Руслан Косарим, ГК Angara: Периферийные вычисления и IIoT формируют новые риски информационной безопасности
Кибербезопасность развивается быстрыми темпами, в том числе благодаря тому, что хакеры и поставщики услуг и решений безопасности непрерывно соперничают. Эволюция современного киберпространства и стремительно меняющегося ландшафта киберугроз приводит к созданию следующих поколений технологий и инструментов. В интервью CNews Руслан Косарим, заместитель технического директора по развитию бизнеса группы компаний Angara, рассказал о последних тенденциях кибербезопасности в телекоммуникационной отрасли.
«Значительное внимание информационной безопасности»
CNews: Какие заметные изменения в 2021 году в области кибербезопасности вы бы отметили в телеком-сегменте?
Руслан Косарим: В 2021 году телеком-операторы уделяли значительное внимание информационной безопасности. Можно выделить несколько драйверов, активно стимулирующих рост уровня защиты от киберугроз в этой отрасли.
В первую очередь, в рамках выполнения требований ФЗ-187 «телекомы» перешли в активную стадию создания систем защиты объектов критической информационной инфраструктуры (КИИ). Это масштабные проекты, включающие различные решения и подходы к кибербезопасности, а также множество средств защиты информации.
Несмотря на высокий уровень зрелости ИБ-процессов у российских телеком-компаний, некоторые меры защиты объектов КИИ согласно ФЗ-187 требуют внедрения новых продуктов или значительной модернизации имеющихся. Кроме того, рост технологичности телекома требует переосмысления и переформатирования имеющихся подходов и процессов, повышения их качества, в том числе сокращения времени реагирования на инциденты информационной безопасности.
CNews: Как повлияла на телекоммуникационную отрасль пандемия?
Руслан Косарим: Как и в других отраслях, пандемия внесла заметный вклад, послужив катализатором ускорения цифровизации сервисов. Миграция услуг компаний из офлайна в сеть, особенно бизнеса B2C, привела к увеличению нагрузки на телекоммуникационную инфраструктуру. Нарастающий интерес к облачным сервисам также формировал новые требования к инфраструктуре операторов, и юта тенденция продолжится. Цифровизация приводит к смещению фокуса злоумышленников на платформы онлайн-услуг, при этом многие компании предпочитают решать на стороне оператора часть задач кибербезопасности, таких как, например, защита от DDoS-атак и эксплуатации уязвимостей веб-приложений.
«Внедрение IIoT дает весомое конкурентное преимущество на рынке»
CNews: Каковы ваши прогнозы на 2022 год? Какие новые технологии, на ваш взгляд, могут повысить конкурентоспособность телеком-оператора?
Руслан Косарим: Наша команда на своем опыте убедилась, насколько сильно изменились ландшафт ИТ-инфраструктуры телекоммуникационных компаний и их запросы в области кибербезопасности. Приведу несколько примеров.
Несмотря на то, что глобальный рынок интернета вещей пострадал из-за влияния пандемии, объем рынка IoT в России за 2021 год вырос более чем на 18%. Российские «телекомы» продолжают внедрять технологии промышленного интернета вещей (IIoT) для повышения качества предоставляемых услуг, и как следствие — приобретают весомое конкурентное преимущество на рынке.
Однако для получения ощутимого экономического превосходства стратегия операторов может меняться в направлении кастомизированных приложений IoT, включая смещение в сторону периферийных вычислений (edge computing). Разумеется, периферийные вычисления и применение IIoT формируют новые риски информационной безопасности и требуют внедрения актуальных подходов для их снижения.
CNews: Операторы активно развивают облачные сервисы. Как это меняет подходы к кибербезопасности?
Руслан Косарим: При миграции клиентских инфраструктур и приложений в облако происходит разделение ответственности за обеспечение кибербезопасности, которая отличатся для моделей IaaS, PaaS, SaaS. В случае SaaS провайдер обслуживает аппаратные платформы, системное и прикладное программное обеспечение. Клиент получает доступ к сервису, который полностью развернут в облаке у провайдера, и отвечает только за загружаемые данные.
В модели IaaS провайдер обслуживает только оборудование и гипервизор, оставляя возможность клиенту самому выбирать, с какой конфигурацией и с какими приложениями разворачивать серверы. Этот процесс включает и выбор средств защиты информации.
CNews: Как развитие аналитики больших данных сказывается на защите информации?
Руслан Косарим: Компании, которые первыми освоили это направление, сейчас во многом опережают конкурентов. Причем конкурентным преимуществом будет не только работа с большими данными, но и их защита.
Дело в том, что для качественной и быстрой обработки больших данных формируются так называемые озера данных, позволяющие аналитикам эффективно получать доступ к любой информации. Однако внедрение озера данных сопровождается рядом вопросов обеспечения безопасности: как классифицировать данные при передаче из OLTP-систем в ETL-сервисы, как контролировать доступ к компонентам фреймворков, каким образом разграничивать доступ аналитиков, BI-инженеров и др. Ситуация в среднем по отрасли благоприятная. Мы отмечаем устойчивый рост интереса компаний к организации защиты платформ данных.
CNews: Телекоммуникационные компании уделяют все больше внимания распределtнным вычислениям с локальными активами, что позволяет оптимизировать задержки и пропускную способность. В ежегодном отчете IDC говорится, что 80% вложений компаний в ближайшее время будут связаны с передовыми возможностями на периферии сети. Что означают периферийные вычисления с точки зрения обеспечения ИБ?
Руслан Косарим: Одни из ключевых преимуществ, которые «телекомы» получают при внедрении периферийных вычислений — повышение скорости обработки данных и сокращение времени принятия решений. Значительно уменьшается время реакции на обнаруженные аномалии и проблемы, связанные с контролируемыми IoT-устройствами процессами. Это происходит за счет отсутствия временных задержек на передачу данных, их дополнительную обработку и извлечение. Однако у периферийных вычислений есть и специфичные риски кибербезопасности.
В частности, инструменты периферийных вычислений значительно увеличивают поверхность атаки для злоумышленников. Вычислительные ресурсы располагаются вблизи источников данных, что существенно усложняет процессы так называемой физической защиты. Кроме того, устройства и ресурсы периферийных вычислений сложнее защищать от DDoS-атак. Для подобных устройств набирают популярность так называемые Sleep Deprivation Attack — атаки «лишения сна», не требующие больших мощностей. Атаки такого типа лишают устройства возможности переходить в спящий режим с низким энергопотреблением, что влияет на работу всей сети.
«Смещение интереса к внешней экспертизе»
CNews: Как телекому поддерживать экспертизу в актуальном состоянии при такой высокой динамике изменения технологий?
Руслан Косарим: Несмотря на высокий уровень зрелости внутренних процессов информационной безопасности во многих телеком-операторах, мы замечаем смещение интереса к внешней экспертизе. Потребностями бизнеса диктуется оперативная модернизация инфраструктуры и процессов. И, к сожалению, системам информационной безопасности зачастую отводится не самая приоритетная роль, так как они могут эти процессы замедлять.
В связи с этим, все больше компаний стали отдавать задачи информационной безопасности на аутсорсинг: набирают популярность сервисы информационной безопасности по подписке (Sec-as-a-Service), востребованы внешняя экспертиза и аналитика, такая как наш центр киберустойчивости Angara SOC (Security Operation Center). Поскольку мы умеем предугадывать тенденции, к моменту наступления пандемии мы уже предлагали весь спектр услуг по информационной безопасности, включая сервисы MSSP.
CNews: Насколько актуальна для российского телекома такая тенденция как организация и создание своего SOC? Какова его роль в построении систем противодействия целевым кибератакам?
Руслан Косарим: Наш опыт работы с российскими телеком-компаниями показывает, что у них достаточно высокий уровень зрелости процессов информационной безопасности. Учитывая сложности ИТ-ландшафта, состоящего из разнообразного оборудования и технологий, многие компании пошли по пути создания собственного или гибридного центра мониторинга и реагирования на инциденты кибербезопасности. Наличие разных технических платформ и сервисов, сложная геораспределенная инфраструктура, большое количество внешних интеграций — все это увеличивает вариативность целевых атак. Высокого качества защиты в таких условиях можно добиться только при активном мониторинге и наличии компетенций для быстрого и качественного реагирования на инциденты и события безопасности.
CNews: Как ожидается, руководители, которые культивируют в своих компаниях ответственность каждого сотрудника за понимание рисков информационной безопасности, смогут добиться наибольшего успеха. Как Вы считаете, насколько важна роль постоянного обучения, повышения осведомленности сотрудников в области ИБ?
Руслан Косарим: Как уже давно известно, ахиллесова пята любой системы безопасности — человеческий фактор. Однако сегодня эта проблема приобретает все более острый характер.
В связи с распространением облачных сервисов, гибридного формата работы и консолидации центров управления сервисами, неосмотрительность сотрудников может привести к серьезным репутационным и финансовым потерям. По этой причине вопрос осведомленности сотрудников о рисках информационной безопасности и кибергигиене выходит на первый план: компании выделяют бюджеты на платформы и внедряют инструменты повышения осведомленности, проводят киберучения и тестовые фишинговые атаки на персонал.
CNews: Какова роль регуляторов в вопросах защиты критических объектов и как правильно реализовать мероприятия по импортозамещению в телеком-секторе?
Руслан Косарим: Серьезное влияние на выстраивание взаимодействия в отрасли оказывают регуляторы, которые однозначно ориентированы на повышение безопасности критических информационных инфраструктур. Наш опыт построения комплексных систем защиты КИИ говорит о значительном росте интереса компаний к этому вопросу. Драйверами здесь выступают как улучшенное понимание рисков информационной безопасности, так и пристальное внимание со стороны государства. Но практика показывает, что в вопросах качественной реализации мероприятий по обеспечению защиты КИИ лучше обращаться к экспертам рынка.
Достаточно большое количество задач по применению мер обеспечения кибербезопасности может оказаться непосильной ношей для операторов с ограниченными человеческими ресурсами. Также остро сегодня стоит вопрос импортозамещения, в том числе касающийся средств защиты информации. К счастью, российский рынок уже реагирует на потребности предприятий и постепенно наполняется всеми необходимыми продуктами и решениями, которые позволят качественно и эффективно реализовывать меры по защите критических инфраструктур.