UserGate – корпоративный центр ГосСОПКА класса «А». Что это значит для компании и ее клиентов?

Необходимое предисловие

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак появилась в России сравнительно недавно. Ее создали в 2019 году (подготовка к этому началась гораздо раньше, еще в 2013 году) в связи с резким ростом числа киберугроз, в том числе и тех, которые затрагивают работу критической информационной инфраструктуры страны. Цель создания ГосСОПКА – мониторинг угроз безопасности объектов КИИ, государственных информационных систем и реагирование на них. Объекты КИИ имеются у множества организаций, в том числе весьма далеких от функций государственного управления, и все они обязаны передавать в систему информацию об инцидентах, которые ими были зафиксированы. ГосСОПКА управляется Национальным координационным центром по компьютерным инцидентам (НКЦКИ), который входит в состав ФСБ.

Директор по развитию бизнеса UserGate Эльман Бейбутов
Фото: UserGate

НКЦКИ – отнюдь не уникальное в мире явление. Структуры, ответственные за мониторинг киберинцидентов и расследование киберпреступлений, стали возникать на рубеже 2010-х годов во многих странах. Сегодня такие центры национального уровня работают в США, Канаде, Великобритании, Франции, Германии, Австралии, некоторых азиатских странах. Есть и общеевропейский центр мониторинга киберинцидентов.

Архитектура ГосСОПКА достаточно сложна, а ее концепция не идеальна и, бывает, критикуется ИБ-специалистами. Но, тем не менее, эта система стала главным и единственным в национальном масштабе центром, который аккумулирует данные о киберугрозах. И это формирует ценность системы и для заказчиков, и для всех участников российского рынка ИБ.

Почему для UserGate важно быть корпоративным центром ГосСОПКА

В перечне компаний, которые являются корпоративными центрами ГосСОПКА, всего примерно 90 организаций. Они могут работать в разных сферах деятельности, есть среди них коммерческие компании, которые специализируются в области информационной безопасности. И для них, в том числе и для UserGate, присутствие в этом списке – еще одно подтверждение высоких компетенций и определяющей роли в индустрии ИБ. Но имиджевой составляющей дело, конечно, не ограничивается.

Если говорить о значении этого «статуса» для бизнеса, то он очень важен – компания получает возможность не просто работать с клиентами, которые управляют объектами критической информационной инфраструктуры (КИИ), но и оказывать им весь спектр услуг. Кроме того, компания получает возможность расширить свой портфель услуг и для других клиентов, тех, которые не управляют объектами КИИ, но заинтересованы в том, чтобы такие услуги получать от компаний с подтверждённой компетенцией и высоким уровнем доверия.

Есть еще одна, очень важная сторона нашего взаимодействия с ГосСОПКА. Мы получили доступ к дополнительной обширной информации о киберинцидентах. Эта информация, и оперативная, и ретроспективная, позволяет нам серьезно расширить собственную экспертизу и, соответственно, повысить качество услуг, которые мы оказываем.

Возможности для компаний-заказчиков

Клиенты, которые управляют объектами КИИ, обязаны взаимодействовать с ГосСОПКА и передавать в нее всю информацию о зарегистрированных киберинцидентах. Сотрудничество с компанией, которая является корпоративным центром ГосСОПКА, позволяет им передать эту функцию на аутсорс, не отвлекая свои ресурсы на взаимодействие с НКЦКИ.

Само по себе взаимодействие с ГосСОПКА – не самая сложная задача, которую необходимо решить организации с КИИ. Гораздо сложнее другое – выстроить систему выявления киберинцидентов и реагирования на них. Эта задача уже требует и компетенций, и наличия команды квалифицированных ИБ-специалистов (как минимум, из восьми человек), и технологий, и ресурсов. Далеко не каждая, даже очень крупная, компания обладает ими. И для многих таких клиентов гораздо удобнее и выгоднее обратиться к сервис-провайдеру, который и обеспечит взаимодействие с НКЦКИ, и возьмет на себя в качестве аутсорсера решение всех задач, связанных и с мониторингом состояния информационной безопасности предприятия, и с информационными обменом с ГосСОПКА.

Наиболее критичный элемент здесь – команда специалистов. Во-первых, все они должны обладать очень глубокой экспертизой. Она нужна, чтобы быстро, в режиме реального времени, и реагировать на сами инциденты, и давать им характеристику, чтобы, к примеру, не отправить случайно в ГосСОПКА данные о «ложно-положительном» срабатывании системы защиты. А кроме того, необходимо обеспечить круглосуточную работу таких специалистов, - скорость реагирования и передачи данных в систему регламентирована и весьма критична. По сути, управление объектами КИИ требует от компании использование SOC – собственного или коммерческого.

В качестве примера можно привести диагностический центр при крупной клинике. Чаще всего, эти учреждения действуют как отдельное юридическое лицо. Они собирают и хранят большие объемы данных, в том числе и персональных, и управляют элементами КИИ. По закону они обязаны взаимодействовать с НКЦКИ и отправлять в систему данные об инцидентах. Между тем, содержание собственной ИБ-команды с экспертизой и возможностями уровня SOC для них практически невозможно. Создать свой собственный SOC может далеко не каждая компания. Она должна располагать ресурсами, брендом, который будет привлекать и удерживать квалифицированный персонал, способен предложить зарплаты, которые соответствуют рынку ИТ. При этом не будем забывать, что SOC нужно не просто создать, но и загрузить необходимым объемом работ (для SOC он измеряется в числе обрабатываемых событий в секунду), который есть только у самых крупных предприятий. Поэтому развивать свой собственный центр безопасности для большинства российских заказчиков просто не имеет смысла – слишком высоки экономические и организационные издержки.

И для таких организаций (а их в стране сотни, если не тысячи) единственным средством выполнения регуляторных требований становится пользование услугами коммерческого центра безопасности. И таких организаций в каждом секторе экономики очень много.

Главная выгода — компетенции

Ключевая выгода взаимодействия с ГосСОПКА для компании, которая не управляет объектами КИИ – возможность получения знаний и актуальных данных о киберинцидентах. Для компании-заказчика не самого большого масштаба такая возможность, скорее всего, будет избыточна. А вот для операторов SOC может оказаться весьма полезна.

Необходимость получения данных из ГосСОПКА обусловлена тем, какие источники информации о киберинцидентах использует тот или иной SOC, квалификации его персонала, его знакомства с пулом ресурсов о киберугрозах, развитости службы киберразведки. Поэтому можно говорить о том, что для развития небольших центров взаимодействие с НКЦКИ имеет даже определяющее значение. Крупные SOC, располагающие развитой экспертизой, вполне могут обойтись и собственными ресурсами, необходимыми для развития и обслуживания клиентов. ГосСОПКА в этом случае будет еще одним важным и актуальным источником для пополнения базы знаний. То же самое можно сказать о компаниях, которые предлагают услуги в области информационной безопасности, занимаются системной интеграцией, управляют дата-центрами.

Прежде всего, ГосСОПКА становится источником информации о самом киберинциденте: когда он произошел, как развивался, какой инструментарий использовался злоумышленниками, какие уязвимости использовались, какие данные и почему были скомпрометированы и т.п. Все эти данные используются в работе собственного центра безопасности, который обслуживает клиентов компании.

Кроме этого, данные, получаемые из ГосСОПКА, используются при подготовке экспертизы для продуктов UserGate, которую пишет команда uFactor. Эта экспертиза играет ключевую роль в формировании качества решений компании. И дополнительные данные об актуальных атаках приобретают поэтому особенное значение, особенно при выпуске обновлений, нацеленных на предотвращение впервые выявленных методов атак.

Важен и «накопительный» эффект – данные ГосСОПКА, конечно, позволят увеличить объем экспертизы, которым обладает команда UserGate. Их вероятную долю в общем массиве компетенций компании оценить сложно, но очевидно, что она будет достаточно велика.

Роль ГосСОПКА в развитии ИБ-рынка

Платформа ГосСОПКА создавалась НКЦКИ для обязательного взаимодействия операторов КИИ с регулирующим органом. Но она выполняет еще одну задачу, о которой нельзя не сказать отдельно.

Каждый из участников рынка информационной безопасности располагает компетенциями, которые часто являются уникальными. И UserGate, и наши коллеги, решаем одну и ту же задачу – обеспечиваем своим клиентам максимально полную и эффективную защиту от киберугроз. При этом мы конкурируем друг с другом, в том числе – за счет собственной экспертизы. Поэтому никто из участников рынка никогда не раскрывает полностью свои компетенции, - в противном случае компания лишится уникальных конкурентных преимуществ. Не будем забывать и о том, что участники рынка ИБ не склонны делиться своими ошибками или неприятными кейсами – это может привести к имиджевым потерям.

Наличие общей платформы для обмена информацией в значительной мере объединяет рынок - и специализированные компании, и заказчиков, которые заинтересованы в получении необходимых данных об уязвимостях и инцидентах.

Автор: Эльман Бейбутов, директор по развитию бизнеса UserGate