Успехи и проблемы SOCостроения в организациях системы государственного управления. Обмен опытом на SOC-Форуме 2021
В рамках сессии «SOC в организациях системы государственного управления» на форуме «Практика противодействия кибератакам и построения центров мониторинга ИБ» (SOC-Форум 2021) состоялось таки представление регионального Центра противодействия киберугрозам Республики Татарстан.
«Таки состоялось» – это потому, что доклад на эту тему был запланирован (но не случилось) ещё на ноябрьский The Standoff 365, и уже тогда анонс вызвал интерес в связи с тем, что технологическим партнёром проекта выступила компания Innostage.
Она давно сотрудничает по линии вендор+системный интегратор с компаний Positive Technologies, с недавних пор предложившей рынку систем корпоративной кибербезопасности идеологию «Недопустимые события должны стать невозможными!» и инструментарий для её реализации. В связи с этим сотрудничество ГК Innostage с Минцифры Республики Татарстан позволяет надеяться на демонстрацию возможностей масштабирования упомянутого принципа на региональный уровень.
В ходе выступления руководителей проекта помимо подтверждения курса на создание безусловного заслона для недопустимых событий была затронута и давняя «болевая» проблема ИБ – место и роль т.н. «бумажной» безопасности. Термины, правда, использовались иные.
Речь зашла о т.н. «двух подходах к созданию ЦПК». Первый – т.н. «регуляторная безопасность», где вектор деятельности задают государственные органы и организации – ФСТЭК, ФСБ, ЦБ РФ. Второй – т.н. «практическая безопасность», где работает основной принцип «сделай недопустимое невозможным» и Виктор Вячеславов, технический директор ГК Innostage, сформулировал последовательность этапов для его реализации.
Далее в докладе был сделан вывод о том, что «два подхода не противоречат, а естественно дополняют друг друга».
И, возможно, остался всего лишь один шаг для понимания того, что и регуляторы столь же привержены принципу «сделай недопустимое невозможным», а выполнение регуляторной «нормативки» – это не один из подходов, а как раз первый этап в той системе этапов (прошу прощения за повтор), что выстроил технический директор ГК Innostage для реализации упомянутого принципа.
Уместно отметить, что концептуально важный доклад Минцифры Республики Татарстан и ГК Innostage, был не единственным интересным событием секции «SOC в организациях системы государственного управления» на форуме «Практика противодействия кибератакам и построения центров мониторинга ИБ» (SOC-Форум 2021).
Доклады представителей «минцифр» некоторых наших сибирских регионов (как бы не назывались эти структуры на чиновничьем канцелярите) представили положительную динамику развития своих региональных SOCов на фоне борьбы с территориальной распределённостью защищаемых структур, несоответствием технологических и человеческих ресурсов тем вызовам, которые бросают сибирским региональным структурам служб ИБ современная киберпреступность и требования к скорости реагирования на инциденты.
Особенно бросилась в глаза кадровая «нищета», вызванная не только провалами в системе образования и неравномерностью распределения жизненных благ по регионам. Удивляет скаредство структур, ответственных за финансирование штатов служб ИБ. Речь зачастую идёт даже не о десятках, а о единицах штатных единиц (и вновь приношу извинения за повтор). И эта проблема не только провинциальных ФОИВов, но и столичных министерств.
И это в условиях, когда к почти объективной можно отнести ту реальность, в которой в течении года органы государственной власти регулярно упоминаются в отчётах по киберугрозам в качестве объектов первоочередного внимания злоумышленников, тогда как планы цифровизации страны рассматривают создание «электронного правительства» в качестве безусловной сверхзадачи.
Ситуацию удаётся разряжать за счёт использования технологий аутсорсинга, тем более, что это позволяет получать не только «лишние руки» по иной статье расходов, но и квалифицированные мозги.
Так в докладе директора департамента цифровой трансформации Минэкономразвития были отмечены достоинства работы с компанией «Ростелеком-Солар», сотрудники которой прекрасно знают ландшафт угроз и обладают широким кругозором, а упомянутый подрядчик предоставляет набор сервисов, являющихся, по сути, альтернативой «ГосСОПКЕ».
На этом фоне осталось, похоже, незамеченным выступление советника директора ФГБУ «ЦНИИОИЗ» Минздрава России с докладом «Построение Единой системы обеспечения информационной безопасности в сфере здравоохранения в эпоху глобальной цифровизации отрасли».
Среди тезисов доклада прозвучали и предсказания того, что киберугрозы для трансформируемой «цифрой» системы здравоохранения могут привести к тому, что прекратится оказание медицинских услуг (либо вообще, либо на должном уровне), прервётся преемственность процессов лечения, и т. п. в том же апокалипсическом духе. При этом уже сейчас мы имеет примеры реалистичности такого рода провалов медицины в результате влияния Deepfake-атак на систему здравоохранения.
В то же время произвели ошеломляющее впечатление на погружённых в тему специалистов (сужу по эмоциям на лице модератора сессии «SOC в организациях системы государственного управления») объёмы запланированных работ по цифровизации медицинской сферы России, и, соответственно, уровень киберугроз этой инфраструктуре, защищённость которой сам докладчик охарактеризовал как разработанную не в полном объеме, внедрение и эксплуатация киберзащиты которой носит фрагментарный характер.
При этом докладчик отметил, что состояние «инфобеза» сферы здравоохранения России сегодня характеризует разнотипность решаемых задач, разнообразие программных технических решений, недостаточность уровня отказоустойчивости и другие негативные факторы.
.jpg)
.jpg)
(1).png)