Интервью с Анной Олейниковой, директором по развитию «Национального киберполигона» компании «Ростелеком-Солар»

Анна Олейникова: Национальный киберполигон поможет обеспечить безопасность цифровизации страны

Анна Олейникова: Национальный киберполигон поможет обеспечить безопасность цифровизации страны

Анна Олейникова

Окончила Владимирский государственный университет имени Александра Григорьевича и Николая Григорьевича Столетовых, магистр информационных технологий.

С 2009 года работала в компании «Лавтек», где прошла путь от ведущего аналитика, отвечающего за реинжиниринг бизнес-процессов компании в сервисно-ориентированную модель, до ИТ-директора.

В 2014 году перешла на позицию руководителя отдела аналитики и проектирования в компанию Positive Technologies. Занималась разработкой таких крупных проектов, как MP SIEM, PTAF, PT ISIM, и других продуктов из линейки компании.

В 2016 году начала работу ведущим системным аналитиком компании «ИнфоТеКС». Занималась разработкой продуктовых концепций проектов нового поколения, реализованных в итоге в продукте VipNet IDS HS.

В 2017 году перешла в компанию «Инфосистемы Джет» в роли «product owner» системы обнаружения вторжений нового поколения.

С 2019 года работает в компании «Ростелеком-Солар», где отвечает за бизнес-развитие масштабной программы по созданию Национального киберполигона, который создаётся в рамках программы «Цифровая экономика».

...

Анна Олейникова, директор по развитию «Национального киберполигона» компании «Ростелеком-Солар», поделилась с Anti-Malware.ru подробностями масштабного проекта по созданию Национального киберполигона РФ. На нём моделируются цифровые двойники предприятий различных отраслей экономики. Действующие ИТ- и ИБ-специалисты отрабатывают на киберполигоне навыки реагирования на компьютерные атаки. Кроме того, киберполигон предназначен для тестирования средств защиты информации. Масштаб и гибкость системы позволяют моделировать воздействие реальных киберугроз на инфраструктуры разных отраслей экономики.

Компания «Ростелеком» в конце 2019 года выиграла конкурс Минцифры на создание национального киберполигона. Как я понимаю, он уже официально запущен в опытную эксплуатацию.

А. О.: Да, в конце 2020 года киберполигон введён в опытную эксплуатацию, при этом киберучения различного уровня проводились и ранее. К примеру, в декабре прошли крупные масштабные отраслевые киберучения. Ещё несколько крупных учений мы провели в этом году, в том числе с сотрудниками Банка России. Проверяли сценарии по выявлению и отражению атак на инфраструктуру финансовой отрасли. В мае мы официально открыли Национальный киберполигон и представили результаты первого этапа проекта вице-премьеру Дмитрию Чернышенко и главе Минцифры Максуту Шадаеву. На текущий момент в опытную эксплуатацию запущены первые три сегмента. Один из них моделирует типовую корпоративную сеть, два других повторяют инфраструктуры банков и предприятий энергетического сектора.

Расскажите, в чём заключается суть этого проекта и зачем он понадобился.

А. О.: Киберполигон — это своего рода «виртуальная страна». Он представляет собой модели типовых организаций различных отраслей экономики. На этой инфраструктуре компании, организации госсектора или целые отрасли могут отрабатывать сценарии по расследованию и реагированию на кибератаки. Национальный киберполигон позволяет имитировать более ста компьютерных атак, из которых собираются цепочки атак. На текущий момент времени в базе полигона присутствуют более 20 сценариев, включающих от 10 до 50 этапов действий злоумышленника.

В нашей стране пока нет практики и культуры регулярного проведения киберучений. При этом значительный объём угроз на текущий момент времени относится к кибербезопасности. Хотя в большинстве крупных организаций существуют регламентированные процессы, описывающие порядок действий во время нештатной ситуации, отработка реагирования на киберугрозы не входит в планы регулярных мероприятий — несмотря на то что кибератаки могут приводить к таким же разрушительным последствиям, как промышленные аварии. Чтобы быть уверенными в полной слаженности действий сотрудников, нужно проводить киберучения на регулярной основе.

Конечно же, делать это на реальной инфраструктуре, не подвергнув её риску, очень сложно и зачастую экономически нецелесообразно. Поэтому гораздо эффективнее выполнять подобные задачи на специально предназначенных для этого киберполигонах.

Отдельная сложность заключается в реагировании на скоординированную атаку на отрасль, которая чаще всего осуществляется путём одновременного воздействия на различные организации. В такой ситуации важно иметь отработанный опыт взаимодействия между предприятиями одного сегмента и координации усилий по противодействию злоумышленникам.

Этот проект является обособленным или всё же есть привязка к общей стратегии цифровизации российской экономики?

А. О.: Мы входим в рабочую группу по информационной безопасности Национальной программы «Цифровая экономика», хорошо понимаем тему киберучений, киберполигонов и глубоко проработали этот вопрос. Тема сложна и наукоёмка, это большая вычислительная инфраструктура и пласт методологической работы отраслевых экспертов. Целесообразно реализовать типовые инфраструктуры КИИ, которыми могут пользоваться отраслевые предприятия всей страны.

Каким образом и на что распределяется субсидия из бюджета нацпрограммы «Цифровая экономика»?

А. О.: По условиям расходования субсидии не более 5 % выделенных средств должны выделяться на организацию или управление проектом, не более 25 % — на работы и услуги, оставшиеся 70 % — затраты на закупку и аренду инфраструктурных элементов. Таким образом, большая часть расходов идёт на создание инфраструктуры: серверные мощности, платформа виртуализации, ПО, ПАО, СПО, отраслевое конечное оборудование и так далее. В качестве примера: у нас закуплено порядка четырёх шкафов контроллеров вендора Siemens различных моделей (в рамках построения полигона электроэнергетической отрасли). Это даёт широкие возможности в реализации сценариев или сегментов отраслевых инфраструктур. При этом данные контроллеры широко распространены и в смежных промышленных отраслях — это даёт нам возможность переиспользовать оборудование.

Если рассматривать пример кредитно-финансового сегмента, то мы пошли путём закупки типовых классов систем. Это связано с тем, что инфраструктуры банков зачастую похожи на лоскутное одеяло: сочетание исторического наследия с передовыми разработками. Поэтому мы воспроизвели не решения, а структуру финансовых сервисов с учётом процессов и финансовых потоков. Это также даёт универсальность эксплуатации типовыми игроками рынка либо, как минимум, фундамент для построения своего собственного цифрового двойника.

Основная доля расхода государственной субсидии — стоимость активов. Инженерия, эксплуатация, исследования и прочие операционные затраты — финансирование «Ростелекома». Без помощи государства реализовать подобный проект с мультивендорностью и диверсификацией инфраструктурных решений экономически крайне сложно. Но без учёта отраслевого разнообразия полноценный полигон не создать.

На интерес со стороны каких организаций вы рассчитываете в первую очередь?

А. О.: Мы уже сотрудничаем с государственными структурами, которые регулируют деятельность конкретных отраслей экономики, а также ориентируемся на крупнейшие коммерческие компании, которые представляют эти отрасли. Мы начали с тех сфер, в которых последствия кибератак наиболее деструктивны: могут повлиять на жизнь и здоровье людей или привести к серьёзным финансовым потерям не только компаний, но и населения и государства в целом. Например, результатом вторжения в инфраструктуру энергетической компании может стать отказ в обслуживании целого энергорайона с социальными объектами в виде поликлиник и транспорта. Достаточно вспомнить масштабные хакерские атаки на энергосистему Украины в 2015 и 2016 годах.

В дальнейшем мы запустим сегменты Национального киберполигона для нефтегазовой, транспортной, телекоммуникационной, а также металлургической и горнодобывающей отраслей. Таким образом мы охватим большинство объектов критической информационной инфраструктуры, чтобы содействовать государству в решении задачи по повышению уровня их защищённости.

Вы упомянули виртуальную инфраструктуру; можете ли рассказать поподробнее, какая она? Может быть, есть какие-то интересные технические детали?

А. О.: Да, конечно.

Помимо инфраструктурных элементов киберполигона мы разработали платформу для проведения учений. Её основная задача — оркестрация всех элементов киберполигона: организация инфраструктурных компонентов в единую систему; генераторы трафика; конструктор атак, управляющий ботами; бизнес-логика проведения тренировок; скоринг и прочее. Платформа связывает в единое информационное пространство все модули принятия решений через шину данных.

Ещё один аспект — визуализация. Ведь процесс киберучений — это не просто «чёрный ящик», а развитие атак, действия защищающихся. Всё записывается, протоколируется, чтобы в дальнейшем разобрать правильность поведения участников. Визуализация позволяет демонстрировать им в ходе учений текущую и полную картину атаки на инфраструктуру: действия нарушителей и защищающихся, карту заражённых узлов, эффективность противодействия атаке и так далее.

Национальный киберполигон — постоянно действующая система. Этим он отличается от тех проектов, где инфраструктура разворачивается только для мероприятия и ею нельзя воспользоваться в другое время. Насколько эффективно держать эту инфраструктуру постоянно?

А. О.: Наш киберполигон действительно доступен 365 дней в году. Если заказчику не нужна глубокая кастомизация, если он хочет тренироваться на типовых инфраструктурах, он может прийти и провести учения тогда, когда ему это нужно. И даже если кастомизация требуется, нам понадобится меньше времени на подготовку к учениям, а для заказчика они будут менее затратными по сравнению с вариантом, когда всё каждый раз собирается с нуля. То есть инфраструктура получается гибкой: сегодня мы можем использовать её для одной команды и одних задач, а завтра за счёт типизации инфраструктур быстро переформатировать под другого заказчика и другие задачи.

Стек средств защиты, используемых на киберполигоне, сформирован из отечественных продуктов или там могут быть абсолютно разные решения?

А. О.: Любое вендорское решение может быть развёрнуто на полигоне, если есть такая потребность. У нас партнёрские отношения со многими поставщиками средств защиты как отечественного, так и зарубежного производства. Так как иностранные вендоры достаточно часто встречаются у наших заказчиков, исключать такой огромный пласт средств защиты информации было бы неверно. При этом мы открыты для любых игроков рынка. Мы — за мультивендорный подход.

Процесс работы с заказчиками уже как-то формализован или возможны разные варианты для совместных проектов на базе этой инфраструктуры?

А. О.: Формат сотрудничества с нами — довольно гибкий. Здесь всё зависит от потребностей заказчика. Мы готовы к кастомизации любой степени, даже если нужно воспроизвести инфраструктуру заказчика максимально близко к реальной.

А если какой-нибудь банк скажет, что у них используются специфические средства защиты, и заявит о желании провести киберучения на инфраструктуре приближенной к их реальной, вы сможете это организовать?

А. О.: Безусловно. В этом и есть основная суть киберполигона: к нам можно «со своим». При этом банки, как правило, достаточно зрелы с точки зрения информационной безопасности. Поэтому чаще всего они к нам приходят не за развёртыванием того, что есть, а с целью изучения передовых перспективных технологий в окружении типовых финансовых сервисов. Мы проводим киберучения для опробования новых средств или выполняем совместные исследовательские работы по оценке влияния новых решений на уровень защищённости в «боевом» окружении.

Мой следующий вопрос — про локации. Расскажите про точки присутствия киберполигона.

А. О.: Одна из основных задач киберполигона — организовать повышение уровня практической готовности к отражению кибератак по всей стране. Поэтому мы формируем точки присутствия в регионах или создаём опорные центры в сотрудничестве с ведущими вузами Российской Федерации.

Опорные центры — это в первую очередь ключевые точки для практико-ориентированного обучения студентов. С другой стороны, эти точки присутствия позволяют охватить территорию всей страны и сделать более эффективными киберучения и для действующих специалистов. Вообще, у нас возможен удалённый доступ ко всем элементам инфраструктуры. Но благодаря опорным центрам по всей России мы можем провести и офлайновые учения для безопасников из регионов, и им не придётся для этого ехать в Москву.

В прошлом году мы открыли две точки присутствия. Одна — в Дальневосточном федеральном университете на острове Русский во Владивостоке. Вторая — в образовательном центре «Сириус» в Сочи. Недавно были открыты опорные пункты в Новосибирске на базе СибГУТИ и Санкт-Петербурге на базе ИТМО. Опорные центры киберполигона в вузах позволяют улучшить качество практической подготовки будущих и действующих ИБ-специалистов.

Мы участвуем в создании совместных образовательных программ с центрами компетенций и отраслевыми регуляторами. Последняя прошла относительно недавно: весной совместно с Банком России был проведён продолжительный образовательный модуль на площадке Университета «Сириус». Он показал, что интенсивное совмещение теории с практикой, максимально приближенной к повседневной работе действующих специалистов ИБ, даёт поразительные результаты. Можно сказать, что мы заменили производственную практику в рамках мероприятия.

В дальнейшем программа сотрудничества с вузами будет расширяться, запрос на практическое обучение крайне высок. За прошлый год мы провели шесть мероприятий для студентов профильных вузов в различных форматах — киберучений и соревнований CTF (Capture The Flag).

А «удалёнка», связанная с пандемией, как-то повлияла на планы по этому проекту? На сроки, на техническую реализацию, например?

А. О.: Будем честны друг с другом, пандемия оказала влияние на всю нашу жизнь. Всем нам пришлось привыкать к новым рабочим форматам. Возможность проведения обучения и тренировок в онлайн-режиме облегчает жизнь. Мы реализовывали киберполигон с учётом фактора пандемии и учли текущие тренды, например возможность дистанционного доступа. Если говорить о сроках, эффективная, слаженная работа команды и нацеленность на результат позволили исключить влияние столь серьёзного фактора на процесс реализации проекта. У нас «драйвовая» команда «с горящими глазами», и это здорово.

Анна, большое спасибо за беседу! Желаю успехов!