Информационная безопасность от Ростелекома
В Санкт-Петербурге 23 сентября состоялась пресс-конференция, посвященная вопросам информационной безопасности, противодействию киберугрозам и трендовым IT-решениям «Ростелекома» в сфере защиты данных.
Начал свое выступление Тимофей Абраменко, директор по работе с корпоративными и государственными сегментами «Ростелеком Северо-Запад» с информации о числе ЦОДов компании. По его словам, у «Ростелеком» сейчас в России более 20 ЦОДов, которые «растут как грибы», и четыре Security Operation Center. Самый мощный ЦОД расположен в Удомле, между Москвой и Санкт-Петербургом.
Этот ЦОД – один из ключевых компонентов катастрофоустойчивой сети «Ростелеком», расположенный вблизи Калининской АЭС в Тверской области. Строительство ЦОДа на площадке Калининской АЭС — это совместный проект «Ростелекома» и АО «Концерн Росэнергоатом». Проектная мощность ЦОД «Удомля» составляет 4000 стоек, которые должны быть введены в эксплуатацию до конца 2023 года. В настоящее время к размещению оборудования заказчиков готовы модули суммарной емкостью 800 стоек, при этом каждая рассчитана на 6 кВА. В введенном в эксплуатацию ЦОДе уже размещается клиентское оборудование.
Алексей Богомолов, директор по развитию бизнеса по информационной безопасности «Ростелеком Северо-Запад», рассказал о развитии кибератак. В 2019 году эксперты из Security Operation Center «Ростелекома» зафиксировали прядка 97% атак, которые проходили первичным доступом через сотрудников, используя фишинговую рассылку, эти атаки получали первичный доступ в организацию. Рассылка приходила как на личную, так и на корпоративную почту. Если невнимательные сотрудники кликают на любые ссылки, то они могут передать первичный доступ злоумышленнику, который получив доступ к организации, начинает сканировать порты, увеличивать привилегии своего доступа, продолжая распространять свой доступ на различные системы корпоративного уровня. В результате злоумышленник может выйти на уровень промышленной сети.
В 2018 году вышел Федеральный Закон №187, который используя наших регуляторов, регламентирует и определяет меры защиты корпоративной и технологической сети. В облачной сети после увеличения привилегий и получения доступа к технологической сети, появляется возможность, например, выключить светофоры, запустить троян, который сможет повлиять технологические отопительные процессы.
«Мы помогаем нашим коллегам увеличивать степень их информационной безопасности, используя наши центры кибербезопасности, которые распределены по всей России, они есть в Москве, Нижнем Новгороде и Хабаровске.
Отвечая на вопрос журналистов, о том, может ли сотрудник их центра кибербезопасности проводя обучение сотрудников «Ростелекома», осуществлять звонок и пытаться выведать у абонента ту информацию, которую выспрашивают злоумышленники у своих жертв, чтобы потом информировать абонента, что он не правильно себя вел, Алексей Богомолов, сказал, что служба безопасности проводит такие киберучения только среди своих сотрудников. При этом привлекаются внутренние силы службы безопасности.
Тимофей Абраменко уточнил: полномочия внутренней службы безопасности в организации позволяют проводить любые тестирования только в рамках закона, эта служба не может провести незаконную операцию, чтобы что-нибудь протестировать. «Такая проверка или имитация носит условный характер, поскольку в силу закона наши «безопасники» не могут имитировать действия злоумышленников», - сказал Тимофей Абраменко.
«Мы сейчас осуществляем ИБ-проекты, которые позволяют серверные мощности подключать к заказчику очень быстро. Доступ осуществляемый либо через тонкого клиента, либо через планшет, и доставляет удаленный рабочий стол по защищенным каналам, то при этом все ресурсы обработки информации находятся на мощном сервере», - сказал Алексей Богомолов. Понятно, что такая услуга востребована компаниями, которые занимаются разработками крупных проектов.
При выполнении ИБ-проектов, касаемых сервисов «Ростелекома», сотрудники службы безопасности в первую очередь смотрят, какие каналы связи использует клиент. «Ростелеком» предоставляем ИБ-сервисы и тем клиентам, которые не используют каналы связи «Ростелекома», либо используют эти каналы в качестве резервных. Тут речь идет о пропускной способности этих каналов и числе их пользователей. «Если мы защищаем канал связи, нам нужно понимать на сколько он будет проседать за счет шифрования, поскольку мы на него накладываем средства защиты, поэтому зачастую возникает необходимость увеличить полосу пропускания этих каналов, либо ставить на них более мощную защиту, которая не «сужает» канал связи», - сказал Алексей Богомолов.
По словам Алексея, тестирование ИБ-систем на проникновение у заказчика осуществляют «белые хакеры» «Ростелекома», они по договору в определенные часы проводят аудит эшелонированной системы безопасности, защиту от границы сети до рабочих станций, до ноутбуков и персональных компьютеров заказчиков, они проверяют насколько устойчива эта защита к атакам. Такие аудиты проводятся часто с лицензиатом (ФЗ №99), поскольку у «Ростелекома» есть лицензии ФСБ, ФСТЭК и все что требуется для проведения таких работ. Постепенно вся Россия переходит к облакам, которые должны быть на территории Российской Федерации, и эти облака должны быть надлежащим образом защищены, поэтому службы безопасности также переходят в облака.
Security Operation Center собирает инциденты из разных организаций своих клиентов, он анализирует какие виды атак происходят. При этом может осуществляться обучение систем и сотрудников как реагировать на те или иные угрозы. «Если мы видели как происходила атака во Владивостоке, а потом видим аналогичную атаку в Архангельске, то мы уже знаем как себя вести сотрудникам ИБ-службы и как предотвратить такую атаку», - констатировал Алексей Богомолов.