Журнал "Information Security/ Информационная безопасность" #5, 2020

сотрудники под эти задачи. В результате в середине 2020 года мы официально завершили подключение ПАО "ГТЛК" к центру реагирования на инциденты SOC. И второй кейс – это подключение к нашему облачному сервису SBI Bank, одного из крупнейших японских банков, который работает в России. – Есть ли практика обмена опы- том российскими и зарубежными коллегами? Алексей Юдин: Да, безусловно. Мы входим в международную ассоциа- цию FIRST, которая объединяет группы по выявлению инцидентов. Наша коман- да на постоянной основе обменивается информацией и опытом с иностранными коллегами. Основное направление дея- тельности FIRST – это участие в рассле- довании и реагирование на наиболее масштабные инциденты, затрагивающие не одного заказчика, а группу или даже отрасль. Мы плотно работаем с регистраторами доменных имен и другими организация- ми в части блокировки подозрительных и вредоносных серверов и доменов. На российском рынке мы также сотрудничаем с большим количеством игроков в отрасли: обмениваемся инфор- мацией об угрозах, делимся опытом расследований инцидентов, взаимодей- ствуем по вопросам выявления новых экземпляров вредоносного ПО и другим моментам. – Возможно ли прогнозирование угроз? От чего будем защищаться в дальнейшем? Алексей Юдин: Каждый год ситуа- ция достаточно сильно меняется. Но если немножко заглянуть в будущее, то одной из критичных угроз окажется вредонос- ное ПО, которое шифрует данные. У злоумышленников появились большие возможности монетизировать такую дея- тельность. И это очень серьезная про- блема. Если раньше все часто заканчи- валось выведением инфраструктуры из строя и, как следствие, для бизнеса это было чревато простоями и потерей вре- мени, но не потерей данных, то сейчас ситуация изменилась. Самая основная проблема – не пропустить шифроваль- щика, который может украсть и зашиф- ровать данные. Инфраструктуру восста- новить можно, а вот данные чаще всего проблематично. Причем с ускорением темпов цифровизации эта проблема ста- новится все более актуальной. Ну а традиционные риски, в общем- то, как были, так и останутся. Это целе- вые атаки на топ-менеджеров или на критически важных сотрудников компа- нии с целью опять же кражи данных или получения доступа к ресурсам компа- нии. Александр Дворянский: Если еще десять лет назад злоумышленники были "любителями", которым было интересно себя показать, то сейчас это полноцен- ные группировки, хорошо финансируе- мые и снабжаемые. Сейчас это бизнес, криминальный бизнес. Алексей Юдин: Стоит также учи- тывать и историю с коронавирусом, которая перевела большую часть ком- паний на работу в удаленном формате. При этом мало кто знает, как правильно сохранить контроль над данными. Если раньше все находилось в закрытом периметре, можно было поставить анти- вирус, межсетевой экран и спать спо- койно. Сейчас же компании сильно заду- мались над тем, как это безопасно орга- низовать и контролировать. – Видите ли вы перспективы продвижения российских реше- ний и сервисов на зарубежные рынки? Алексей Юдин: Перспективы дви- жения на зарубежные рынки есть всегда, вопрос – на какие. Потому что есть достаточно зрелые рынки Америки и Европы, на которых уже давно и успешно работает большое количество компаний. Есть рынки Азии, Латинской Америки и других развивающихся стран, где уровень зрелости в части информа- ционной безопасности отстает от лиди- рующих рынков приблизительно на пять лет. Сейчас до них тоже доходит необхо- димость создания центров SOC. – Но вы уже имеете представ- ление, на какие рынки выходить в ближайшем будущем? Алексей Юдин: Мы работаем в направлении Индии и других стран Азии и в части заказчиков, и в части техноло- гических партнеров – мы идем туда вместе с решениями от Microsoft. Но есть большая проблема – транс- граничная передача данных. Зарубеж- ные заказчики не доверяют российским компаниям, особенно если инфраструк- тура и данные заказчиков находятся в дата-центрах России. К счастью, есть страны, которые относятся к этому более спокойно, например Филиппины, Индо- незия. Там нет предубеждений насчет того, где будут храниться данные, для них самое важное – это функциональ- ность сервиса, его качество и стоимость. – Какие у вас планы развития SOC? Алексей Юдин: Помимо развития основного направления сервиса в Рос- сии, есть планы по развитию сервиса в Индии и созданию полноценного дели- вери-центра не только для Индии, но и для стран Европы. Возможно создание аналогичных центров в странах Латин- ской Америки по похожей технологии. Отдельно мы также выделяем направ- ление по созданию SOC на базе разра- ботанного нами технологического стека, мы готовы начать активную работу по этому направлению уже в следующем году. Дело в том, что на российском рынке есть решения класса SIEM, IRP, сканеры безопасности и другие инстру- менты, но готового комплекса решений для построения SOC мы, к сожалению, на нашем рынке не видим. Получается, нужно покупать множество продуктов, собирать из них мозаику, нанимать архи- тектора, который будет этот комплекс интегрировать. А квалифицированных архитекторов на рынке можно буквально пересчитать по пальцам, их очень мало. Особенно остро этот вопрос стоит для регионов с их традиционно более низким уровнем зарплат по сравнению с Моск- вой. Александр Дворянский: Я бы хотел добавить еще один важный момент. Мы обсудили Латинскую Аме- рику, обсудили Европу, но в последнее время достаточно большой интерес к вопросам кибербезопасности про- являют и страны СНГ. У нас уже есть несколько совместных проектов, поскольку менталитет, уровень зрелости и характер угроз в России и странах СНГ достаточно схожи. По сути, технологии у нас плюс-минус одни и те же. Беларусь, например, очень сильно похожа на Россию инфраструк- турой и технологиями, и в этот регион мы тоже планируем продвигаться. – Нельзя не задать вопрос по поводу изменения бизнеса из-за пандемии. Как ваша компания отреагировала на эти изменения? Александр Дворянский: Понятно, что мир стал другим. Но у нас в этой ситуации не возникло никаких проблем, потому что технология удаленной работы нами давно использовалась. И поэтому увеличить количество сотрудников, кото- рые будут работать удаленно, для нас не составило труда, к этому были готовы и технологии, и процессы. Мы понимаем, как нужно работать, как мониторить сотрудников и что необходимо для их мотивации и решения возникающих вопросов. Алексей Юдин: Мы достаточно быстро перестроились на работу в уда- ленном режиме с использованием совре- менных технологий и гибких практик, перешли на механизмы онлайн-митингов и голосовых чатов, с ежедневной син- хронизацией команд. Александр Дворянский: Более того, мы старались помочь как можно большему числу других компаний, которые оказались не готовыми к такому переходу с точки зрения защиты их подключения, защиты каналов, контроля эффективности работы пользователей. l • 15 ПЕРСОНЫ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru

RkJQdWJsaXNoZXIy Mzk4NzYw