Журнал "Системы Безопасности" № 4‘2025

Б И З Н Е С . И Д Е И И М Н Е Н И Я 127 www.secuteck.ru август – сентябрь 2025 рабочем месте, не считает важным/нужным что-либо менять в своих собственных процессах личной кибербезопасности или при работе в Интернете. А ведь такие люди, безразличные, считающие себя выше общих правил и вне системы кибербезопасности в компании, – это фактическая "дыра" в безопасности. Через най- денные в них уязвимости, с их неосознанной помощью злоумышленники попадают внутрь самого защищенного периметра и беспрепят- ственно, с правами привилегированных поль- зователей, реализуют нетривиальные сценарии кибератак. Как следствие – нарушение опера- ционной деятельности и потери для бизнеса, которых легко можно было избежать (условно) своевременным обновлением версии опера- ционной системы. 8. Межсетевые экраны и сегментирование сети Речь тут не про импортозамещение или факти- ческое наличие межсетевых экранов и сегмен- тированных сетей в инфраструктуре, а про то, что политики межсетевого экранирования должны быть не только актуальными, но и ори- ентированными на дробление на ограниченные сетевые сегменты по географическому, функ- циональному принципу или с учетом уровня конфиденциальности обрабатываемой инфор- мации, единого адресного пространства внут- ренней сети компании. Доступ между этими сегментами должен быть выстроен по принципу разумной достаточности и минимальности пре- доставленных прав. В то же время все попытки расширения предоставленных прав, проходов через межсетевые экраны по нестандартным протоколам или изменения среднесуточных показателей обмена трафиком между сегмен- тами должны анализироваться в ситуационном центре на предмет отнесения к инцидентам ИБ. Политики межсетевого экранирования (как постоянно растущий список правил) важно регулярно пересматривать, исключая из них незадействованные проходы и неактуальные объекты (делать инвентаризацию). Стоит серь- езно задуматься над тем, как часто в компании происходит инвентаризация правил на межсе- тевых экранах. Есть ли для этого автоматизиро- ванные инструменты, разработаны ли методики анализа и критерии исключения? Может быть, сейчас самое время начать это делать превен- тивно? 9. Конструктивное взаимодействие ИБ/СБ с ИТ-командой Без коммуникации между ИТ и ИБ, выстроен- ной и поддерживаемой в профессиональном русле взаимного уважения, нельзя рассчиты- вать на полностью эффективную работу самой современной и надежной системы безопасно- сти. Равно как и найденные в рамках тестиро- вания на проникновения и анализа защищен- ности уязвимости продолжают оставаться кри- тичными точками компрометации бизнес-про- цессов без их своевременного закрытия/устра- нения, что в большинстве компаний реализу- ется руками ИТ-администраторов. Поэтому вместо того, чтобы искать крайних и виноватых в конкретном кейсе, намного важнее в стратегическом смысле суметь организовать совместную работу ИТ и ИБ так, чтобы у руко- водства и представителей бизнеса не было повода искать этих самых крайних. К сожале- нию, во многих российских компаниях ИБ (как неотделимая часть службы безопасности, как часто говорят коллеги, так сложилось историче- ски) предпочитает конструктивному сосуще- ствованию с ИТ-подразделениями (и их под- рядчиками и сателлитами) непрерывно культи- вируемый конфликт интересов, ссылаясь на непримиримость во мнениях. А как же тогда в других не менее крупных компаниях у коллег из ИТ и ИБ все же получается находить общие точки? Значит, они есть и всего лишь нужно потратить свой ресурс на поиск этих решений! 10. О метриках информационной безопасности Процент исполнения бюджета в отчетный период, количество успешно закрытых про- ектов, такие показатели, как KPI/SLA, – это не метрики реальной информационной безопас- ности. Они не могут гарантировать руководству компании минимизацию последствий от кри- тичных ИБ-инцидентов, умение и готовность ИБ-команды успешно отразить современные кибератаки, наличие необходимых профессио- нальных компетенций у экспертов и руководи- телей, регулярное устранение уязвимостей или соответствие реальных (действующих) настроек прикладных автоматизированных систем ранее заявленным. Если для смежных с ИБ подразде- лений (проектного офиса, клиентских продаж, маркетинга) подход к установке KPI себя оправ- дывает, для внутреннего сервисного блока (хозяйственного обеспечения, транспорта, логистики и пр.) подход с отслеживанием соблюдения SLA также может быть оправдан, то наложение аналогичных метрик на ИБ не даст ровным счетом ничего, кроме введения руко- водства в заблуждение о "близком к 100%" ста- тусе исполнения и "высоком" качестве обеспече- ния в компании кибербезопасности и защиты информации. Подобные прозападные управленческие инструменты целесообразно до применения пересматривать и адаптировать под ИБ-направ- ление. И следующий логически вытекающий из этой мысли вопрос: что тогда может заменить те самые неэффективные/непоказательные метрики в случае с ИБ-подразделением?.. Вместо выводов Все написанные выше мысли – это рассуждения и гипотезы одного-единственного ИБ-руково- дителя, независимого эксперта по практической информационной безопасности в финтехе. Мысли навеяны ежедневным на протяжении уже месяца прочтением новостей, сводок, отче- тов и однозначных выводов уважаемых право- охранителей, отдельных ИБ-экспертов, журна- листов и лиц, называющих себя непосредствен- ными участниками (с разных сторон) описывае- мых событий. Цель подготовки данного материала была сформулирована мною так: еще раз обратить внимание коллег из ИБ-сообщества на важные практически аспекты обеспечения информа- ционной безопасности в организации, в отно- шении который злоумышленники планируют или уже реализовывают комплексные кибера- таки. Мысли не охватывают всего спектра акту- альных проблем, не учитывают отраслевую спе- цифику, но содержат набор векторов и наводя- щие вопросы. Адекватные и четкие ответы на эти вопросы, а также реализованные по резуль- татам внутреннего обсуждения ИБ-мероприя- тия в компании позволят затруднить для зло- умышленников стандартные (имевшие место ранее) сценарии реализации целевых кибера- так на выбранную российскую компанию. Оставайтесь в безопасности! n Citytelecom и Datahouse 11 августа оператор связи Citytelecom и сеть дата-центров Datahouse (входят в ГК ФИЛАНКО) подверглись скоординированной хакерской атаке, направленной на ядро сетевой инфраструк- туры компаний. Citytelecom сообщил об этом на своем официальном сайте 12 августа. Атака началась в ночь на 11 августа, ориентировочно в 01:00 по московскому времени. Дежур- ные службы Citytelecom автоматически зафиксировали сбой в работе сети, инженеры опера- тивно приступили к диагностике. В результате кибератаки была повреждена конфигурация глав- ного магистрального маршрутизатора сети передачи данных. Для выяснения причин команда действовала поэтапно, проверяя каждый сегмент сети. По мере восстановления контроля была выявлена сохранность ключевых данных и критически важных серверов. Первичный анализ характера атаки исключил использование DDoS-технологий. Благодаря слаженной работе профильных подразделений, повышенному вниманию к системам кибербезопасности и регулярному совершенствованию защиты инфраструктуры большинство сервисов было восстановлено уже к вечеру. "Инженерные ИТ-подразделения любой компании постоянно готовятся к возможным атакам, совершенствуя свои системы защиты. К сожалению, злоумышленникам иногда удается добиться сбоев в системах. Что касается произошедшего инцидента, тщательная предварительная под- готовка, наличие резервных копий, а также сегментированная система защиты позволила нашей команде оперативно локализовать проблему и восстановить большую часть инфраструктуры. Особую благодарность хотим выразить коллегам из отраслевого сообщества, которые предло- жили свою помощь и экспертизу для ликвидации последствий хакерского воздействия", – заявил Алексей Солдатов, генеральный директор ГК ФИЛАНКО. Кибератака не затронула инфраструктуру ЦОД. Компания подтвердила, что данные клиентов, хранящиеся в ЦОД, находятся в безопасности и не попали к третьим лицам. Источник: www.citytelecom.ru Ваше мнение и вопросы по статье направляйте на ss @groteck.ru