Пятый юбилейный SOC-форум оставил яркое послевкусие – отрасль была представлена в полном объёме. Два главных вывода: с одной стороны, налицо полноценный рынок услуг по мониторингу и реагированию на инциденты ИБ, – а значит, возможности российского бизнеса по защите своих активов расширились. С другой, в завершение 2019 года мы услышали от представителей ФСТЭК и ФСБ, что надо учиться говорить с бизнесом на его языке, – а значит, такая базовая задача ещё не решена. Заметно и усиление кадрового голода, что в свою очередь окажет давление на качество внутренних процессов поставщиков и потребителей услуг SOC.
НЕДОСТАТКИ ПАРАДИГМЫ ЗАЩИТЫ
SOC Forum открылся пленарным заседанием, на котором заместитель директора ФСТЭК России Виталий Лютиков выступил с сенсационным заявлением: «В моделях угроз (десятках и сотнях – прим. авт.), которые поступают в ФСТЭК на согласование и в итоге согласовываются, нет внутренних нарушителей, в том числе привилегированных – системных администраторов». Это значит, что рынок информационной безопасности по-прежнему фрагментирован – банки и телекомы живут своей жизнью, и для них внутренний нарушитель исторически представляет основную угрозу. Государственный сектор ориентируется на выполнение государственных требований и защиту от внешнего нарушителя, не смотря на то, что реализация электронных услуг и цифровизация сделали госорганы крупнейшими хранителями персональных данных в цифровом виде. Это также значит, что мы ещё увидим десятки и сотни инцидентов банального воровства данных, тем более, что по тону г-на Лютикова было понятно, что меры организационно-правового характера в отношении системных администраторов применяются недостаточно (г-н Лютиков призывал применять их более активно).
По направлению защиты от внутренних нарушителей заместитель начальника центра ФСБ России Игорь Качалин предложил мыслить более системно: положить в основу ИБ организации модель нарушителя, трансформировать всю систему ИБ для учёта возможностей внутреннего нарушителя, считая недостаточным просто рисовать новые планы реагирования на инциденты ИБ.
Кроме концептуальных замечаний коллеги поделились и цифрами о проделанной в 2019 г. работе:
- Количество выявленных в 2019 г. в рамках ГосСОПКА инцидентов достигло 3 000. 90% из них НКЦКИ выявил самостоятельно, направив владельцам КИИ уведомления – 2700 шт. (в 2018 г. заявлялось о 700 уведомлениях – рост в разы, но без расследования инцидентов на стороне владельцев КИИ нельзя сказать, что это действительно инциденты – максимум подозрения на них – прим. авт.).
- Заключено 42 соглашения о взаимодействии с НКЦКИ (в 2018 г. заявлялось о 18 соглашениях).
- Количество объектов КИИ за последний год увеличилось в 2+ раза — до 45 410 (с 21500).
- Производство отечественных сертифицированных СЗИ увеличилось на 69%.
- База данных уязвимостей ФСТЭК выросла до 23 545 записей (с 20256).
- В рамках дальнейшей работы форума обсуждались Практические кейсы работы SOC и три классических направления развития SOC – Технологии, Компетенции и Процессы.
ПРАКТИЧЕСКИЕ КЕЙСЫ
Год назад автор высказывал пожелание увидеть практические кейсы работы SOC-провайдера (и не только квазимонополиста Ростелеком-Солар). В этом году практические кейсы показали три компании: Ростелеком-Солар с электроэнергетической компанией с немецким капиталом Юнипро и международным агрохолдингом с российским капиталом Содружество, Ангара Ассистанс с платёжной системой Юнистрим (пострадавшей в конце 2018 года от серии инцидентов ИБ) и SOC Информзащиты с HeadHunter.ru.
Теперь на рынке присутствуют уже как минимум три компании с публичными SOC-кейсами, что формирует понятное пространство для выбора. Впрочем, для формирования шорт-листа, автор рекомендует не забывать Kaspersky и BI.Zone, экспертиза и масштаб деятельности которых обещает заметные результаты.
ТЕХНОЛОГИИ SOC
На форуме продолжилось обсуждение традиционной темы автоматизации мониторинга и выявления инцидентов ИБ, но всё больший уклон наблюдался в сторону автоматизации расследования и реагирования на инциденты. Для автоматизации и оркестрации процессов расследования и реагирования предлагались решения класса Endpoint Detection & Response, Incident Response Platform, комплексные наборы решений от крупных и средних производителей (преимущественно российских).
Новой темой стали киберучения и соответствующее программное обеспечение, флаг которых особенно активно поднимала компания Инфотекс, а также Ростелеком, в планах которого создать кибертренажер федерального уровня уже в 2020 г. Оба поставщика говорили о том, что квалифицированных кадров ждать неоткуда, надо учить самим.
Неожиданно снова была поднята тема сетевой аналитики в целях выявления кибератак, сразу три компании (Cisco, PT, Гарда) говорили о необходимости контроля сетевых потоков и выявления в них аномалий. Интересно, что пионер в этой области – американская компания Net Witness была основана ещё в 2006 г., таким образом можно определить отставание нашего технологического стэка минимум в пять лет.
КОМПЕТЕНЦИИ SOC
Нехватка кадров стала столь остра, что перестала быть забавной, и эта тема даже не подвергалась шуточным сомнениям, как другие гипотезы (нужен ли SIEM в SOC? Нужен ли SOC?). О нехватке говорили представители ФСТЭК, ФСБ, Сбербанка, органов местного самоуправления, а в кулуарах и каждый второй участник форума.
Свой рецепт предложил Виталий Лютиков: «Нужно работать с вузами», – и подчеркнул, что такой системной работы он пока не видит. Также эксперт рекомендовал производителям средств защиты предоставлять своё ПО для будущих безопасников в рамках учебного процесса в высших учебных заведениях. Но тут стоит заметить, что вузы сами далеко не всегда хотят работать с компаниями по направлению ИБ, иногда даже с самыми крупными. Расположенность вуза к сотрудничеству, помимо прочего, зависит от качества презентации возможностей компании, которую проводят её представители, «запаха денег» и умения «продавать» компанию руководству кафедры.
А вот Муслим Меджлумов, директор блока MSS BI.ZONE, поделился своей формулой с упором на развитие вчерашнего студента внутри компании: («высшее образование» + «системное мышление») Х «институт наставничества в компании».
Компетенциям («людям») SOC была посвящена отдельная секция, на которой, в частности, HR-директор Ростелеком-Солар Мария Сигаева поделилась целым списком инструментов по работе с вузами: с чем приходить и куда приходить (Рисунок 1).
Рисунок 1. Инструменты по работе с вузами (из презентации HR-директора Ростелеком-Солар Марии Сигаевой)
ПРОЦЕССЫ SOC
Фундаментальным оказался доклад руководителя SOC BI.Zone Теймура Хеирхабарова, который рассказал, как в зрелых SOC (автору известны в России, как минимум, четыре таковых), ведётся прикладной threat intelligence и организован процесс разработки правил корреляции (usecase management).
Совсем с другой стороны показал SOC начальник отдела ДИТ Москвы Валерий Комаров. Из его презентации стало понятно: необязательно иметь десятки серверов и технологий и «городить космический корабль», чтобы постепенно, шаг за шагом растить практики регистрации, расследования и реагирования на инциденты ИБ и информационного обмена с регулятором. Среди крайне полезных результатов работы процессов (процессных артефактов) Валерий назвал журнал учёта компьютерных инцидентов, карточку и форму регистрации компьютерного инцидента. Для работы же самих процессов (предпосылки) нужны приказ о назначении ответственных, должностные инструкции ответственных, регламент выявления и реагирования на компьютерные инциденты, план реагирования на компьютерные инциденты и регламент взаимодействия с НКЦКИ. В этом же докладе Валерий подчеркнул, что специалистов для обеспечения безопасности КИИ на объектах КИИ в достаточном количестве никогда не будет. Палочкой-выручалочкой эксперт видит тут «Инструкцию» (выстроенные процессы ИБ – прим. авт.). Кстати, некоторый доступ к экспертизе Валерия может получить каждый читатель BIS Journal через открытые методические рекомендации по защите КИИ и ПДн, доступные на сайте ДИТ Москвы.
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ КИИ И АСУ ТП
С точки зрения Виталия Лютикова, для безопасности КИИ необходимо внедрение риск-ориентированного подхода, и ФЗ-187 де-факто внедряет этот подход на объектах КИИ. В сущности, ФЗ-187 де-факто требует оценки влияния рисков ИБ КИИ на риски государства. Однако специалисты ИБ оказались не готовы общаться с производственниками – полноценно лидировать в процессе оценки рисков ИБ КИИ. Почему? Ответ прост: профессиональное сообщество ИБ не смогло довести представление о рисках ИБ на понятном руководителям промышленных предприятий языке и, соответственно, внедрение технических мер отстаёт от законодательной основы по защите КИИ.
Впрочем, крупные организации намеренно не спешат с внедрением технических мер, к примеру, представитель Россетей заявил, что в полной мере обеспечение безопасности КИИ будет реализовано на объектах КИИ Россетей к 2023 году.
С другой стороны, представитель Самарской области рассказал о радикальной нехватке всех видов ресурсов, и привёл в пример случай, когда специалист регионального SOC ушёл работать официантом на большую зарплату. И этот рассказ не удивляет (по крайней мере, автора), ведь при стагнирующей не первый год экономике брать заметные деньги на защиту КИИ и создание центров ГосСОПКА многим государственным организациям просто неоткуда.
C мнением г-на Лютикова о важности риск-ориентированного подхода перекликается и замечание экс-директора по ИБ глобальной сети дата-центров LeaseWeb (штаб-квартира в г. Амстердам) Фреда Стрифлэнда: «В конце концов управление рисками организации является одной из обязанностей совета директоров компании».
Однако ФСТЭК России вводит и новые требования к операторам КИИ. В частности, с 1 января 2021 г. вводятся требования к квалификации руководителей и специалистов подразделений по безопасности объектов КИИ. Они заметно мягче аналогичных по сути требования для лицензиатов ФСБ, и за год все желающие организации смогут переподготовить своих специалистов.
Впрочем, скорее всего мы увидим аналогичную процессу категоризации картину всяческого затягивания/запаздывания и в процессе развития квалификации специалистов по безопасности КИИ. Заместитель начальника управления ФСТЭК Елена Торбенко отдельно отметила, что курсы переподготовки и/или повышения квалификации для руководителей и работников подразделений по обеспечению безопасности КИИ должны быть целостными. К примеру, не два курса по 36 часов, но один курс на 72 часа.
Еленой были даны ответы и на ряд других злободневных вопросов по категорированию КИИ:
- водоканалы не являются субъектами КИИ по виду деятельности «транспортировка воды», так как не относятся к сфере транспорта из 187-ФЗ.
- СКУД и камеры наблюдения – не объекты КИИ.
- Органы муниципальной власти не могут быть субъектами КИИ, но субъектами КИИ точно будут подведомственные им организации.
- В форме категорирования нужно заполнять все поля.
- ФСТЭК России в любом случае предоставит ответы на сведения, представленные по результатам категорирования, независимо от того, какие там объекты указаны. Но сейчас с направлением данных ответов наблюдаются проблемы.
СООБЩАЮЩИЕСЯ КАДРОВЫЕ СОСУДЫ. ВМЕСТО ЗАКЛЮЧЕНИЯ
На самом деле кадрового голода в сфере ИБ в России нет. Ещё нет, но уже близится кадровая «чёрная дыра». В 2020 г. вступят в силу изменения в трудовом законодательстве Германии, направленные на привлечение экспертов из стран вне ЕС, будет реализован Brexit, вытесняющий европейские ИБ-кадры из Соединённого Королевства, а предприимчивые голландские рекрутеры с контракторскими окладами по 7-9 тыс. евро в месяц уже добрались до Москвы, и «Победа» уже год как открыла рейсы в Эйндховен.
Однако на горизонте маячит гораздо более страшная угроза, чем будто спящая в летаргии Европа. Осенью 2019 года киевские ИТ-компании поставили новые рекорды по окладам специалистам: DevOpsLead – $12 тыс. чистыми, DevOps Engineer – $7 тыс. Американские компании заливают в киевский аутсорсинг десятки и сотни миллионов долларов, в Киеве по-прежнему большинство населения говорит по-русски, цены на жизнь в два раза ниже московских, мягкий миграционный режим и десятки оборотистых ИТ-рекрутеров. А тематика DevOps, с одной стороны, будет расти и расти (поддерживая цифровую трансформацию), а с другой, добрая половина лучших экспертов SOC как раз и обладает DevOps-компетенциями.
Возможно, отражением упомянутых угроз нужно заниматься совместно. Регуляторам – пролоббировать давно назревшее введение обязанности владельцев информационных систем ПДн информировать субьектов ПДн об утечках ПДн. В США и Великобритании подобная практика привела к росту значимости ИБ и повышению конкурентосопобности местных рынков труда. А организациям – создавать условия труда и корпоративную культуру такими, чтобы от них не хотелось уходить. Лишь в общих усилиях есть шанс удержать кадровый фронт против могучих (ИБ-бюджет JPMorgan, Bank of Americа и др. подобных организаций – около $700 млн каждый), но всё же разрозненных конкурентов за ИБ-таланты.
.png)