«Без пилотирования мы ничего не внедряем. Это внутреннее табу»: информационная безопасность в «РусГидро»

Наш главный вызов — развеять миф о том, что ИБ-угрозы как микробы: не вижу, значит, их нет.

Мы всегда уделяли особое внимание обучению работников основам информационной безопасности. Помимо стандартных курсов, с помощью информационных рассылок и публикаций в корпоративной газете мы постоянно информируем работников обо всех изменениях в области ИБ, проводим ликбезы по отдельным вопросам, обучаем методам выявления фишинга и других компьютерных атак, показываем персоналу наглядные примеры. Если вы посетите наш офис, то увидите всевозможные ИБ-памятки: в холле, лифтах, где-то ставим ролл-апы.

Указанные меры, несомненно, дают положительный результат. У нас идет позитивный конструктивный диалог по вопросам ИБ со всеми подразделениями группы «РусГидро». Это редкость для многих крупных компаний.

Мы формируем хребет SOC

Как я уже сказал ранее, в целом подход к ИБ не изменился. Новые сервисы мы не внедряли, но стараемся расширять имеющиеся. Например, заметно ускорили развитие корпоративного SOC.

Также мы уделяем много внимания развитию DLP. Тема утечек — персональных данных и другой конфиденциальной информации — сейчас особенно актуальна для всех (вспомните примеры «Яндекс.Еды» и других атакованных компаний).

Особенных требований нет, за исключением круглосуточного режима работы. Но обстоятельство, что предприятия холдинга находятся практически во всех часовых поясах страны, мягко подталкивает нас к созданию распределенного SOС.
Плюсы такого решения очевидны: с одной стороны, мы реализуем отказоустойчивую распределенную схему функционирования SOC, с другой — создаем условия для работы специалистов в удобных временных рамках.

В настоящий момент над решением этой непростой задачи работают наши специалисты блока ИТ и представители производителей средств защиты, используемых в SOC.

Что касается аутсорсинга, то на начальном этапе формирования SOC мы привлекали подрядчика, у которого есть экспертиза и возможности для обучения наших сотрудников. На текущий момент стремимся развить внутреннюю экспертизу.

Программу импортозамещения в части ИБ мы начали давно и уже на 99% перешли на российские решения. Без пилотирования мы не внедряем ничего — это внутреннее табу. Поэтому с уверенностью могу сказать, что все отечественные ИБ-продукты, которые мы используем, находятся на достаточно высоком уровне и максимально нам подходят.

Некоторые вообще не требуют доработки — достаточно базовой настройки. И таких, кстати, большинство. Российское ПО прошло уровень «сырых продуктов» — в основном это достаточно хорошие коробочные решения. Доработки чаще всего касаются интерфейса, тюнинга процессов и интеграции с другими сервисами. Критических ситуаций, когда нужно было практически переписывать продукт, в нашей практике не было.

Здесь есть важный момент: «РусГидро» активно участвует в развитии российских ИБ-продуктов. Мы готовы предоставлять производителям мощности и пилотировать новые технологии, потому что заинтересованы в качественных решениях. Например, Positive Technologies разрабатывали на нашей базе PT ISIM. Можно сказать, «РусГидро» была площадкой для его тестирования. Причем мы не просто предоставляли мощности, а работали вместе. Когда наши специалисты видели недоработки в продукте, они делились данными с партнером. Таким образом мы вместе улучшали систему.

Российское ПО прошло уровень «сырых продуктов» — в основном это достаточно хорошие коробочные решения.

Введение двухфакторной аутентификации для доступа к корпоративным ресурсам. На первый взгляд, проект не кажется особенно сложным, но он требует участия практически всех сотрудников ИТ- и ИБ-подразделений: инфраструктурщиков, безопасников, разработчиков и т. д. Кроме того, в пилоте было задействовано подавляющее большинство наших сервисов. Проще говоря, все силы и средства. Интересно было прорабатывать вопросы интеграции системы с разными отечественными решениями.

Наверное, как и все ИБ-шники, в первую очередь я вижу в них угрозу. Используя Open Source, мы фактически выдаем злоумышленнику исходный код и существенно облегчаем ему жизнь.

На мой взгляд, решения с открытым кодом должны рассматриваться как промежуточный этап. Это база, с которой можно начинать развитие собственного продукта, но финальное решение не должно иметь с ней почти ничего общего.

Само собой, мы в одночасье не откажемся от общеизвестных библиотек, готовых модулей и т. д. В идеале нужно стремиться к созданию собственных репозиториев, в которых будут храниться эти решения. Пусть они тоже будут Open Source, но это будет наш Open Source, в который не могут внести изменения или закладки недружественные компании и государства.

Кейсы уже есть: например, в Санкт-Петербурге отказались работать электрозаправки, которые были собраны на Украине.

Как безопасник, исключать наличие закладки я не имею права. Риск уже подтвержден, это реальная проблема. Как с ней бороться? Единственный выход — требовать у вендоров, заходящих на российский рынок, исходный код и проверять его. Но на это, скорее всего, никто не пойдет.

Со своей стороны мы постоянно разрабатываем меры противодействия этой угрозе, проводим тестирование ПО, полностью изолируем отдельные критические участки.

Мы допускаем, что злоумышленник сможет тем или иным образом проникнуть в нашу инфраструктуру, но возможность развития атаки должны исключить.

Не стоит преувеличивать угрозу DDoS, потому что практически весь бизнес ушел за «прокладки», фильтрующие трафик.

Наиболее опасными и реализуемыми мне кажутся атаки, связанные с социальной инженерией (тот же фишинг, которого стало заметно больше). Нельзя, опять же, списывать со счетов угрозу закладок в зарубежном и Open Source ПО.

Учитывая общий рост количества атак, сейчас особенно важно развивать направление SOC. Мы допускаем, что злоумышленник сможет тем или иным образом проникнуть в нашу инфраструктуру, но возможность развития атаки должны исключить.

Нас она не коснулась. Фактов увольнения работников из-за эмиграции в «РусГидро» нет. В корпоративной ИБ нельзя работать удаленно, поэтому релокация не вяжется с самим пониманием информационной безопасности. Кроме того, наши ИБ-эксперты очень патриотичны.

Кадровый голод в ИБ был и остается. Само собой, сейчас вопрос стал острее: это обратная сторона решения Правительства РФ об обязательном создании ИБ-подразделений. Компании, где их не было, активно включились в борьбу за кадры.

Очень тяжело найти компетентного специалиста ИБ — в этой профессии знания можно получить только на практике. И чтобы стать настоящим гуру, надо пройти путь становления информационной безопасности в организации с нуля.

Все ключевые ИБ-эксперты давно известны, они общаются друг с другом и обмениваются информацией. Есть костяк — по большому счету он и составляет информационную безопасность нашей страны. Новые специалисты появляются, но нужно время, чтобы они набрались опыта, а нам нужно просто работать, обучать коллег и растить новую смену.

Все ключевые ИБ-эксперты давно известны, они общаются друг с другом и обмениваются информацией. Есть костяк — по большому счету он и составляет информационную безопасность нашей страны.

В рамках обеспечения технологической независимости и безопасности КИИ стоит ждать развития линейки отечественных продуктов, а также роста нагрузки на российских производителей. В целом настрой достаточно позитивный, регуляторы и Правительство РФ активно подключились к вопросу повышения уровня ИБ. Я думаю, что к концу года следует ожидать принятия Национальной программы развития информационной безопасности.

О проекте с "Инфосистемы Джет"

Дмитрий Балдин, «РусГидро»:
Мы давно работаем с «Инфосистемы Джет». К примеру, интегратор участвовал в разработке концепции информационной безопасности нашего холдинга. Сейчас ведем большой совместный проект по ИБ-аудиту подконтрольных «РусГидро» организаций.

Андрей Конин, «Инфосистемы Джет»:

Цель нашего нового проекта — комплексная оценка уровня информационной безопасности в подконтрольных организациях ПАО «РусГидро» и формирование плана развития направления. Среди ключевых особенностей — широкая географическая распределенность площадок: от Якутии до Чукотки. Я уверен, что этот проект откроет новую главу в истории сотрудничества наших компаний.