Хакеры перешли на сервисную модель в организации атак: одни группировки пишут вредоносы, другие обналичивают деньги, поскольку именно сервисная модель позволяет обеспечить оптимальное соотношение цена-качество. Для потенциальных мишеней атак сервисная модель является также оптимальной, так как она представляет собой идеальное соотношение цена-качество. О том, как компании могут противостоять злоумышленникам, “Ъ” рассказал вице-президент ПАО «Ростелеком» по информационной безопасности Игорь Ляпунов.
Генеральный директор «Ростелеком-Solar» и вице-президент Ростелекома по информационной безопастности Игорь Ляпунов
Фото: Петр Кассин, Коммерсантъ
— ЦБ, комментируя хищения средств у банков, часто отмечает крайне низкий уровень информационной безопасности в атакованной организации. Создается впечатление, что с информбезопасностью в банках совсем плохо.
— Это не так. Крупных выводов средств из банков становится все меньше благодаря усилиям ЦБ и всего финансового сегмента. При этом есть серьезная проблема — стоимость безопасности и ее доступность для небольших игроков. Например, у банков ниже топ-150 нет бюджета на покупку средств защиты и возможности нанимать хороших специалистов, их цель — выжить.
— Как обстоят дела в других отраслях?
— Мы видим рост атак на сегмент электронной коммерции, ритейлеров. Кроме того, появляются политически мотивированные группировки, цель которых не монетизация, а получение контроля над атакованной инфраструктурой. Сейчас в России есть термин «критическая информационная инфраструктура», и атаки на нее — это атаки совершенно другого профиля.
— Чем они отличаются от традиционных атак на банки или тот же ритейл?
— При атаке на банк сначала идет долгий процесс изучения потенциальной жертвы, далее достаточно быстро преодолевается периметр, после, уже почти не прячась, злоумышленник движется туда, откуда можно вывести деньги. При атаках с целью получения контроля мы сталкиваемся с другим подходом. Это медленные атаки, развивающиеся в течение многих месяцев, при этом на каждом шаге атакующий очень аккуратно подчищает следы.
— Для чего злоумышленнику такая осторожность?
— Потому что его главная задача — не быть скомпрометированным, обнаруженным в этой структуре. Тут идут в ход хорошо написанные бесфайловые вирусы, используются зловреды, способные определять, является ли окружение реальной инфраструктурой или «песочницей», созданной для наблюдения за их возможностями. Разработка подобного вредоносного ПО требует высокой квалификации. Когда мы в лаборатории исследуем подобный зловред, то по тому, как он написан, насколько технически, функционально оснащен, можем понять, сколько денег было потрачено на его разработку. Иногда над созданием такого ПО может работать команда и до 100 человек. И отсюда можно делать выводы, кто готов инвестировать в атаку такие деньги.
— И много сейчас атак с целью получения контроля?
— Если в процентном отношении — очень небольшая часть. Однако угроза атак на критическую инфраструктуру очень ощутима с точки зрения национальной безопасности. Обычно при таких атаках используется вредоносное ПО, специально написанное под конкретную организацию, и стандартные средства защиты от него не спасут. К счастью, во многих организациях это понимают. Сейчас около трети клиентов Solar JSOC — это объекты критической информационной инфраструктуры: энергетика, жизнеобеспечение, системы государственного управления.
— Однако подключение к Solar JSOC — недешевое удовольствие, которое небольшие компании себе позволить не могут.
— Да, это так, и для них мы создали единую платформу сервисов кибербезопасности. Концепция, с которой «Ростелеком-Solar» идет на рынок, как раз в том, чтобы сделать технологии безопасности существенно более доступными — как по цене, так и по модели потребления.
— А в чем преимущество сервисной модели перед выстраиванием защиты собственными силами?
— В первую очередь преимущество в скорости получения технологии. Сейчас, чтобы самостоятельно построить защиту, необходимо потратить четыре-шесть месяцев. Мы же можем сократить эти сроки до нескольких дней.
— Сразу предлагая готовый сервис?
— Да, за счет возможностей «Ростелекома». Вместе с каналом «Ростелекома» мы можем представлять технологии защиты на основании нашей единой платформы кибербезопасности — защиту от сетевых атак, обеспечение безопасности электронной почты и веб-приложений.
— Каков примерный порядок стоимости подключения к платформе?
— Для небольшой компании или банка мы можем собрать в сервисной модели пакет необходимых средств защиты за сумму порядка 100–200 тыс. руб. в месяц, который обеспечит адекватный уровень защиты. И на дистанции три-четыре года, если суммировать все сервисные платежи, клиенту будет дешевле оплачивать услугу, чем самостоятельно покупать средства защиты и постоянно оплачивать техподдержку. Кроме того, понятное преимущество заказчика состоит в том, что он может собрать необходимую именно ему защиту как из конструктора и платить только за тот объем сервисов, который реально потребляет.
— Создание подобной платформы потребовало серьезных инвестиций. Сколько было потрачено и за какой срок планируете выйти на окупаемость?
— Более 1 млрд руб.— это прямые и косвенные инвестиции в создание платформы в течение полутора лет. Обычный срок окупаемости проектов у нас три года.
— Сколько клиентов необходимо привлечь, чтобы выйти на прибыльность проекта?
— Текущая емкость платформы — 1 тыс. точек подключения, и думаю, что на эту цифру мы выйдем уже в 2019 году.
— Есть ли у вас конкуренты, которые предлагают аналогичные сервисы?
— У нас нет конкурентов, и это проблема.
— Проблема в отсутствии конкуренции? Так не бывает.
— Бывает. Когда мы запускали в 2013 году Solar JSOC, у нас не было конкурентов. Дело в том, что заказчик любит выбирать, а когда мы одни на рынке, он лишен этой возможности и начинает сомневаться. Когда в 2016 году появились конкурирующие SOC, нам стало гораздо проще. Вместе с другими сервис-провайдерами мы воспитываем рынок и даем заказчику возможность выбора. В случае с ЕПСК мы сейчас бьемся не за то, чтобы кого-то обогнать, а за то, чтобы люди поняли, что защищаться от киберугроз необходимо и что для многих сервисная модель — это практически единственный способ обеспечить безопасность.
— Вы говорите об этом так уверенно…
— Мы прошли этот путь в 2013 году с Solar JSOC, когда кибербезопасность воспринималась как очень закрытый, внутренний процесс, который нельзя отдавать на аутсорсинг. Однако прошло два года, хакеры начали массово взламывать банки, потребовался мониторинг 24/7, который никто не мог обеспечить собственными силами, и стала очевидна необходимость в SOC.
— Часто слышу от банков: можно построить высокий забор из информбезопасности, но достаточно одному невнимательному сотруднику открыть фишинговое письмо от хакеров…
— Да, около 70% всех сложных атак осуществляется через социальный вектор, через фишинг.
— Что же делать? В теории правила безопасности знают все, а на практике…
— Единственный вариант — программы повышения осведомленности, которые обязательно должны включать тестирование, проверку того, насколько хорошо сотрудники умеют выявлять фишинг. Тестирование показывает: как бы сотрудников ни обучали, на практике 80% открывают письмо, похожее на внутреннюю рассылку компании, даже если ссылки в нем явно ведут на внешние ресурсы. Повторное тестирование обычно показывает, что фишинг выявила уже бОльшая часть сотрудников.
— Работа в сервисной модели требует высококвалифицированных специалистов, которые на рынке в большом дефиците.
— Да, и сейчас это главное поле конкуренции: мы конкурируем с игроками рынка не за заказчиков, а за людей.
— И как вы решаете кадровую проблему? Переманиваете специалистов у конкурентов?
— Нет, сейчас мы вкладываемся в программы взаимодействия с вузами. У Solar JSOC есть подразделения не только в Москве, но и в Нижнем Новгороде, Самаре, Хабаровске, в этом году планируется открытие офиса в Ростове-на-Дону. Мы ориентируемся на города, где есть вузы с сильными IT-кафедрами. Начиная с четвертого-пятого курса берем студентов на стажировку — примерно 50–60 человек в городе раз в полгода. Из них десять человек получают предложение о работе.
— Но бывшие выпускники же еще совсем зеленые.
— Бывших выпускников мы сажаем на первую линию, через 9–12 месяцев переводим на вторую и так далее. В итоге за несколько лет мы получаем действительно хорошего специалиста.
— А то, что вы читаете лекции в лагере «Сириус», в школах,— это тоже своего рода инвестиция в будущие кадры?
— Скорее отражение нашей социальной функции, так как из 12-летних школьников лишь через семь-десять лет вырастут кадры для рынка. Прежде всего это возможность выявить талантливых детей и помочь им в развитии способностей. Мы стремимся создавать кадровый ресурс не только для себя, но и для отрасли в целом. Кибербезопасность уже стала необходимым условием для уверенного развития страны, и талантливые ребята — это наше будущее.