Трубная Металлургическая Компания (ТМК) в партнерстве с компанией «Ростелеком-Солар» реализует масштабный проект по созданию корпоративного центра мониторинга и реагирования на кибератаки Security Operations Center (SOC).
Он будет отслеживать угрозы безопасности и предотвращать атаки на инфраструктуру всех ключевых предприятий и информационных систем ТМК.
Работа SOC в ТМК будет строиться по гибридной модели. ТМК обеспечивает аппаратные мощности, организует сбор данных о состоянии офисной и производственной IT-инфраструктуры, определяет приоритеты для мониторинга и реагирует на инциденты. В свою очередь, сотрудники Solar JSOC компании «Ростелеком-Солар» отслеживают события информационной безопасности, определяют их критичность, анализируют причины и возможные последствия, оповещают компанию об инцидентах и предлагают свои решения.
К центру мониторинга уже подключены несколько предприятий ТМК, исполнительный аппарат и центры обработки данных. Базовое подключение и запуск первой очереди уникальных и проверенных на практике отраслевых сценариев занял шесть недель. За это время была полностью обследована инфраструктура предприятий, подключены к мониторингу ключевые источники информации о событиях информационной безопасности, сценарии адаптированы к бизнес-процессам, принятым в организации.
Чтобы гарантировать ТМК самую актуальную и полную информацию о новых киберугрозах, собирающая такие данные платформа кибербезопасности Solar JSOC была интегрирована с аналогичной платформой, существующей в ТМК. Таким образом, сейчас компании осуществляют двусторонний обмен данными, что взаимно обогащает их базы индикаторов компрометации информационных систем и помогает выявлять атаки на самом раннем этапе.
«На сегодняшний день подавляющее большинство операционных бизнес-процессов компании автоматизированы и реализуются в IT-системах. Это существенно повышает требования к информационной безопасности, — сказал директор по информационным технологиям ТМК Дмитрий Якоб. — Мы должны предотвращать, выявлять и максимально эффективно реагировать на любые риски, где бы они ни возникали — от офисного компьютера до трубопрокатного стана. Поскольку готовых решений на рынке не существует, мы создали гибридную модель, чтобы объединить компетенции и опыт партнера по отражению киберугроз и нашу внутреннюю отраслевую экспертизу. Всего за полтора месяца мы запустили на базе Solar JSOC и наших IT-мощностей полноценный центр мониторинга и реагирования на кибератаки. Он уже следит за безопасностью IT-инфраструктуры трех крупнейших заводов, затем система будет охватывать и другие площадки компании. Мы также изучаем возможность масштабирования проекта, чтобы обеспечить кибербезопасность оборудования, подключенного к автоматизированной системе управления технологическим процессом (АСУ ТП)».
«Противодействие кибератакам является одним из наиболее актуальных вопросов для промышленности, и ТМК продемонстрировала не только глубокое понимание их значимости, но и готовность выступить в авангарде отрасли, используя у себя наиболее передовые методы защиты, — поясняет директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков. — По наблюдениям специалистов «Ростелеком-Солар», попытки компрометации промышленных инфраструктур чаще совершаются с целью длительного шпионажа, для чего злоумышленники стараются максимального глубоко закрепиться в инфраструктуре предприятия. Кроме того, такие атаки нередко направлены на то, чтобы спровоцировать деструктивные последствия от нарушения производственных процессов. При атаках на промышленные предприятия злоумышленники оперируют крайне сложным инструментарием, затрудняющим их выявление базовыми средствами защиты. Благодаря экспертизе команды ТМК и плотному взаимодействию со специалистами Solar JSOC проект стартовал в короткие сроки и быстро развивается, несмотря на значительный масштаб и специфику инфраструктуры ТМК».