«На киберучениях даже опытные эксперты видят точки роста для себя и своей команды»
Заместитель генерального директора «Ростелеком-Солар» — об особенностях рынка киберполигонов и итогах крупнейших киберучений
В мае 2021 года был открыт киберполигон, созданный во исполнение постановления правительства №1320 от 12 октября 2019 года. В федпроекте «Информационная безопасность» нацпрограммы «Цифровая экономика» заложена государственная субсидия на этот проект: 364,55 млн руб. на 2019–2020 годы и 600 млн руб. на 2021–2024 годы. Исполнителем проекта в конце 2019 года был выбран «Ростелеком». О том, на каком этапе находится создание киберполигона и какие выводы были сделаны по итогам первых учений, рассказал заместитель генерального директора «Ростелеком-Солар» Александр Чечин.
— Что представляет собой киберполигон?
— Киберполигон — это инфраструктура для отработки практических навыков специалистов, экспертов разного профиля, руководителей в области информбезопасности и информтехнологий, а также для тестирования программного и аппаратного обеспечения путем моделирования компьютерных атак и отработки реакций на них. Причем под отработкой практических навыков мы подразумеваем как приобретение индивидуальных навыков, так и командную работу, организацию эффективного взаимодействия между специалистами.
Киберполигон позволяет эмулировать реальные инфраструктуры отраслевых предприятий в цифровом формате, на которых отрабатываются как навыки по реагированию на внештатные ситуации, так и проводятся исследования внедряемых технологий без вреда для производства. В инфраструктурах цифрового предприятия присутствуют виртуальные компоненты, специальное ПО, отраслевые средства защиты, системы управления предприятием, реальное оборудование, а также элементы полнофункционального моделирования, воспроизводящие технологические процессы.
Киберполигон позволяет моделировать как типовую инфраструктуру предприятия, так и инфраструктуру конкретного потребителя. В ходе учений и тренировок специалисты отражают комбинированные цепочки атак, которые собираются конструктором из атомарных блоков, реализующих несколько вариантов одной техники вторжения. Сценарии атак могут быть исполнены как автоматикой, так и реальными атакующими в зависимости от целей и задач мероприятия. Автоматизация позволяет достичь повторяемости и выхода на уровень тренажера наиболее часто встречающимся, деструктивным или новейшим угрозам. Включение человеческого фактора позволяет добавить элемент импровизации, специфичные техники, угрозы 1-day или нулевого дня, если это необходимо.
Проект стартовал в 2020 году с выделения субсидии и согласования представления образа будущего киберполигона. На сегодняшний день уже созданы базовая универсальная корпоративная инфраструктура, ряд отраслевых сегментов критической инфраструктуры. 13 мая 2021 года заместитель председателя правительства Дмитрий Чернышенко посетил Национальный киберполигон РФ и провел совещание, посвященное его развитию.
На уже развернутых сегментах киберполигона мы начали проводить учения и штабные тренировки для ряда министерств и силовых ведомств. Параллельно с созданием инфраструктуры киберполигона мы открываем опорные учебно-тренировочные центры в ведущих вузах страны, предоставляя студентам возможность на практике проверить и закрепить полученные теоретические знания в области ИБ и тем самым существенно повысить уровень подготовки будущих специалистов для наших отраслей, который нам так необходим в современном киберпространстве.
— Какие сегменты уже введены в эксплуатацию?
— На текущий момент времени реализованы две отрасли КИИ: электроэнергетика и кредитно-финансовый сегмент, а также корпоративной инфраструктуры, которая присутствует практически у всех. Это бухгалтерия и бэк-офис, то есть подразделение, которое занимается административными и обслуживающими функциями.
— Какие отрасли планируется добавить?
— В ближайших планах этого года: нефтегазовая добыча и транспортировка, электроэнергетика, генерация. Далее планируется телекоммуникационная отрасль, транспорт, металлургия, здравоохранение. В задачи Национального киберполигона входит покрытие всех 13 отраслей критической информационной инфраструктуры (КИИ). Очередность отраслей определена субсидией.
— Зачем компаниям нужно участие в полигоне, если у них уже есть налаженная система безопасности?
— Наличие систем защиты и специалистов по ИБ в организациях не гарантирует защищенность предприятия. Как и наличие у водителя автомобиля и прав не гарантирует качественных навыков безопасного (а особенно экстремального) вождения и своевременного реагирования на изменения дорожной ситуации. Эффективность реагирования на кибератаки в значительной степени зависит от того, насколько слаженно и быстро действуют все участники процесса — это и ИБ-служба, и ИТ. Для этого обычно разрабатывают плейбуки — сценарии реагирования на те или иные инциденты. Но без регулярных тренировок практики это остается теорией. При этом не каждый субъект КИИ регулярно сталкивается со сложными атаками. И это, конечно, не значит, что ему не надо уметь их быстро выявлять и блокировать. Для многих организаций одна успешная атака приведет к катастрофическим последствиям.
— Чем ваш проект отличается от аналогов, которые есть на рынке?
— На текущий момент времени рынок и его модель только формируются. Ряд решений присутствует со своими спецификами, так как глоссарий и класс продукта только формируется. Мы наблюдаем различные интерпретации. Большая часть решений достаточно статична как по инфраструктуре, так и по сценариям, и это логично. Продукт начинается с решения конкретной задачи: образование в вузах, ежегодные конференции, лабораторные работы. Но рынок растет и потребности расширяются. Сейчас становится более актуальна и востребована отраслевая специфика, решение задач конечных потребителей. Мы предполагаем, что в этом направлении и будет расти рынок в перспективе ближайших пары лет.
Мы предлагаем прежде всего тренировку и приобретение практических навыков выявления и отражения атак. Наш киберполигон доступен в режиме 24х7 в течение всего года и обогащается экспертизой крупнейшего российского центра противодействия кибератакам Solar JSOC. Поэтому у нас есть большой объем информации об атаках на конкретные отрасли, о новых техниках злоумышленников и инструментах эксплуатации самых «свежих» уязвимостей.
Возможность моделировать цифровые инфраструктуры, максимально приближенные к реалиям конкретных заказчиков,— уникальная составляющая на рынке полигонов. А совокупность отраслевых сегментов формирует фактически виртуальную страну со взаимодействием между отраслями и организациями.
Мы нацелены на то, что наш проект в будущем позволит объединить имеющуюся отраслевую экспертизу в области ИБ, киберполигоны, индустриальные полигоны для получения кроссотраслевой синергии и повышения уровня подготовки специалистов ИБ. Задачу наладить такую систему партнерств перед нами поставил Дмитрий Чернышенко на открытии киберполигона.
— Насколько это востребовано?
— Когда были созданы первые сегменты и появились первые заказы на проведение киберучений, у нас проходило одно-два мероприятия в месяц. Сейчас у нас до конца года все расписано, количество мероприятий возросло до 2–3 в неделю. Особенно заметен все возрастающий спрос со стороны крупных коммерческих структур, вузов, структур государственного управления.
Возникают новые задачи и потребности, которые компании планируют решать с помощью киберполигона. Например, у одного заказчика возникла идея превентивно проверить защищенность большой информационной системы, которую планировала создавать IT-служба. Моделирование системы на полигоне с дальнейшей проверкой киберустойчивости — это новый подход создания информационной системы, включающий в себя подсистему ИБ, и, на наш взгляд, экономически более эффективный. Такое тестирование стоит недорого, но позволяет заложить и верифицировать элементы ИБ-системы на стадии ее проектирования и создания. Тем самым могут появиться предпосылки к формированию методологии безопасного создания информационных систем.
По мере развития киберполигона нарастают и новые сервисы на его базе. В июне на ПМЭФ мы объявили о старте Bug Bounty — программы, в рамках которой привлеченные участники, специалисты тестируют программное и аппаратное обеспечение и получают вознаграждение за найденные уязвимости. Специалисты киберполигона выполняют промежуточную модерацию отчетов от исследователей с учетом общемировых принципов этичного раскрытия уязвимостей.
При этом в составе киберполигона уже несколько лет функционирует исследовательская лаборатория, которая занимается работами по поиску и анализу уязвимостей программных и программно-аппаратных средств. Лаборатория является одним из лидирующих источников идентификации критических уязвимостей для пополнения базы уязвимостей ФСТЭК.
— В России есть проблемы с культурой Bug Bounty: компании часто неадекватно реагируют на информацию об уязвимостях и в некоторых случаях даже подают в суд на того, кто об этом сообщил.
— Да, в этом отношении программа непростая. И для того, чтобы избежать подобных ситуаций, мы и выступаем посредником между ним и специалистами, которые будут искать у них уязвимости.
— Каковы результаты первых проведенных учений на киберполигоне?
— Даже зрелые эксперты, приходя на киберучения, видят точки роста и для себя, и для своей команды в целом. В целом же организации показали достаточно высокие результаты: по 100-балльной системе оценки в среднем у всех было больше 60–70%.
После первых проведенных киберучений в том числе, например, от Минэнерго потом звучала просьба повторно предоставить площадку для закрепления навыков. То есть получается такой условно тренажер: пришли, потренировались, разобрали, поняли свои ошибки, повторно пришли и закрепили знания. В этом, собственно, одна из ключевых задач киберполигона.