Как рассказал SOC-менеджер ТОО «PS cloud services» Александр Косенков на конференции «Безопасность? Как вам удобно» корреспонденту CMN.KZ, в Казахстане официально работает 51 операционный центр информационной безопасности (ОЦИБ), но лишь часть из них действительно выполняют свои функции
ОЦИБ — это оперативный центр информационной безопасности. Он помогает компаниям своевременно выявить попытки кибератак и обеспечить сохранность и конфиденциальность данных. Центр отслеживает различную активность на серверах, базах данных, сайтах и в приложениях.
В Казахстане насчитывается 51 ОЦИБ. С таким количеством наша страна могла бы легко войти в ТОП-5 среди европейских стран. Но это только на цифрах. В реальности дела обстоят немного иначе. Как оказалось, примерно у восьми центров нет сайтов от слова совсем. У 17 или 18 организаций есть ОЦИБы, но нет данных об их функционале и лишь у 24 есть и сайты, и информация.
Большинство центров информационной безопасности предлагают базовый функционал. По словам SOC-менеджера ТОО «PS cloud services» Александра Косенкова, такой формальный подход больше помогает закрыть требования регулятора (Министерства цифрового развития, инноваций и аэрокосмической промышленности – Прим. ред.), чем построить реальную систему кибербезопасности. В итоге из 51 ОЦИБа в Казахстане реальную помощь компаниям могут оказать около десятка.
«Существует формальное отношения к вопросам безопасности как со стороны поставщиков, так и заказчиков. Получить бумажку, закрыться перед регулятором и всё. А со стороны регулятора очень подробных, жёстких и однозначно понятных требований нет. В кибербезопасности существует нюанс: для каждой организации одни и те же меры должны быть адаптивными. Здесь нужен рискоориентированный подход. Компании должны иметь карту рисков, чтобы понимать, где их система может дать сбой. Вокруг этой карты и должны выстраивать систему безопасности», – сообщил Александр Косенков.
Как часто в Казахстане орудуют шифровальщики данных?
По данным эксперта, чаще всего инфраструктуру нашей страны атакуют ботнеты (компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами – Прим. ред.) из за рубежа. При этом в самом Казахстане количество ботнетов тоже достаточно высокое. А массовые атаки из нашей страны происходят на регулярной основе.
Не стоит забывать и о шифровальщиках данных. Преступники, получая доступ к какой-либо базе, шифруют её и требуют от владельцев деньги. Оказалось, что это достаточно распространённый способ преступлений в киберпространстве. Как рассказал SOC-менеджер ТОО «PS cloud services» Александр Косенков, только за этот год он столкнулся с серией попыток шифрования данных.
«С вымогателями-шифровальщиками сложно иметь дело. Это преступники, и, какую бы сумму вы не отправили, сложно наверняка утверждать, что они вернут данные. Никаких гарантий нет, поэтому лучше заранее позаботиться о безопасности. Сейчас шифрование данных – автоматизированный сервис на чёрном рынке. Его может приобрести и использовать для собственной выгоды даже не сильно компетентный человек. Купив инструмент, преступники сканируют Казнет, ищут инфраструктуру, которую можно атаковать, и всё. Атакующие умеют очень хорошо скрывать свои следы, что даёт им анонимность», – указал Косенков.
Эксперт поделился одним из кейсов. Предприниматель, искренне верующий, что вряд ли столкнётся с какой-либо киберопасностью, оказался один на один с зашифрованным 1С-сервером.
«Мы дали ему полную раскладку, объяснили, как ошиблись администраторы. Лёгкий пароль взломали за три дня, все данные зашифровали и выставили перед владельцем условия по оплате. К счастью, у него был backup (Резервная копия – Прим. ред.), поэтому данные быстро восстановили. Если бы они были подключены к ОЦИБу, атаку обнаружили бы ещё на стадии попытки», – сообщил Александр Косенков.
Как в Алматы прошла конференция «Безопасность? Как вам удобно»?
Эксперты, лидеры отрасли и представители бизнеса по вопросам SOC-сервисов (Security Operation Center) обсудили насколько отличаются рыночная и государственная сервисные модели, а также с чем сталкиваются подрядчики разных секторов. Спикеры указали, что в госсекторе чаще всего страдает качество предоставления услуги в угоду временным рамкам, в которые надо уложиться.
По словам СЕО центра поддержки цифрового правительства Рустем Бигари, проблема с «падением» сайтов кроется в обеспечении отказоустойчивости. Очень часто продукты торопятся вывести сразу на рынок, забывая о качественной составляющей. Спикер заверил, что проблему с «падением» госсайтов можно решить всего за год.
Кроме того, установка защиты разной глубины и качества, это регулярный запрос, с которым приходят к компаниям, предоставляющим SOC-сервис (Центр мониторинга информационной безопасности – Прим. ред.). Большая проблема кроется в том, что предприятия редко заказывают проверку на уже произошедший слив данных.
Руководитель центра мониторинга кибербезопасности (Head of SOC) «PS cloud services» Александр Пушкин рассказал корреспонденту CMN.KZ, как могли взломать LED-экран в Астане и почему атаке подвергся только один монитор. По мнению эксперта, взломали не сам экран, а сервер или компьютер, к которому он был подключён. Скорее всего, взлом произошёл заранее.
Читайте также: