К чему должны стремится руководители SOC'ов
Мнение Алексея Плешкова интересно тем, что он стоял у истоков создания SOC Газпромбанка в 2009-2010 годах и много лет следит за его формированием и развитием.
— Успевает ли развитие вашего SOC'а за киберпреступниками, законодательством и глобальной цифровизацией?
— Успевает. В рамках ИБ у нас есть отдельное подразделение, отслеживающее все изменения в законодательстве. Оно активно участвует в деятельности коллегиальных органов при регуляторах. Поэтому многие вещи мы знаем раньше рынка и всегда готовимся к ним.
— Какие изменения произошли в вашем SOC'е за прошедший год? Какие компоненты/моменты/функции пришлось пересмотреть?
— Основной акцент мы как обычно делаем на сетевые атаки и противодействие мошенничеству — как внешнему, так и внутреннему. А в контексте происходящих вокруг событий, увеличилась важность реагирования SOC на кибератаки из Интернет. Пересматриваются и оптимизируются метрики и пороговые значения, характеризующие инциденты и подозрительную активность в Интернет. На их основе, а также с учетом рекомендаций ФинЦЕРТ, ФСТЭК и производителей проводятся тонкие настройки.
— Как вы относитесь к мысли о том, что SOC'и в основном создавались впрок и не совсем понятно зачем, и вот, наконец, они оказались востребованы в полном объеме. Применимо ли такое утверждение к SOC'у Газпромбанка?
— Не согласен с тем, что SOC'и создавались впрок. Возможно, у кого-то с точки зрения бизнеса и могла возникнуть такая позиция, потому что на начальном этапе, в отсутствии источников и согласованных метрик и признаков, характеризующих инциденты, SOC'и дают не так много событий и инцидентов, значимых для бизнеса. Но когда мы говорим о зрелом SOC'е, например, SOC'е Газпромбанка, то здесь его значимость и статус трудно переоценить. В таких SOC'ах все инциденты четко выверены, признаки согласованы и понятны бизнесу, ошибок в них почти не бывает. Мы можем очень гибко настраивать системы реагирования с учетом имеющегося опыта и, настраивая фильтры, прицельно выявлять инциденты, значимые и критичные для бизнеса.
— Что влияет на скорость и качество созревания SOC?
— Считаю, что от правильности взаимодействия между ИБ, ИТ и бизнесом при расследовании инцидентов, зависит скорость становления SOC и приведения его к тем ожиданиям, которые ставит бизнес. Это первый момент.
Второй — последовательность и постепенность. SOC Газпромбанка появился в 2009 году, когда не было никаких требований, рекомендаций регулятора, не было такого уровня киберугроз. У нас было время для поэтапного развития и отработки всех сложных и спорных моментов. За 13 лет наш SOC вырос от небольшой дежурной смены до целого департамента. Функциональные участки расширялись, а глубина интеграции SOC с банковскими процессами увеличивалась.
— Имеет ли руководство SOC вес и влияние в руководстве банка?
— Тот факт, что руководитель и представители нашего SOC сейчас входят практически во все профильные комитеты и коллегиальные органы банка, связанные с непрерывностью бизнеса, говорит о том, что влияние и позиции ИБ в Газпромбанке стали существенно выше, чем раньше. Я думаю, это хороший пример того, к чему должны стремиться руководители SOC'ов и дежурных служб в других банках.
— Будет ли Газпромбанк участвовать в SOC-Форуме, и какие темы для вас наиболее актуальны?
— Мы являемся регулярным участником SOC-Форумов каждый год и очень ценим как само мероприятие, так и возможность принять в нем участие и выступить с докладами.
Я думаю, что в этом году основной фокус будет направлен на все, что связано с кибератаками на интернет-ресурсы отечественных компаний в контексте происходящих в мире событий. Этих атак стало больше, они стали интенсивнее, они не ограничиваются только финансовым сектором. Обеспечение непрерывности бизнес-процессов — тоже важная тема. Также будет полезно выслушать мнение и рекомендации регуляторов для тех организаций, которые пока не считают себя субъектами КИИ и не получают от регулятора официальные рекомендации.
.jpg)