Комитет РСПП по энергетической политике и энергоэффективности провел семинар-совещание на тему «Операционные центры безопасности (Security Operations Centers (SOC)) в ТЭК. Практика применения, особенности и перспективы развития».
«В ближайшее время число инцидентов в области информационной безопасности на предприятиях ТЭК будет возрастать, но компаниями предпринимаются все необходимые шаги для минимизации рисков и защиты данных», - заявил Исполнительный директор Проектного офиса по проблемам кибербезопасности в ТЭК Комитета РСПП по энергетической политике и энергоэффективности И.Жеухин.
Так, по данным Национального координационного центра по компьютерным инцидентам, основной интерес злоумышленников в 2019 г. составляли сведения о российских технологиях в энергетике и ракетостроении, оборонной и атомной промышленности.
Он отметил, что количество киберинцидентов в отношении как отдельных организаций, так и целых отраслей только за последний год возросло на 20%. Столь бурный рост числа киберугроз объясняется тем, что внедрение правил безопасности не успевает за скоростью цифровизации данных, не хватает квалифицированных специалистов, зачастую отсутствует опыт и наработанные методики защиты информации.
Для реализации проактивной реакции на вышеуказанные инциденты информационной безопасности, по мнению участников мероприятия, необходимо внедрение в организациях комплексного мониторинга на базе Security Operations Center. Однако, при внедрении SOC предприятия сталкиваются с рядом сложностей. Часть из них специфична для каждой организации, задумавшей построение «SOC», но часть можно выделить, как типовую для предприятий ТЭК. Ключевыми затруднениями при внедрении «SOC» являются: сегментация ИТ-ландшафта, организационно-административные барьеры, недостаток квалифицированного персонала, отсутствие четкой постановки задач на выявление инцидентов от структурных подразделений организаций, недостаток отраслевой экспертизы, базовый уровень оснащенностью средствами защиты информации для детектирования и предотвращения инцидентов информационной безопасности.
Основной темой дискуссии стала роль центров мониторинга в современной системе информационной безопасности.
Участники дискуссии пришли к общему выводу, что ключевой задачей сегодня является раннее выявление и локализация кибератак с тем, чтобы принять необходимые меры противодействия еще до того момента, как злоумышленниками будет нанесен ущерб организации.
Исходя из вышеизложенного становится очевидным, что внедрение Security Operations Centers переходит из класса трендовых, «модных» задач в разряд задач, обязательных к исполнению. Невыполнение этой задачи чревато не только потерей операционного контроля над состоянием информационной безопасности, но и нарушением федеральных нормативных требований, предъявляемых к предприятиям ТЭК.
На более прикладном уровне эта тема получила развитие в рамках трека «Эволюционный путь информационной безопасности: от SIEM к SOC. Практический опыт компании АО «СУЭК» начальника Отдела ИБ ДОВ Д. Мордвинкина: были представлены результаты и проблематика после внедрения SIEM, векторы дальнейшего развития компании и ожидаемые результаты: целостный взгляд на инфраструктуру со стороны ИТ и ИБ, быстрое и безопасное подключение новых предприятий в группу компаний, ИБ как прозрачный сервис для остальных подразделений, измеряемая информационная безопасность и др.
По мнению генерального директора ООО «VolgaBlob» А.Скакунова, перед компаниями сегодня стоят такие вызовы, как необходимость в исследовании подозрительных активностей в инфраструктуре и использовании продвинутых технологий выявления атак. Осложняющими факторами являются ограниченность ресурсов информационной безопасности и недостаток специалистов узкого профиля.
Директор компании ООО «Антифишинг» С. Волдохин представил основные виды цифровых атак на сотрудников, а также кейсы по обучению и тренировке сотрудников в рамках процессов SOC;
В ходе дискуссии участники семинара поделились практическим опытом категорирования и защиты критической информационной инфраструктуры, организации процесов выявления и реагирования на компьютерные инциденты.
Как отметили присутствующие на мероприятии в большинстве компаний нет единой картины происходящего в инфраструктуре, использование SOC необходимо для принятия комплексных мер по улучшению уровня информационной безопасности для максимально быстрого выявления инцидентов и противодействия компьютерным преступникам.
