Итоги второго дня SOC-Forum 2024

08.11.2024
Второй день SOC Forum открылся пленарной сессией «Хакнуть будущее: кибербезопасность как конкурентное преимущество». В ней приняли участие эксперты по информационным технологиям и кибербезопасности.

С тезисом, заявленным в названии сессии, не согласилась Ирина Лебедева, заместитель генерального директора T2, вице-президент Ростелекома по продуктам массового сегмента: «Кибербезопасность — это поле не для конкуренции, а для сотрудничества. Она должна стать межотраслевым стандартом, некой конвенцией между организациями». В качества примера собственных инициатив в области кибербезопасности Ирина привела сервис проверки на утечки от Solar Aura, бесплатно доступный абонентам T2 и Ростелекома в личном кабинете. «Чтобы отвечать на этот вызов, мы сегментируем аудиторию, определяем наиболее уязвимых людей — и это не всегда пожилые люди или дети, как многие думают, но такой корреляции мы не видим. Экономически активное население, которые заботятся о своих близких, занимают активную гражданскую позицию — надавливая на эти рычаги, мошенники могут легко ввести их в стресс», — добавила Ирина.

Другое мнение выразил Иван Вассунов, генеральный директор RED Security: «Есть информационная безопасность, направленная на защиту внутренней инфраструктуры, она влияет и на выручку, и на приток клиентов. Отсутствие инцидентов позволяет бизнесу быть прогнозируемым. С другой стороны, есть информационная безопасность, которая встраивается в пакет услуг. И есть клиенты, которые уже не хотят разбираться в деталях, им нужно защищенное комплексное предложение. В этом случае кибербезопасность будет конкурентным преимуществом.

Игорь Душа, директор портфеля продуктов по ИБ НОТА КУПОЛ (Холдинг Т1), отметил: «Пока на пользователя не давит угроза, для него конкурентное преимущество будет слабым. Как только этот напор возрастает, то и преимущество становится более явным». По мнению спикера, с обострением угроз развился и подход к кибербезопасности: «Если раньше инструментарий был стандартным, то сегодня он расширяется, и то, что казалось фантастикой, сегодня становится запросом, а то, что было нишевой историей — например, управление политикой межсетевых экранов — стало реальной потребностью.

Пример подхода, который не ограничивается необходимым минимумом, привела Татьяна Фомина, директор по информационным технологиям и кибербезопасности HeadHunter: «На нашей площадке ежегодно порядка 10 млн человек находит работу, у нас огромное число данных. И все меры, которые мы должны принимать по закону для их защиты — это база. Мы понимаем кибербезопасность шире: углубляемся в продуктовую безопасность, антифрод, модерацию контента. И в этом наше конкурентное преимущество. Ведь поиск работы — не самая частотная операция. Для того, чтобы наша бизнес модель была эффективна, нужен органический трафик — важна узнаваемость и доверие к бренду. К нам возвращаются, потому что сервис построен на безопасных началах».

Дмитрий Гадарь, вице президент, директор департамента ИБ Т-банка, рассказал об инструментах наступательной кибербезопасности, которые применяются в банке: «У нас есть проект «Фабрика роботов» — боты перехватывают звонки мошенников и удерживают их на линии. Но злоумышленники адаптируются, робот может удержать их не более пяти минут. Поэтому мы придумали проект «Фрод-рулетка». Мы переадресовываем звонки не на роботов, а на реальных людей, участников проекта. Он построен на геймификации: участникам нужно как можно дольше удержать на линии мошенника — это время доходит до 20 минут. Но и на этом мы не остановились и запустили наш социальный проект, направленный на борьбу с фейковыми ресурсами для инвестиций. AI-помощник находит такие сервисы онлайн и заваливает их заявками. Когда мошенники начинают их обрабатывать, то их переадресовывают на «Фабрику роботов». Это парализует работу целого колл-центра злоумышленников, делает ее невыгодной».

На сессии «Международная кибербезопасность: угрозы и регулирование» эксперты в сфере информационной безопасности обсудили киберриски как глобальную угрозу.

Игорь Ляпунов, генеральный директор ГК «Солар», обрисовал актуальный ландшафт киберугроз в России: «С 2022 года идут колоссальные угрозы в трех плоскостях. Первая — массовые DDOS-атаки. Казалось, что мы научились от них отбиваться, но атакующие изменили свои тактики и обновили рекорды по мощности и длительности атак. Через нашу сеть проходили атаки мощность до 3 терабит — раньше мы не представляли это возможным. Вторая плоскость — целевые атаки, которые приобрели новый характер после вступления Украины в киберцентр НАТО. Третья плоскость, про которую нельзя не сказать — это цифровой суверенитет, который необходимо укреплять, чтобы преодолеть зависимость от зарубежных СЗИ, которые могут отключить в одну ночь».

Тарику Эшету Асфав, советник сектора обеспечения информации Администрации безопасности информационных сетей (INSA) отметил, что в Эфиопии также работают над укреплением национального технологического суверенитета. Регуляторы поддерживают национальные разработки для защиты ключевой инфраструктуры, побуждают компанию к использованию отечественных решений. При этом использование зарубежных разработок, прошедших необходимую сертификацию, также допустимо.

Ахмед Аль Зароуни, эксперт в области технологий и кибербезопасности ОАЭ, прокомментировал: «Мы поддерживаем равновесие, используем продукты со всего мира — надеюсь, скоро это будут и решения из России». В своем выступлении он отметил, что сейчас в мире не хватает экспертов в сфере безопасности и возможностей для профессионального образования, повышения квалификации: «Одна из главных причин, почему я здесь — обсудить возможность сотрудничества с российскими университетами для разработки продвинутых курсов, например, по управлению SOC, а также создать экосистему стартапов: поощрять студентов предлагать собственные разработки.

Игорь Ляпунов согласился с высоким потенциалом российского кибербезопасности, в том числе с точки зрения подготовки кадров. Он поделился опытом проведения Международных киберчемпионатов в России и недавнего киберчемпионата, проведенного «Соларом» в Таиланде.

Представитель Таиланда, генеральный директор CloudSec Asia Варин Кера поделился положительной обратной связью от тайских студентов — участников киберчемпионата на платформе Solar CyberMir. Платформа вызвала большой интерес у участников, которые увидели потенциал построения киберполигонов и цифровых двойников ключевых отраслей экономики для отработки практических навыков специалистов.

В сессии принял участие Верма Ракеш Кумар, заместитель директора, куратор департамента информационной безопасности РАТС Шанхайской организации сотрудничества, в которую входит десять стран, включая Россию. Спикер напомнил, что цифровые инструменты могут использоваться для совершения не только киберпреступлений. Так, сегодня террористические организации используют различные цифровые платформы, криптовалюту, общедоступные или просто слабо защищенные вебкамеры, мессенджеры для координации атак, вербовки и трансляции. Технологии ИИ помогают переводить сообщения и пропагандистские материалы на разные языки, создавать чат-боты для коммуникации и распространения сообщений.

Тему поддержал Артур Люкманов, директор Департамента международной информационной безопасности МИД России. Он рассказал о случаях реальных физических атак в Ливане через пейджеры, солнечные батареи, автомобили, мобильные телефоны и другие устройства, приобретенные за 5 месяцев до этого, что привело к жертвам.

Спикер отметил, что даже в непростой геополитической обстановке России удается поддерживать диалог и объединять усилия с другими государствами в борьбе с международной киберпреступность, часто выступая инициатором решений, которые принимаются и поддерживаются всеми государствами членами ООН, включая США и их союзников. Недавно был согласован проект первой в истории конвенции по борьбе с международной киберпреступностью, и правоохранители получили мощный инструмент для противодействия хакерам на глобальном уровне.

Международный трек продолжила сессия «Глобальная безопасность и технологии защиты». Владимир Дрюков, директор JSOC ГК «Солар», поговорил с экспертами ИБ из разных стран о технической стороне кибербезопасности.

Куба. Йоланда де лос Анхелес Вальера Паэс, руководитель группы разработчиков антивируса Segurmática, рассказала, что в последние годы страна столкнулась с всплеском кибератак, прежде всего хактивизма и атак на госкомпании, а граждане подвергаются атакам мошенников. Страна много лет учитывает вопрос национального суверенитета, развивает собственные продукты и ставит перед собой задачу обеспечить кибербезопасность на Кубе на основе собственных разработок. К этой задаче подключаются многие компании, в том числе в других отраслях кроме непосредственно ИБ. В стране продвигают развитие технических компетенций и обучение специалистов. Однако в связи с тем, что кибербезопасность на Кубе могут предоставлять только государственные компании, экосистема стартапов в этой сфере отсутствует.

Таиланд. Экачай Арунсакун, управляющий директор CloudSec Asia, сообщил, что в Таиланде в зоне интересов хакеров все отрасли, однако банковская и финансовая сфера — это цель номер один, также достойна упоминания отрасль туризма. Основную проблему спикер видит в том, что стране не хватает ресурсов для защиты инфраструктуры, а также нет собственной разработки. В сертификации международных решений в стране используют международные стандарты.

Беларусь. Сергей Стецюк, руководитель центра кибербезопасности ООО «Секьюрити Лаб», подтвердил предположение Владимира Дрюкова, что киберландшафт в наших двух государств похож. Спикер рассказал, что за последние годы фокус атак сместился в сторону госкомпаний, промышленности, а также отметил высокий уровень мотивации и компетенции киберпреступников: они совершают атаки такой сложности, которую раньше видеть не приходилось. Отвечая на вопрос о стартап культуре в стране, Сергей отметил, что исторически в Беларуси сильная инженерная школа, и есть сильные специалисты-интеграторы. До недавнего времени вопрос с инвестициями в стартапы был упущен, однако сегодня государство понимает проблематику, и процесс запущен.

Россия. По наблюдению Дмитрия Шепелявого, директора по развитию международного бизнеса Innostage, кибербезопасность — глобальная индустрия, где все говорят на одном языке, международные стандарты, сертификаты по большому счету одни и те же, и это преимущество для глобального сотрудничества. Спикер отметил, что спрос зарубежных заказчиков на отечественные решения и услуги увеличивается, потому что заказчики хотят балансировать свои риски и не доверяться поставщику только из одного региона. По его мнению, ключевые экспортные направления — развитие компетенций специалистов, совместная инженерная разработка и обмен информацией в рамках Threat Intelligence.

Чего хотят заказчики от поставщиков? Такой вопрос задал участникам модератор сессии SOC Forum 2024 или «Про клиентский опыт без купюр» Владимир Дрюков, директор Solar JSOC ГК «Солар». Он предложил обсудить развитие ожиданий клиентов и порассуждать, как можно замерить качество услуг заказчика.

Андрей Каширин, директор по информационной безопасности ГК «Черкизово», подчеркнул, что очень важно, чтобы вендор не просто продавал сервис, а формировал потребность, обучал заказчика. Максимальная квинтэссенция их сотрудничества —когда оба достигли зрелости, заказчик получает качественный сервис, а вендор — конструктивную обратную связь, которая помогает делать сервис лучше.

Алексей Волков, вице-президент по информационной безопасности ВымпелКом, предложил интересный взгляд на связь кибербезопасности и клиентского опыта: «Она бывает реальная и воспринимаемая, которой можно манипулировать. Например, никаких утечек не было, у компании хорошая репутация, клиент ей доверяет, хотя реальных процессов ИБ в компании не построено. И наоборот, иногда пользователь переносит личный опыт с сервисом на его безопасность: он считает, что если столкнулся с буллингом в соцсети, то эта платформа не безопасна».

Сергей Шерстобитов, генеральный директор Angara Security, заметил парадокс во взаимоотношениях заказчиков и поставщиков: «С одной стороны, все хотят много зрелых продуктов, здоровую конкуренцию, а с другой, никто не хочет незрелый продукт. Но зрелость не появится сама собой. Нужны две заинтересованные стороны, и должно пройти некоторое время. Сегодня на форуме мы видим, сколько российских производителей уже вышло на хороший надежный уровень».

Муслим Меджлумов, директор по продуктам и технологиям BI.ZONE, считает, что удовлетворенность клиента может быть показательным критерием для оценки качества сервиса поставщика ИБ. Спикер привел в пример опыт проведение опроса C-SAT: если даже внутри анкеты одного заказчика можно найти много противоречий, то, анализируя статистическую выборку и рассматривая ее в динамике, можно определить зоны роста и значительно улучшить свой сервис.

На SOC Forum 2024 прошла сессия «Кибербез здесь и сейчас: как заглянуть за горизонт». В качестве вступления Роман Чаплыгин, директор по консалтингу ГК «Солар», рассказал про историю тренд-скаутинга, или анализа трендов, который зародился уже в начале XIX века, с развитием рекламы и статистики.

Сегодня это серьезная сфера экономики. Экспресс-опрос аудитории показал, что 50% организаций систематически проводит анализ трендов по отдельным направлениям, 29% — только под конкретную задачу. Модератор отметил, что это хороший результат, но напомнил, что тренд скаутинг — это не предсказание, а регулярный, систематический и долгосрочный анализ и выявление паттернов. «А самое главное: после того, как тренд выявлен, выводы надо применить на практике», — подчеркнул Роман Чаплыгин. Его поддержал Павел Красовский, руководитель TeqViser: «Опыт показывает, что лидером становится тот, кто вкладывается в тренд на начальном этапе, хотя это и самый высокий риск». Спикер пояснил, что технологические тренды должны начинаться с каких-то фундаментальных исследований. Это нужно, чтобы развивать бизнес и получать экономических эффект.

Ольга Еремина, эксперт-трендвотчер LongView, отметила, что важно правильно понимать цели анализа: «Многие считают, что тренд — это что-то, куда надо успеть «заскочить» и получить быструю выгоду, а в идеале, чтобы еще никто об этом тренде не знал. На самом деле, тренд — это долгосрочное направление развития, на 3—5 лет. Работа с ним — это долгий, монотонный анализ сигналов, то есть поворотных моментов в сознании общества. Определить верный сигнал очень трудно». Александр Бубнов, руководитель центра экспертизы по инновациям Академии Бизнес-системы Севергрупп, добавил, что социально-экономические, политические тренды, дают влияние на другие тренды, в том числе технологические, поэтому их надо рассматривать в связке.

Мы склоны переоценивать тренды в моменте и недооценивать их долгосрочное влияние, напомнил Алексей Сидорюк, советник генерального директора по искусственному интеллекту Ассоциации ФинТех: «Хороший тренд должен настояться, так как на него влияет очень много различных факторов. Например, одна из проблем развития генеративного ИИ — преодоление привычки людей искать информацию в интернете, как и раньше».

Максим Егерев, CPO Ростелеком, рассказал об основном инструменте, который используется в корпорации: технологическом радаре — инструменте оценки и сравнения российских технологий. Он базируется как на трендвотчинге, так и на отраслевом опыте. В основе радара четкие чек-листы, определение методологии сбора информации и круга источников.

По данным Solar JSOC, 20% инцидентов безопасности в корпоративных инфраструктурах связаны с проблемами управления доступом. Таковы результаты исследования, которыми поделился на SOC Forum 2024 директор департамента управления доступом ГК «Солар» Дмитрий Бондарь.

«20% инцидентов — это цифра, которую трудно игнорировать, — подчеркнул Дмитрий. — К примеру, у 70% пользователей избыточные права. Кроме того, аккаунты есть не только у сотрудников. Есть подрядчики, есть даже учетные записи роботов, которые зачем-то должны ходить в инфраструктуру. Все это факторы, которые сложно упорядочить, поэтому компании часто не думают о них».

Дмитрий также рассказал, что 42% компаний строят управление доступом на базе своего опыта и здравого смысла, однако забывают о лучших мировых практиках. 45% организаций регламентируют процессы частично и не следят за их исполнением. Более 40% компаний сталкиваются с проблемами при прекращении доступа в связи с бесхозными или устаревшими учетными записями, а также с аккаунтами уволенных сотрудников. Наконец, у 55% управление доступом организовано бессистемно и с частичной автоматизацией.

На SOC Forum директор по управлению и M&A ГК «Солар» Игорь Хереш представил стратегию масштабных инвестиций компании в информационную безопасность. Компания не только разрабатывает инновационные продукты, но и активно инвестирует в перспективные ниши.

«Сегодня мы выпускаем не менее пяти продуктов в год — это огромный вызов. Наша инвестиционная программа составляет 22 млрд рублей, и мы нацелены стать не просто лидером, а ключевым игроком на рынке ИБ», — отметил Хереш.

Программа инвестиций включает четыре ключевых направления:

  1. R&D — инвестиции в собственные разработки и команду, создающую передовые решения.
  2. M&A — приобретение компаний и долей в бизнесах для расширения продуктовых предложений. Это направление работает там, где эффективнее покупать, чем развивать с нуля.
  3. Стратегические партнерства — объединение ресурсов для создания совместных предприятий с долгосрочными перспективами. Главный принцип эффективного партнерства, как отметил эксперт, заключается в том, чтобы компании получали синергию от сотрудничества: «1+1 должно быть равно 3, только тогда партнерство окажется действительно эффективным».
  4. Венчурные инвестиции — поддержка стартапов с высоким потенциалом. Через программу CYBERSTAGE «Солар» уже провел более 100 экспертных сессий, чтобы развивать уникальные идеи разных форматов — от студенческих проектов до небольших команд.

«Рынок ИБ настолько специфичен, что его трудно понять извне по таблице Excel. Мы помогаем стартапам с идеями, а инвесторов учим понимать, как стать венчурным инвестором на рынке информационной безопасности».

В своем докладе на SOC Forum 2024 Александр Вураско, ГК «Солар», дал краткий обзор внешних цифровых угроз на основе данных сервиса Solar Aura.

С января по сентябрь 2024 года сервис Solar AURA зафиксировал 569 инцидентов, связанных с утечками данных из российских компаний. Чуть больше половины из их попало в публичный доступ: это в основном те утечки, которые являются результатом внешнего злонамеренного воздействия. Самыми пострадавшими от утечек отраслями стали финансы, ритейл и сфера услуг.

Эксперт отметил, что общий объем опубликованных данных резко снизился, на 95% до 5 терабайт. В отчетном периоде было меньше инцидентов, в ходе которых злоумышленники смогли зайти глубоко внутрь инфраструктуры компании.

Похожие статьи