Компания UserGate получила статус класса «А» корпоративного центра ГосСОПКА. Теперь вендор будет не просто работать с клиентами, управляющими объектами критической информационной инфраструктуры (КИИ), но и оказывать им весь спектр услуг. Кроме того UserGate теперь имеет доступ к дополнительной обширной оперативной и ретроспективной информации о киберинцидентах, которой располагает ГосСОПКА.
Что такое ГосСОПКА
Как пояснили в компании, для UserGate было важным подтвердить компетенции специалистов, которые работают в их центре мониторинга и реагирования uFactor. Чтобы стать корпоративным центром государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), компания должна обладать необходимыми технологиями и продуктами, оснащенными встроенными процессами выявления кибератак. Это обеспечивает защиту объектов КИИ в соответствии с законодательством России.
По словам директора по развитию бизнеса UserGate Эльмана Бейбутова, участие в ГосСОПКА имеет ключевое значение и для самой организации, и для её клиентов. В частности, присутствие UserGate в списке корпоративного центра ГосСОПКА является важным показателем высокого профессионализма и ключевой роли компании на рынке информационной безопасности.
«В перечне компаний, которые являются корпоративными центрами ГосСОПКА, примерно 90 организаций. Они могут работать в разных сферах деятельности, есть среди них коммерческие компании, которые специализируются в области информационной безопасности. И для них, в том числе и для UserGate, присутствие в этом списке — еще одно подтверждение высоких компетенций и определяющей роли в индустрии ИБ», — сказал Эльман Бейбутов.
Однако важность этого статуса выходит далеко за рамки престижа, поскольку получение данного статуса открывает перед компаниями значительные возможности для расширения спектра предоставляемых услуг клиентам, управляющим объектами КИИ, а также другим организациям, заинтересованным в услугах от проверенных поставщиков с подтвержденными компетенциями и высоким доверием. «Кроме того, компания получает возможность расширить свой портфель услуг и для других клиентов, тех, которые не управляют объектами КИИ, но заинтересованы в том, чтобы такие услуги получать от компаний с подтверждённой компетенцией и высоким уровнем доверия», — подчеркнул представитель UserGate.
Помимо этого, участие в ГосСОПКА даёт компаниям доступ к ценному массиву информации о текущих и прошлых киберинцидентах - это значительно повышает уровень экспертизы и качества предоставляемых услуг. Клиенты, которые управляют объектами КИИ, обязаны взаимодействовать с ГосСОПКА и передавать в нее всю информацию о зарегистрированных киберинцидентах.
«Сотрудничество с компанией, которая является корпоративным центром ГосСОПКА, позволяет им передать эту функцию на аутсорс, не отвлекая свои ресурсы на взаимодействие с НКЦКИ. Само по себе взаимодействие с ГосСОПКА - не самая сложная задача, которую необходимо решить организации с КИИ. Гораздо сложнее другое — выстроить систему выявления киберинцидентов и реагирования на них. Эта задача уже требует и компетенций, и наличия команды квалифицированных ИБ-специалистов (как минимум, из восьми человек), и технологий, и ресурсов. Далеко не каждая, даже очень крупная, компания, обладает ими. И для многих таких клиентов гораздо удобнее и выгоднее обратиться к сервис-провайдеру, который и обеспечит взаимодействие с НКЦКИ, и возьмет на себя, в качестве аутсорсера, решение всех задач, связанных и с мониторингом состояния информационной безопасности предприятия, и с информационными обменом с ГосСОПКА», — сказал он.
Использовать SOC
По мнению Эльмана Бейбутова, наиболее критичным элементом здесь является команда специалистов. Во-первых, все они должны обладать очень глубокой экспертизой. Она нужна, чтобы быстро, в режиме реального времени, и реагировать на сами инциденты, и давать им характеристику, чтобы, к примеру, не отправить случайно в ГосСОПКА данные о «ложно-положительном» срабатывании системы защиты. Во-вторых, необходимо обеспечить круглосуточную работу таких специалистов, — скорость реагирования и передачи данных в систему регламентирована и весьма критична. По сути, управление объектами КИИ требует от компании использование SOC — собственного или коммерческого.
Напомним, SOC (Security Operations Center) — это специализированный центр по обеспечению информационной безопасности, занимающийся постоянным мониторингом, обнаружением, анализом и предотвращением кибератак на инфраструктуру организации. Основная задача SOC заключается в своевременном обнаружении угроз и быстром реагировании на возможные инциденты, минимизации ущерба и восстановлении работоспособности ИТ-инфраструктуры.
«В качестве примера можно привести диагностический центр при крупной клинике. Чаще всего, эти учреждения действуют как отдельное юридическое лицо. Они собирают и хранят большие объемы данных, в том числе и персональных, и управляют элементами КИИ. По закону они обязаны взаимодействовать с НКЦКИ и отправлять в систему данные об инцидентах. Между тем, содержание собственной ИБ-команды с экспертизой и возможностями уровня SOC для них практически невозможно», — сказал он.
Эльман Бейбутов пояснил, что создать свой собственный SOC (центр может далеко не каждая компания. Она должна располагать ресурсами, брендом, который будет привлекать и удерживать квалифицированный персонал, способен предложить зарплаты, которые соответствуют рынку ИТ. При этом SOC нужно не просто создать, но и загрузить необходимым объемом работ (для SOC он измеряется в числе обрабатываемых событий в секунду), который есть только у самых крупных предприятий.
«Поэтому развивать свой собственный центр безопасности для большинства российских заказчиков просто не имеет смысла — слишком высоки экономические и организационные издержки. И для таких организаций (а их в стране сотни, если не тысячи) единственным средством выполнения регуляторных требований становится пользование услугами коммерческого центра безопасности. И таких организаций в каждом секторе экономике очень много», — добавил Эльман Бейбутов.
Экспертиза с ГосСОПКА
Напомним, система ГосСОПКА создана в России в 2019 году на фоне стремительного роста количества киберугроз, включая атаки против объектов КИИ. Основная цель ГосСОПКА — выявление угроз безопасности для объектов КИИ, государственных информационных ресурсов и организация оперативного реагирования на инциденты. Организации, управляющие такими объектами, обязаны регулярно сообщать обо всех выявленных инцидентах в систему. Управление системой осуществляется Национальным координационным центром по компьютерным инцидентам (НКЦКИ), находящимся в структуре ФСБ.
НКЦКИ — далеко не уникальная структура на международной арене. Подобные структуры начали появляться в конце первого десятилетия XXI века практически повсеместно: в США, Канаде, Великобритании, Франции, Германии, Австралии и ряде стран Азии. Существует также европейская структура подобного типа.
Несмотря на сложность архитектуры и критику отдельных аспектов концепции ГосСОПКА со стороны профессионалов сферы информационной безопасности, данная система остается единственной национальной структурой, собирающей информацию о киберугрозах. Именно этот факт определяет её значимость, как для пользователей, так и для представителей отечественного рынка информационной безопасности.
По мнению Эльмана Бейбутова, ключевая выгода взаимодействия с ГосСОПКА для компании, которая не управляет объектами КИИ — возможность получения знаний и актуальных данных о киберинцидентах. Для компании-заказчика не самого большого масштаба такая возможность, скорее всего, будет избыточна. А вот для операторов SOC может оказаться весьма полезна.
Необходимость получения данных из ГосСОПКА обусловлена тем, какие источники информации о киберинцидентах использует тот или иной SOC, квалификации его персонала, его знакомства с пулом ресурсов о киберугрозах, развитости службы киберразведки. «Поэтому можно говорить о том, что для развития небольших центров взаимодействие с НКЦКИ имеет даже определяющее значение. Крупные SOC, располагающие развитой экспертизой, вполне могут обойтись и собственными ресурсами, необходимыми для развития и обслуживания клиентов. ГосСОПКА в этом случае будет еще одним важным и актуальным источником для пополнения базы знаний. То же самое можно сказать о компаниях, которые предлагают услуги в области информационной безопасности, занимаются системной интеграцией, управляют дата-центрами», — подчеркнул он.
Прежде всего, ГосСОПКА становится источником информации о самом киберинциденте: когда он произошел, как развивался, какой инструментарий использовался злоумышленниками, какие уязвимости использовались, какие данные и почему были скомпрометированы и т.п. «Все эти данные используются в работе собственного центра безопасности, который обслуживает клиентов компании. Кроме этого, данные, получаемые из ГосСОПКА, используются при подготовке экспертизы для продуктов UserGate, которую пишет команда uFactor. Эта экспертиза играет ключевую роль в формировании качества решений компании. И дополнительные данные об актуальных атаках приобретают поэтому особенное значение, особенно при выпуске обновлений, нацеленных на предотвращение впервые выявленных методов атак», — считает представитель UserGate.
Важен и «накопительный» эффект — данные ГосСОПКА «позволят увеличить объем экспертизы, которым обладает команда UserGate». «Их вероятную долю в общем массиве компетенций компании оценить сложно, но очевидно, что она будет достаточно велика», — подчеркнул он.
Эльман Бейбутов также обратил внимание на роль ГосСОПКА в развитии отечественного рынка информационной безопасности.
«Платформа ГосСОПКА создавалась НКЦКИ для обязательного взаимодействия операторов КИИ с регулирующим органом. Но она выполняет еще одну задачу, о которой нельзя не сказать отдельно. Каждый из участников рынка информационной безопасности располагает компетенциями, которые часто являются уникальными. И UserGate, и наши коллеги, решаем одну и ту же задачу — обеспечиваем своим клиентам максимально полную и эффективную защиту от киберугроз. При этом мы конкурируем друг с другом, в том числе — за счет собственной экспертизы. Поэтому никто из участников рынка никогда не раскрывает полностью свои компетенции, — в противном случае компания лишится уникальных конкурентных преимуществ. Не будем забывать и о том, что участники рынка ИБ не склонны делиться своими ошибками или неприятными кейсами — это может привести к имиджевым потерям», — сказал Эльман Бейбутов.
Он добавил, что наличие общей платформы для обмена информацией в значительной мере объединяет рынок, и специализированные компании, и заказчиков, которые заинтересованы в получении необходимых данных об уязвимостях и инцидентах.
Фото: UserGate.