Уроки кибервойны: делаем выводы и готовим стратегию
С начала специальной военной операции Россия столкнулась с беспрецедентным количеством различных киберугроз. Фейки, взломы, утечки, кибератаки — почти каждый день СМИ сообщают о печальных событиях в работе организаций и информационных ресурсов. Одновременно с этим с рынка уходит множество компаний, призванных обеспечивать защиту и безопасность. В сфере кибербезопасности, так же как в других отраслях, остро встает вопрос об импортозамещении.
Принимая всю ответственность за происходящее, руководство страны в один месяц выпускает два указа: №83 «О мерах по обеспечению ускоренного развития отрасли информационных технологий в Российской Федерации» и №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ». Разворачивается масштабная кампания по поддержке IT-специалистов и развитию отечественных IT-разработок.
И, наконец, самое важное — 1 мая 2022 года Президент РФ Владимир Путин подписывает Указ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Указ распространяется на органы госвласти, государственные фонды, госкорпорации, иные предприятия, созданные на основании ФЗ, стратегические предприятия, акционерные общества, системообразующие организации экономики и субъекты критической информационной инфраструктуры.
В каждой из таких организаций должны быть созданы структурные подразделения, отвечающие за кибербезопасность. Данная мера резко актуализирует вопрос о количестве и качестве специалистов по кибербезопасности в стране.
Еще недавно мы в «Сбере» оценивали дефицит кадров в отрасли кибербезопасности в 20 000 сотрудников. Теперь в контексте Указа президента этот показатель необходимо пересмотреть в сторону значительного увеличения.
Принятие такого решения на самом высоком уровне обусловлено, конечно же, ситуацией, сложившейся на фоне специальной военной операции. По данным ЦБ РФ, за период с 24 февраля по 12 апреля только в финансовой сфере количество крупных DDoS-атак на российские банки составило 265. По сравнению с началом 2022 года таких атак стало в 22 раза больше.
Многие российские организации не были готовы к тому, что могут оказаться под прицелом киберпреступников. Не буду долго рассуждать о среднем уровне киберзащиты отечественных компаний, приведу лишь несколько фактов независимых экспертов.
«Лаборатория Касперского» сообщила о рекордном количестве DDoS-атак. В первом квартале 2022 года рост на 46% числа атак относительно четвертого квартала 2021 года.
Эксперты Group-IB выявили на российских серверах почти 7500 незащищенных баз данных, которые могут привести не только к утечкам информации, но и к целевым атакам на организации.
Исследования Positive Technologies показали, что на 78% российских промышленных предприятиях доступ к важным техническим и информационным системам защищен одинаковыми паролями. А значит, узнав всего один пароль, злоумышленники могут получить доступ ко всем автоматизированным процессам и остановить производство.
На сегодняшний день опубликовано свыше 600 млн объявлений о продаже данных на теневом рынке.
Такое положение дел говорит об отсутствии в компаниях квалифицированных специалистов и в целом напрямую связано с кадровым дефицитом в сфере кибербезопасности. Для решения большинства вопросов киберзащиты нужны в первую очередь не бюджеты, а компетентные специалисты.
Начиная с 24 февраля самыми атакуемыми были ресурсы «Сбера»: за первый квартал 2022 года банк отразил 349 DDoS-атак. Для сравнения: в четвертом квартале 2021 года этот показатель составил 32, а за весь 2021 год — 154. Шестого мая мы отразили самую мощную атаку за всю историю банка. Ее мощность достигала более 400 Gbps, вредоносный трафик был сгенерирован Ботнетом, состоящим из более чем 27 000 устройств.
Нашей команде не привыкать работать в условиях, близких к боевым: «Сбер» уже на протяжении многих лет является для киберпреступников мишенью №1 в России. Однако в этот период мы столкнулись с такой проверкой на прочность, аналогов которой в нашей практике еще не было. Команда кибербезопасности «Сбера» не только выдержала первый удар, но и приобрела уникальный опыт. Считаю, что наша «кибероборона» в этот период и ее герои войдут в историю отрасли.
Как появилась эта команда и какие инструменты она использует? В 2015 году руководство Сбербанка пошло на беспрецедентный шаг, инициировав полную трансформацию кибербезопасности. Банк централизовал все функции и процессы путем создания ядра службы кибербезопасности. Защиту инфраструктуры от кибератак осуществляет Центр киберзащиты, который в режиме 24/7 мониторит киберугрозы и реагирует на них. В область контроля Центра киберзащиты входит свыше 2 млн элементов инфраструктуры, при этом в день анализируется более 300 млрд событий кибербезопасности.
В Центре киберзащиты банка функционирует Интеллектуальная система управления киберугрозами (TIP, Threat Intelligence Platform) — уникальная и запатентованная разработка Сбербанка, основанная на технологиях искусственного интеллекта. Система собирает оперативные данные из открытых источников и теневого интернета и оценивает масштаб киберугроз. Интеграции с внутренними системами мониторинга позволяют проецировать обнаруженные киберугрозы на инфраструктуру, моделировать пути их распространения и, соответственно, оперативно выстраивать защиту.
Важно понимать, что киберугрозы сегодня могут прийти с любой стороны и необходимо быть готовым к любым неожиданностям. Мы для себя сформировали следующие ключевые направления: киберзащита инфраструктуры, DevSecOps, противодействие мошенничеству, защита персональных данных и конфиденциальной информации, криптография, экспертиза и методология, разработка и развитие новых продуктов кибербезопасности. Чтобы всегда быть на шаг впереди, сформированы центр аналитики и лаборатория кибербезопасности. Для каждого из этих направлений нужны свои эксперты.
При найме новых сотрудников «Сбер» предъявляет определенные требования к образованию кандидата, но при этом более существенную роль играют практический опыт кандидата и его реальные знания и навыки.
Сегодня эксперт в кибербезопасности — уникальная профессия. Прежде всего это, конечно же, эксперт в IT. Но сферы кибербезопасности и IT неразрывно связаны, что, в свою очередь, требует от IT-специалиста супернавыков, которые мы относим к сфере кибербезопасности. При этом важно понимать, что кибербезопасность — это широкая область, в которой работают специалисты самых разных профилей, включая те, которые формально не относятся к данной сфере: финансисты, разработчики моделей искусственного интеллекта, математики, инженеры данных и пр. Необходимо отметить, что совместная работа в команде кибербезопасности «Сбера» специалистов с разным образовательным бэкграундом и, соответственно, с совершенно разными навыками и знаниями позволяет достигать синергетического эффекта и успешно реализовывать сложные комплексные проекты, в частности, разрабатывать инновационные сервисы кибербезопасности для клиентов.
Для повышения профессиональных навыков сотрудников сформирована специальная матрица обучения, в рамках которой сотрудники планируют и проходят обучение, подтверждают полученное образование сертификатами, участвуют в профильных конференциях и соревнованиях.
При необходимости получения специальных знаний в части эксплуатации конкретных средств защиты или иной области обеспечения кибербезопасности сотрудник будет направлен на дополнительное обучение.
Кроме того, мы регулярно проводим методологические семинары для всех сотрудников Департамента кибербезопасности «Сбера», на которых разбираем новые подходы, возможные изменения в процессах и лучшие практики для дальнейшего внедрения и развития. Я сам лично читаю курс о построении системы управления кибербезопасностью.
Что происходит на рынке труда в сфере кибербезопасности сейчас? Мы наблюдаем, что на какое-то время он замер: частота переходов из компании в компанию сократилась в три раза. Нужно отметить, что высококвалифицированных профессионалов бизнес готов, как говорится, отрывать с руками: недавно был зафиксирован кейс, когда генеральный директор нанял CISO с зарплатой больше, чем у него самого.
Решить проблему дефицита специалистов по кибербезопасности быстро, к сожалению, не получится. Корень этой проблемы в системе профильного образования и острой нехватке преподавателей. Но и это лишь один из аспектов проблемы. Как правило, профильные вузы дают своим выпускникам неплохие академические знания, но реальность очень быстро меняется, поэтому этих знаний оказывается недостаточно для работы. К тому же материально-техническая и лабораторная базы образовательных организаций, как правило, не соответствуют современным вызовам. Как результат — низкий уровень компетенций IT-специалистов, узкий, однобокий подход к своей работе. В итоге компаниям придется вкладываться в дообучение новоиспеченных выпускников, на что потребуются годы.
«Сбер» сотрудничает в сфере кибербезопасности с целым рядом университетов, которым мы помогаем создавать актуальные учебные программы и готовить специалистов. Мы готовы делиться нашими знаниями и опытом со всеми российскими образовательными структурами, заинтересованными в том, чтобы обеспечить страну необходимым количеством качественных специалистов.
Со стороны государственной поддержки мы рассчитываем на масштабную пропаганду кибербезопасности, а также на формирование централизованной базы правил и рекомендаций, четких решений и единых требований к обеспечению кибербезопасности на всех уровнях, а также созданию новых более гибких программ обучения в сфере кибербезопасности.
А пока текущая ситуация требует от всех нас, от каждой компании максимально критически пересмотреть свои подходы к защите и безопасности и выстроить образовательную стратегию по подготовке кадров и мобилизации внутренних ресурсов по переквалификации сотрудников.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
Принимая всю ответственность за происходящее, руководство страны в один месяц выпускает два указа: №83 «О мерах по обеспечению ускоренного развития отрасли информационных технологий в Российской Федерации» и №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ». Разворачивается масштабная кампания по поддержке IT-специалистов и развитию отечественных IT-разработок.
И, наконец, самое важное — 1 мая 2022 года Президент РФ Владимир Путин подписывает Указ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Указ распространяется на органы госвласти, государственные фонды, госкорпорации, иные предприятия, созданные на основании ФЗ, стратегические предприятия, акционерные общества, системообразующие организации экономики и субъекты критической информационной инфраструктуры.
В каждой из таких организаций должны быть созданы структурные подразделения, отвечающие за кибербезопасность. Данная мера резко актуализирует вопрос о количестве и качестве специалистов по кибербезопасности в стране.
Кадровый голод на фоне кибервойны
Еще недавно мы в «Сбере» оценивали дефицит кадров в отрасли кибербезопасности в 20 000 сотрудников. Теперь в контексте Указа президента этот показатель необходимо пересмотреть в сторону значительного увеличения.
Принятие такого решения на самом высоком уровне обусловлено, конечно же, ситуацией, сложившейся на фоне специальной военной операции. По данным ЦБ РФ, за период с 24 февраля по 12 апреля только в финансовой сфере количество крупных DDoS-атак на российские банки составило 265. По сравнению с началом 2022 года таких атак стало в 22 раза больше.
Необходимость для каждой компании укреплять свою защиту очевидна
Многие российские организации не были готовы к тому, что могут оказаться под прицелом киберпреступников. Не буду долго рассуждать о среднем уровне киберзащиты отечественных компаний, приведу лишь несколько фактов независимых экспертов.
«Лаборатория Касперского» сообщила о рекордном количестве DDoS-атак. В первом квартале 2022 года рост на 46% числа атак относительно четвертого квартала 2021 года.
Эксперты Group-IB выявили на российских серверах почти 7500 незащищенных баз данных, которые могут привести не только к утечкам информации, но и к целевым атакам на организации.
Исследования Positive Technologies показали, что на 78% российских промышленных предприятиях доступ к важным техническим и информационным системам защищен одинаковыми паролями. А значит, узнав всего один пароль, злоумышленники могут получить доступ ко всем автоматизированным процессам и остановить производство.
На сегодняшний день опубликовано свыше 600 млн объявлений о продаже данных на теневом рынке.
Такое положение дел говорит об отсутствии в компаниях квалифицированных специалистов и в целом напрямую связано с кадровым дефицитом в сфере кибербезопасности. Для решения большинства вопросов киберзащиты нужны в первую очередь не бюджеты, а компетентные специалисты.
Кто защищает систему, когда она в опасности: опыт «Сбера»
Начиная с 24 февраля самыми атакуемыми были ресурсы «Сбера»: за первый квартал 2022 года банк отразил 349 DDoS-атак. Для сравнения: в четвертом квартале 2021 года этот показатель составил 32, а за весь 2021 год — 154. Шестого мая мы отразили самую мощную атаку за всю историю банка. Ее мощность достигала более 400 Gbps, вредоносный трафик был сгенерирован Ботнетом, состоящим из более чем 27 000 устройств.
Нашей команде не привыкать работать в условиях, близких к боевым: «Сбер» уже на протяжении многих лет является для киберпреступников мишенью №1 в России. Однако в этот период мы столкнулись с такой проверкой на прочность, аналогов которой в нашей практике еще не было. Команда кибербезопасности «Сбера» не только выдержала первый удар, но и приобрела уникальный опыт. Считаю, что наша «кибероборона» в этот период и ее герои войдут в историю отрасли.
Как появилась эта команда и какие инструменты она использует? В 2015 году руководство Сбербанка пошло на беспрецедентный шаг, инициировав полную трансформацию кибербезопасности. Банк централизовал все функции и процессы путем создания ядра службы кибербезопасности. Защиту инфраструктуры от кибератак осуществляет Центр киберзащиты, который в режиме 24/7 мониторит киберугрозы и реагирует на них. В область контроля Центра киберзащиты входит свыше 2 млн элементов инфраструктуры, при этом в день анализируется более 300 млрд событий кибербезопасности.
В Центре киберзащиты банка функционирует Интеллектуальная система управления киберугрозами (TIP, Threat Intelligence Platform) — уникальная и запатентованная разработка Сбербанка, основанная на технологиях искусственного интеллекта. Система собирает оперативные данные из открытых источников и теневого интернета и оценивает масштаб киберугроз. Интеграции с внутренними системами мониторинга позволяют проецировать обнаруженные киберугрозы на инфраструктуру, моделировать пути их распространения и, соответственно, оперативно выстраивать защиту.
Как формируется и развивается команда «Сбера»
Важно понимать, что киберугрозы сегодня могут прийти с любой стороны и необходимо быть готовым к любым неожиданностям. Мы для себя сформировали следующие ключевые направления: киберзащита инфраструктуры, DevSecOps, противодействие мошенничеству, защита персональных данных и конфиденциальной информации, криптография, экспертиза и методология, разработка и развитие новых продуктов кибербезопасности. Чтобы всегда быть на шаг впереди, сформированы центр аналитики и лаборатория кибербезопасности. Для каждого из этих направлений нужны свои эксперты.
При найме новых сотрудников «Сбер» предъявляет определенные требования к образованию кандидата, но при этом более существенную роль играют практический опыт кандидата и его реальные знания и навыки.
Сегодня эксперт в кибербезопасности — уникальная профессия. Прежде всего это, конечно же, эксперт в IT. Но сферы кибербезопасности и IT неразрывно связаны, что, в свою очередь, требует от IT-специалиста супернавыков, которые мы относим к сфере кибербезопасности. При этом важно понимать, что кибербезопасность — это широкая область, в которой работают специалисты самых разных профилей, включая те, которые формально не относятся к данной сфере: финансисты, разработчики моделей искусственного интеллекта, математики, инженеры данных и пр. Необходимо отметить, что совместная работа в команде кибербезопасности «Сбера» специалистов с разным образовательным бэкграундом и, соответственно, с совершенно разными навыками и знаниями позволяет достигать синергетического эффекта и успешно реализовывать сложные комплексные проекты, в частности, разрабатывать инновационные сервисы кибербезопасности для клиентов.
Универсальных кибербезопасников не бывает, продумываем дополнительное обучение
Для повышения профессиональных навыков сотрудников сформирована специальная матрица обучения, в рамках которой сотрудники планируют и проходят обучение, подтверждают полученное образование сертификатами, участвуют в профильных конференциях и соревнованиях.
При необходимости получения специальных знаний в части эксплуатации конкретных средств защиты или иной области обеспечения кибербезопасности сотрудник будет направлен на дополнительное обучение.
Кроме того, мы регулярно проводим методологические семинары для всех сотрудников Департамента кибербезопасности «Сбера», на которых разбираем новые подходы, возможные изменения в процессах и лучшие практики для дальнейшего внедрения и развития. Я сам лично читаю курс о построении системы управления кибербезопасностью.
На что настроиться и к чему быть готовым
Что происходит на рынке труда в сфере кибербезопасности сейчас? Мы наблюдаем, что на какое-то время он замер: частота переходов из компании в компанию сократилась в три раза. Нужно отметить, что высококвалифицированных профессионалов бизнес готов, как говорится, отрывать с руками: недавно был зафиксирован кейс, когда генеральный директор нанял CISO с зарплатой больше, чем у него самого.
Решить проблему дефицита специалистов по кибербезопасности быстро, к сожалению, не получится. Корень этой проблемы в системе профильного образования и острой нехватке преподавателей. Но и это лишь один из аспектов проблемы. Как правило, профильные вузы дают своим выпускникам неплохие академические знания, но реальность очень быстро меняется, поэтому этих знаний оказывается недостаточно для работы. К тому же материально-техническая и лабораторная базы образовательных организаций, как правило, не соответствуют современным вызовам. Как результат — низкий уровень компетенций IT-специалистов, узкий, однобокий подход к своей работе. В итоге компаниям придется вкладываться в дообучение новоиспеченных выпускников, на что потребуются годы.
«Сбер» сотрудничает в сфере кибербезопасности с целым рядом университетов, которым мы помогаем создавать актуальные учебные программы и готовить специалистов. Мы готовы делиться нашими знаниями и опытом со всеми российскими образовательными структурами, заинтересованными в том, чтобы обеспечить страну необходимым количеством качественных специалистов.
Со стороны государственной поддержки мы рассчитываем на масштабную пропаганду кибербезопасности, а также на формирование централизованной базы правил и рекомендаций, четких решений и единых требований к обеспечению кибербезопасности на всех уровнях, а также созданию новых более гибких программ обучения в сфере кибербезопасности.
А пока текущая ситуация требует от всех нас, от каждой компании максимально критически пересмотреть свои подходы к защите и безопасности и выстроить образовательную стратегию по подготовке кадров и мобилизации внутренних ресурсов по переквалификации сотрудников.
