Контакты
Подписка
МЕНЮ
Контакты
Подписка

Риски информационной безопасности в телекоме

Риски информационной безопасности в телекоме

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Риски информационной безопасности в телекоме

Телекоммуникация – это часть критической инфраструктуры. Телефонами пользуются абсолютно все, мобильная связь используется для связи банкоматов с процессинговыми центрами, для Интернета вещей, для любой логистики. Имея такую масштабную сферу применения, необходимо позаботиться о надежной защите данного элемента инфраструктуры. Как и кем осуществляется защита мобильной связи и ее абонентов? Является ли облако дополнительной статьей расходов или же напротив – помогает сэкономить? Эти и другие вопросы редакция обсудила с экспертами отрасли, а также были выделены основные тренды информационной безопасности 2016 г. для телеком-компаний.

Максим Акинин, менеджер по продажам России и СНГ, Level 3
Александр Голубев, директор дирекции по информационной безопасности, ПАО “ВымпелКом"
Николай Гончаров, аспирант кафедры “Информационная безопасность" МГТУ им. Н.Э. Баумана, эксперт отдела обеспечения информационной безопасности, ПАО “МТС"
Иван Нестеров, руководитель группы по работе с партнерами, АО “Мастертел"
Андрей Прошин, менеджер по развитию бизнеса, Orange Business Services в России и СНГ
Александр Хрусталев, директор департамента информационной безопасности, ОАО МГТС

– Какие тенденции в сфере ИБ наблюдаются в российской отрасли связи?

Максим Акинин

– Увеличивающееся давление со стороны регулятора в части ограничения доступа к запрещенному контенту.

Александр Голубев

– Одним из главных трендов на российском телеком-рынке является перевод части бизнес-процессов на аутсорсинг и сокращение расходов на текущую операционную деятельность. "ВымпелКом" широко практикует аутсорсинг, и это серьезный вызов для всех взаимодействующих с подрядчиками структурных подразделений, а особенно для подразделения информационной безопасности, которое должно обеспечивать конфиденциальность, доступность и целостность данных при условии, что они де-факто уже вышли за границы компании. Однако реализуемый в компании комплекс мер позволяет обеспечить максимальную защиту информации и ее сохранность.

Николай Гончаров

– Основная тенденция – организация и создание своего SOC (Security Operation Center), немаловажным является построение систем противодействия целевым кибератакам. Помимо этого, с каждым годом борьба с мобильными вирусами и бот-сетями становится все более актуальной.

Иван Нестеров

- Отрасль смотрит на те запросы, которые транслируются от конечных пользователей (заказчиков).

Представители государственных структур, финансовый сектор, крупные корпоративные игроки и т.д. с каждым годом повышают свои требования к ИБ и стараются внедрить инновационные программные и иные средства как мониторинга угроз ИБ, так и соответствующей защиты инфраструктуры.

К операторам связи также начинают предъявлять повышенные требования в области ИБ. Однако доля нагрузки в этой сфере на операторов связи низкая за счет отсутствия большого количества информации, которую необходимо закрывать. Исключения составляют сведения по 152-ФЗ, а также небольшая часть коммерческой информации.

Андрей Прошин

– Компании стоят на пути цифровой трансформации, одновременно с этим растет количество рисков ИБ, и необходимо совершенствовать механизмы защиты информации.

Так как все продукты и услуги, так или иначе, становятся облачными (телефония, contact-центры, унифицированные коммуникации), становится более острым вопрос обеспечения безопасности облачных услуг. Многие услуги безопасности предоставляются из облака (двухфакторная аутентификация, защита мобильных устройств).

Растет количество и мощность DDoS-атак. При этом атаки становятся более целенаправленными и смещаются в сторону приложений.

В связи с ростом количества мобильных устройств и популяризацией тенденции использовать в работе персональные устройства более остро встают вопросы защиты корпоративной информации на них.

Александр Хрусталев

– Основные тенденции развития рынка ИБ на ближайшие 2–3 года будут связаны с популяризацией решений на базе интранет/интернет-порталов; распространение технологий мобильного доступа и технологии виртуализации, а также перенос ИТ-инфраструктур в облака (частные и публичные).

Мы считаем, что будет расти спрос на информационные системы для обеспечения защиты корпоративных данных на пользовательских устройствах, DLP-решения, системы обнаружения и предотвращения вторжений IDS/IPS, системы идентификации и управления доступом к информационным ресурсам IDM, комплексные системы управления информационной безопасностью СУИБ.

– В последнее время много говорят о системах предотвращения утечек информации. Насколько актуальны DLP-системы в телекоме?

Максим Акинин

– Т.к. оператор связи хранит персональные данные и отвечает за их утечку, DLP может/должен играть ключевую роль. Одной из основных проблем при их внедрении может являться классификация данных. Так что внедрение DLP – это гораздо более организационная, чем техническая задача.

Александр Голубев

– Мы активно используем DLP-системы для защиты критичной для компании информации, а также данных наших клиентов. Применение DLP полностью оправдано и уже дает практические результаты.

Николай Гончаров

– DLP-системы актуальны во многих организациях, в том числе и в телекоммуникационных компаниях. Утечка конфиденциальной информации может обойтись в большую сумму денег, а также повлечь репутационные риски. При построении данных систем необходимо уделить большое внимание архитектуре, которая должна обеспечить максимальную отказоустойчивость и при которой решение эффективно будет справляться со своими задачами без существенного влияния на работу с информацией.

Иван Нестеров

– Этот вопрос тесно пересекается с первым. Такие системы действительно актуальны в телекоме, но доля их очень мала за счет отсутствия большого количества информации, которую требуется защищать и закрывать.

Такие системы критичны для операторов большой тройки. Операторы местной фиксированной связи меньше подвержены рискам утечки информации за счет того, что данные по 152-ФЗ защищены, а остальная информация представляет мало интереса для злоумышленников.


Андрей Прошин

– Потеря информации может обойтись компании в миллионы долларов, поэтому DLP-системы актуальны и активно используются. При этом необходимо соблюдать баланс, так как у каждого сотрудника есть частная жизнь, в которую компания не должна вмешиваться.

Александр Хрусталев

– Эффективность любого решения в области ИБ характеризуется не сферой применения, а тем, какие задачи оно призвано решать. Сначала необходимо определиться: решение внедряется как инструмент обнаружения инцидентов для последующего проведения служебных проверок и расследований, либо же необходима возможность автоматического предотвращения утечки конфиденциальной информации. Последнюю задачу решают не все DLP-системы, плюс на этапе внедрения она требует более кропотливой работы в части настройки правил определения конфиденциальной информации, а также быстрого реагирования службы ИБ на инциденты с блокировкой легитимной информации. МГТС, как и другие компании, при выборе DLP отталкивается от задач, которые предполагается решать после внедрения системы. Мы при выборе поставщика DPL-решения уделили большое внимание возможности провести быструю интеграцию с уже используемыми системами ИТ и ИБ, поскольку гибкость решения в интеграции значительно упрощает жизнь администраторам как на этапе внедрения, так и при обслуживании системы.

Не стоит также забывать про требования внешних регуляторов в части лицензирования и сертификации. Для компаний из государственного и финансовых секторов, медицинских учреждений существуют определенные требования регуляторов (ФСТЭК, ЦБ и т.п.), которые обязаны выполняться, и DLP-решения должны иметь соответствующие сертификаты.

– Как противостоять мошенничеству на сетях связи?

Александр Голубев

– "ВымпелКом" использует сложный комплекс различных систем анализа, антифрод-машин, позволяющих своевременно реагировать на проявления аномального поведения в нашей сети и отражать угрозы, направленные на наших клиентов и наши системы.

Николай Гончаров

– Как правило, современные мошеннические схемы имеют сложную структуру и затрагивают сразу несколько различных сетей и компаний. Силами только одного оператора, ввиду законодательных ограничений, бороться со всеми видами мошенничества очень сложно. Данную проблему можно решить путем создания координационного центра, задачей которого будет являться обмен данными о выявленных фродовых схемах, мошеннических номерах, центрах управления мобильными бот-сетями и другой необходимой информацией. Данный центр позволит усовершенствовать существующие средства по борьбе с фродом.

Иван Нестеров

– Путем внедрения систем мониторинга ненормальной активности от клиентов компании и уголовной ответственностью.

Ненормальная активность – массовые звонки по направлениям, не характерным для данного заказчика.

Андрей Прошин

– Для этого работает круглосуточная служба мониторинга состояния сетей связи, в функции которой входят в том числе мониторинг трафика и выявление аномального трафика.

Александр Хрусталев

– Противостоять мошенничеству на сетях связи можно так же, как и в остальных сферах бизнеса, – путем создания комплексной программы информационной безопасности. Важно выделить разработку обучающих материалов по повышению осведомленности в части ИБ сотрудников компании и внедрение системы управления событиями информационной безопасности.

В настоящее время наиболее важной задачей при обеспечении ИБ в МГТС является обработка данных с различных систем, их систематизация, мониторинг и реагирование на инциденты, т.к. никакие системы или комплексы информационной безопасности сами по себе не обеспечат защиту от угроз.

Для систематизации и сокращения времени реакции на тот или иной инцидент, как правило, используют системы класса Security Information and Event Management, которые обеспечивают сбор, корреляцию и регистрацию событий со всех средств защиты информации в режиме реального времени.

В ОАО МГТС также используется система класса SIEM, которая позволяет обнаруживать аномальную активность, несанкционированные действия в момент их выполнения, получать статистику событий в процессе расследования инцидентов, а также составлять собственные правила управления инцидентами ИБ исходя из особенностей ИТ-инфраструктуры компании. Благодаря выявлению инцидентов информационной безопасности на начальной стадии нашим экспертам-аналитикам удается минимизировать последствия этих инцидентов или предотвратить их вовсе. В конечном счете, система SIEM позволяет эффективнее управлять мно-говендорной системой защиты ОАО МГТС, что обеспечивает информационную безопасность компании.

– Как защититься от DDoS-атак на клиентов?

Максим Акинин

– Полноценно защититься от DDoS-атак можно только с привлечением оператора связи, т.к. размер DDoS-атак (сейчас 200–300 Гбит/с атаки уже не редкость) практически не оставляет шансов компании защититься самостоятельно – даже если это оператор связи. Так что в настоящее время для получения полностью надежного решения наиболее разумно выбирать облачные решения на основе сети крупного (желательно глобального) оператора связи. Тем более что, как правило, стоимость таких решений радикально ниже, чем стоимость организации внутренней системы защиты, для которой требуется оборудование, избыточные каналы связи, персонал и т.д.

Александр Голубев

– На сегодняшний день DDoS-атаки, запрещающие клиенту использовать системы, информацию или возможности компьютера, являются доминирующими. В компании используется решение от защиты DDoS-атак, причем как на магистральном канале, так и непосредственно на стороне клиента. Для защиты от таких атак можно подключить услугу "Защита от DDoS-атак" от "Билайн". Это совокупность программных и аппаратных средств, которые обеспечивают непрерывную работу интернет-ресурсов во время атаки и помогают избежать неприятных последствий.


Николай Гончаров

– В первую очередь необходимо выстроить грамотную защиту своих сетевых ресурсов, для этого важно постоянно проводить аудит сетевого оборудования, выявлять некорректные настройки и правила фильтрации, проверять актуальность версии ПО.

На сети должна быть установлена система анализа трафика, которая позволит своевременно узнать о начинающейся атаке и вовремя принять меры по ее предотвращению. Раннее обнаружение атаки и грамотное применение правил фильтрации при использовании интернет-канала с достаточно большой пропускной способностью позволят свести DDoS-атаки к минимуму.

Иван Нестеров

– Путем внедрения программно-аппаратных средств защиты на каналах связи оператора связи.

Основная задача защиты лежит на плечах конечного заказчика.

При этом большая часть средних и крупных операторов связи внедрила у себя технические средства блокировки ресурсов, генерирующих вредоносный трафик (DDoS, спам и т.д.).

– Можно ли сэкономить, если перенести все функции безопасности в облако? Какие риски ожидают компанию в этом случае?

Максим Акинин

– Определенно, да. Особенно в случае защиты от DDoS – одной из самых высокотехнологичных и быстроразви-вающихся угроз. Но в целом глобальная тенденция такова, что компании все больше начинают отдавать в облако другие задачи – например Web-фильтрацию, антивирус и пр. Стоимость и надежность таких решений, как правило, существенно ниже, чем "домашние" решения. Заслуживает внимания тот факт, что большинство компаний сейчас склонны доверять облачным решениям ИБ.

Риски могут быть связаны с неправильной постановкой задач и администрированием систем – но это универсальные риски, и они не являются отличительными особенностями именно облачных решений.

Александр Голубев

– Перенести все функции безопасности в облако нельзя, поскольку контрольная функция должна оставаться на стороне компании. Кроме того, в связи с переносом ИБ в облако появляются новые риски, связанные с доверием стороне, которой делегируется эта функция. В настоящее время наш Security Operation Center частично находится на обслуживании у специализированной компании, которая занимается техническими вопросами. При этом настройка правил выявления атак и обработка инцидентов осуществляются внутри, поскольку эти вопросы необходимо решать там, где находится инфраструктура компании.

Николай Гончаров

– В первую очередь, необходимо оценить целесообразность в плане обеспечения ИБ и экономическую эффективность данного подхода, ведь за обеспечение безопасности все равно придется платить, а риски при этом могут возрасти. При таком подходе мы должны полностью доверять поставщику данной услуги. Готовы ли многие компании к такому доверию? Также возникает множество рисков, связанных с обеспечением ИБ.

Для крупных компаний, которые обладают большой сетевой инфраструктурой и внутри которых обрабатывается различного рода информация, в частности попадающая под различные законодательные ограничения, это не применимо. На безопасности экономить нельзя.

Однако перенос функции безопасности в облако может быть полезен небольшим компаниям на раннем этапе развития.


Иван Нестеров

– Централизованное внедрение средств ИБ для облака однозначно снижает издержки каждого его пользователя. Риски в потере контроля от переноса своих ресурсов в облако связаны с незнанием конечными заказчиками современных технологий, а также с отсутствием обученных специалистов, способных правильно доносить тенденции в технологическом развитии для руководителей компаний.

Андрей Прошин

– Безусловно, можно. Вопросы оптимизации затрат при переносе функций безопасности в облако встают на первый план. Такие сервисы стремительно развиваются. Однако пока преждевременно говорить о переносе всех функций безопасности в облако, некоторые функции действительно можно перенести без каких-либо рисков для компании. К ним относятся, в частности, двухфакторная аутентификация, анализ SSL-трафика. Часто нет необходимости внедрять межсетевой экран, достаточно использовать облачный сервис с реализацией функции отказоустойчивости.

Александр Хрусталев

– В последнее время многие компании рассматривают возможность переноса некоторых систем в облако. На самом же деле облачные вычисления могут уменьшать уровень затрат, но при этом создают и новые уровни сложности, с которыми должны работать ИТ-специалисты, юристы и управленческий персонал. Так, например, в корпоративных сетях присутствует смешанный набор сред, одна часть которого находится внутри компании, другая – на аутсорсинге. Тут могут встретиться дополнительные осложнения. Провайдеры облака нередко стремятся частично уменьшить затраты путем переноса данных в наиболее эффективное местоположение в стеке – в собственный массив или глобальные центры субподрядчиков. Поэтому если компания точно не знает, какие организации будут хранить ее данные и где они находятся, ей трудно понять и оценить квалификацию и функциональные роли персонала провайдера, ответственного за безопасность.

Оставляя за провайдером право свободно переносить ваши данные, вы также можете нарушить директивы и стандарты по защите конфиденциальных данных. Кроме того, технически провайдеры облака могут расчленять данные компании, относящиеся к одному приложению, переводя данные на разные площадки, могут случаться срывы доступа и т.д. Очевидно, такая практика может сильно усложнить систему мероприятий по обеспечению непрерывности бизнеса. Поэтому, если вы решите перенести часть ИБ в облако, внимательно изучите текст соглашения с провайдером в вопросах качества обслуживания, чтобы понять, как он собирается обеспечивать готовность данных и вычислительных процессов, если данные территориально распределены, сроки контрольного устранения ошибок, кто несет ответственность, обучите свой персонал.

– Какие 3 основные тренда по информационной безопасности для телеком-компаний в 2016 году вы можете выделить?

Максим Акинин

  1. Размывание периметра безопасности.
  2. Глобальный характер DDoS-атак, в т.ч. за счет мобильных пользователей и развивающихся рынков.
  3. Движение в облака.

Александр Голубев

  1. Защита сети сигнализации SS7, в которой она нуждается в силу архитектуры построения.
  2. Защита новых каналов взаимодействия с клиентами в условиях глобальной диджитализации компании.
  3. Обеспечение ИБ для клиентов компании и клиентских сервисов. В частности, у нас ведется тендер на покупку решения класса "защищенный DNS", которое позволит комплексно подойти к вопросу обеспечения безопасности: блокировать обращения абонентов к командным центрам бот-сетей, дополнительная защита от DDoS-атак, антивирусы, родительский контроль и пр.

Николай Гончаров

  1. Организация и создание SOC (Security Operation Center).
  2. Создание и внедрение систем защиты от APT-атак и развитие систем противодействия DDoS-атакам.
  3. Противодействие вредоносному и мобильному ПО и борьба с мошенничеством в сетях связи.

Иван Нестеров

  1. Вынос компонентов ИБ в облака вместе с частью собственных ресурсов.
  2. Внедрение менее ресурсоемких программных продуктов в совокупности с большей производительностью.
  3. Снижение цены на продукты за счет повышения конкуренции на рынке.

Андрей Прошин

  1. Зрелость облачных решений и перенос функций безопасности в облако.
  2. Безопасность мобильных устройств и приложений.
  3. Безопасность Интернета вещей в связи с ростом подключенных устройств.

Александр Хрусталев

  1. Внедрение систем защиты АСУ ТП.
  2. Внедрение систем предотвращения утечек DLP.
  3. Защита компаний от целенаправленных атак.
Импортозамещение в телекоммуникациях

 

Виктория Шелепова
Руководитель Центра тестирования и технической экспертизы “РТ-ИНФОРМ"

Для России импортозамещение в телекоммуникациях – одна из приоритетных задач, создающих основу в области обеспечения информационной безопасности. Если мы полностью управляем передачей информации внутри страны, уровень безопасности возрастает. Пока используется зарубежное оборудование, нет гарантии того, что оно не содержит недекларированных возможностей.

Важно отметить, что до недавнего времени телеком-направлению в нашей стране не уделялось должного внимания. Отрасль практически полностью находится под контролем иностранных поставщиков. За последние два года ситуация начала меняться в лучшую сторону. Сегодня очень много отечественных компаний занимаются разработкой решений в этой области. Некоторые разработки ведутся параллельно. Более того, уже созданы образцы оборудования, готовые к использованию. Конечно, необходимо понимать, что одномоментный переход к полностью отечественным решениям невозможен. Это поэтапный процесс. Важно помнить цель этого процесса – снижение зависимости от компонентов иностранной разработки и увеличение степени локализации применяемых решений.

Отдельно нужно упомянуть о тех трудностях, с которыми сталкиваются отечественные разработчики при попытке применения локализованных решений. Требования, которые сейчас предъявляются потенциальными заказчиками оборудования, зачастую диктуются иностранными вендорами-поставщиками, а не объективными потребностями предприятия.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2016

Приобрести этот номер или подписаться

Статьи про теме