Подписаться
Читать в телеграм
«Мы возвращаемся, но в параллельное русло»: информационная безопасность в «Русагро»
Дата публикации:
15.09.2022
Посетителей:
728
Просмотров:
699
Время просмотра:
2.3
Как «Русагро» готовится к таргетированным атакам?
Успевают ли ИБ-специалисты спать во время кризиса?
Какие вызовы встанут перед отраслью в ближайшие годы?
О компании
Название: Группа компаний «РУСАГРО»
Руководство компании: Максим Басов — Председатель Совета Директоров
Тимур Липатов — Генеральный директор
Отрасль: Агропромышленность
Год основания: 1995
Количество сотрудников: Более 19 тыс. человек
Сайт: www.rusagrogroup.ru
— Как изменилась реальность для ИБ-подразделений за последние месяцы?
События развивались стремительно: один за другим уходили вендоры, росло число атак со стороны политически мотивированных компьютерных хулиганов — «хактивистов». Нам пришлось срочно отложить плановые проекты и задачи и сосредоточиться на новых вызовах. ИТ- и ИБ-команды вместе оценивали возникающие риски и оперативно нивелировали их. Совещания в те дни проводились по четыре раза в сутки, зачастую поздно вечером.
— Изменилась ли ИБ-политика «Русагро»?
Мы отказались от проектов по обеспечению безопасности в зарубежных облаках и приостановили проработку проекта по управлению мобильными устройствами — BYOD. Где-то решили переориентироваться на отечественные продукты.
— Какие риски вышли на первый план? К чему вы были готовы, а к чему нет?
Основной риск — уход с рынка зарубежных производителей. Мы сразу предприняли меры, чтобы вендоры не смогли удаленно превратить средства защиты в «кирпичи». Затем разобрались, как сохранить эффективность внедренных решений на должном уровне, и по большей части нам это удалось. Практически все решения у нас on premise, и мы сохранили работоспособность.
Второй очевидный риск — рост активности хакеров и спамеров. К этому мы были готовы и тоже провели целый спектр работ: от донастройки средств защиты и правил выявления инцидентов в SIEM до проведения обучающих рассылок с реальными примерами из нашей практики. Единственное, что в конечном счете доставило некоторый дискомфорт, — атаки на корневые DNS-зоны ru.
— Какие зарубежные решения и сервисы вам пришлось заменить?
Все наши средства защиты выполняют свои функции в необходимом объеме и с нужной эффективностью. Небольшие вопросы остались только к одному классу решений, но мы уже пилотируем отечественный продукт, на который планируем перейти.
В целом, из истории с вендорами я сделал два вывода. Первый — ИБ-интуиция меня не подвела. Хорошо, что мы не пошли в облачные ИБ-решения и не стали размещать в зарубежных облаках критичные бизнес-сервисы. Второй вывод — доверие к зарубежным партнерам, к сожалению, подорвано безвозвратно.
— Российские производители могут полноценно заместить импортные ИБ-решения?
На мой взгляд, у отечественных производителей пока есть сложности с реализацией достойных решений в области UTM/NGFW. В остальных случаях (по крайней мере, представляющих для нас интерес) они могут в той или иной степени заменить зарубежных игроков. Примеры: SIEM, PAM, Антиспам и защита почты, WAF и др.
— Как вы оцениваете ситуацию с кибербезопасностью в «Русагро» прямо сейчас?
По данным Отдела мониторинга и реагирования на инциденты ИБ (наш внутренний SOC), число атак существенно выросло сразу после 24 февраля. В тот момент сильно возросло количество вредоносных рассылок (фишинг и спам), сканирований опубликованных вовне ресурсов и попыток эксплуатации уязвимостей. Высокий уровень угроз держался около месяца, а сейчас он немного выше среднего (превышение около 10% от уровня до 24 февраля).
— Есть мнение, что в ближайшее время мы увидим масштабные таргетированные атаки и кражи данных из российских компаний. Эти предположения оправданы? «Русагро» готова к таргетированным атакам?
Собственно, инциденты уже начались: на слуху кейсы Яндекс.Еды, Гемотеста и др. Опасность таргетированных угроз не следует преуменьшать, но и раздувать ее до масштабов апокалипсиса не нужно. «Русагро» готова к подобным атакам. Мы усилили SOC — удвоили персонал, доработали и оптимизировали правила и планы реагирования, провели их тестирование. Также реализовали ряд важных организационно-технических мероприятий, о которых я не буду говорить, чтобы не раскрывать все наши секреты.
— У вас вообще есть время спать на фоне последних событий?
Да, но мало. Злоумышленники не спят — они стучатся из разных часовых поясов, поэтому нам приходится круглосуточно отслеживать угрозы. Особенно достается команде Отдела мониторинга и реагирования на инциденты, которая держит первую линию обороны.
Злоумышленники не спят — они стучатся из разных часовых поясов, поэтому нам приходится круглосуточно отслеживать угрозы.
Мода на ИТ
— Что происходит с кадрами на рынке ИБ?
Качественные кадры всегда было сложно найти, а сейчас ситуация усугубилась. Тенденция появилась даже не в последние месяцы: пандемия спровоцировала московские компании нанимать людей дистанционно, без релокации, что повысило уровень зарплат в регионах. Наш Департамент по работе с персоналом держит руку на пульсе, и «Русагро» тоже стала активно нанимать дистанционных сотрудников. В моей команде есть несколько таких специалистов.
— Стоит ли в нынешних условиях расширять аутсорсинг?
Я не сторонник повального аутсорсинга и стараюсь формировать собственный штат. Но по некоторым задачам у нас есть партнеры, например, в рамках 3-й линии поддержки (возможно, до момента, пока мы не наберем нужные компетенции). Здесь остро стоит вопрос вашей уверенности в подрядчике, его сотрудниках и его собственной защищенности от киберугроз (не зря многие эксперты говорят о возросшем количестве «атак на цепочку поставщиков»).
— Как будет развиваться ИБ-отрасль в России в ближайшие годы? Какие вызовы перед ней встанут?
Пожалуй, основной вызов для ИБ — это проблемы в смежной ИТ-отрасли: необходимость выпускать эффективные процессоры и вычислительную технику внутри страны. Думаю, с рисками оттока программистов и безопасников за рубеж мы справимся. В России всегда были и есть толковые специалисты, мода на работу в ИТ позволит уже в ближайшее время получить молодых и активных выпускников вузов.
— Можно ли сказать, что на фоне последних событий значение ИБ для бизнеса «достигло критической массы»?
Пожалуй, да. О кибератаках теперь почти каждый день говорят в новостях, а не только на профильных конференциях, как было, скажем, 2–3 года назад. А Указ Президента № 250 однозначно подчеркнул важность отрасли и для системообразующих предприятий, и для страны в целом.
О кибератаках теперь почти каждый день говорят в новостях, а не только на профильных конференциях, как было, скажем, 2–3 года назад.
— Ваш прогноз: как и за счет чего отрасль справится с сегодняшними потрясениями?
В состоянии потрясения отрасль была в марте–апреле. Сейчас все начинает возвращаться пусть и не в привычное, но в параллельное русло. Надеюсь, оно будет еще более сильным и полноводным. ИБ-эксперты стали еще более востребованными, у них нет сомнений в своем профессиональном будущем. Интеграторы быстро переориентировались на российские решения и могут предложить соизмеримую замену продуктам ушедших вендоров. ИБ-разработчики в связи с уходом конкурентов вообще получили карт-бланш и серьезный потенциал для развития. Главное, чтобы они не начали пользоваться положением и взвинчивать цены (что, к сожалению, уже приходится наблюдать на примере нескольких вендоров).
Новые вызовы показали бизнесу важность ИБ — отрасль может (и должна) воспользоваться открывшимися возможностями.
