В начале 2023 года в Беларуси был выпущен ряд нормативно-правовых актов, которые на законодательном уровне закрепили в стране понятие кибербезопасности. В первую очередь они коснулись необходимости подключения предприятий к существующим SOC-центрам, а также построения новых и наращивания потенциала уже работающих. Дмитрий Кудревич, представитель Kaspersky в Беларуси, рассказал Myfin.by о том, как это меняет процессы кибербезопасности в стране и что делать организациям, чтобы соответствовать требованиям государства.
Зачем нужны SOC-центры?
Центр мониторинга информационной безопасности (Security Operations Center, SOC) — структурное подразделение организации, отвечающее за оперативный мониторинг IT-среды и предотвращение киберинцидентов. Специалисты SOC собирают и анализируют данные с различных объектов инфраструктуры организации и при обнаружении подозрительной активности принимают меры для предотвращения атаки. В контексте нашей страны цель SOC-центра — повысить уровень защиты национальной информационной инфраструктуры от внешних и внутренних угроз.
Каким компаниям нужен свой SOC, а какие могут подключаться к внешнему? Это зависит от масштаба организации?
Важен не масштаб организации, а то, какими данными она обладает и оперирует. Если в организации работает пять человек, но эти пять человек работают с данными миллионов клиентов, то SOC необходим. Если же речь идёт о предприятии, на котором практически нет самих компьютеров, не то, что конфиденциальных данных, то даже если там работает 1,5 тысячи человек, SOC этому заводу не нужен.
К SOC подключаться должны те организации, которые оперируют персональными данными, конфиденциальными данными, банковской тайной, медицинскими данными, а также данными, связанными с национальной безопасностью. То есть предприятия, которые в том или ином виде занимаются передачей данных и агрегируют их. Это и государственные учреждения, и объекты критически важной инфраструктуры Беларуси, и предприятия из сферы энергетики, нефтехимии, газового сектора, трубопроводы и сервис-провайдеры.
Какие основные вызовы стоят перед организациями в процессе реализации Приказа №130?
К вызовам можно отнести отсутствие опыта в построении SOC в Беларуси. Также существует проблема внедрения огромного количества сложных и дорогих инструментов кибербезопасности и не только. Это занимает много времени и требует значительных вложений.
Необходимо формировать задания на закупку, анализировать инструментарий под абсолютно новую архитектуру для организации, приобретать вычислительные ресурсы. Ещё одна серьёзная проблема — дефицит квалифицированных кадров. Кадровый голод затрудняет реализацию инициативы главы государства в области кибербезопасности.
Есть ли организации, которые оказались наиболее готовы к Указу?
Финансовый сектор хорошо защищён на протяжении уже десятков лет, он давно использует большое количество высокотехнологичных продуктов для защиты своей инфраструктуры, и банки были готовы к указу как никто другой. Кроме того, банки всегда были привлекательной мишенью, поэтому защиту они обеспечивали превентивно, а не по факту какого-либо серьёзного инцидента. Им нужна была реальная защита всегда, до кризисных ситуаций, таких как пандемия и геополитическая напряженность.
Крупнейшие банки Беларуси давно приобретали продвинутые системы защиты от лидеров отрасли. Сегодня мы помогаем им мигрировать на альтернативы взамен решений ушедших вендоров.
Также можно отметить опыт ИКТ-провайдеров в области построения SOC. Для этой категории организаций очень важно бесперебойное качество связи, а кроме того, они обладают большой сетью клиентов и забота о безопасности данных для них давно стала рутинным процессом. Грамотная работа с защитными продуктами — первостепенна для этого сектора, и мы также активно помогаем им выстроить необходимые практики в области кибербезопасности с использованием передовых технологий.
Поэтому в этом секторе накоплен большой объем практик, на которые можно ориентироваться при построении собственного центра мониторинга, в том числе с использованием технологий Kaspersky Symphony XDR.
Как быть малому и среднему бизнесу, у которого нет возможностей создать собственный SOC?
Небольшим предприятиям стоит обратиться к коммерческим SOC, которые не только защищают собственную инфраструктуру, но и предлагают сервисы по кибербезопасности другим компаниям. Эти центры работают сразу в двух направлениях — как внутренний департамент безопасности и как самостоятельное бизнес-направление, помогая не только защищать собственную инфраструктуру, но и предоставлять услуги другим компаниям.
Для небольших предприятий это отличный способ получить высокий уровень защиты, поскольку коммерческий SOC способен мониторить инфраструктуры любого масштаба: 30, 100 или 10 тысяч компьютеров.
Как Kaspersky помогает соответствовать требованиям указа?
У Kaspersky накоплен большой опыт по обеспечению и налаживанию корректной работы классических SOC-центров в самых разных организациях по всему миру, и мы используем глобальные практики на локальном рынке. В Беларуси Kaspersky помогает имплементировать наши технологии быстро, качественно и предоставляет большое количество прикладных рабочих рекомендаций по их использованию именно в центрах кибербезопасности.
«Песочница», входящая в состав Kaspersky Anti Targeted Attack — средство динамического анализа вредоносных программ не обязательно к приобретению при заключении центром кибербезопасности договора со сторонней организацией или физическим лицом на выполнение работ по анализу вредоносных программ и некоторые другие.
Классы, к которым относятся эти защитные продукты, и являются ключевыми в реализации эффективной стратегии кибербезопасности, соответствующей требованиями Указа Президента №40 «О кибербезопасности». При этом компаниям, у которых уже есть опыт использования технологий Kaspersky Symphony XDR, легче автоматизировать процессы в центре кибербезопасности, а мы поддерживаем их, чтобы они максимально повысили эффективность работы команды SOC.
Более того, мы повышаем уровень осведомлённости клиентов о киберугрозах, поскольку это важный процесс в любой стратегии киберзащиты. Мы также стараемся рекомендовать им на этапе закупки программного обеспечения релевантные профессиональные тренинги для специалистов, а также проводить обучение по нашим продуктам либо у нас, либо в авторизованном учебном центре.
Кроме того, мы понимаем, что развитие SOC требует больше квалифицированных специалистов. В ответ на спрос на кадры в области кибербезопасности белорусские университеты начали модернизировать программы обучения по этой специальности, и мы также принимаем участие в этом процессе в рамках тех аспектов, где полезна наша накопленная экспертиза.
Число центров мониторинга будет расти, причем как в частном, так и в государственном секторах, и мы готовы предложить предприятиям поддержку и консультации в этом вопросе.
*Партнерский материал. ООО «Гоу Бел Тур», УНП 192537290