Информационная безопасность на новом уровне – тема года для российского телекома

На ситуацию с ИБ в отрасли действуют как внутренние, присущие непосредственно телекоммуникационному бизнесу, так и внешние факторы.

К внешним в первую очередь относится закон «О персональных данных» – операторы активно занимаются такими проектами. Специфика такова, что телекомы эксплуатируют, наверное, самые передовые ИТ-инфраструктуры, в составе которых работает дорогостоящее оборудование и критичные приложения, и при этом владеют огромной массой персональных данных. Строгое следование закону для них не только выливается в огромные инвестиции, но и грозит снижением производительности продуктивных сетей и приложений. Ошибки в проектировании систем защиты персональных данных могут стоить слишком дорого! Поэтому мы придерживаемся сбалансированного подхода, основные принципы которого – «не навредить» и «не тратить средства заказчиков только на формальное соответствие, а строить реально полезные системы».

Создаваемый по инициативе лидеров рынка отраслевой стандарт по защите персональных данных призван учесть специфику бизнеса телекомов, сформулировать понятные требования и облегчить прохождение проверок, которые пока имеют не очень предсказуемые результаты.

Основная «внутренняя» тенденция – обострение конкуренции. С целью удержать рынок и привлечь новых абонентов операторы не только стремятся повысить качество базовых услуг, но и работают над запуском дополнительных сервисов, в том числе в области ИБ. Это можно назвать темой 2010 года в телекоме.

Пока на рынке присутствуют только базовые услуги, реализация которых несколько разочаровывает. Если в комплекте с домашним интернетом продается клиентское антивирусное ПО, то говорить об услуге по большому счету нельзя, так как фактически это дистрибуция антивируса, обслуживание которого ложится на плечи абонента. Несколько операторов продают «родительский контроль», который в действительности позволяет ограничить пребывание в Интернете по времени суток, а доступ к недетским сайтам контролируется довольно примитивными методами, не дающими надежной гарантии качества. А ведь качество услуг – это основа бизнеса операторов!

Радует то, что серьезные операторы вместе с квалифицированными интеграторами и поставщиками разрабатывают более высокоуровневые услуги ИБ. Некоторые из них уже работают в тестовом режиме, так что скоро ожидается их массовый выход на рынок. Мы уже накопили большой опыт таких проектов и сейчас работаем над созданием допуслуг у нескольких операторов.

Домашним пользователям предлагается «Чистый интернет» (антивирус), но организованный на стороне оператора, который и гарантирует качество сервиса. Для построения услуги «Родительский контроль» применяются сложные многоуровневые средства определения контента, обеспечивающие высокую точность фильтрации.

Сервисы безопасности для корпоративных абонентов в большей степени подбираются под конкретного клиента. Помимо антивируса востребована, например, URL-фильтрация – контроль неделовых коммуникаций, позволяющий компании сэкономить на оплате канала и повысить работоспособность сотрудников.

Услуга, которая по нашим наблюдениям востребована, но на рынке почти не представлена – защита корпоративных абонентов от DDoS-атак. Многие компании (банки, например) в результате таких атак регулярно теряют деньги. Операторы же только задумываются о реализации такой услуги.

Мы сейчас начинаем работы у нескольких операторов, имеющих большую базу корпоративных абонентов. Услуга недешевая, но клиенты осознают, что ущерб от атаки обойдется на порядки дороже, поэтому прогноз по проникновению и доходности услуги – оптимистичный.

Еще ряд сервисов для корпорантов может «вырасти» из систем ИБ, эксплуатируемых операторами в своих сетях, при наличии достаточных мощностей – например, Security Operation Center (SOC) и DLP. Например, оператор может уведомлять абонента об атаке на его сеть или попытке передачи вовне критичных данных и предоставлять инструкции по реагированию. Операторы уже думают о выпуске целого пласта подобных услуг. Мы, как системный интегратор, видим большой потенциал в таких проектах.

В крупных компаниях, «напичканных» средствами защиты, нереально идти по пути простого их наращивания. Здесь остро стоит вопрос управления и контроля ИБ и оптимизации затрат на эти процессы.

В таких условиях необходимо построение процессов оперативного управления ИБ – мониторинга, управления инцидентами, уязвимостями, полномочиями, соответствиями и др. Реализовать их вручную в крупной компании невозможно, и основным средством автоматизации здесь является SOC – комплекс технических средств, который в совокупности с правильно выстроенными процессами, несмотря на свою высокую стоимость, позволит снизить затраты на управление безопасностью и поддержание ее требуемого уровня.

Еще один востребованный класс решений – Identity Management (IdM). Они актуальны в компаниях с большим количеством пользователей и систем, в которых пользователям назначаются полномочия (электронная почта, серверы корпоративных каталогов, серверы баз данных, HR-системы и т.д.). Построение IdM-системы – проект не из дешевых, но такая система позволяет не только навести порядок с полномочиями пользователей, что заметно повышает уровень безопасности компании, но и сэкономить за счет автоматизации ручного труда.

Среди главных задач крупных операторов – борьба с мошенничеством и потерей доходов.

Один из основных видов мошенничества, который невозможно побороть стандартными фрод-машинами, – нелегальная терминация трафика. Пилотные проекты, проведенные нами во всех регионах в 2009 г., показали, что в среднем треть трафика в России «приземляется» некорректно (от 8-10% в небольших райцентрах до 70% в мегаполисах). Потери крупного оператора достигают сотен миллионов рублей в год. С конца 2009 г. мы ведем коммерческие проекты в ряде операторов и можем похвастаться следующими результатами: только за один квартал прирост выручки зонового оператора составляет десятки миллионов рублей! Таким образом, за короткий период наши проекты окупаются в несколько раз.

Для сокращения потерь доходов из-за некорректной тарификации и других причин (а это 5-20% выручки оператора) используются системы гарантирования доходов (Revenue Assurance, RA). Они стоят недешево, и для их построения требуется серьезное обоснование. Поэтому сначала мы проводим RA-аудит и оценку потерь (сложная и трудоемкая работа, которую, по моим данным, в России сейчас может квалифицированно выполнить только наша компания), и лишь потом начинаем поэтапное внедрение системы, обеспечивающей в первую очередь защиту наиболее критичных для данного оператора зон риска. При таком подходе система RA, несмотря на высокую цену, способна окупиться в среднем в течение года. Это уже поняли многие мобильные операторы, и теперь дело за их коллегами из сектора фиксированной связи.

У мобильных операторов сейчас идет «волна» активностей по защите от смс-фрода: многие подверглись и продолжают подвергаться смс-атакам и терять деньги. Опять же, оптимальный по нашему опыту подход – начать с аудита: провести «срез трафика» и выявить, какие виды смс-фрода имеют место, и тогда решение по защите от него будет экономически оправданным и эффективным.

Сегодня, наверное, нет компаний, в которых не были бы внедрены элементы DLP. Ведь бывают случаи, когда утечки обходятся в сотни тысяч долларов! И телекомы – не исключение. В зависимости от зрелости DLP-функции у клиента наши проекты различаются: от внедрения базового функционала в течение 1 месяца до создания полномасштабной системы, включая построение процессов контроля утечек, в которые помимо подразделений ИБ вовлечены службы экономической безопасности, HR и другие.

В нашем арсенале DLP-продуктов 2-3 лучших, на наш взгляд, импортных средства и собственная разработка – «Дозор», недавно отметивший свое 10-летие и также обладающий мощным DLP-функционалом. Продукт позволяет контролировать содержимое сетевых ресурсов, сообщений электронной почты, социальных сетей, веб-почты, ICQ, создавать «цифровые отпечатки» с документов. Основные отличия «Дозора» – хорошее «понимание» русскоязычного контекста, высокая точность срабатывания, максимально широкий список контролируемых российских ресурсов и мощная система архивирования и поиска, позволяющая хранить переписку в течение требуемого времени и оперативно извлекать нужную информацию при разборе инцидентов.

Интервью опубликовано в журнале «ИКС», сентябрь 2010