Центр обеспечения безопасности, или SOC, создан в рамках федерального проекта «Информационная безопасность», который входит в национальный проект «Цифровая экономика».

Кибербезопасность
– Михаил Сергеевич, расскажите, что из себя представляет проект Центра мониторинга и реагирования на инциденты информационной безопасности? С чем было связано решение о его организации?
– Защитой информации мы занимаемся давно, лично я в этой сфере работаю 11 лет, а конкретно в структуре девять лет. Поэтому всю эту систему я знаю изнутри – как она работает, какие у неё сильные или слабые места. Центр обеспечения безопасности, или SOC, –
это следующая ступень эволюции системы информационной безопасности, после которой мы сможем добиться намного больших результатов. В чём же суть? Поясню сначала, что мы защищаем. У нас есть государственные информационные системы (ГИС), есть потенциальные КИИ – это единая государственная информационная система здравоохранения (ЕГИСЗ), есть критические сервисы, информационные системы и другая инфраструктура. Практически все ГИС располагаются в Центре обработки данных правительства Оренбургской области (ЦОД), они и раньше контролировались средствами защиты, такими как, к примеру, системой обнаружения вторжений, межесетевым экраном разных уровней. Все эти системы безопасности были, но они действовали, как разрозненная структура. Операторам приходилось смотреть на разные экраны, а далее самим сопоставлять те или иные события. Центр обеспечения безопасности, или SOC, – это уже новый шаг в эволюции защиты информации. Скажем, есть такой своеобразный комбайн, который все средства обнаружения вторжений принимает на себя, всю информацию он обрабатывает и оператору остаётся только посмотреть на события и отреагировать. Благодаря встроенному искусственному интеллекту большинство событий SOC уже разделил на критичные и безопасные. К примеру, если одна система посчитала, что есть угроза, а вторая сказала, что нет угрозы и она в этом уверена, то оператор ничего не увидит. Он не будет тратить своё время на этот момент. Центр обеспечения безопасности часто сравнивают с работой врача, который следит за жизнедеятельностью организма человека. SOC вместо организма отслеживает работу каждого участка информационных систем.
– Какие имеются угрозы для информационных систем нашего региона. Расскажите о крупных хакерских атаках, если с такими приходилось сталкиваться раньше.
– У нас было несколько печальных событий, связанных с атаками хакеров. Самая крупная атака была произведена в 2016 году, были более мелкие. Тогда уже мы пришли к выводу, что нам необходимо, чтобы работала круглосуточная смена операторов. Вариантов было несколько: либо мы нанимаем для этого сторонние организации, либо всё делаем сами. Но когда мы поняли, что нам придётся сторонним структурам доверить свою информацию, пусть даже по договору, то пришли к выводу, что это будет неправильно. По сути, это всё равно что вы будете передавать все данные и всю переписку другому человеку в режиме реального времени. Поэтому мы приняли решение, что обеспечением безопасности информационных систем будем заниматься сами, и как результат этого – появился SOC.
– Давайте остановимся на угрозах.
– В безопасности всё идёт от ущерба. У нас первый уровень – это когда мы видим, что ущерб уже наступает (допустим, что-то не работает), в этом случае необходима оперативная реакция, которая возможна при наличии круглосуточной смены. Второй уровень угроз – это когда потенциально может наступить ущерб. К примеру, если мы видим вдруг что-то произошло (система начала неадекватно вести себя, ещё немного она прекратит работу). Под охраной SOC у нас находятся такие информационные системы, как МФЦ, ЕГИСЗ, Центр занятости населения, министерство социальной защиты населения.
– Откуда идут атаки хакеров?
– Угрозы для информационных систем мы ещё делим на два вида. Во-первых, это внутренние угрозы. В Оренбуржье есть Единая информационно-телекоммуникационная сеть (ЕИТКС) – она построена на криптооборудовании. В неё входит более 800 программно-аппаратных комплексов, которые закрывают административные здания, и около 4800 программных комплексов, которые стоят на рабочих местах. Это единая сложная сеть, хотя её работа практически никому не видна. Каждый пользователь в ней имеет свой уникальный адрес, она прозрачна для администрирования. Эту систему мы выстраивали с 2011 года, я стоял у её истоков. Её внутренние пользователи имеют несколько больше привилегий, чем внешние, поэтому от них мы тоже защищаемся. Другой вид внутренних угроз – это уязвимости операционных систем и программного обеспечения, что также необходимо видеть. Для нас нет такого понятия, как доверенный пользователь, для нас все недоверенные, и внутренние, и внешние.
Если говорить про уязвимости, то бывают такие ситуации, когда операторы не успевают отслеживать уязвимости. Отмечу, что за техническое руководство SOC у нас отвечает Владимир Корнев – консультант управления безопасности минцифры. Самое критичное, что мы увидели за небольшой промежуток работы SOC, – это более двух тысяч уязвимостей операционной системы у одной из виртуальных машин. SOC, как очень порядочный администратор, ежедневно обновляет сигнатуры и сканирует системы на уязвимости. От появления информации о существовании уязвимости до её обнаружения Центром обеспечения безопасности проходит не более двух суток.

Угрозы и атаки
– Михаил Сергеевич, вернёмся к вопросу о крупных хакерских атаках, произошедших ранее, расскажите о них подробнее.
– Как я уже упоминал ранее, в 2016 году портал регионального правительства подвергся хакерской атаке украинской хакерской группы «РУХ8». Они сделали дефейс правительственному сайту (тип хакерской атаки, при которой главная (или другая важная) страница веб-сайта заменяется на другую – как правило, вызывающего вида). Второй этап дефейса – это когда ссылка orenburg-gov.ru вела бы на украинский сервер – это уже начали делать, но мы смогли своевременно пресечь. Если бы в тот период работал SOC, то мы бы смогли увидеть эту угрозу за три месяца. Эта атака хакеров для нас стала поучительным уроком, и уже тогда мы выстроили вектор развития нашей работы и пришли к выводу, что всё для обеспечения кибербезопасности информационных систем региона необходимо делать комплексно.
Ранее происходили атаки хакеров, к примеру, ночью сливали базу данных адресов электронной почты. Атака длилась несколько часов, а при наличии SOC мы бы эту атаку обнаружили на 1 – 3-й минуте.
– Кто сможет воспользоваться услугами Центра обеспечения безопасности (SOC)?
– К концу текущего года по нашему плану мы должны охватить своей деятельностью все государственные информационные системы (ГИС). И в дальнейшем любая новая ГИС без взаимодействия с SOC не сможет начать работу. Под SOC окажутся все информационные системы органов власти, публичные сайты муниципальных образований. При этом самими системами мы управлять не будем, операторы Центра обеспечения безопасности видят только уязвимости и хакерские атаки. В дальнейшем мы, конечно, планируем расширяться, но планы пока озвучивать не буду.
– Выше Вы сказали, что Центр обеспечения безопасности (SOC) – это только ступень, а что будет следующей ступенью эволюции в информационной безопасности региона?
– Сейчас мы налаживаем работу данного центра, который обнаруживает и сопровождает появившиеся уязвимости информационных систем. Следующей ступенью станет преобразование SOC в ведомственный центр ГосСОПКА. К примеру, до конца этого месяца мы планируем подключиться к Национальному координационному центру по обнаружению компьютерных инцидентов – это глобальная система, которая агрегирует в себе все угрозы безопасности, приходящие со всех Центров обеспечения безопасности (SOC) России.
– При создании Центра обеспечения безопасности (SOC) на опыт каких регионов Вы ориентировались?
– Вместе с министром цифрового развития и связи Оренбургской области Денисом Толпейкиным накануне создания нашего центра мы побывали в Калининградской области и проанализировали работу их центра кибербезопасности. Учли все плюсы и минусы в их работе. Кроме этого, у нас тесные связи с Самарской областью, они также делятся своим опытом с нами, а мы с ними своим.
– Центр обеспечения безопасности (SOC) – это прежде всего люди, расскажите о том, легко ли было подобрать компетентных IT-специалистов?
– Мы на протяжении двух месяцев проводили кампанию по приёму на работу в Центр кибербезопасности. Проводили собеседование с потенциальными кандидатами, их было более 30 человек. В итоге мы изначально понимали, что готовых специалистов для нашей работы мы точно найти не сможем. Поэтому начали собирать команду по компетенциям – сетевая часть, Web, умение работать с большими данными, др. Таким образом, нам удалось собрать команду, которая получилась интересной с точки зрения навыков. Есть у нас в коллективе две студентки, они регулярные участницы престижного конкурса по информационной безопасности (CTF). Кроме этого, есть у нас IT-специалисты с большим опытом, есть те, кто не глубоко погружён в IT, но при этом внимателен к деталям. Команда находится в стадии развития и обучения.