19.08.2021
Какова специфика вызовов и сложностей при обеспечении информационной безопасности лесопромышленного комплекса? Тезисы от ИБ-директора одного из лидеров отрасли.
Интервью директора по информационной безопасности Segezha Group Максима Королева порталу CNews раскрывает ряд любопытных экспертных нюансов о том, как устроена защита одного из крупнейших отечественных вертикально интегрированных лесопромышленных холдингов. Для публикации мы отобрали и проанализировали ключевые тезисы беседы.
Прежде всего она исходит из значительной удаленности подлежащих защите объектов. Часть информационных ресурсов холдинга эксплуатируется непосредственно на лесных участках с отсутствием связи. И поэтому для их защиты в ежедневном и круглосуточном режимах требуется реализация дополнительных технологий. Как пример, проект по автоматизации рабочих мест водителей спецтранспорта, задействованного непосредственно на пилке леса и его вывоза на делянку. Водителям таких автомобилей выдаются планшеты для учета различных показателей и режима работы. Это оборудование нуждается в киберзащите. При обеспечении безопасности конечных точек не всегда быстро удается централизовать распространение EDR-систем и ввести конечные устройства в домен. Так, например, сложность заключается в том, что по причине негарантированности канала связи точка может просто не включиться. И поэтому в каждом из регионов присутствия предполагается наличие ИБ-специалиста, способного физически оказаться на любом из участков своей подотчетной территории.
Однако у медали есть и другая сторона. По понятным причинам предприятия леспрома на порядок менее подвержены целенаправленным атакам, чем, наприер, организации финансового сектора.
В составе Segezha Group находятся нуждающиеся в защите производственные единицы, обеспечивающие полный цикл заготовки и глубокой переработки древесины. Они рассредоточены по России и в десяти зарубежных государствах. Европейский кластер этих предприятий живет в рамках, отличных от российских законодательных требований GDPR, регулирующих защиту персональных данных в Евросоюзе. Также на особенности обеспечения ИБ в Segezha Group существенно влияет ее выход на IPO. Это обстоятельство увеличивает важность сохранения конфиденциальной информации, от которой напрямую зависят котировки акций и капитализация компании.
Также при большом количестве сделок слияния и поглощения холдинг получает «в наследство» от влившихся подразделений и их средства защиты. Таким багажом нужно разумно распорядиться, интегрировав в собственные ИБ-системы и распространив на новые предприятия ИБ-политику Segezha Group.
Стандартный список для каждого предприятия включает в себя три вещи:
– межсетевые экраны;
– антивирусную защиту;
– сканеры уязвимостей.
Среди специальных инструментов, помогающих оперативно реагировать на атаки, можно отметить:
– центры мониторинга инцидентов ИБ, производящие корреляцию событий безопасности и предупреждающие об аномалиях. В случае Segezha Group это SOC МТС;
– почтовые песочницы;
– EDR-системы.
В 90% случаев сигналов от EDR-систем – это вредоносная активность, оставшаяся незаметной для антивирусных систем, которым не известно о наличии определенного вредоносного ПО, либо же программа не предназначена для причинения вреда, но используется злонамеренно.
Также важная составляющая – анализатор сетевого трафика на предмет вредоносной активности. В качестве кейса можно привести пример, когда инструмент помог нам найти пользователей, сделавших ответвление от сети в свои кабинеты. Они установили точку Wi-Fi и заходили в Интернет через свои устройства. При этом с одного из устройств была зафиксирована вирусная активность, потенциально способная нанести ущерб компании.
В целом же важен динамический подход к выбору ИБ-решений, так как невозможно внедрить какой-либо стандартный набор средств и «жить спокойно». Постоянный мониторинг рынка необходим. Так, к примеру, в холдинге присматриваются к новым решениям по автоматизации пентестов, где система в круглосуточном режиме ищет в инфраструктуре уязвимости, «эксплуатирует» их, добираясь до критичного ресурса, и уведомляет об обнаруженном векторе атаки ИБ-специалиста.
Компанией используется специальное платформенное решение, консолидирующее все показатели и информацию для управления информационной безопасностью, – R-Vision. Платформа является рабочим столом ИБ-специалиста и решает следующие задачи:
– консолидация информации о возникающих инцидентах ИБ;
– ведение базы активов: например, количества инсталляций Windows, в том числе версий, снятых с поддержки Microsoft, которые служат источником дополнительных рисков;
– согласование включения USB-портов;
– получение географической карты с пиками нерешенных инцидентов;
– проведение внутреннего аудита ИБ. Автоматизация этого процесса помогает видеть текущее состояние ИБ, дает понимание направлений для его улучшения;
– функция оцифровки оценки эффекта от обеспечения ИБ.
В дальнейших планах Segezha Group – автоматизация при помощи R-Vision не менее восьми рутинных процедур, в том числе связанных с управлением рисками, а также реализация сценариев реагирования на инциденты ИБ для координации по ним региональных команд реагирования. Центральный офис при этом будет выступать в качестве «второй линии» поддержки по вопросам ИБ, когда навыков специалистов на местах окажется недостаточно для решения задач.
Он критически важен, потому что достаточно провести полгода в информационном вакууме, чтобы перестать быть эффективным защитником компании. В обмене опытом по ИБ можно выделить два уровня:
– экспертиза от вендоров;
– общение с коллегами по цеху.
В рамках первой практики холдинг пользуется услугами выделенного консультанта от разработчика R-Vision. Он помогает с настройкой платформы, делится опытом применения решения в других компаниях, рекомендует порядок реализации сценариев ее использования. Другой значимый аспект – работа по настройке платформ, которые не используются на передовой линии обороны и представляют собой бэкенд-модули. Они относятся к классу важных, но не срочных.
В свою очередь, обмен опытом с коллегами – один из ключевых факторов успешной защиты. Холдинг входит в периметр АФК «Система», объединяющей несколько десятков крупных предприятий. И под руководством ее ИБ-специалистов регулярно проходят мероприятия по распространению важной информации и обмену опытом. Темами таких встреч становятся, например, результаты пилотных тестирований различных продуктов. Также в общий периметр входят специализированные компании NVision Group и Sitronics, предоставляющие услуги в области ИБ на внешнем рынке, которые делятся своими достижениями.
Ну и, конечно же, важен постоянный контакт с основными игроками рынка ИБ-индустрии в рамках отраслевых мероприятий.
При подготовке публикации использовались материалы CNews.