ЦОДы и кибербезопасность

Ночь с субботы на воскресенье – лучшее время для хакерской атаки. Руководство жарит шашлыки на дачах, на рабочих местах минимум сотрудников. Неудивительно, что именно воскресным утром 26 мая перестал работать сайт службы СДЭК – одной из самых популярных служб доставки в стране. Компания обещала восстановить сервис не позднее среды, но прием заказов начался только в субботу 1 июня. Потери от срыва сроков доставки у клиентов оценить трудно, но учитывая масштаб работы службы, можно предположить, что они значительные. Ответственность за сбой взяла на себя хакерская группа, сообщившая в соцсети, что якобы зашифровала данные компании. Вне зависимости от того, насколько это утверждение соответствовало действительности, оно еще раз привлекло внимание к теме информационной безопасности предприятий.

Число успешных кибератак растет. Согласно исследованию Positive Technologies «Готовы ли российские компании противостоять кибератакам?», представленному на конференции Positive Hacks Days, с 2019 по 2023 гг. число успешных атак увеличилось более чем на 134%, а средний ущерб, нанесенный хакерами крупным компаниям РФ за период с июля 2022 г. по июнь 2023 г., вырос на треть по сравнению с предыдущим аналогичным периодом и составил не менее 20 млн руб. И это без учета репутационных потерь.

Бизнес информационной безопасностью занимается, но в целом ситуация тревожная. По данным, приведенным старшим аналитиком информационной безопасности исследовательской группы Positive Technologies Федором Чунижековым, 93% организаций не защищены от проникновения злоумышленника внутрь сети, 63% подвержены перехвату контроля над инфраструктурой со стороны злоумышленников даже с низкой квалификацией.

Модифицируется и масштабируется инфраструктура, появляются новые уязвимые места, совершенствуются технологии атак. Обезопасить всё нереально – нужно выбирать главное, защищаться от возникновения в результате кибератаки недопустимого события, делающего невозможным достижение операционной или стратегической цели организации. Такие события могут быть специфичными, связанными с особенностями конкретной компании, но чаще они типичны, по крайней мере для отрасли. Например, для интернет-магазина недопустимое событие – недоступность сайта вследствие DDoS-атаки.

Для предотвращения недопустимых событий нужна результативная система киберзащиты, на практике обеспечивающая безопасность. Нужны критерии и методы оценки киберустойчивости предприятия – способности поддерживать непрерывность бизнес-процессов в условиях кибератаки. Хорошо, когда такие критерии перечислены  публично и оценки проводятся регулярно, причем независимыми организациями, – это дает представление о надежности киберзащиты выбираемого контрагента.

Наименее затратный метод оценки уровня защищенности, как отмечают в Positive Technologies, – аттестация, которая проводится в основном по представленным документам и подтверждает выполнение организационных и технических требований стандартов или регуляторных норм (рис. 1). «Бумажная безопасность» – разработка документов, приказов, инструкций и технологических регламентов – важна не только для аттестации и прохождения проверок, но и как основа кибербезопасности. Но все же она только основа, необходимая, но недостаточная для обеспечения киберустойчивости.

Более эффективно применение автоматических сканеров и анализ результатов их работы. Широко используются антивирусные программы с функцией автоматического сканирования системы на предмет вредоносных программ и уязвимостей. Это второй по распространенности (47%) метод оценки защищенности, особенно в компаниях среднего и малого бизнеса.

Самый распространенный метод оценки защищенности – тестирование на проникновение (пентест). Этому методу отдают предпочтение в организациях более половины (58%) респондентов (рис. 2). Проведение пентестов популярно среди компаний всех масштабов.

Треть респондентов (35%) заявила о проведении киберучений – наиболее эффективного метода оценки уровня защищенности. Однако в силу дороговизны и необходимости иметь оснащенный SOC (операционный центр кибербезопасности) с квалифицированным персоналом этот метод отметили только крупные организации.

Самой объективной проверкой киберустойчивости будет способность выдержать реальную атаку хакеров в ходе программы багбаунти. В этом случае организация предлагает вознаграждение за нахождение уязвимостей в ее ПО или веб-приложениях и сообщение о них. Немногие (лишь 15%) компании уверены в своей защите настолько, что заявляют о готовности выдержать атаки хакеров со всего мира. Причем среди этих организаций них не только коммерческие (Ozon, Wildberries, Тинькофф), но и государственные структуры (Минцифры России).

Ситуация с кибербезопасностью в коммерческих ЦОДах напоминает ситуацию в российских банках 15 лет назад, когда каждый банк по своему усмотрению обеспечивал защиту информационной структуры и фрагментарно аттестовал ее по отдельным стандартам, необходимым прежде всего для работы с западными платежными системами. Оценка уровня кибербезопасности финансовых организаций была непрозрачной не только для клиентов, но и для регуляторов, что сильно беспокоило ЦБ, поскольку новости об успешных атаках на отдельные банки подрывали доверие к финансовой системе в целом.

Чтобы исправить ситуацию, Банк России разработал комплекс документов для единого подхода к построению ИБ – стандарт Банка России по обеспечению информационной безопасности организаций банковской системы РФ (СТО БР ИББС). Хотя стандарт имеет рекомендательный статус, но, если банк его принимает, то выполнение стандарта становится для него обязательным, а у ЦБ хватает рычагов, чтобы банки «добровольно» делали правильный выбор. Регулятор не только выпускает стандарты и отчетные формы, но и контролирует их выполнение в ходе проверок. В итоге последний известный полноценный (с уводом денег с корсчета) взлом российского банка произошел девять лет назад, а финансовая отрасль стала одной из наиболее защищенных от киберугроз в стране.

Банки – сердце традиционной экономики, основа финансовой системы, связывающей предприятия разных сфер бизнеса. ЦОДы – сердце новой экономики, экономики данных, они перекачивают связывающие предприятия потоки информации. Поэтому отношение к их кибербезопасности должно быть не менее ответственным, чем к банковской.

Киберзащита ЦОДов должна учитывать специфику этих объектов, обусловленную наличием в дата-центре независимых клиентов, имеющих свою ИТ-инфраструктуру, и разными моделями предоставления услуг (colocation, IaaS, PaaS, SaaS), которые предполагают разное разграничение ответственности. Если в рамках модели colоcation ЦОД отвечает только за физическую безопасность, то в рамках SaaS – уже за кибербезопасность всей ИТ-инфраструктуры.

Может быть, Минцифры стоит присмотреться к опыту Банка России и разработать свой «СТО БР ИББС», только для ЦОДов? Во всяком случае это обеспечит реализацию мер «бумажной безопасности» – в каждом ЦОДе будет утверждена общая политика безопасности, политики безопасности по отдельным направлениям (физическая, разграничение доступа, защита от DDoS…), разработана модель угроз, приняты документы, определяющие коммерческую тайну, регламенты, технологические инструкции. Для начала необязательно, подобно Банку России, проводить постоянные проверки. Достаточно, например, чтобы дата-центры хотя бы раз в год подтверждали свое соответствие стандарту – это уже стало бы маркером для клиентов и давало конкурентное преимущество на рынке.

Справедливости ради надо сказать, что многое у ЦОДов и так есть, особенно у тех, кто предоставляет услуги безопасности из облака по модели SECaaS. Ведь эти же инструменты, как правило, используются провайдером и для защиты собственной инфраструктуры. А если ЦОД предоставляет клиенту инфраструктуру, соответствующую требованиям закона № 152-ФЗ (защита персональных данных) или № 187-ФЗ (обеспечение безопасности КИИ), то выполняет и нужные регуляторные требования.

Если ЦОД предоставляет услуги ГИС, то он должен заранее соответствовать жестким требованиям регулятора. Согласно Постановлению Правительства РФ от 11.05.2017 № 555, вопросы информационной безопасности следует решить до ввода ГИС в промышленную эксплуатацию.

Если ЦОД обслуживает финансовые организации, то его инфраструктура сертифицирована в соответствии с требованиями международного стандарта безопасности платежных данных PCI DSS (Payment Card Industry Data Security Standard). Сертификат соответствия PCI DSS содержит технические и организационные требования, необходимые для безопасной обработки данных о держателях платежных карт и гарантирует, что клиенты ЦОДа могут обрабатывать их в соответствии с международным стандартом без угрозы утечки и нарушения законодательных норм.

Сертификация по отдельным направлениям важна, но не обеспечивает кибербезопасности объекта в комплексе, именно как дата-центра. Тем более что управление кибербезопасностью, как это делает Банк России в отношении финансовой системы, не сводится к разовому выпуску стандарта – это процесс, который подразумевает постоянную разработку новых документов, отвечающих меняющемуся ландшафту угроз.

На киберполигоне Standoff, развернутом на Малой спортивной арене Лужников во время Positive Hack Days, было жарко. Команды «красных» атаковали банки, ЖКХ, системы управления поездами и даже АЭС. Команды «синих» изучали тактики «белых» хакеров и совершенствовали системы защиты. Среди них были представители разных отраслей и даже решившие проверить свои системы на киберустойчивость безопасники из экзотических стран. Не было только представителей дата-центров.

Разработать, развернуть и наладить постоянную работу систем защиты необходимо. Но не менее важно их постоянно проверять, в том числе ЦОДам. Заказывать тесты на проникновение, включая физическое, – услуга которую уже рекламировали на рынке – проводить киберучения и программы багбаунти. Причем делать это регулярно. Тогда появится уверенность в киберустойчивости своего ЦОДа, и, что еще важнее, такая уверенность появится у клиентов.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!