МТС решила воспользоваться ростом киберугроз в мире и начала предоставлять новые для себя услуги информационной безопасности. Этот рынок сейчас оценивается примерно в 40 млрд руб., что почти в десять раз меньше выручки МТС. Однако в условиях роста количества хакерских атак рынок будет только расти.
МТС, чей основной бизнес — оказание услуг мобильной, фиксированной и других телекоммуникационных услуг, решила выйти на рынок информационной безопасности, рассказал РБК представитель компании Дмитрий Солодовников. МТС будет использовать свой центр информационной безопасности (security operation center, SOC) для оказания услуг сторонним заказчикам. Подобный центр есть у каждого крупного оператора связи, банка или владельца облачного хранилища, это определенное количество IT-специалистов, специальное компьютерное оборудование и программное обеспечение. «Но создание собственного SOC доступно не каждой компании. С другой стороны, мы поняли, что наш центр может обслуживать не только внутренние нужды», — рассказал представитель МТС. Уже несколько месяцев оператор сотрудничает в тестовом режиме с несколькими компаниями (их названия и другие детали не раскрываются).
Центр начал проводить круглосуточный мониторинг информационной безопасности МТС с января 2017 года. Он контролирует защищенность внешнего периметра информационных систем компании, анализирует инциденты (вирусные заражения, кибератаки, внутренние нарушения политики информационной безопасности), координирует устранение причин и последствий инцидентов. «Во время последней атаки вируса WannaCry нам удалось защитить и себя, и клиентов», — отметил представитель МТС.
12 мая пользователи по всему миру столкнулись с массовой атакой вируса, который зашифровывал данные компьютера жертвы и требовал за их расшифровку от $300 до 600 в биткоинах. В первые часы распространения вируса о заражении корпоративных компьютеров сообщили представители сотовых операторов «МегаФон» и «ВымпелКом». На следующий день факт атаки признали и в МТС, но представитель компании заявил, что ее удалось полностью отразить.
Компания планирует разработать типовые продукты для будущих клиентов — как по типу информационных угроз, так и вертикальные решения для отраслей или масштабов бизнеса. МТС использует для защиты от кибератак системы крупнейших мировых вендоров, собственные разработки и решения своей «дочки» «Энвижн груп». В компании не раскрыли затраты на организацию SOC, но сказали, что из общего объема капитальных затрат компании в России значительная часть расходуется на IT-системы, в том числе на те, которые обеспечивают информационную безопасность. По итогам 2016 года капзатраты МТС в России составляли 73,8 млрд руб.
Рост внимания к киберугрозам
По оценке бизнес-консультанта по безопасности Cisco Алексея Лукацкого, в 2016 году объем российского рынка информационной безопасности составляет примерно 1% от мирового, или около $700 млн (40,2 млрд руб.). Впрочем, Лукацкий оговорился, что это очень примерный показатель, поскольку не до конца ясно, что считать объектом информационной безопасности.
Для сравнения: общая выручка МТС в 2016 году равнялась 435,7 млрд руб. Однако выручка основных для МТС направлений бизнеса перестала расти. В 2016 году выручка от услуги мобильной связи в России снизилась на 0,4%, а от фиксированной связи — на 0,8%. Оператор ищет новые источники дохода. При этом, согласно исследованию PwC, в 2016 году количество инцидентов в области кибербезопасности в России выросло на 18%. Из-за негативных экономических факторов объемы инвестиций российских компаний в сфере кибербезопасности сократились, но спрос на аутсорсеров услуг по информационной безопасности растет, отметил директор отдела анализа и контроля рисков PwC Роман Чаплыгин, пишет rbc.ru.
Компании, занимающиеся информационной безопасностью, в целом нейтрально отнеслись к возможности появления на нем нового игрока. Директор по маркетингу компании Solar Security Валентин Крохин отметил, что в международной практике телеком-компании являются одними из самых сильных игроков на рынке MSSP (Managed Security Service Providers, когда операторы связи или крупные IT-игроки продают другим компаниям различные сервисы по информационной безопасности). «Этому способствуют наличие внутренних процессов оказания сервисов и обширная клиентская база. У МТС есть еще и существенное преимущество за счет имеющейся технологической базы внутреннего SOC, одного из самых зрелых в России», — отметил Крохин. Для российского рынка и клиентов появление еще одного сильного коммерческого SOC пойдет на пользу, считает он.
«Это позволит большему количеству компаний получать экспертизу по информационной безопасности высокого уровня, которая у них не всегда имеется, так как высококлассных экспертов на рынке не так много и не каждая компания, особенно в сегменте среднего и малого бизнеса, может их себе позволить», — согласен менеджер по развитию бизнеса «Лаборатории Касперского» Кирилл Керценбаум. Он указывает, что сейчас подобные услуги в России оказывает ограниченное количество компаний и рост конкуренции может привести к снижению цен и повышению качества услуг.
Замдиректора центра компетенции по экспертным сервисам Positive Technologies Алексей Новиков отметил, что, несмотря на то что рынок аутсорсинга SOC в России только зарождается, его уже начали регулировать: с июня услуги по мониторингу информационной безопасности станут лицензируемым видом деятельности. «У любой компании есть шанс занять долю рынка при условии, что они обладают необходимым технологическим уровнем зрелости и штатом высококвалифицированных экспертов», — считает он.
В конце прошлого года правительство внесло в Госдуму пакет поправок, касающихся критической информационной инфраструктуры. Речь в проекте шла об объектах инфраструктуры, используемых госорганами в оборонной, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также в области здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике. Предлагалось ввести уголовную ответственность с возможностью лишения свободы на срок до десяти лет за действия, несущие угрозу подобной инфраструктуре. Как предположили некоторые члены Российского союза промышленников и предпринимателей (РСПП), уголовная ответственность может грозить и руководителям компаний, владеющих или использующих критическую инфраструктуру в случае хакерской атаки. «Мне кажется избыточной уголовная ответственность руководителей коммерческих предприятий. У меня и моих коллег эта инициатива вызывает опасения», — заявлял гендиректор «МегаФона» Сергей Солдатенков.
Сама МТС в случае принятия законопроекта может понести «значительные затраты на выполнение требований, а также столкнуться с необходимостью соответствовать повышенным требованиям к защите сети и каналов связи», предупреждала компания в отчете за четвертый квартал 2016 года. Законопроект 27 января был принят в первом чтении, дата второго чтения пока не назначена.
Эксперты центра Solar 4RAYS подготовили рекомендации для киберзащитников компаний, которые помогут наладить инфраструктуру так, чтобы можно было беззаботно встретить новый год.
Как напоминают эксперты, новогодние праздники редко обходятся без инцидентов. Злоумышленники пользуются тем, что ИБ-подразделения уходят на каникулы или переходят на удаленный режим работы.
В результате ИБ-специалисты не всегда могут оперативно распознать признаки инцидента и вовремя отреагировать на него, а злоумышленники почти беспрепятственно проникают в инфраструктуры компаний.
Начать эксперты Solar 4RAYS рекомендуют с инвентаризации. Необходимо убедиться, что известны все сегменты сети и активы, которые там находятся. Очень часто злоумышленники атакуют через уязвимые узлы, которые не контролируют ИТ и ИБ-службы, и их обслуживанием занимаются какие-то другие подразделения.
Полезно также будет просканировать пул публичных адресов компании. Это позволит понять и оценить, как ИТ-инфраструктура выглядит с точки зрения потенциальных злоумышленников и определить потенциально уязвимые компоненты. Часть сервисов и приложений на период каникул лучше вообще сделать недоступными из публичного интернета.
Другой важной мерой является создание резервных копий наиболее важных систем. Это позволит восстановить их работоспособность, если ситуация будет развиваться по самому неблагоприятному сценарию.
При этом хранить резервные копии нужно таким образом, чтобы до них не добрались злоумышленники. Для доступа к ним лучше использовать отдельные учетные записи с минимально необходимым набором привилегий, а лучше хранить резервные копии в том сегменте сети, который изолирован от основного.
Необходимо также установить патчи для всех ключевых приложений, прежде всего для публично доступных сервисов. Причем эту задачу надо решать заранее, не откладывая ее на последний рабочий день перед каникулами.
Другой важной мерой является ревизия и смена паролей. Необходимо найти и удалить неиспользуемые учетные записи, сменить пароли администраторов и удаленных пользователей, установить многофакторную аутентификацию для них. Учетные записи подрядчиков нужно отключить на время каникул.
Полезным будет также аудит парольных политик, что позволит исключить «слабые» пароли, которые очень часто используют злоумышленники для атак. Также нужно убедиться в том, что никакие критичные пароли не хранятся в открытом виде на различных ресурсах.
Полезной мерой будет проверка компрометации инфраструктуры, хотя бы на базовом уровне. Сюда входят срабатывания средств защиты, появление подозрительных файлов, запуск системных служб, появление новых пользователей, установка нового ПО. Также необходима проверка системных журналов на предмет сомнительных аутентификаций, сетевых соединений и всплесков объемов передачи трафика. Эти меры нужно повторить и сразу после каникул, чтобы убедиться в том, что в инфраструктуру компании никто не проник.
В компании также должны быть назначены ответственные за реагирование на инциденты. Необходимы пошаговые инструкции для каждого из участников команды, которые бы описывали первоочередные меры реагирования. Причем ответственные лица должны быть доступны в режиме 24/7. Данную функцию можно делегировать внешнему поставщику услуг.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.