20, ноябрь 2019  —  Завершился первый день конференции SOC-Форума 2019 – одного из крупнейших событий в сфере информационной безопасности, организованного ФСБ России и ФСТЭК России и проходящего при поддержке Банка России. Генеральным партнером мероприятия выступила компания « Ростелеком-Солар » при организационной поддержке « Медиа группы Авангард ».

В этом году SOC-Форум посетило рекордное число участников – более 2500 человек, включая представителей регуляторов, лидирующих игроков рынка ИБ, государственных структур, кредитно-финансового сектора, операторов связи, ТЭК, промышленности.

Центральной темой пленарной дискуссии, давшей официальный старт SOC-Форуму, стала роль центров мониторинга в современной системе информационной безопасности РФ. Мнениями по этому вопросу обменялись Игорь Качалин (ФСБ России), Виталий Лютиков (ФСТЭК России), Артём Калашников (ФинЦЕРТ Банка России), Сергей Лебедь (ПАО Сбербанк) и Денис Бережной (Департамент информатизации и связи Краснодарского края). Регуляторы прокомментировали результаты анонимного опроса среди заказчиков о том, как изменилась отрасль за 5 лет. Усложнение атак, рост дефицита специалистов, принятие 187-ФЗ – все это, с одной стороны, помогло объяснить бизнесу важность информационной безопасности, с другой – поставило перед игроками рынка новые вызовы. Виталий Лютиков сообщил, что количество объектов КИИ за год увеличилось почти в 2 раза до 45410, база данных выросла до 23545 записей. Оценивая итоги 5 лет, Игорь Качалин рассказал, что с момента вступления в силу закона заключено 42 соглашения о взаимодействии с НКЦКИ, еще 192 организации запросили методические рекомендации и находятся в стадии принятия решения о создании центров мониторинга.

Игорь Ляпунов, вице-президент ПАО « Ростелеком » по информационной безопасности, генеральный директор « Ростелеком-Солар »:

« В отличие от того, что было раньше, законодательство в сфере безопасности КИИ и ГосСОПКА впервые предъявляет требования к организации процесса выявления, реагирования и расследования инцидентов, а не к наличию сертифицированных средств защиты. Это важный шаг, отражающий общее понимание рынка, что создание абсолютно неуязвимого периметра – это утопия, от которой пора отказаться. Ключевой задачей сегодня является раннее выявление и локализация кибератак с тем, чтобы принять необходимые меры противодействия до того, как злоумышленники нанесут ущерб организации ».

На более прикладном уровне эта тема получила развитие в рамках трека « Технологии SOC ». Директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков рассказал о том, как действия современных злоумышленников остаются незамеченными для средств защиты. Атакующая сторона непрерывно совершенствуется, мгновенно используя новые уязвимости, создавая сложные методы атак, среди которых вредоносное ПО, способное обходить антивирусы и песочницы, бесфайловое ПО, использование систем туннелирования при взаимодействии с C&C-серверами.

Владимир Бенгин, директор департамента поддержки продаж компании Positive Technologies, привел статистику, согласно которой среднее время незаметного присутствия злоумышленника в инфраструктуре составляет 206 дней, при этом в половине компаний сетевой периметр можно преодолеть за один шаг.

По мнению Вениамина Левцова, вице-президент по корпоративным продажам « Лаборатории Касперского », перед компаниями сегодня стоят такие вызовы, как необходимость в исследовании подозрительных активностей в инфраструктуре и использовании продвинутых технологий выявления атак при ограниченности ресурсов ИБ и недостатке специалистов узкого профиля. Все это приводит к росту популярности сервисной модели, которая в сложившихся условиях становится едва ли не единственным выходом.

И конечно, ожидаемо высокий интерес у посетителей SOC-Форума вызвала сессия с участием регуляторов « Требования 187-ФЗ и опыт их выполнения », которую вели Сергей Корелов (НКЦКИ ФСБ России) и Елена Торбенко (ФСТЭК России).

Елена Торбенко и Андрей Раевский (НКЦКИ ФСБ России) представили подробные доклады, разъясняющие вопросы нормативно-правового регулирование вопросов категорирования объектов критической информационной инфраструктуры (КИИ) и обмена информацией о компьютерных инцидентах, а также ответили на ряд практических вопросов из зала. Представители регуляторов сошлись во мнении, что сегодня одной из наиболее острых проблем как в коммерческом, так и в государственном секторе является недостаток взаимодействия между ИТ-, ИБ- и другими функциональными подразделениями. Андрей Раевский добавил, что до сих пор во многих организациях нет четкого понимания, того, какие у них есть информационные системы. Он также отметил, что в дополнение к Приказам ФСБ России №196, 281 и 282 в ближайшее время планируется создание национальных стандартов по процессам реагирования на компьютерные инциденты.

Вторая часть сессии была отведена докладам представителей российского государственного и коммерческого сектора, которые поделились практическим опытом категорирования и защиты объектов КИИ, а также подключения к ГосСОПКА, организации процессов выявления и реагирования на компьютерные инциденты и взаимодействия с НКЦКИ.

Дмитрий Хижкин (ПАО « Россети ») рассказал о ходе процесса категорирования объектов КИИ в организации. Из 6500 объектов 14 была присвоена первая категория. План ПАО « Россети » - до 2023 года привести все значимые объекты КИИ в соответствие с требованиями регуляторов. За 2018 год « Россети » отразили более 9 млн компьютерных атак, за 3 квартал 2019 года – более 4 млн. Ни одна из киберугроз на ПАО « Россети » не реализовалась.

Валерий Комаров (Департамент информационных технологий г.   Москвы) рассказал, как департамент реализовал процесс оповещения НКЦКИ об инцидентах информационной безопасности в соответствии с предписаниями регулятора, которые требуют предоставления информации в течение 24 часов. Однако он также отметил проблему дефицита квалицированных кадров, подчеркнув, что в регионах этот вопрос стоит особенно остро.