«Взаимодействие с ГосСОПКА интегрировано в ИБ "Норникеля"»

«Взаимодействие с ГосСОПКА интегрировано в ИБ "Норникеля"»

— Алексей Сергеевич, расскажите, пожалуйста, о вашем опыте взаимодействия с ГосСОПКА?

— Взаимодействие с ГосСОПКА интегрировано в процесс реагирования на инциденты информационной безопасности «Норникеля». Мы реализовали возможность автоматизированного обмена информацией через Security Orchestration, Automation and Response (SOAR), а также проводим анализ поступающей к нам информации. Со всеми регуляторами в сфере информационной безопасности (ИБ) мы стараемся выстраивать партнерские взаимоотношения: уверены, что в конечном итоге это положительно скажется на отрасли в целом. Кроме того, на площадке Клуба «Безопасность информации в промышленности» (основанного «Норникелем» в 2017 году) мы регулярно обсуждаем особенности и нюансы обмена информацией через платформу ГосСОПКА, стараясь направить накопленную экспертизу на повышение эффективности взаимодействия бизнеса и государства.

— Что необходимо реализовать в первую очередь для эффективного решения задачи выявления компьютерных атак на начальном этапе?

— Чтобы решать эту задачу действительно эффективно, нужна выстроенная комплексная система информационной безопасности. У крупных компаний на это уйдут годы работы. Мы начали наш путь с определения элементов базовой защиты, т. е. процессов и систем безопасности, которые должны работать абсолютно везде: полное покрытие антивирусом, единые точки выхода в Интернет, анти-спам защита, контроль внешнего периметра. Далее последовало внедрение продвинутых средств защиты и сервисов ИБ, основанное на риск-ориентированном подходе. Такие средства защиты информации (СЗИ) в силу высокой стоимости или сложности реализации/поддержки целесообразно использовать только там, где они нужнее всего. Ну и, конечно, не обойтись без аудитов, проверок, практических тестирований, повышения осведомленности — ​чтобы быть уверенными, что выявление атак работает не только на блок-схемах, но и в реальных условиях.

— Почему важно не только отражать атаки, но и проводить их анализ?

— Все очевидно: отраженная автоматизированными средствами атака — ​это хорошо, но это ничего не меняет для киберустойчивости вашей компании. А проведенный анализ и принятые меры могут эту устойчивость повысить. Давайте порассуждаем на бытовом примере: вы приходите домой и видите, что дверь в квартиру пытались вскрыть. Вряд ли просто порадуетесь тому, что попытка взломщиков оказалась неудачной, откроете дверь и как ни в чем не бывало продолжите жить в этой квартире. В голове сразу возникнет множество вопросов: «почему ко мне?», «как попали на территорию?», «что искали?», «а что, если бы удалось взломать дверь?» и т. д. Аналогичные вопросы следует задавать себе и про компьютерные атаки. Сложность в том, что таких автоматически отраженных атак на крупные российские организации — ​тысячи в день. Тут стоит определиться с подходом к процессу: что мы пытаемся выяснить, можем ли укрупнять информацию в тренды, все ли атаки стоит анализировать или можно договориться об определенных параметрах.

— Для чего необходим обмен информацией о компьютерных атаках?

— У этого процесса довольно много положительных эффектов: сокращение времени на реагирование, снижение объема трудозатрат аналитиков Security Operations Center (SOC), более полная картина угрозы. Конечно, обмен информацией и ее анализ тоже требуют немалых ресурсов. Именно поэтому стоит дифференцировать процесс обмена: для общей массы компьютерных атак достаточно обмена техническими индикаторами компрометации — ​хешами файлов, IP-адресами, доменами. Однако в случае полноценных реализовавшихся компьютерных инцидентов гораздо важнее понимать тактики и инструментарий атакующих, векторы реализованных угроз и применяемую методологию. Обмен такой информацией позволит не только обнаружить следы атаки, но и выстроить проактивную защиту от аналогичных угроз. Таким образом, обмен сведениями об атаках нужен, чтобы максимально оперативно и эффективно использовать эту информацию для повышения защищенности всей отрасли.

Cпециализированный Форум по тематике ГосСОПКА состоится 14–15 апреля 2026 года, в кластере «Ломоносов» (Москва). Организатор — НКЦКИ, оператор — Медиа Группа «Авангард». Участников ожидает всецело практико-ориентированная программа. Регистрация продолжается.