Итоги первого дня SOC-Forum 2024

07.11.2024
SOC Forum 2024 официально открыт. Пресс-служба ГК «Солар» делится дайджестом интересных событий и выступлений первого дня.

Прошла первая пленарная сессия «Информационная безопасность как фундамент цифрового общества и бизнеса».

Игорь Ляпунов, генеральный директор ГК «Солар» и модератор сессии, открыл дискуссию, приведя данные исследования консалтингового агентства McKinsey. Кибербезопасность вошла в топ-10 big arenas — быстро развивающихся отраслей, активно формирующих глобальную экономику. Прогноз по росту этого рынка — 1,2 трлн долларов к 2040 году. «Основные драйверы — атаки хакеров, генеративный ИИ, действия государств в отстаивании своих геополитических интересов и военные конфликты. В этих условиях доверие граждан цифровым инструментам государства — важная задача и серьезное переосмысление роли информационной безопасности. Давайте поговорим об этом», — предложил модератор.

Максут Шадаев, глава Минцифры России, отметил: «Россия традиционно отличалась сверхвысокими темпами внедрения технологий, граждане всегда жаждали новых цифровых сервисов и активно их использует. Цена за это — риски развития цифровой экономики. Отрасль кибербезопасности — наша надежа, к российским технологиям защиты высокий интерес в мире, по моему мнению, они могут стать продуктом номер один в сфере экспорта технологий. Но не может не расстраивать, что крупные инциденты зачастую происходят не из за отсутствия решений, а из за игнорирования простых, элементарных правил». Министр также выразил мнение, что решение по оборотным штрафам может быть принято до конца года — это непросто решение, но оно нужно, чтобы положительно повлиять на отрасль.

Россия — страна технооптимистов, согласился Михаил Волков, генеральный директор, председатель правления Почты России. «Самый большой запрос от клиентов — хотим больше цифровых сервисов. Однако нам в нашем деле необходимо учитывать интересы всех граждан, обеспечивать доступность классических услуг, стабильную работу вне зависимости от ситуации на киберфронте, гарантировать тайну связи, поэтому роль ИБ нельзя недооценить». Спикер также отметил, что доверие граждан к государственном цифровым сервисам на высоком уровне, но обратная сторона этого — такое доверие снижает уровень собственной ответственности людей за соблюдения правил кибергигиены.

Максим Борзов, Советник председателя «Движение Первых» по ИТ, основатель ИТ компании Ruvents, осветил тему с точки зрения кибербезопасности детей — особо уязвимой для мошенников категории населения. «Сегодня ребенок может забыть закрыть квартиру, но не забудет телефон — это его жизнь. Наибольшую угрозу представляет недостоверный контент: детей дезинформируют через те каналы коммуникации, которые им привычны — соцсети, чаты, игры, сообщества по интересам. Развитие ИИ и генерация медийного и фото-контента с высокой степенью достоверности дополнительно обостряют эту проблему».

Михаил Осеевский, президент Ростелеком назвал три главных аспекта в обеспечении кибербезопасности: «Первое — импортозамещение, наши решение должны быть на российской программной базе, и мы уже прошли большой путь. Второе — необходим круглосуточный мониторинг в SOC для быстрого реагирования: нельзя построить высокий забор и не контролировать, кто пытается его перелезть. Третье — управление доступом сотрудников и подрядчиков, особенно когда инфраструктура очень большая, как в Ростелекоме».

Сергей Анохин, генеральный директор ВымпелКом, рассказал о мерах ИБ, применяемых в отрасли телекоммуникаций — маркировка спам-звонков и, напротив, доверенных абонентов, ограничение симкарт, облачные технологии для защиты от подмены номеров. «Антифрод-платформы де-факто стали элементами критической инфраструктуры, потому что от них зависит очень многое. Создание таких платформ и в целом ориентация на кибербезопасность и устойчивость влияют на бизнес: например, открывает пространство для межотраслевого сотрудничества.

Интересной статистикой поделился Станислав Кузнецов, заместитель председателя правления Сбера. По его оценке, около 90% взрослого населения имеет данные в открытом доступе, причем, вопреки распространенному мнению, не более 2% утечек происходит из кредитных организаций, а основной источник —интернет-магазины и медицинские учреждения. Второй яркий тренд — всплеск социальной инженерии. «Мы зафиксировали беспрецедентное количество телефонных звонков, до 20 млн в сутки на пике, а в среднем 6–7 млн в сутки. Потери граждан могут достигнуть 250 млрд рублей, а ущерб экономике может приблизиться к триллиону рублей». Из позитивных трендов информационной безопасности спикер отметил появление импортонезависимых решений, более высокую скорость принятия решений для противодействия угрозам, а также прогресс во взаимодействии и консолидации усилий игроков рынка.

Вторая пленарная сессия SOC Forum 2024 была посвящена теме «Государство и бизнес: совместная стратегия обеспечения безопасности». Она собрала отраслевых регуляторов и представителей государства. Владимир Бенгин, директор по продуктовому развитию ГК «Солар», модерировал сессию. Он пригласил участников к обсуждению итогов года с точки зрения работы ведомства и уровня кибербезопасности, зон роста и планов на будущий год.

Референт Совета Безопасности РФ Алексей Петров подчеркнул, что сегодня ни одна организация не должна считать себя вне зоны внимания киберпреступников: «Каждый может стать целью: комплексное воздействие хакеров нацелено не только на ущерб самому объекту, но и на социально-экономические последствия для государства. Проблемные зоны — рост взаимосвязанности информационных систем, развитие технологий, а также выборочная реализация мер по ИБ». Спикер отметил, что нужно ввести единый правовой режим для всех систем безопасности, от которых зависит работа общества и государства, совершенствовать механизмы контроля за выполнением требований и создавать новые механизмы их оперативного контроля.

Заместитель директора Национального координационного центра по компьютерным инцидентам Петр Белов отметил смену тренда кибератак: противник отходит от «громких», демонстративных атак в пользу максимального нанесения ущерба — порядка 70% инцидентов, поступающих в НКЦКИ, связаны с уничтожением информации. При этом вектора атак не сильно изменились — критические уязвимости, фишинг, атаки через подрядчиков. Также спикер рассказал о разработке проекта федерального закона ГосСОПКА, который определит всех участников ГосСОПКА, их задачи, права, обязанности, ответственность, а также уточнит ситуацию с аккредитацией центров ГосСОПКА.

Модератор напомнил зрителям, что за последнее время ФСТЭК России выпустил множество новых актов: и новые требования к NGFW, и новые методики по оценке и контролю категорирования КИИ, и требования к порядку сертификации процессов безопасной разработки. Комментируя тему, заместитель директора Федеральной службы по техническому и экспортному контролю Виталий Лютиков рассказал, что сейчас активно идут процессы по сертификации российских решений, до конца года рынок может получить три новых сертифицированных решения. Также ведомство проводит процедуру аттестации компаний — проверку практической реализации методик и требований ФСТЭК и технические знания специалистов по сертификации.

Замглавы Минцифры России Александр Шойтов рассказал о подготовке итогов нацпроекта «Цифровая экономика» и плавном переходе на новый проект «Экономика данных». Он еще раз отметил, что человеческий фактор остается одним из главных рисков информационной безопасности. По словам Шойтова, к 2030 году необходимо разработать новый подход к информационной безопасности, в котором технологии ИИ нивелируют этот фактор.

Еще одной темой обсуждения стало обеспечении безопасности КИИ в отраслях промышленности. Заместитель министра промышленности и торговли РФ Василий Шпак поделился данными мониторинга объектов с 2022 по настоящее время. Специалисты центра по информационной безопасности проверили более 2 000 субъектов критической инфраструктуры, и в 70% процентов случаев обнаружили нарушения. Всего запланировано проверить 10 тысяч таких субъектов. Спикер отметил важность отечественной разработки решений кибербезопасности и других технологий: «Безопасность объектов критической инфраструктуры сегодня напрямую зависит от технологического суверенитета нашей страны».

Банковская отрасль по праву является передовой в вопросах ИБ по уровню зрелости и реагирования на угрозы, отметил модератор. Вадим Уваров, директор департамента информационной безопасности Банка России, представил свою презентацию. По его словам, на повестке дня — борьба с мошенничеством и хищением средств у граждан. Недавно вступившие в силу федеральные законы позвонили внедрить эффективные меры по борьбе с «дропами» и повысить скорость расследования инцидентов. Банк России стремится доносить до участников рынка информацию о доступных решениях для противодействия угрозам. «Наши ключевые векторы — внедрение в финансовых организациях прикладного российского ПО, средств защиты информации и доверенных программно-аппаратных комплексов».

Читайте также
Исследования показывают, что больше 85% руководителей считают ИИ важным для достижения стратегических целей. Однако как это применять на практике и с чего начать? Об этом IT World рассказал руководитель блока «Цифровой Бизнес» УК «Альфа Капитал» Антон Граборов.

Владимир Дрюков, директор Solar JSOC, присоединился к дискуссии «Аналитика киберугроз — для бизнеса и страны». Представители ИБ и финансовой индустрии обсудили, как трансформировать процесс управления уязвимостями в условиях ухода зарубежных вендоров и отсутствия доверенного источника аналитических данных о киберугрозах.

Владимир Дрюков провел аналогию с эпидемией короновируса, когда со временем люди привыкают даже к самой серьезной опасности и начинаю пренебрегать правилами безопасности: «Утром открываешь телеграм, и уже нет вау эффекта от новостей. Киберугрозы — это, к сожалению, наша ежедневная рутина».

Отвечая на вопрос о рисках, сопряженных с использованием open-source компонентов, Владимир Дрюков напомнил: «Ключевая проблема не только в уязвимостях, которые может эксплуатировать преступник — она может быть на уровне самого кода. Закладка в ОС может деструктивно действовать на инфраструктуру, и даже хакер не нужен.

Сегодня в России все более активно используется собственная разработка: в банках, в энергетике, в транспорте, нефтегазе, е-комерсе — в таких объемах, что уже можем заместить зарубежную разработку. Использование open-source не остановить, и не все проблемы можно быстро детектировать. Поэтому ответ — в управлении качеством: безопасной разработке, в базовой гигиене, в жестких правилах, что и откуда можно использовать».

Комментируя источники для Threat Intelligence, Владимир заметил: «Импортозамещение — иногда болезненный процесс, но, начиная с чистого листа, больше шансов все сделать правильно. Чем больше мы будем замещать решения, тем меньше мы будем смотреть в зарубежные базы».

Участники регуляторного трека SOC Forum 2024 обсудили проблемы взаимодействия профессионального сообщества с регуляторами, перспективы развития законодательства в области защиты КИИ и работу центров ГосСОПКА.

Начальник Управления ФСТЭК России Елена Торбенко отметила, что к настоящему моменту не все субъекты КИИ выполнили требования законодательства в части категорирования значимых объектов КИИ (ЗОКИИ). По данным ведомства, выявлено более 500 нарушений, в том числе повторные нарушения технического и организационного характера: «Мы сталкиваемся с несоответствием заявленного состава ОКИИ фактическому. В результате именно через неуказанные объекты нарушители проникают в инфраструктуру».

Доклад начальника Управления ФСТЭК России Сергея Бондаренко был посвящен методике оценки текущего состояния защиты информации и обеспечения безопасности ОКИИ. Докладчик привел статистику по стране, согласно которой 49% объектов на данный момент получили низшую оценку защищенности, еще 31% — среднюю. Только 11% организаций находятся на минимально базовом уровне защищенности, что означает их готовность отвечать существующим киберугрозам. «В настоящее время идет создание автоматизированной системы для работы с ОКИИ и органами государственной власти, — анонсировал Сергей Бондаренко. — Она позволит автоматически проводить мероприятия по оценке и публиковать результаты в личных кабинетах для компаний. Информацию можно будет выгружать в машиночитаемом виде через API».

Третий докладчик трека, представитель Национального координационного центра по компьютерным инцидентам (НКЦКИ) Иван Минаев, рассказал о вызовах, которые возникли перед участниками рынка в связи с изменениями в российском киберпространстве. Спикер подчеркнул, что вопреки распространенному мнению только 30% взаимодействующих с ГосСОПКА организаций имеют отношение к КИИ и это отвечает существующему положению вещей, когда кибератаки угрожают буквально каждой компании. В этой связи ГосСОПКА должна распространиться на все информационные ресурсы, взлом которых угрожает безопасности страны. НКЦКИ со своей стороны попытался описать всю информационную систему РФ как единую среду, которую можно отслеживать посредством всеобъемлющей системы мониторинга компьютерных атак и обмена информации. Эта работа потребует участия Минцифры России, Роскомнадзора и прочих ведомств, которые со своей стороны владеют информацией о событиях в информационной инфраструктуре страны.

Трек завершил доклад эксперта НКЦКИ Дмитрия Зенцова, который поделился подробностями процесса будущей аккредитации центров ГосСОПКА. Необходимость это процедуры связана как с растущей активностью злоумышленников, так и с недостаточным уровнем некоторых существующих сейчас центров, которые оказываются неспособны выполнять указания НКЦКИ в части противодействия кибератакам. «Подготовлен проект приказа касательно порядка аккредитации и обновленных требований к аккредитованным центрам, — сказал Дмитрий Зенцов. — Аккредитации будут подлежать все центры вне зависимости от их нынешних соглашений с НКЦКИ. Во-первых, речь идет о документальной проверке центра. Во-вторых, о проверке знаний и навыков сотрудников. Теоретическая часть охватит непосредственные направления деятельности центров. Практическая будет включать работу на виртуальном стенде с решением задач по обнаружению кибератак и устранению последствий инцидентов». Срок аккредитации будет составлять 5 лет, после чего центр должен будет заново пройти процесс.

Свой доклад на SOC Forum представил Александр Баринов, директор портфеля продуктов сетевой безопасности ГК «Солар». По его словам, в 2023 году произошло «надувание пузыря NGFW» — рынок вырос с десятка ключевых вендоров до сорока, а в денежном выражении с 5 млрд до 50 млрд рублей (а по некоторым оценкам и до 100 млрд). По прогнозу «Солара», к 2030 году рынок скорректируется — компания рассчитывает остаться в числе игроков и занять около 30% рынка. Насколько это видение разделяют заказчики и другие вендоры, в это самое время обсуждали в соседнем зале — в это время там шла прожарка отечественных NGFW. В хейт шоу «О дивный новый мир NGFW» разработчики давали честные ответы на острые вопросы:

  • Почему отечественные NGFW не лучше зарубежных, но дороже?
  • Сколько можно ждать корректировок на критичные замечания?
  • Где подтвержденные схемы интеграции между NGFW разных производителей?
  • Из-за чего обещания в дорожных картах не исполняются?

Вендоры за словом в карман не лезли: мерились количеством интеграций, ловили друг друга на слове и дерзко предлагали заказчикам сравнить цены на зарубежные решения по актуальному курсу доллара.

Честь Solar NGFW отстаивал Андрей Щербаков, директор по развитию бизнеса Solar NGFW. Четыре заказчика и три вендора успели поспорить, заключить пару неформальных соглашений и дать несколько обещаний рынку. Было горячо, нескучно и без цензуры. Зрители реагировали на происходящее бурными аплодисментами или неодобрительным гулом. По мнению зрителей, в баттле вендоров и заказчиков последние победили со счетом 7-5.

«Для утечки не нужно, чтобы все сотрудники попадались на фишинг. Достаточно одной ошибки», — предупредил генеральный директор Secure-T Харитон Никишкин. В своем докладе на SOC Forum 2024 он еще раз напомнил о возросшем за последние годы объеме утечек данных в условиях беспрецедентных атак на российскую инфраструктуру.

Чтобы не пополнить список жертв взлома, компаниям следует постоянно работать над повышением киберкультуры. В своем докладе эксперт разделил эту задачу на три направления. Первое — документальное сопровождение: подготовка приказов, регламентов, прочих документов для поддержки процессов. Второе — теоретическое обучение и, наконец, проверка знаний в имитированных атаках. Цикл необходимо повторять каждые полгода, чтобы отслеживать динамику по набору метрик: от количества пройденных курсов и прослушавших их сотрудников до доли корпоративных пользователей, которые проходят по фишинговым ссылкам, ввели свои данные, выполнили целевые действия.

Читайте также
BIM — это комплексный подход, который помогает не только повысить эффективность проектирования, но и дает возможность внести необходимые изменения в модель до завершения стадии РД (рабочей документации) и начала строительства. Таким образом модель помогает оптимизировать расходы. О том, как это работает, рассказала руководитель проекта в ПИК Альбина Алдабергенова.

Secure-T — российский ИБ-стартап, развивающий собственную платформу повышения киберкультуры. С 2019 года обучение на платформе компании прошли более 300 тыс. пользователей. В 2024 году ГК «Солар» и Secure-T объявили о партнерстве в рамках M&A-сделки.

Похожие статьи