27-28 ноября 2018 года в Москве прошёл четвёртый SOC-Форум «Практика противодействия компьютерным атакам и построения центров мониторинга ИБ». Организаторами мероприятия выступили ФСБ России и ФСТЭК России.
О стремительном росте авторитета SOC-Форума свидетельствует число участников – 2 тысячи. Для сравнения, первый SOC-Форум посетили 400 человек.
В этом году в деловой программе были представлены два тематических направления. Первое объединило вопросы нормативного и методического обеспечения построения и эксплуатации Центров мониторинга ИБ (Security Operations Center), а второе — практические аспекты этой работы и, прежде всего, способы выявления компьютерных угроз и реагирования на них.
На пленарном заседании ведущий Игорь Ляпунов, вице-президент ПАО «Ростелеком» по информационной безопасности, генеральный директор компании «Ростелеком-Solar», отметил, что SOC-Форум «перешёл в сугубо практическую плоскость». Сегодня его миссия заключается, прежде всего, в том, чтобы свести вместе ИБ-специалистов и представителей регуляторов. Ведущий также обратил внимание, что в последнее время представители регуляторов, выдвигая и развивая совместные инициативы, значительно опережают по ряду вопросов отрасль в целом.
В программе SOC-Форума 2018 была выделена отдельная секция, на которой представители ФСБ и ФСТЭК вели активный диалог с участниками конференции. Всего со стороны регуляторов было представлено 9 докладов, посвященных юридическим и техническим вопросам взаимодействия с НКЦКИ, разъяснению задач и функций субъектов ГосСОПКА, а также практике категорирования объектов КИИ.
От организаторов мероприятия на пленарном заседании выступили заместитель начальника Центра ФСБ России Игорь Качалин и заместитель директора ФСТЭК России Виталий Лютиков.
Виталий Лютиков рассказал о нормативном регулировании согласно 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». В настоящее время активно ведётся инвентаризация и категорирование объектов, подпадающих под действие этого закона. Процедуру категорирования, отметил В.Лютиков, прошли 500 объектов, а на 25 тыс. объектов идут соответствующие работы. Возвращены и отправлены на доработку 600 документов. По оценке ФСТЭК, из 13 отраслей пока наиболее активны ТЭК, оборонно-промышленный комплекс и медицина, наименее — телеком и банки. В 2019 г. планируется завершить категорирование и перейти к следующему этапу — построению системы безопасности, чему посвящены приказы ФСТЭК N 236 и 239.
Игорь Качалин со своей стороны заявил, что ФСБ России как регулятор на данный момент сосредоточена на методической работе, а реальный контроль организации ощутят на себе в течение 3 лет. Однако в скором времени будут разработаны штрафные меры, которые будут применяться в отношении компаний, не спешащих заниматься защитой своей инфраструктуры во исполнение Федерального закона 187-ФЗ.
Первый заместитель директора Департамента информационной безопасности Банка России Артём Сычев рассказал о нормативном регулировании в кредитно-финансовой сфере, а также о работе структурного подразделения Департамента — Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ). По словам А.Сычева, в настоящий момент главная проблема банков с точки зрения ИБ — несанкционированные переводы со счетов юридических и физических лиц. В этой области количество атак неуклонно растёт. Однако прибыль кибермошенников, по оценкам регулятора, за последний период сократилась на 10%. Наибольшую опасность по-прежнему представляют такие угрозы, как фишинг и социальная инженерия. Борьба с ними требует серьёзных организационных мер и повышения осведомлённости сотрудников. Среди новых задач своего подразделения А.Сычев назвал обеспечение устойчивости работы финансовых учреждений, защиту потребителей и внедрение механизмов безопасности в новые продукты и сервисы.
Руководитель службы кибербезопасности ПАО «Сбербанк» Сергей Лебедь рассказал о месте ИБ в национальной программе «Цифровая экономика РФ». Программа призвана решить 500 наиболее актуальных задач, сгруппированных в 9 кластеров. Среди направлений работы — устранение «кадрового голода», отставания нормативной базы от развития технологий, борьба с кибербезграмотностью бизнеса и населения. Однако уже выделенные на реализацию программы деньги поступают в недостаточном объёме: например, из заложенных на реализацию программы 5,7 млрд руб. в действительности выделено лишь 363 млн руб., и до исполнителей эти средства пока не дошли. Тем не менее, меры принимаются — за счёт участников и заинтересованных государственных органов. Так Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) объявила о том, что к ней возможно подключение любых желающих, в том числе предприятий малого и среднего бизнеса. Ведутся работы по созданию платформы для борьбы с кибермошенниками с участием профильных подразделений МВД.
Заместитель генерального директора ГНИВЦ ФНС Александр Баранов обратил внимание на необходимость работы с обычными пользователями, на которых крайне сложно повлиять в плане соблюдения норм ИБ. Также он посетовал на недостаточное внимание российских ведомств к такой проблеме, как соблюдение норм GDPR, переданное в ведение органов 27 стран, с каждой из которых нужно вести переговоры.
В ходе двухдневной программы Форума большая часть практических докладов была посвящена отраслевой специфике SOCов: персоналу и процессам, обнаружению, реагированию и расследованиям инцидентов ИБ. Компании-создатели центров мониторинга, ведомства, ответственные за деятельность ГосСОПКА, и разработчики методических рекомендаций рассказали о стоящих перед ними задачах, поделились опытом их решения. Также эксперты-практики рассказали об особенностях построения SOCов и о практике реализации 187-ФЗ в финансовом секторе, на промышленных предприятиях, у операторов связи и на других важных объектах информационной инфраструктуры.
В заключение первого дня SOC-Форума перед участниками развернулся «Диалог с регулятором: Всё, что вы хотите знать про КИИ и ГосСОПКА и так и не спросили». На этой встрече специалисты-практики напрямую обратились к представителям ФСБ России, ФСТЭК России и Банка России и получили ответы на вопросы, оставшиеся за границами прозвучавших докладов.
Второй день конференции открыла пленарная дискуссия «ИТ vs ИБ, или как начать говорить на языке корпоративных ценностей». Ведущие представители ИТ- и ИБ-сообщества сопоставили свои позиции и мнения, обсуждая один из «вечных» вопросов: какова роль информационной безопасности в бизнесе организации? Во многих отраслях благодаря цифровизации эта тема становится определяющей для стратегии развития компании и часто критичной для самого бизнеса.
Помимо высококлассных практических выступлений, программа SOC-Форума 2018 предоставила участникам возможность пережить яркие впечатления и подлинный азарт. На «Штабных киберучениях» 6 команд в обстановке, приближенной к реальной, решали непростые кейсы и демонстрировали умение реагировать на сложные инциденты. Первое место по итогам киберучений заняла команда специалистов ПАО «Сбербанк».
Постоянный интерес участников SOC-Форума 2018 вызывала демонстрационная зона. На стендах ведущих российских и мировых компаний были представлены новейшие продукты для выявления инцидентов и мониторинга компьютерных атак. Уже традиционной особенностью демонстрационной зоны SOC-Форума стали стенды ФСБ России, ФСТЭК России и ФинЦЕРТ Банка России, неизменно привлекавшие внимание посетителей.
Как отметили участники SOC-Форума 2018, развитие цифровизации невозможно без укрепления информационной безопасности во всех отраслях экономики. В связи с этим ежегодное проведение форума отмечает важные вехи на пути совместного предотвращения киберугроз, объединения усилий всей отрасли для управления инцидентами и противодействия компьютерным преступникам. Использование SOC открывает перед компаниями финансового сектора, телекоммуникационной отрасли, а также промышленными предприятиями новые возможности для снижения компьютерных угроз и защиты информационных активов.