В новом качестве
Департамент информационной безопасности ПАО «Транснефть» как структурная единица был создан в компании только в июле текущего года на базе одноименного управления.
— Для нас это не просто повышение статуса и показатель того, насколько серьезно относится руководство к нашей работе, но и большая ответственность, — говорит директор департамента информационной безопасности ПАО «Транснефть» Михаил Наумов. — Это новые вызовы и новые задачи по совершенствованию, оптимизации и одновременному расширению нашей работы, которые нам предстоит решать уже в новом качестве. Зрелость компании с точки зрения информационной безопасности (ИБ) определятся тем, насколько вовлечены в этот процесс ее работники — от специалистов до руководителей. Мы много трудились над тем, чтобы утвердить в сознании работников «Транснефти»: информационная безопасность — это не просто наша прихоть, а жизненная необходимость, и преуспели в этом.
Развитие информационной безопасности шло поступательно все эти годы, и поэтому повышение статуса логично и оправданно. Отдел информационной безопасности, а затем и управление постоянно эволюционировали. Уже через год после образования подразделения в 2004 году была создана система криптографической защиты корпоративной компьютерной сети и сети видеотелефонной и видео-конференц-связи, а годом позже внедрена подсистема контроля конфиденциальной информации, передаваемой за пределы периметра ИБ. Разрабатывались регламенты и нормативные документы, закладывались основы информационной безопасности главных производственных процессов и технологического управления, все это в итоге вылилось в Политику информационной безопасности компании, утвержденную в 2010 году.
Глаза и уши
Одним из важнейших этапов развития системы информационной безопасности «Транснефти» стало создание в 2017 году Центра компьютерной безопасности (ЦКБ). Сегодня это глаза и уши департамента — без его инструментов в современной ситуации было бы сложно работать. Специалисты ЦКБ пристально следят за всем, что происходит в ИТ‑инфраструктуре компании.
ЦКБ собирает информацию со всех структурных подразделений компании, серверов, сетевого оборудования, операционных систем. Любое подозрительное событие сразу же фиксируется и запускается процесс анализа. С начала 2022 года ЦКБ перешел на круглосуточный режим работы.
— К сожалению, полностью отдать процесс информационной безопасности во власть автоматизированных программ нельзя, хакеры постоянно совершенствуются, и нужны квалифицированные специалисты, чтобы направлять программы в нужное русло, — говорит начальник Центра компьютерной безопасности ПАО «Транснефть» Алексей Четырев.
— Но автоматизация занимает большое место в нашей работе. В ИТ все процессы слишком быстрые, и у человека нет возможности моментально среагировать на инцидент, как это сделает специальная программа. У нас автоматизировано много направлений, причем есть программы, которые были разработаны непосредственно нашими сотрудниками. Сейчас они нам сильно упрощают жизнь.
Киберразведка в действии
Один из важнейших процессов, за который отвечает ЦКБ, — управление инцидентами. Программные средства анализируют события и решают считать их инцидентами или нет. Если это инцидент — программа акцентируется на нем, оценивает его критичность, масштаб и при необходимости ликвидирует. Если возможностей программы для определения и ликвидации угрозы недостаточно, моментально подается сигнал и подключаются специалисты.
В ЦКБ три линии реагирования. Все сигналы и задачи сначала попадают на первую линию, но если по уровню сложности инцидент превышает их возможности, то все передается на следующую — там уже подключаются специалисты с экспертным уровнем знаний. База инцидентов постоянно пополняется, и под каждый есть свой чек-лист с определенным набором действий, которые необходимо выполнить сотруднику в зависимости от его квалификации.
— Мы постоянно увеличиваем зону мониторинга, — говорит Алексей Четырев.
— Ведем работу по предупреждению и профилактике инцидентов, создаем новые правила, потому что каждый день у злоумышленников появляются новые техники, меняются подходы. С этого года мы стали активно развивать направление киберразведки — постоянно мониторим источники в сети на предмет новых угроз, ищем информацию о сливах баз данных, паролей, корпоративных персональных данных, о готовящихся атаках и угрозах. Это новое для нас направление, которое мы активно осваиваем и будем развивать. Также у нас есть отдел мониторинга защищенности, одна из функций его специалистов — ставить себя на место злоумышленников и отыскивать уязвимости в нашей же системе. Если уязвимость обнаружена, то сразу начинается работа по ее устранению.
Не делай глупостей
Одна из насущных проблем — борьба с внутренними угрозами. Злоумышленники часто используют простой и дешевый способ проникновения в систему — фишинговые письма.
— Если сотрудник получил подозрительное письмо по почте, он должен сразу же сообщить в ЦКБ по номеру 2222 или написать нам на почту, — говорит Алексей Четырев. — Например, если это письмо будет открыто, и сотрудник перейдет по вредоносной ссылке, должны сработать установленные системы защиты, а мы уже начнем со своей стороны расследование: позвоним пользователю, уточним подробности, проведем соответствующую работу. Все подобные инциденты мы фиксируем и описываем, а затем составляем бюллетени с рекомендациями, которые регулярно рассылаем по ОСТ.
Важно доносить основные принципы информационной гигиены до работников компании. Пользователи должны сохранять осторожность при серфинге по интернету и не делать явных глупостей. Потому что утечки информации, взломы различных баз данных стали сегодня делом обычным.
— Нередко приходится сталкиваться с тем, что работник компании, регистрируется в личном кабинете какого-то онлайн ресурса, магазина и в качестве контакта оставляет адрес своей корпоративной почты, — рассказывает Алексей Четырев. — И если база этого ресурса попадет в сеть, то злоумышленник по адресу легко вычислит принадлежность к компании и уже будет работать через этого пользователя. Часто происходят утечки базы паролей, это тоже небезопасно — ведь наши люди любят ставить один пароль на все свои сервисы, в том числе на рабочие. Мы стараемся обучать наших работников, проводим постоянно учебно-тренировочные занятия. Сами выступаем в роли злоумышленников и рассылаем фишингивые письма. Если пользователь такое письмо откроет, конечно, ничего не произойдет, но мы уже будем видеть, где у нас слабое место, и станем в этом направлении работать.
Архитекторы обороны
Одно из структурных новшеств, связанных с преобразованием управления информационной безопасности в департамент, — появление отдела архитектуры, в который со значительным расширением компетенций и задач трансформировалась служба противодействия компьютерным атакам.
— Мы сохранили задачи, связанные с противодействием компьютерным атакам, и добавили функционал по созданию комплексной системы защиты, — говорит начальник отдела архитектуры департамента информационной безопасности ПАО «Транснефть» Денис Баданин. — То есть отвечаем за то, чтобы те отдельные механизмы защиты, которые внедряются в компании и ОСТ, были между собой взаимоувязаны и в целом давали эффективный результат. Архитектурная составляющая позволит плотнее работать с департаментом ИТ и цифрового развития и управлением АСУТП в части создания систем комплексной безопасности.
В последнее время появилась проблема, связанная с иностранными вендорами, которые поставляли компании ИТ‑продукты и программное обеспечение, а сегодня из-за сложившейся обстановки и санкционного давления на Россию покидают наш рынок.
— Эта проблема стала очень актуальна, именно с точки зрения информационной безопасности, — говорит Денис Баданин. — Ведь уходить вендоры могут по‑разному. Например, прекращают продавать лицензии и техническую поддержку. То есть у нас есть продукт, но мы не можем расширить его функционал и приобрести доработанный софт, не можем его поддерживать в актуальном состоянии, так как просто не имеем обновлений. Но есть вещи посерьезнее. Например, вендор, уходя, может попытаться снизить функционал своего продукта, чтобы пользователь не мог выполнять необходимые ему действия. Поэтому мы активно работаем над тем, чтобы заменить иностранное ПО отечественным или собственной разработки. И если, например, с антивирусными программами у нас проблем нет, так как есть отличные российские продукты, признанные во всем мире, то с другими продуктами сложнее. Но даже когда функциональность продукта не всегда отвечает нашим ожиданиям, мы работаем с производителями, разъясняем наши потребности.
Борьба с вредительством
Есть свои подводные камни и при использовании открытого программного обеспечения. Открытое ПО — это такой продукт, который участники сообщества специалистов могут дополнять, дорабатывать. Если искать аналогию, то это примерно, как Википедия, где пользователи продукта при желании могут править или дополнять опубликованные статьи.
— Сейчас есть такое понятие, как хактивизм, то есть активизм, но с уклоном в хакерство, — рассказывает Денис Баданин. — Это вредительство в силу политических или каких-то иных убеждений. И люди с убеждениями могут целенаправленно вшивать скрытые коды в открытое ПО. Это программы-закладки, которые будут задействованы в определенных условиях, например на территории России. В лучшем случае они активируют на экране какие-то политические лозунги, в худшем — вредоносные программы. Поэтому любое внешнее ПО, попадающее в компанию, тщательно тестируется.
Хакер-индустрия, и как с ней бороться
За последние годы риски, связанные с информационной безопасностью, возросли кратно. Чем больше и глубже ИТ‑инструменты проникают в нашу жизнь, тем больше степень риска, что они могут быть использованы не только во благо, но и во вред. Противостоять злоумышленникам все сложнее. Если раньше большинство хакеров были частниками или простыми любителями, то теперь это целая индустрия. За создание вредоносных программ и выполнение хакерских заказов платят большие деньги. Появилось множество преступных группировок причем с самими разными целями — криминальными, политическими, активистскими.
— В эту преступную отрасль стали вливаться очень большие деньги, — поясняет заместитель директора департамента информационной безопасности ПАО «Транснефть» Сергей Голяк. — Риски в ИТ резко увеличились, вырос и масштаб возможных последствий от их реализации. В такой ситуации департамент ИБ не может не развиваться, наши специалисты должны соответствовать всем новым вызовам, успевать за технологиями, подходами, тактиками и методами злоумышленников. Любое промедление, и мы будем отброшены назад. Поэтому мы постоянно мониторим рынок, интернет-пространство, смотрим, где что применяется, где что происходит. Формируем собственные базы данных, которые потом используем для борьбы с угрозами.
Укрепления в осаде
Объем работ, который проводит организация для построения защиты, значительно выше, чем тот объем работ, который нужен злоумышленнику, чтобы найти одну единственную уязвимость, чтобы проникнуть в систему.
— Аналогия — защита крепости, — приводит пример Денис Баданин. — Мы строим вокруг нашей инфраструктуры различные укрепления: забор, ров, колючую проволоку. Но при этом мы не можем сидеть в изоляции, нам нужна коммуникация с внешним миром. Также и у компании есть взаимодействие с внешней средой, с интернетом, отправка сообщений по электронной почте, работа с внешними ресурсами. Все это может использоваться и против нас, для проникновения. Поэтому построение системы защиты — это во многом предугадывание ходов потенциальных нарушителей. Мы строим модели ходов, понимаем, кто и какими средствами будет нас атаковать, и в зависимости от этого выстраиваем систему защиты.
Компетенция злоумышленников разная, основную массу атак все-таки проводят нарушители с низкой квалификацией, многие атаки проводятся автоматическими скриптами, которые запущены и работают на поиск ошибки. Например, в большой инфраструктуре что-то забыли закрыть, и автомат сразу находит уязвимость, сообщает о ней злоумышленнику, который уже может ее эксплуатировать. Высококвалифицированных нарушителей меньше, услуги их стоят гораздо дороже. Таких атак фиксируется меньше, но они намного опаснее, потому что именно профессионалы могут оперативно менять способы воздействия и успевать за ними непросто.
Появление любой новой ИТ‑технологии заставляет находить и применять новые способы защиты. Например, сейчас активно внедряется машинное обучение и искусственный интеллект, и компания их тоже использует, но дело в том, что такие технологии начинают применять и злоумышленники. Ведь если искусственный интеллект обучился на основе каких-то данных, то его можно и переучить, и он вместо пользы будет приносить вред. И когда появляется такая технология, которая раньше глобально не применялась, нужно не столько понять сами угрозы, сколько разобраться в принципе работы технологии. Это определенный вызов для работников как в сфере информационных технологий, так и кибербезопасности. Сотруднику приходится постоянно совершенствовать свои знания.
Сегодня информационная безопасность — неотъемлемая часть всех процессов, которые реализуются в компании в рамках цифровой трансформации. Одна из задач стратегии, которая перекликается с дальнейшим развитием ИБ, — централизация корпоративной ИТ‑инфраструктуры и интеграция всех предприятий компании в единое информационно-технологическое пространство.
— Мы стремимся к тому, чтобы все средства защиты были централизованы, чтобы они имели единую политику, — говорит Сергей Голяк. — Большая работа в этом направлении уже выполнена. Охват становится все шире, в контур централизованного обеспечения ИБ входят все новые общества. В перспективе вся система будет под единым контролем.