Как устроена киберзащита «Ростелекома». Интервью TAdviser с Артемом Гребенюком, главой департамента эксплуатации средств ИБ

Артем Гребенюк: Если панорамно взглянуть на информационную безопасность группы компаний «Ростелеком», можно выделить два элемента. Первый – это блок информационной безопасности «Ростелекома». Мы занимаемся обеспечением внутренней безопасности инфраструктуры: защитой его корпоративного и технологического сегментов, критической инфраструктуры, а также цифровых продуктов: «Умный дом», «Ключ», Wink, «Лицей» и множество других. Кроме этого, блок ИБ отвечает за уровень информационной безопасности группы компаний в целом.

Второй – это «Солар», входящий в группу компаний «Ростелеком», который как архитектор комплексной кибербезопасности предлагает на рынке продукты и сервисы инфобеза, в целом занимается развитием бизнеса в информационной безопасности.

В группе компаний более 200 различных дочерних зависимых обществ (ДЗО). На мой взгляд, нет ни одного бизнеса, в котором «Ростелеком» не участвует напрямую либо через свою «дочку». Для организаций в холдинге мы выступаем внутренним регулятором и аудитором. Задаем стандарты обеспечения инфобеза, которые должны быть реализованы в ДЗО. Для некоторых «дочек» на основе сервисных договоров мы сами становимся исполнителями функций ИБ. Некоторые «дочки» достаточно зрелые в информационной безопасности и имеют самостоятельные команды и процессы.

Артем Гребенюк: SOC ПАО «Ростелеком» обеспечивает мониторинг собственной инфраструктуры компании и реагирование на киберинциденты. Solar JSOC (коммерческий SOC) компании «Солар» предоставляет аналогичные услуги для внешних клиентов. Оба подразделения входят в кластер информационной безопасности, и задачи по мониторингу и реагированию для дочерних зависимых организаций (ДЗО) могут выполняться как силами одного подразделения, так и другого. Мы используем гибридную модель.

На некоторых проектах мы сотрудничаем с Solar JSOC, что обусловлено рядом факторов. Структура бизнеса ПАО «Ростелеком» весьма неоднородна. В некоторых случаях Solar JSOC имеет преимущество: например, в банковской сфере. В то же время внутренний SOC обладает значительным опытом в защите телекоммуникационных операторов, где мы исторически накапливали компетенции.

Артем Гребенюк: Глобально наша команда занимается сопровождением всех средств защиты информации в ПАО. Мы участвуем во внедрении СЗИ, занимаемся непосредственно отражением атак, корректировкой контрмер, улучшением, оптимизацией, развитием сервисов ИБ, в целом повышением эффективности ИБ как процесса. Плюс то же самое мы делаем для некоторых наших ДЗО по сервисным договорам.

В рамках департамента решаются не только задачи технического характера: мы также отвечаем за вопросы выстраивания и улучшения сервиса. Наши работы не разовые и не единичные - выполняются по процессной модели. В большой корпорации важно обеспечить повторяемый процесс так, чтобы результат не зависел от персоны, события или наличия дополнительного контроля. Все должно быть максимально автоматизировано, унифицировано и работать, как слаженный механизм. Российский рынок систем электронного документооборота за год вырос на 15% и достиг ₽95 млрд 212.2 т

Для этого у нас есть роль сервис-менеджера, который взаимодействует с нашими внутренними заказчиками, с одной стороны, и техническими владельцами сервисов кибербеза, с другой. И здесь получается хорошая кооперация и баланс между ограничениями и потребностями.

Артем Гребенюк: В своей деятельности мы опираемся на федеральные законы, постановления правительства, указы и приказы регуляторов РФ, которые контролируют информационную безопасность. Бизнес группы компаний «Ростелеком» настолько многогранен, что практически не существует нормативных актов в сфере ИБ, которые были бы неприменимы к нам. По этой же причине каждый сегмент нашей инфраструктуры требует тщательного анализа и разумной адаптации требований для выстраивания эффективных мер защиты информации.

В блоке существует внутреннее подразделение методологии, которое анализирует нормативные акты в части, касающейся информационной безопасности. Сотрудники этого подразделения участвуют в различных экспертных группах регуляторов и профессиональных сообществах, чтобы законодатель учитывал ситуацию «на земле». В задачи подразделения входит гармонизация требований нормативных актов между собой, а также их унификация в понятные и непротиворечивые требования, доступные как специалистам, так и топ-менеджерам.

Например, разработан комплексный инструмент, «Кибеиндекс», который позволяет унифицировано представлять многочисленные требования ИБ в виде многомерной метрики, которая понятна для топ-менеджера, поскольку представлена в виде одной простой цифры. Одновременно индекс позволяет оценить каждый фрагмент инфраструктуры или юрлицо и выдать понятные рекомендации. Причем сделать это можно без привязки к конкретному нормативному акту, но эти рекомендации будут учитывать актуальные нормативные требования. Это позволяет оценивать реализованные меры в динамике. Такой «Кибериндекс» помогает и техническим подразделениям, которые видят в нем влияние технических и организационных мер на конкретные метрики, что позволяет эффективно планировать мероприятия по ИБ.

Артем Гребенюк: У нас налажено взаимное информирование между ПАО «Ростелеком» и ДЗО. В случае обнаружения индикаторов компрометации или другой важной информации SOC ПАО «Ростелеком» направляет уведомление в «дочки». Если в «дочке» существует самостоятельная команда ИБ, она реагирует и проводит расследование самостоятельно. Если же услуги ИБ предоставляются по сервисному договору или требуется дополнительная экспертиза для расследования, привлекаются подразделения кибербезопасности, специалисты компании «Солар» или смежные подразделения. В обратном случае, если в «дочке» выявляется информация об аномалии, она передает данные в SOC. Таким образом, в SOC собирается релевантная информация о состоянии защищенности группы компаний.

Артем Гребенюк: Одна из целей стратегии ИБ в ПАО «Ростелеком» – это эффективность принимаемых мер. Вместо защиты отдельных систем мы стремимся создавать платформы обеспечения ИБ, защищенные инфраструктуры, что обеспечивает безопасность любой ИС, погруженной в эту инфраструктуру. Проектированием таких систем занимается департамент архитектуры ИБ. Кроме этого, коллеги вырабатывают технические стандарты и типовые решения, которые в том числе тиражируются в ДЗО.

В блоке существует институт бизнес-партнеров ИБ, которые продвигают задачи информационной безопасности в бизнес-сегменты и отвечают за покрытие средствами и мерами ИБ. Также они помогают сегментам бизнеса быстро находить решения в блоке ИБ и безопасно реализовывать собственные проекты.

Отдельное подразделение взаимодействует с пользователями и с локальными регуляторами и органами власти в вопросах ИБ. Коллеги присутствуют практически в каждом региональном филиале.

Артем Гребенюк: Чуть больше, чем недостаточно.

Артем Гребенюк: У нас налажена кооперация. С одной стороны, блок информационной безопасности выступает регулятором, стимулирующим развитие или изменение технологического ландшафта. С другой, мы ориентируемся на возможности, решения и ограничения ИТ-подразделений, у которых есть свои задачи и запросы в части информационной безопасности. Это влияет на предлагаемые компенсирующие меры. Часто мы совместно адаптируем требования ИБ к отдельным фрагментам инфраструктуры.

Например, разработка защищенных конфигураций операционных систем — так называемый харденинг. Мы совместно с ИТ тестируем, что для нас реально применимо и минимально необходимо, поскольку харденинг ОС часто требует дополнительных ресурсов и изменения привычных шаблонов работы.

Если возникает конфликтная ситуация, у нас есть различные механизмы эскалации: управляющие комитеты на уровне вице-президентов, где мы обсуждаем аргументы сторон и принимаем окончательное решение. С 2022 года задачи ИБ находятся на радарах у топ-менеджмента, поэтому решения чаще принимаются в пользу информационной безопасности, но всегда с учетом их влияния на бизнес.

Артем Гребенюк: Мы завершаем консолидацию задач антивирусной защиты в блоке информационной безопасности. Однако стоит нырнуть в детали. В реализации антивирусной защиты есть несколько ролей. Немаловажная роль – обеспечение покрытия, то есть непосредственно установка и решение проблем с работоспособностью конкретного агентского решения на конечной станции. Эти задачи возложены на ИТ. Здесь не стоит умалять заслуг коллег, даже несмотря на автоматизацию – это огромная и непростая в наших масштабах работа.

Артем Гребенюк: Удаленная работа вошла в нашу жизнь с пандемии COVID-19, и эта практика только расширяется. Часть подразделений, в принципе, не имеет стационарных рабочих мест – они работают только на удаленке. В этом случае компания выдает им корпоративные ноутбуки, оснащенные всем необходимым для контроля мобильного удаленного подключения.

Артем Гребенюк: Ответственность за защиту персональных данных распределена между руководителем по информационной безопасности (ИБ) и владельцами информационных систем (ИС) или филиалов, где эти данные обрабатываются. Почему такая система? С одной стороны, обеспечение мер защиты является задачей руководителя подразделения ИБ. С другой стороны, владелец персональных данных несет ответственность за выделение ресурсов на мероприятия по защите, а также за полноту реализации этих мер на своем участке. Информационная система не должна создаваться без учета затрат на обеспечение безопасности данных, которые в ней обрабатываются на всех этапах: создания, обработки, хранения и передачи.

Артем Гребенюк: В «Ростелекоме» нет ни одной сферы, в которой бы не велось импортозамещение. Помимо стимулирующих указов Президента и других регуляторных актов, обязывающих заменять импортные средства защиты информации (СЗИ) или отказаться от использования оборудования из недружественных стран, на нас распространяются дополнительные требования Минцифры как отраслевого регулятора.

Часто импортозамещение приводит к дополнительным расходам на эксплуатацию — как в части человеческих трудозатрат, так и в части финансовых затрат. Дело здесь не только в переобучении и адаптации. У нас отличная команда, которая регулярно развивается и участвует в различных конференциях. Речь, скорее, идет о недостатке аппаратной базы, особенно при импортозамещении высоконагруженных сегментов инфраструктуры. Современные отечественные решения — это часто конструктор на основе open source, то есть открытого исходного кода. Это вынужденное, эволюционное программное обеспечение, которое производители дорабатывают уже в продуктивной среде клиентов.

Вместо монолитного решения мы получаем конструктор, разработанный различными производителями или даже сообществом независимых разработчиков. Возникают нюансы взаимодействия компонентов между собой, что повышает аварийность таких средств защиты. С другой стороны, эксплуатация подобных композитных решений требует больше трудозатрат специалистов, большей площади аппаратного комплекса (ПАК), большего количества электричества и охлаждения. К сожалению, зачастую отечественные решения обходятся дороже. Возможно, это связано с ограниченностью рынка сбыта, и производителям необходимо как-то компенсировать свои затраты на исследования и производство. Это достаточно болезненный процесс.

Так или иначе, мы дорастем до зрелых решений. Мы активно работаем с вендорами и не только с «домашними» вендорами решений по информационной безопасности. Мы буквально заставляем их развиваться. «Ростелеком» предъявляет высокие требования к функциональности, надежности и эксплуатационным характеристикам, что стимулирует наших партнеров повышать стандарты в части развития продуктов ИБ. Своими инвестициями и референсными внедрениями мы помогаем развиваться отрасли. Однако остаются уголки инфраструктуры или задачи, которые пока не охвачены отечественными решениями.

Артем Гребенюк: Прежде всего, пустует ниша высокопроизводительных средств защиты, где наблюдается много сложного трафика, жесткие требования по задержкам и высокие — по отказоустойчивости. Например, на периметре ЦОД (центра обработки данных), где межсетевые экраны должны обрабатывать потоки данных со скоростью 40 или даже 100 Гбит/с, обеспечивая при этом необходимый набор функций безопасности.

Другой пример — балансировщики нагрузки прикладного уровня. Если пакетные брокеры мы в России уже научились делать, то балансировщиков прикладного уровня, таких как Citrix или F5, отечественные компании пока не производят. В системах, которые не требуют высокой производительности, импортозамещение происходит более-менее успешно.

Допускаю, что многое связано со скудностью аппаратной базы. Многие иностранные производители, лидировавшие за счет аппаратного ускорения, создавали монолитные решения. Очень хочется, чтобы у нас, наконец, появились свои процессоры и сопроцессоры. Уверен, с появлением отечественной аппаратной базы даже на техпроцессах прошлых поколений, нас ожидает существенный рывок в развитии средств защиты.

Принципиально новым вызовом является защита искусственного интеллекта. Последние исследования показывают, что для ИИ, в частности, генеративного ИИ, характерны свои особенные угрозы: промт-инъекции, эксфильтрация внутренних данных, обход системных промтов, классификация и фильтрация чувствительных данных, передаваемых пользователями, и многое другое. Пока готовых средств защиты нет, но, видимо, зарождается новый класс защиты. Связанная задача — оценка встраивания LLM (языковых моделей) в бизнес-процессы компании. Только ленивый сейчас не экспериментирует с интеграцией сторонних нейронных сетей в свою инфраструктуру, рассчитывая на оптимизацию и сокращение издержек. Различные языковые модели уже интегрированы в цифровых помощников, которые так или иначе отвечают на запросы пользователей, консультируют их и решают задачи поддержки. Эти модели обучены сторонними специалистами на размеченных данных, где определены веса для принятия решений. Хочется верить, что в процессе обучения не был заложен злой умысел, изменяющий поведение модели по ключевой фразе.

Оценка встраиваемых ИИ-решений и проверка на неразглашение данных — это пока открытый вопрос, который должен быть решен перед встраиванием ИИ в критические производственные процессы. Возможно, ответ лежит в области соревновательных моделей — цензоров.

Артем Гребенюк: Еще раз подчеркну: ландшафт «Ростелекома» очень разнообразен. Обеспечение информационной безопасности «Ростелекома» сродни системе здравоохранения семьи из пары сотен человек. Причем самому младшему в этой семье всего несколько месяцев, а самому старшему — более ста лет.

Этот разнородный ландшафт, с одной стороны, требует от нас прорывных решений для отражения современных атак, а с другой — расширения покрытия и выработки компенсирующих мер для технологических станций, запущенных десятки лет назад. Эти два направления глобально отражаются в программе развития блока информационной безопасности: импортозамещение, линейный рост, дооснащение и улучшение покрытия, обеспечение защиты высокотехнологичных решений, используемых бизнесом.

Еще одно направление нашей деятельности — безопасность цифровых продуктов, которая становится конкурентным преимуществом. Значительная часть наших усилий и инициатив направлена на повышение безопасности на уровне исходного кода. Эти направления в большей степени будут влиять на программу проектов ближайших лет.