Михаил Соколов, ЦОДД: В последние три года атаки стали сезонными и предсказуемыми

07 Декабря 2023 12:3207 Дек 2023 12:32 |
Поделиться

Кибербезопасность городской транспортной системы всегда считалась чувствительной сферой, а в момент перехода на продукты отечественных вендоров внимания к этой теме стало еще больше. Как за последние два года отражали кибератаки в Центре организации дорожного движения Москвы, в интервью CNews рассказал руководитель отдела информационной безопасности ЦОДД Михаил Соколов.

«Рынок меняется примерно раз в пять лет»

CNews: В столице работает интеллектуальная транспортная система, которая контролирует инфраструктуру столичного дорожного движения. Насколько тяжело выстроить ее защиту с точки зрения информационной безопасности?

Михаил Соколов: Это очень крупная государственная информационная система, которая состоит из 42 модулей для обеспечения деятельности дорожного движения в Москве. У каждого модуля — своя функция, и каждый мы рассматриваем как отдельный объект, который необходимо защищать.

Центр обработки данных у нас разбит на сегменты: одни отвечают за критическую инфраструктуру, другие — за системы. Каждый периметр защищен по-своему одними и теми же средствами. На каждом уровне мы используем либо разные программно-аппаратные комплексы, либо разные виртуальные среды одного и того же решения, которые настроены индивидуально под тот или иной сегмент.

Дополнительно мы используем наложенные средства защиты информации для исполнения требований законодательства.

CNews: С какими угрозами в области кибербезопасности в последнее время вы сталкиваетесь чаще? Какие типы атак актуальнее всего для транспортных систем?

Михаил Соколов: Чаще всего на нас совершаются DDoS-атаки. Сложнее всего было в феврале-марте 2022 г., тогда все средства защиты были переведены в особый режим работы.

Среди крупных атак, что мы отразили — DDoS на нашу критическую информационную инфраструктуру. Одна из таких атак длилась порядка двух дней, однако данные остались целыми и неповрежденными. В последние три года атаки стали сезонными и предсказуемыми, чаще всего активность усиливается летом. Возможно, это связано с сезоном отпусков: хакеры считают, что в компаниях становится меньше ИБ-специалистов, а значит, и реагировать будут хуже.

CNews: Как выглядит в ЦОДД управление инцидентами кибербезопасности? Пришлось ли перестраивать работу за последний год или два? Как именно?

Михаил Соколов: Да, конечно, пришлось. Недавно ФСТЭК представил новые методические указания по созданию регламента реагирования на компьютерные инциденты. Когда регулятор выпускает такой нормативный документ, мы рассматриваем его в кратчайшие сроки и перестраиваем согласно с ним внутреннюю документацию на основании действующей политики информационной безопасности. Кстати, эта политика в ЦОДД каждый год актуализируется.

В итоге мы перестроили работу, в команде появились профильные аналитики.

CNews: Есть ли проблема дефицита ИБ-специалистов сейчас на рынке, или ЦОДД с ней не сталкивался?

Михаил Соколов: Пожалуй, в ИБ мы не сталкивались с такой проблемой. На рынке информационной безопасности специалисты есть, хотя, может, мало узконаправленных.

Также нужно понимать, что рынок меняется примерно раз в пять лет. Каждые пять лет приходится полностью перестраивать инфраструктуру и закупать новые средства криптографической защиты, и после этого необходимо обновлять и саму систему.

Сейчас в отделе информационной безопасности ЦОДД работают около 20 специалистов.

Откровенно о CRM: на что обратить внимание при выборе системы

Цифровизация

CNews: Приходилось ли увеличивать количество специалистов на фоне ухудшившейся ситуации с кибербезопасностью?

Михаил Соколов: Пока справляемся. Да, иногда возникают срочные задачи, которые нужно решать совместно, но в целом, для штатной работы, этого количества достаточно.

«Инфраструктура стала независимой и полностью отечественной»

CNews: Как контролируется соблюдение требований кибербезопасности при внесении изменений в ИТ-инфраструктуру?

Михаил Соколов: Основные усилия всех госорганов, не только ЦОДД, направлены на исполнение указов президента РФ №166 и №250 по части импортозамещения, чтобы сделать критическую информационную инфраструктуру независимой и полностью отечественной. Чтобы в информационных системах использовались только отечественные средства защиты информации, либо производителей из дружественных стран.

CNews: На каком вы этапе? Хватает ли времени?

Михаил Соколов: Сейчас у нас почти 90% информационных систем российского производства. До 2025 года планируем перейти на 100% только в части значимых объектов критической инфраструктуры. Из средств защиты уже ничего иностранного мы не используем.

CNews: Продукты отечественных вендоров сопоставимы по ценам с зарубежными, к которым вы привыкли?

Михаил Соколов: Все относительно, стоимость средств защиты зависят от системы, которой они нужны. Тех же инструментов защиты от вирусов у нас тоже достаточно. Под каждую систему нужно индивидуально проектировать и внедрять свою систему защиты информации, учитывая специфические для каждой отдельной системы угрозы. От этого и будет зависеть конечная стоимость.

CNews: Существует мнение, что хоть отечественные аналоги все же отстают по функциональности. Что вы думаете на этот счет?

Михаил Соколов: Я с таким мнением в корне не согласен, у нас есть прекраснейшие продукты, способные обеспечить необходимый уровень информационной безопасности. Мы изначально полностью погружаемся в систему, изучаем возможные угрозы, и под каждую систему индивидуально подбираем средства защиты информации.

Как разместить ИТ-решение на «Гостехе»

поддержка ит-отрасли

CNews: Каких решений в области ИБ, на ваш взгляд, все еще не хватает на отечественном рынке? Насколько тяжело находить аналоги для таких решений?

Михаил Соколов: Мы находимся в процессе анализа и поиска различных решений. На российском рынке представлены технологии, которые отвечают нашим потребностям. Из необычных продуктов, которые мы хотим попробовать сервис киберразведки. Подразумевается, что мы нанимаем внешних специалистов, которые глубоко мониторят инфраструктуру на предмет готовящихся кибератак: Telegram-каналы, соцсети, в том числе и даркнет. Предупрежден — значит вооружен.

Анжела Патракова

Полный текст статьи читайте на CNews