдела консалтинга и аудита Angara Security, они обсудили вопросы категорирования ОКИИ, создание безопасности ЗОКИИ и оценку ее защищенности, а также практическое исполнение Указа Президента № 250.
«При выстраивании системы обеспечения безопасности ЗОКИИ в первую очередь необходимо учитывать регуляторные требования по ИБ. Во-первых, они являются обязательными, во-вторых в целом проработанными и от части написанными с учетом накопившегося опыта. Если мы посмотрим эти требования, то они учитывают как процессную часть, так техническую. Т. е. уже при создании систем обеспечения безопасности мы не зацикливаемся на чем-то одном, а подходим к этому вопросу комплексно. Соответственно мы должны пройти несколько этапов создания системы, в рамках которых должны быть учтены в том числе актуальные угрозы для ЗОКИИ. Т. е. мы сами можем выстраивать систему обеспечения безопасности ЗОКИИ с учетом их архитектуры, окружающей "среды", а также с учетом тех самых современных вызовов. Отдельно можно выделить момент, что помимо создания системы, делается упор на постоянную защиту и пересмотр применяемых мер ИБ. В настоящих реалиях системы не являются статичными, как и угрозы в отношении них, а также возможности нарушителей. Все это заставляет на периодической основе проводить тестирование функций безопасности, тестирование уровня безопасности, а также пересмотр функционирующей системы безопасности. И отдельно стоит отметить этап реагирования на инциденты ИБ. Ведь от данного этапа в том числе зависит общий уровень защищенности ЗОКИИ. Насколько быстро мы можем обнаружить инцидент, локализовать его, устранить его последствия, а также сделать соответствующие выводы по внесению изменений в существующую систему защиты — все это также влияет на общий уровень защищенности ЗОКИИ и его безопасное функционирование,» — прокомментировал Александр Хонин, модератор сессии и руководитель отдела консалтинга и аудита Angara Security.
Участники дискуссии отметили, что ранее организации занижали категории объектов критической инфраструктуры, чтобы избежать высоких затрат, однако с сентября правительство Москвы начало контролировать этот процесс. Спикеры пришли к единому мнению, что категорию нужно пересматривать постоянно, особенно с учетом изменений в законодательстве. Они подчеркнули, что особенно важно для определения значимости объектов учитывать определенные показатели, как пассажиропоток. Процесс осложняется тем, что объекты критической инфраструктуры могут иметь свои уникальные обстоятельства, из-за чего при его категоризации надо искать разумный компромисс.
«В отношении тезиса нужно ли категорироваться постоянно или это разовый процесс, на мой взгляд, ответ однозначный. Категорироваться нужно постоянно и проводить пересмотр. Последнее веяние законодательства выпустило типовые перечни для каждой отрасли, которые попадают в наши информационные системы, у нас это Минтранс России. Было изменение в конце того года — постановление правительства 127, где изменились показатели и некоторые подходы. В связи с этим наша корпорация во главе с комиссией занялась этим вопросом. Изменились объекты с точки зрения состава. Что касается подходов по показателям, безусловно, показателей много, если говорить о нас, то мы руководствовались пассажиропотоком» — дополнил Никита Самойленко, руководитель центра кибербезопасности ФГУП Госкорпорация по ОрВД.
Главной проблемой, которую выделили участники, в области защиты критической инфраструктуры, остается невозможность закрепить параметры на законодательном уровне. Таким образом, подытожили они, в этой сфере необходимо искать компромиссы, которые помогут эффективно защитить ее. Фокус при поиске компромисса должен быть в диалоге между экспертами по информационной безопасности, органами власти и управляющими сложной по своей структуре критической инфраструктурой.
Участники форума «КИБЕРТЕХ» также посетили стенд Angara Security. Компания подарила гостям памятные подарки и провела дополнительные развлекательные мероприятия.
.png)
