IT-криминал

Depositphotos

«За год мы предотвратили почти 500 млн переходов на фишинговые ссылки»

Интервью с вице-президентом МТС по корпоративной безопасности Иваном Гайченей

Из года в год киберугроз становится все больше. Массированные атаки вредоносных программ и взломы компьютерных систем наносят удары не только по простым пользователям, но сразу по государствам и корпорациям. Инциденты, вроде прошлогодних программ-вымогателей, способны парализовать деятельность в критически важных сферах. О том, что делают операторы связи для обеспечения кибербезопасности, «Газете.Ru» рассказал вице-президент МТС по корпоративной безопасности Иван Гайченя.

— Вы согласны с утверждением, что чем больше вещей вокруг нас подключаются к интернету, тем более они становятся уязвимыми? Какие угрозы приносит глобальная цифровизация?

— Любая новая технология несет в себе риски при неправильном обращении с ней. Например, с определенной точки зрения крайне опасными и вредными можно признать и автомобили, и атомные электростанции, но никому же в голову не придет их запрещать. То же самое применимо и к информационным технологиям. Информационная безопасность — это не только правильное поведение пользователей. Это, в первую очередь, вопрос компетентности и ответственности тех, кто организовывает IT-процессы и оказывает цифровые услуги. То есть в том числе это касается и телеком-операторов.

Если говорить о ситуации в России и её месте в глобальных рейтингах кибератак, то, с одной стороны, ситуация несколько улучшается. В последние три года Россия перестала попадать в топ стран с наибольшими рисками заражения через интернет, локальным способом и посредством услуг связи. Это значит, государство, бизнес и рядовые пользователи начали уделять больше внимания вопросам информационной безопасности. Но, с другой стороны, картина в России далека от благополучной — наша страна всё еще занимает одни из лидирующих позиций по зафиксированным источникам атак.

— Что нам ждать от хакеров и киберпреступников в ближайшее время?

— Список угроз внушителен, мы постоянно их отслеживаем. Появляется всё больше сложных вредоносных программ для мобильных устройств, укрупняются группы ботнетов (зараженные устройства, образующие роботизированные сети) — прим.), которые используются для проведения DDoS-атак, рассылки спама, шантажа, финансовых махинаций и кражи данных. В этом году продолжат свое наступление программы-вымогатели, будут совершенствоваться способы хищения денег с банковских карт и счетов через каналы дистанционного обслуживания, а также путём взломов сетей финансовых организаций. С появлением новых финансовых технологий будут похищать уже крипотвалюту, ожидаются атаки на банковские системы, построенные на блокчейне.

Сейчас во многих сферах экономики и в повседневной жизни все шире применяются технологии интернета вещей, IoT. Они позволяют контролировать различные физические объекты через доступ в интернет. Однако пренебрежение мерами информационной безопасности со стороны производителей и пользователей уже привело к появлению десятков тысяч устройств, которые без ведома их владельцев контролируются злоумышленникам и используются в кибератаках.

И самое проблемное — увеличится число атак на финансовые организации, госорганы и даже государства со стороны хакеров. Это уже близко к понятию «информационная война». Если раньше основной целью злоумышленников были большей частью деньги и данные, то сегодня растут риски террористических атак на органы госвласти, критически важную инфраструктуру на транспорте, в энергетике, в промышленности. Никуда не делись риски взломов информационных систем предприятий крупного и среднего бизнеса.

— Готова ли IT-отрасль России эффективно противодействовать этим угрозам? И что нужно для этого сделать?

— Необходимо комплексно оценивать масштаб киберугроз, а для этого надо правильно, шире трактовать термин «информационная безопасность». Если раньше под ним подразумевалась в основном защита информации, то теперь он охватывает, в том числе, и вопросы мошенничества, дезинформации, киберразведки. Спектр угроз растет, что требует от всех игроков скоординированных усилий в разработке и внедрении новых технологий защиты информации. Хорошо, что для этого в нашей стране проводится соответствующая политика, есть люди, компетенции и знания. К примеру, в рамках программы «Цифровая экономика» мы участвовали в разработке плана мероприятий по направлению «Информационная безопасность», куда вошли ряд проектов: это разработка стандартов безопасности для технологии 5G, построение информационного пространства доверия в России и ЕАЭС, обеспечение безопасности информационного взаимодействия через сети связи общего пользования.

Если говорить о технологическом уровне, то, судя по нашим партнерам, многие российские IT-компании за последние годы совершили большой скачок. Появляются новые качественные продукты и решения мирового класса. Этому способствует не только появление новых угроз, но и новые законодательные требования к защите информации, а также политика суверенизации IT-сферы и импортозамещения ПО. Мы со своей стороны начинаем работу по нескольким ключевым направлениям. Это защита интернета вещей, больших пользовательских данных и объектов критической информационной инфраструктуры, совершенствование сервисов защиты информации для мобильных устройств и облачных платформ, а также услуги информационной безопасности для корпоративных клиентов на базе нашего Центра мониторинга информационной безопасности. Кроме того, в ближайших планах — предоставление консалтинга по вопросам информационной безопасности другим компаниям и организациям.

— Какова специфика сотовых операторов в обеспечении информационной безопасности?

МТС, как инфраструктурная компания, имеет не только коммерческие интересы, но и обязательства по обеспечению информационной безопасности клиентов, общества и государства. Характер нашей деятельности и требования законодательства, в том числе по защите тайны связи и персональных данных, налагает на мобильных операторов дополнительную ответственность.

Как федеральный оператор, присутствуя в каждом регионе, располагая магистральными ВОЛС и сетью базовых станций, мы должны бесперебойно предоставлять голосовую связь, передачу данных, доступ в интернет, платежные сервисы и другие услуги. Для этого Центр мониторинга информационной безопасности в круглосуточном режиме обеспечивает защиту инфраструктуры. Весомым шагом в нашей работе является налаживание взаимодействия с ГосСОПКА — Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак. На базе Центра оперативного мониторинга информационной безопасности МТС уже создан корпоративный центр ГосСОПКА для группы компаний АФК «Система».

— Что делается для защиты абонентов?

— Пропускная способность каналов МТС вместе с имеющейся инфраструктурой и экспертизой сотрудников позволяет защищать абонентов от DDoS-атак. Наш Центр мониторинга ежесекундно отслеживает подозрительную активность и принимает оперативные меры. Например, в прошлом году мы успешно отразили все массовые и разрушительные атаки вирусов Petya и WannaCry, а также атаку на нашу сеть о стороны международной киберпреступной группировки Cobalt. Их жертвами по всему миру стали сотни компаний.

Если говорить о наших абонентах, то в прошлом году было выявлено и заблокировано более трех тысяч ссылок на вредоносные программы и адреса серверов управления, в результате чего было предотвращено почти 500 млн абонентских переходов на эти ссылки и сервера. Для сравнения, в 2016 году таких предотвращенных переходов было около 190 миллионов. Определение зараженных устройств абонентов помогает предотвратить вывод средств не только со счета мобильного телефона, но и с банковской карты. Мы также проводим разъяснительную работу среди наших абонентов, через собственные информационные ресурсы информируя о рисках на сетях связи и в интернете.

Кроме того, мы вышли на рынок услуг информационной безопасности и готовы защищать другие компании и организации. Тенденции таковы, что сейчас компании, работающие в нашем сегменте, становятся поставщиками самых разнообразных цифровых услуг: от электронной коммерции, документооборота и киберспорта до облачной обработки данных, системной интеграции и телемедицины. В том числе мы защищаем компании через собственный Центр мониторинга информационной безопасности. Компании, входящие в АФК «Система», уже пользуются нашими услугами — так, с середины прошлого года мы отработали у них более 16 тыс. критичных инцидентов и отразили все массированные на их ресурсы, ликвидировали вирусные заражения.

— С какими сложностями сталкивается отрасль в противодействии киберугрозам?

— Я бы отметил одну основную проблему — определенный дефицит квалифицированных кадров на рынке в области кибербезопасности. Такой специалист работает на стыке нескольких областей. С одной стороны, он должен в совершенстве знать техническую часть и обладать опытом не ниже телеком- либо IT-специалиста. С другой стороны, ему необходимо перенимать методологию работы от классического специалиста по безопасности. И, кроме этого, он должен обладать широким кругозором, быть всегда в курсе новых разработок.

— Каковы перспективы вашего участия в ГосСОПКе и в группах реагирования на компьютерные инциденты по защите критической информационной инфраструктуры?

— Создание таких систем станет большим шагом вперед. Сейчас мы завершаем налаживание взаимодействия с ними и с Национальным координационным центром по компьютерным инцидентам (НЦКЦИ). Подключение к ним, построение корпоративных и ведомственных центров информационной безопасности значительно улучшит защищенность информационных ресурсов ключевых российских компаний. Сейчас многие организации только осваивают базовые меры безопасности, но с этого года после вступления в силу требований законодательства, предприятия, владеющие объектами критической информационной инфраструктуры, должны будут создать свои центры мониторинга информационной безопасности, то есть SOC (Security Operation Center — прим.), или воспользоваться услугами коммерческих SOC. И, несмотря на то, что процесс этот сложный, требующий много усилий, польза от таких мероприятий очевидна. И здесь в первую очередь важен результат: безопасность ключевых предприятий страны.

— Как вы оцениваете партнерство с российскими и международными ИТ-компаниями в сфере кибербезопасности?

— Сегодня противодействие киберпреступности выходит на новый уровень, без партнерства и сотрудничества есть риск остаться один на один с растущими угрозами. Мы являемся неотъемлемой частью мирового информационного пространства, а кибербезопасность — это одна из немногих сфер, где жизненно важно оперативное взаимодействие и обмен информацией. Так мы закупаем современные аппаратно-программные комплексы международных и российских компаний, совместно разрабатываем передовые технологические решения, принимаем участие в тематических мероприятиях, обмениваемся опытом в сфере безопасности информации.