20
ЦИФРОВАЯ
ТРАНСФОРМАЦИЯ
Количество
угроз
информационной
безопасности
(
ИБ
)
продолжает
расти
,
что
заставляет
компании
любых
от
-
раслей
учитывать
этот
фактор
в
своей
модели
управления
рисками
.
Особенно
остро
эта
проблема
стоит
перед
про
-
мышленными
организациями
,
где
последствия
от
несанк
-
ционированных
вмешательств
в
работу
могут
принести
не
только
материальный
ущерб
из
-
за
простоя
производства
,
но
и
санкции
со
стороны
госорганов
.
О
принципах
выстра
-
ивания
комплексной
информационной
защиты
в
электро
-
энергетике
мы
поговорили
с
руководителем
направления
безопасности
КИИ
и
АСУ
ТП
в
К
2
Кибербезопасность
Егором
КУЛИКОВЫМ
.
Комплексная киберзащита —
единственный ответ на угрозы
—
Егор
,
расскажите
,
какие
главные
ИБ
-
вызовы
стоят
пе
-
ред
индустрией
электроэнерге
-
тики
сегодня
?
—
Основных
вызова
—
три
.
Первый
—
увеличение
кибер
-
угроз
.
Количество
атак
активно
растет
,
и
они
становятся
только
сложнее
.
Основные
виды
угроз
:
эксплуатация
уязвимостей
в
ин
-
фраструктуре
,
целевые
атаки
,
вре
-
доносное
и
шпионское
ПО
.
Коли
-
чество
запросов
на
наши
услуги
по
защите
АСУ
ТП
выросло
в
2,5
раза
.
Второй
—
кадровый
голод
.
Та
-
лантливых
и
опытных
специали
-
стов
не
хватает
везде
и
всегда
.
Но
особенно
это
ощущается
в
по
-
следние
несколько
лет
.
Третий
—
ужесточение
тре
-
бований
законодательства
.
Во
-
первых
,
по
ФЗ
№
187
для
ин
-
дустрии
электроэнергетики
как
субъекта
КИИ
и
так
действуют
особые
требования
по
информа
-
ционной
безопасности
.
С
самыми
разными
последствиями
за
их
не
-
выполнение
,
вплоть
до
уголовной
ответственности
для
должностных
лиц
.
Во
-
вторых
,
согласно
Указу
Президента
№
250,
все
субъекты
КИИ
обязаны
полностью
отказать
-
ся
от
всех
ИБ
-
услуг
и
продуктов
вендоров
из
«
недружественных
»
стран
,
включая
облачные
сер
-
висы
.
Согласно
нашим
опросам
рынка
,
больше
половины
(59%)
субъектов
КИИ
не
успеют
выпол
-
нить
это
требование
.
Среди
ос
-
новных
причин
:
все
еще
заметный
недостаток
отечественных
анало
-
гов
зарубежных
ИБ
-
решений
или
недостаток
доверия
к
существую
-
щим
аналогам
,
отсутствие
бюдже
-
та
и
других
ресурсов
для
осущест
-
вления
перехода
,
сжатые
сроки
и
неготовность
инфраструктуры
.
Таким
образом
,
мы
имеем
ре
-
альные
угрозы
для
бизнеса
и
жест
-
кие
сроки
по
переходу
с
зарубежных
решений
на
российские
.
Из
-
за
от
-
сутствия
специалистов
и
бюджета
компаниям
очень
трудно
оценить
и
сделать
выбор
в
пользу
решений
тех
или
иных
вендоров
,
а
затем
их
качественно
внедрить
и
настроить
,
подготовив
под
этот
процесс
свою
инфраструктуру
.
Да
и
разрознен
-
ных
СЗИ
уже
недостаточно
.
—
Какими
последствиями
это
грозит
индустрии
и
как
мож
-
но
их
избежать
?
—
Наиболее
частое
послед
-
ствие
ИБ
-
инцидентов
в
любой
промышленности
—
простои
в
ра
-
боте
предприятия
.
Здесь
могут
быть
большие
финансовые
и
ре
-
путационные
потери
.
Поэтому
рынок
сейчас
пере
-
страивается
и
смотрит
в
сторо
-
ну
более
комплексной
защиты
.
А
именно
— SOC (
Центры
мони
-
торинга
кибербезопасности
),
кото
-
рые
включают
в
себя
три
базовых
элемента
:
регулярно
обновляемый
технологический
стек
,
професси
-
ональную
ИБ
-
команду
и
налажен
-
ные
процессы
по
выявлению
инци
-
дентов
и
реагированию
на
них
.
По
разным
оценкам
в
прошлом
году
доля
рынка
SOC
в
России
выросла
на
50–60%.
Согласно
нашим
опросам
этого
года
,
почти
половина
(43%)
организаций
уже
используют
или
планируют
вне
-
дрить
Центр
мониторинга
кибер
-
безопасности
.
—
Но
далеко
не
все
могут
позволить
себе
собственный
SOC.
Насколько
это
сложный
процесс
и
сколько
времени
за
-
нимает
внедрение
?
—
Собственные
SOC —
это
действительно
дорогостоящее
решение
,
требующее
постоян
-
ного
внимания
и
развития
.
Его
нельзя
построить
,
единоразово
внедрив
технологические
реше
-
ния
,
например
SIEM
и
IRP.
Нуж
-
ны
большие
затраты
на
регуляр
-
ное
обновление
оборудования
и
ПО
,
а
также
на
высококвали
-
фицированный
персонал
.
К
тому
же
внедрение
новых
СЗИ
всегда
несет
риски
остановки
приклад
-
ного
оборудования
и
ПО
,
что
особенно
критично
для
промыш
-
ленности
.
Мы
же
предлагаем
более
про
-
стые
по
формату
альтернативы
—
SOC
по
моделям
MSSP
и
гибрид
.
MSSP-
модель
выбирают
ком
-
пании
,
стремящиеся
найти
гото
-
вое
решение
с
предсказуемым
бюджетом
и
получить
сервис
«
под
ключ
».
Этот
вариант
подходит
как
для
крупных
организаций
,
так
и
для
небольших
предприятий
,
не
имеющих
собственной
команды
или
достаточных
ресурсов
.
Эту
модель
выбирают
из
-
за
прогно
-
21
зируемых
операционных
расхо
-
дов
,
делегирования
провайдеру
рисков
,
связанных
с
управлением
оборудованием
,
отсутствия
не
-
обходимости
нанимать
/
обучать
команду
специалистов
,
гаран
-
тированного
уровня
обслужива
-
ния
и
т
.
д
.
Для
сравнения
,
создание
и
внедрение
собственного
SOC
занимает
от
1
года
,
а
по
MSSP-
модели
—
от
1
месяца
.
Гибридную
модель
выбирают
в
ситуациях
,
когда
внутренних
ресурсов
компании
недостаточно
для
полноценного
функциониро
-
вания
SOC,
но
есть
желание
со
-
хранить
определенный
уровень
контроля
.
Здесь
могут
быть
са
-
мые
разные
варианты
распре
-
деления
ответственности
между
заказчиком
и
интегратором
.
На
-
пример
,
гибрид
актуален
,
когда
уже
внедренная
SIEM-
система
не
справляется
с
задачами
пред
-
приятия
и
необходима
внешняя
экспертиза
для
повышения
ее
эф
-
фективности
.
—
Не
опасно
ли
субъектам
КИИ
в
принципе
использовать
ИБ
-
услуги
на
аутсорсе
?
—
В
SOC
по
моделям
MSSP
и
гибрид
управление
инциден
-
тами
информационной
безопас
-
ности
действительно
выходит
за
периметр
организации
.
Главная
опасность
здесь
—
это
ошибка
при
выборе
провайдера
.
Плохой
под
-
рядчик
может
не
просто
быть
не
-
достаточно
погружен
в
специ
фику
вашего
предприятия
,
но
и
повы
-
сить
риски
остановки
производ
-
ства
из
-
за
ошибок
при
внедрении
.
Поэтому
при
выборе
нужно
обра
-
тить
внимание
на
наличие
у
интегра
-
тора
сертифицированной
команды
специалистов
с
опытом
работы
на
АСУ
ТП
и
лицензий
для
проведения
работ
на
объектах
КИИ
.
А
также
про
-
фильные
сертификаты
вендоров
.
Например
,
в
качестве
SIEM-
системы
нашего
SOC
мы
предлагаем
KUMA
от
«
Лаборатории
Касперского
».
Мы
получили
не
только
соответству
-
ющий
сертификат
,
но
и
статус
их
MSSP-
партнера
2024
года
.
При
этом
наличие
соответствую
-
щих
документов
—
это
базовое
тре
-
бование
.
Сегодня
по
-
настоящему
надежные
провайдеры
SOC
долж
-
ны
,
в
первую
очередь
,
обеспечить
клиенту
прозрачность
и
прогнози
-
руемость
своих
услуг
.
Компаниям
зачастую
трудно
разобраться
в
раз
-
ных
предложениях
и
форматах
.
Мы
как
раз
подробно
рассказываем
—
какие
услуги
и
для
чего
нужны
.
На
-
пример
,
у
нас
есть
базовый
пакет
с
возможностью
выбрать
дополни
-
тельные
опции
под
нужды
и
воз
-
можности
конкретного
бизнеса
.
Это
помогает
заказчикам
быть
уверен
-
ными
в
нашей
будущей
работе
,
а
также
в
бюджете
.
Стоимость
SOC
постоянно
растет
из
-
за
увеличения
стоимости
лицензий
,
заложенных
в
SIEM,
специалистов
,
поддерж
-
ки
инфраструктуры
,
обновлений
,
стандартной
инфляции
.
Наша
за
-
дача
как
провайдера
услуг
—
быть
не
просто
интегратором
,
а
полно
-
ценным
бизнес
-
партнером
.
Р
Беседовала
Елена
Заславская
О
КОМПАНИИ
К
2
Кибербезопасность
помогает
выстраивать
результативную
информационную
защиту
организациям
самых
разных
размеров
и
отраслей
,
в
частности
КИИ
и
АСУ
ТП
.
Команда
экспертов
компании
оказывает
широкий
спектр
услуг
от
проектирования
ИБ
-
систем
с
нуля
до
построения
передовых
концепций
киберзащиты
с
последующей
технической
поддерж
-
кой
решений
и
мониторингом
24/7.
Связаться
с
нами
№
6 (87) 2024
Оригинал статьи: Комплексная киберзащита — единственный ответ на угрозы
Количество угроз информационной безопасности (ИБ) продолжает расти, что заставляет компании любых отраслей учитывать этот фактор в своей модели управления рисками. Особенно остро эта проблема стоит перед промышленными организациями, где последствия от несанкционированных вмешательств в работу могут принести не только материальный ущерб из-за простоя производства, но и санкции со стороны госорганов. О принципах выстраивания комплексной информационной защиты в электроэнергетике мы поговорили с руководителем направления безопасности КИИ и АСУ ТП в К2 Кибербезопасность Егором КУЛИКОВЫМ.
— Егор, расскажите, какие главные ИБ-вызовы стоят перед индустрией электроэнергетики сегодня?
— Основных вызова — три.
Первый — увеличение киберугроз. Количество атак активно растет, и они становятся только сложнее. Основные виды угроз: эксплуатация уязвимостей в инфраструктуре, целевые атаки, вредоносное и шпионское ПО. Количество запросов на наши услуги по защите АСУ ТП выросло в 2,5 раза.
Второй — кадровый голод. Талантливых и опытных специалистов не хватает везде и всегда. Но особенно это ощущается в последние несколько лет.
Третий — ужесточение требований законодательства. Во-первых, по ФЗ № 187 для индустрии электроэнергетики как субъекта КИИ и так действуют особые требования по информационной безопасности. С самыми разными последствиями за их невыполнение, вплоть до уголовной ответственности для должностных лиц. Во-вторых, согласно Указу Президента № 250, все субъекты КИИ обязаны полностью отказаться от всех ИБ-услуг и продуктов вендоров из «недружественных» стран, включая облачные сервисы. Согласно нашим опросам рынка, больше половины (59%) субъектов КИИ не успеют выполнить это требование. Среди основных причин: все еще заметный недостаток отечественных аналогов зарубежных ИБ-решений или недостаток доверия к существующим аналогам, отсутствие бюджета и других ресурсов для осуществления перехода, сжатые сроки и неготовность инфраструктуры.
Таким образом, мы имеем реальные угрозы для бизнеса и жесткие сроки по переходу с зарубежных решений на российские. Из-за отсутствия специалистов и бюджета компаниям очень трудно оценить и сделать выбор в пользу решений тех или иных вендоров, а затем их качественно внедрить и настроить, подготовив под этот процесс свою инфраструктуру. Да и разрозненных СЗИ уже недостаточно.
— Какими последствиями это грозит индустрии и как можно их избежать?
— Наиболее частое последствие ИБ-инцидентов в любой промышленности — простои в работе предприятия. Здесь могут быть большие финансовые и репутационные потери.
Поэтому рынок сейчас перестраивается и смотрит в сторону более комплексной защиты. А именно — SOC (Центры мониторинга кибербезопасности), которые включают в себя три базовых элемента: регулярно обновляемый технологический стек, профессиональную ИБ-команду и налаженные процессы по выявлению инцидентов и реагированию на них.
По разным оценкам в прошлом году доля рынка SOC в России выросла на 50–60%. Согласно нашим опросам этого года, почти половина (43%) организаций уже используют или планируют внедрить Центр мониторинга кибербезопасности.
— Но далеко не все могут позволить себе собственный SOC. Насколько это сложный процесс и сколько времени занимает внедрение?
— Собственные SOC — это действительно дорогостоящее решение, требующее постоянного внимания и развития. Его нельзя построить, единоразово внедрив технологические решения, например SIEM и IRP. Нужны большие затраты на регулярное обновление оборудования и ПО, а также на высококвалифицированный персонал. К тому же внедрение новых СЗИ всегда несет риски остановки прикладного оборудования и ПО, что особенно критично для промышленности.
Мы же предлагаем более простые по формату альтернативы — SOC по моделям MSSP и гибрид.
MSSP-модель выбирают компании, стремящиеся найти готовое решение с предсказуемым бюджетом и получить сервис «под ключ». Этот вариант подходит как для крупных организаций, так и для небольших предприятий, не имеющих собственной команды или достаточных ресурсов. Эту модель выбирают из-за прогнозируемых операционных расходов, делегирования провайдеру рисков, связанных с управлением оборудованием, отсутствия необходимости нанимать/обучать команду специалистов, гарантированного уровня обслуживания и т.д.
Для сравнения, создание и внедрение собственного SOC занимает от 1 года, а по MSSPмодели — от 1 месяца.
Гибридную модель выбирают в ситуациях, когда внутренних ресурсов компании недостаточно для полноценного функционирования SOC, но есть желание сохранить определенный уровень контроля. Здесь могут быть самые разные варианты распределения ответственности между заказчиком и интегратором. Например, гибрид актуален, когда уже внедренная SIEM-система не справляется с задачами предприятия и необходима внешняя экспертиза для повышения ее эффективности.
— Не опасно ли субъектам КИИ в принципе использовать ИБ-услуги на аутсорсе?
— В SOC по моделям MSSP и гибрид управление инцидентами информационной безопасности действительно выходит за периметр организации. Главная опасность здесь — это ошибка при выборе провайдера. Плохой подрядчик может не просто быть недостаточно погружен в специфику вашего предприятия, но и повысить риски остановки производства из-за ошибок при внедрении.
Поэтому при выборе нужно обратить внимание на наличие у интегратора сертифицированной команды специалистов с опытом работы на АСУ ТП и лицензий для проведения работ на объектах КИИ. А также профильные сертификаты вендоров. Например, в качестве SIEM-системы нашего SOC мы предлагаем KUMA от «Лаборатории Касперского». Мы получили не только соответствующий сертификат, но и статус их MSSP-партнера 2024 года.
При этом наличие соответствующих документов — это базовое требование. Сегодня по-настоящему надежные провайдеры SOC должны, в первую очередь, обеспечить клиенту прозрачность и прогнозируемость своих услуг. Компаниям зачастую трудно разобраться в разных предложениях и форматах. Мы как раз подробно рассказываем — какие услуги и для чего нужны. Например, у нас есть базовый пакет с возможностью выбрать дополнительные опции под нужды и возможности конкретного бизнеса. Это помогает заказчикам быть уверенными в нашей будущей работе, а также в бюджете. Стоимость SOC постоянно растет из-за увеличения стоимости лицензий, заложенных в SIEM, специалистов, поддержки инфраструктуры, обновлений, стандартной инфляции. Наша задача как провайдера услуг — быть не просто интегратором, а полноценным бизнес-партнером. 
Беседовала Елена Заславская
